Общие сведения о политиках назначения ролей управления

Область применения: Exchange Server 2013 г.

Политика назначения ролей управления — это коллекция из одной или нескольких ролей управления конечными пользователями, которые позволяют конечным пользователям управлять своими собственными Microsoft Exchange Server конфигурацией почтового ящика и группы рассылки 2013 года. Политики назначения ролей, которые являются в Exchange 2013 частью модели разрешений управления доступом на основе ролей (RBAC), позволяют определять, какие параметры конфигурации почтового ящика и группы рассылки может изменять конечный пользователь. Политики назначения ролей можно определять для различных групп пользователей.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Уровни политики назначения ролей

Ниже перечислены различные уровни, составляющие модель политики назначения ролей.

• Почтовый ящик. Почтовым ящикам назначается одна политика назначения ролей. Если для почтового ящика назначается политика назначения ролей, назначения между ролями управления и политикой назначения ролей применяются к этому почтовому ящику. Для данного почтового ящика будут предоставлены разрешения, предусмотренные ролями управления.

• Политика назначения ролей управления. Политика назначения ролей управления является специальным объектом в Exchange 2013. Пользователям присваивается политика назначения ролей при создании почтовых ящиков или при изменении политики назначения ролей для почтового ящика. Она также назначается для ролей управления конечных пользователей. Сочетание всех ролей в политике назначения ролей определяет для пользователя все функции управления почтовым ящиком или группами рассылки.

• Назначение роли управления. Назначение роли управления — это связь между ролью управления и политикой назначения ролей. Назначение роли управления политике назначения ролей позволяет использовать командлеты и параметры, определенные в роли управления. При создании назначения ролей между политикой назначения ролей и ролью управления можно указать только определенную область. Область, применяемая назначением, основана на роли управления и имеет значение Self или MyGAL. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

• Роль управления. Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые пользователь может выполнять с почтовым ящиком или группами рассылки. Запись роли управления — это командлет, сценарий или специальное разрешение, которое позволяет выполнять определенную задачу, связанную с ролью управления. С политиками назначения ролей можно использовать только роли управления конечных пользователей. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

• Запись роли управления. Записи роли управления — это отдельные записи роли управления, которые определяют, какие командлеты и параметры доступны роли управления и группы ролей. Каждая запись роли включает в себя один командлет и параметры, доступ к которым можно получить с помощью роли управления.

На следующем рисунке изображены все вышеперечисленные уровни политики назначения ролей и взаимосвязи этих уровней.

Дополнительные сведения о ролях управления, назначениях ролей и областях см. в разделе Общие сведения об управлении доступом на основе ролей.

Политики назначения явных ролей и ролей по умолчанию

В следующих разделах описаны два типа политик назначения ролей в Exchange 2013.

Политика назначения ролей по умолчанию

Политика назначения ролей по умолчанию назначается почтовому ящику при создании или перемещении на сервер Под управлением Exchange 2013, а политика назначения ролей не была предоставлена с помощью параметра RoleAssignmentPolicy в командлетах New-Mailbox или Enable-Mailbox .

Exchange 2013 включает политику назначения ролей по умолчанию, которая предоставляет конечным пользователям наиболее часто используемые разрешения. Вы можете изменить разрешения по умолчанию для политики назначения ролей по умолчанию, добавив или удалив роли управления в или из нее.

Чтобы заменить встроенную политику назначения ролей по умолчанию на собственную политику, можно использовать командлет Set-RoleAssignmentPolicy для выбора новой политики назначения ролей по умолчанию. После этого политике назначения ролей будут назначены новые указанные по умолчанию почтовые ящики, если политика назначения ролей не была указана явно.

При изменении политики назначения ролей по умолчанию почтовые ящики, назначенные для политики назначения ролей по умолчанию, не назначаются автоматически новой политике назначения ролей по умолчанию. Чтобы обновить предварительно созданные почтовые ящики для использования установленной по умолчанию политикой назначения ролей, необходимо использовать командлет Set-Mailbox.

Политика назначения явных ролей

Политика назначения явных ролей — это политика, назначенная пользователем почтовому ящику вручную с помощью параметра RoleAssignmentPolicy для командлетов New-Mailbox, Set-Mailbox или Enable-Mailbox. При назначении политики назначения явных ролей новая политика применяется немедленно и заменяет ранее назначенную политику назначения явных ролей.

Использование политик назначения ролей

Политики назначения ролей позволяют настроить разрешения для пользователей, исходя из потребностей предприятия, которые необходимо настроить пользователям. Если политика назначения ролей по умолчанию соответствует требованиям предприятия, не требуется выполнять настройку. Тем не менее, при наличии различных групп пользователей с особыми потребностями можно создать политику назначения ролей для каждой их них.

Используемая политика назначения ролей по умолчанию должна содержать разрешения, которые применяются к широкому кругу пользователей. Затем создайте политики назначения ролей для каждой из специализированных групп пользователей и настройте эти политики назначения ролей, чтобы предоставить им более или менее ограниченные разрешения. При организации политик назначения ролей таким образом вы снижаете сложность, только явно назначая политики назначения ролей специализированным пользователям, в то время как большинство пользователей получают более распространенные разрешения, предоставляемые политикой назначения ролей по умолчанию.

Почтовый ящик может иметь только одну политику назначения ролей. Все пользователи, включая администраторов и специалистов, получают по одной политике назначения ролей. Чтобы присвоить пользователю другой набор разрешений, для почтового ящика этого пользователя необходимо назначить другую политику назначения ролей, содержащую необходимые разрешения.

Управление политикой назначения ролей

Чтобы добавить новую политику назначения ролей, ее необходимо создать и определить, будет ли она являться политикой назначения ролей по умолчанию. После создания политики назначения ролей необходимо назначить роли управления этой политике, а затем назначить политику назначения ролей почтовым ящикам. Затем можно добавлять или удалять роли управления, а также выбрать другую политику назначения ролей политикой по умолчанию.

В следующей таблице перечислены уровни политики назначения ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.

Разделы по управлению политикой назначения ролей