Общие сведения о политиках назначения ролей управления

 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-03-09

Политика назначения ролей управления — это набор из одной или нескольких ролей управления конечного пользователя, которые позволяют конечным пользователям управлять конфигурацией их собственного почтового ящика Microsoft Exchange Server 2013 и группы рассылки. Политики назначения ролей, которые являются в Exchange 2013 частью модели разрешений управления доступом на основе ролей (RBAC), позволяют определять, какие параметры конфигурации почтового ящика и группы рассылки может изменять конечный пользователь. Политики назначения ролей можно определять для различных групп пользователей.

ПримечаниеПримечание.
В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Содержание

Уровни политики назначения ролей

Политики назначения явных ролей и ролей по умолчанию

Использование политик назначения ролей

Управление политикой назначения ролей

Ниже перечислены различные уровни, составляющие модель политики назначения ролей.

  • Почтовый ящик   Для почтовых ящиков назначается одна политика назначения ролей. Если для почтового ящика назначается политика назначения ролей, назначения между ролями управления и политикой назначения ролей применяются к этому почтовому ящику. Для данного почтового ящика будут предоставлены разрешения, предусмотренные ролями управления.

  • Политика назначения ролей управленияПолитика назначения ролей управления является специальным объектом в Exchange 2013. Пользователям присваивается политика назначения ролей при создании почтовых ящиков или при изменении политики назначения ролей для почтового ящика. Она также назначается для ролей управления конечных пользователей. Сочетание всех ролей в политике назначения ролей определяет для пользователя все функции управления почтовым ящиком или группами рассылки.

  • Назначение роли управления   Назначение роли управления связывает роль управления с политикой назначения ролей. Назначение роли управления политике назначения ролей позволяет использовать командлеты и параметры, определенные в роли управления. При создании назначения ролей между политикой назначения ролей и ролью управления можно указать только определенную область. Область, применяемая назначением, зависит от роли управления и является Self или MyGAL. Дополнительные сведения см. в разделе Общие сведения о назначениях ролей управления.

  • Роль управления   Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые пользователь может выполнять с почтовым ящиком или группами рассылки. Запись роли управления — это командлет, сценарий или специальное разрешение, которое позволяет выполнять определенную задачу, связанную с ролью управления. С политиками назначения ролей можно использовать только роли управления конечных пользователей. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

  • Запись роли управления   Записи роли управления — это отдельные записи в роли управления, определяющие командлеты и параметры, доступные для роли управления и группы ролей. Каждая запись роли включает в себя один командлет и параметры, доступ к которым можно получить с помощью роли управления.

На следующем рисунке изображены все вышеперечисленные уровни политики назначения ролей и взаимосвязи этих уровней.

Модель политики назначения ролей управления

Связи модели назначения роли

Дополнительные сведения о ролях управления, назначениях ролей и областях см. в разделе Общие сведения об управлении доступом на основе ролей.

В следующих разделах описаны два типа политик назначения ролей в Exchange 2013. 

Политика назначения ролей по умолчанию — это политика, присваиваемая почтовому ящику при его создании или перемещении на сервер под управлением Exchange 2013. Политика назначения ролей не предоставляется с помощью параметра RoleAssignmentPolicy для командлетов New-Mailbox или Enable-Mailbox.

Exchange 2013 включает в себя политику назначения ролей по умолчанию, которая предоставляет конечным пользователям наиболее распространенные разрешения. Разрешения по умолчанию можно изменить в политике назначения ролей по умолчанию. Для этого необходимо добавить или удалить роли управления в политике назначения ролей.

Чтобы заменить встроенную политику назначения ролей по умолчанию на собственную политику, можно использовать командлет Set-RoleAssignmentPolicy для выбора новой политики назначения ролей по умолчанию. После этого политике назначения ролей будут назначены новые указанные по умолчанию почтовые ящики, если политика назначения ролей не была указана явно.

При изменении политики назначения ролей по умолчанию почтовые ящики, назначенные для политики назначения ролей по умолчанию, не назначаются автоматически новой политике назначения ролей по умолчанию. Чтобы обновить предварительно созданные почтовые ящики для использования установленной по умолчанию политикой назначения ролей, необходимо использовать командлет Set-Mailbox.

Политика назначения явных ролей — это политика, назначенная пользователем почтовому ящику вручную с помощью параметра RoleAssignmentPolicy для командлетов New-Mailbox, Set-Mailbox или Enable-Mailbox. При назначении политики назначения явных ролей новая политика применяется немедленно и заменяет ранее назначенную политику назначения явных ролей.

Политики назначения ролей позволяют настроить разрешения для пользователей, исходя из потребностей предприятия, которые необходимо настроить пользователям. Если политика назначения ролей по умолчанию соответствует требованиям предприятия, не требуется выполнять настройку. Тем не менее, при наличии различных групп пользователей с особыми потребностями можно создать политику назначения ролей для каждой их них.

Используемая политика назначения ролей по умолчанию должна содержать разрешения, применяемые для максимально широкого круга пользователей. Затем создайте политики назначения ролей для каждой из указанных групп пользователей, настройте эти политики назначения ролей и получите для них более или менее ограниченные разрешения. При такой организации политик назначения ролей упрощение достигается с помощью явного назначения политик указанным пользователям. При этом большинству пользователей присваиваются наиболее распространенные разрешения, предоставляемые политикой назначения ролей по умолчанию.

Почтовый ящик может иметь только одну политику назначения ролей. Все пользователи, включая администраторов и специалистов, получают по одной политике назначения ролей. Чтобы присвоить пользователю другой набор разрешений, для почтового ящика этого пользователя необходимо назначить другую политику назначения ролей, содержащую необходимые разрешения.

Чтобы добавить новую политику назначения ролей, ее необходимо создать и определить, будет ли она являться политикой назначения ролей по умолчанию. После создания политики назначения ролей необходимо назначить роли управления этой политике, а затем назначить политику назначения ролей почтовым ящикам. Затем можно добавлять или удалять роли управления, а также выбрать другую политику назначения ролей политикой по умолчанию.

В следующей таблице перечислены уровни политики назначения ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.

Разделы по управлению политикой назначения ролей

Уровень модели политики назначения ролей Разделы по управлению

Почтовый ящик

Управление почтовыми ящиками пользователей

Изменение политики назначения для почтового ящика

Политика назначения ролей

Управление политиками назначения ролей

Роли управления и их назначения

Управление политиками назначения ролей

Записи ролей управления

Добавьте запись роли в роли

Изменение записи роли

Удаление записи роли из роли

ПримечаниеПримечание.
Изменение записей ролей управления в ролях управления политики назначения ролей — это сложная задача, выполнение которой в большинстве случаев не требуется. Вместо этого можно использовать уже существующую роль управления, которая удовлетворяет требованиям пользователя. Дополнительные сведения см. в разделе Встроенные группы ролей.
 
Показ: