Общие сведения о группах ролей управления

 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2015-03-09

Группа ролей управления — это универсальная группа безопасности (USG), используемая в модели разрешений управления доступом на основе ролей (RBAC) в Microsoft Exchange Server 2013. Группа ролей управления упрощает назначение ролей управления группе пользователей. Для всех участников группы ролей назначается идентичный набор ролей. Для групп ролей назначаются роли специалиста и администратора, определяющие большинство административных задач в Exchange 2013, например управление организацией, управление получателями и другие задачи. Группы ролей упрощают назначение более широкого набора разрешений группе администраторов или специалистов.

ПримечаниеПримечание.
В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.

Содержание

Уровни группы ролей

Управление группой ролей

Встроенные группы ролей

Связанные группы ролей

Делегирование группы ролей

Членство в группе ролей

Рабочий процесс создания группы ролей

ПримечаниеПримечание.
Сведения о назначении пользователям разрешения управлять собственными почтовыми ящиками или группами рассылки см. в разделе Общие сведения о политиках назначения ролей управления.

Ниже перечислены уровни, составляющие модель группы ролей.

  • Участник группы ролей   Участник группы ролей — это группа ролей почтового ящика, универсальной группы безопасности (USG) или другая группа ролей, которую можно добавить как участника группы ролей. При добавлении почтового ящика, USG или другой группы ролей как участника группы ролей назначения, выполненные в отношении ролей управления и группы ролей, будут применены к новому участнику. Для данного участника будут предоставлены разрешения, предусмотренные ролями управления.

  • Группа ролей управленияГруппа ролей управления — это особая универсальная группа безопасности, включающая в себя почтовые ящики, пользователей, универсальные группы безопасности и другие группы ролей, входящие в эту группу ролей. В этой группе выполняется добавление и удаление участников. А также именно ей назначаются роли управления. Совокупность всех ролей в группе ролей определяет все элементы в организации Exchange, которыми могут управлять участники, добавленные в группу ролей.

  • Назначение роли управления   Назначение роли управления связывает роль управления с группой ролей. Назначение роли управления группе ролей позволяет участникам группы ролей использовать командлеты и параметры, определенные в роли управления. Области управления в назначениях ролей позволяют управлять областями, в которых будет использоваться назначение. Дополнительные сведения см. в разделе Общие сведения о назначениях ролей управления.

  • Область роли управления   Область роли управления — это область влияния назначения роли. При назначении роли с областью группе ролей область управления определяет, какими объектами может управлять это назначение. Затем назначение и его область предоставляются участникам группы ролей, что ограничивает элементы, которыми могут управлять эти участники. Область могут составлять серверы или базы данных, подразделения или фильтры на объектах сервера, базы данных или получателя. Дополнительные сведения см. в разделе Общие сведения об областях ролей управления.

  • Роль управления   Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые могут выполнять участники группы ролей, для которых назначена роль. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

  • Записи роли управления   Записи роли управления — это отдельные записи роли управления, которые обеспечивают доступ к командлетам, сценариям и другим специальным разрешениям, позволяющим выполнять определенную задачу. В большинстве случаев запись роли включает в себя один командлет или скрипт и параметры, к которым можно получить доступ с помощью роли управления, а также группу ролей, которой назначена роль.

На следующем рисунке изображены все вышеперечисленные уровни группы ролей и взаимосвязи этих уровней.

Уровни группы ролей управления

Уровни группы ролей управления

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

В начало

При создании группы ролей создается универсальная группа безопасности, включающая в себя участников группы ролей, и назначения между группой ролей и указанными ролями управления. Можно также указать область управления применительно к назначениям роли и добавить почтовые ящики в качестве участников новой группы ролей.

После создания группы ролей каждый ее уровень становится независимым объектом. Группа ролей останется центральной точкой, объединяющей все уровни группы, но каждый уровень будет управляться по отдельности. Например, чтобы изменить область управления, примененную к группе ролей при ее создании, необходимо изменить область каждого отдельного назначения роли после создания группы ролей. Управление моделью группы ролей выполняется с помощью командлетов для управления отдельными уровнями модели группы ролей.

В следующей таблице перечислены уровни группы ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.

Разделы управления группой ролей

Уровень модели группы ролей Раздел управления

Участник группы ролей

Управление участниками группы ролей

Группа ролей

Управление группами ролей

Роли управления и их назначения

Управление группами ролей

Записи ролей управления

Добавьте запись роли в роли

Изменение записи роли

Удаление записи роли из роли

ПримечаниеПримечание.
Изменение записей ролей управления в группе ролей — это сложная задача, выполнение которой в большинстве случаев не требуется. Вместо этого можно использовать уже существующую роль управления, которая удовлетворяет вашим требованиям. Дополнительные сведения см. в разделе Встроенные группы ролей.

В начало

Встроенные группы ролей — это роли, входящие в комплект поставки Exchange 2013. Такие группы содержат набор групп ролей, позволяющих предоставлять группам пользователей различные уровни прав администрирования. Во встроенных группах ролей можно добавлять и удалять пользователей. В большинстве групп ролей можно также добавлять и удалять назначения ролей. Единственными исключениями являются следующие правила.

  • Невозможно удалить любое назначение роли делегирования из группы ролей Управление организацией.

  • Невозможно удалить роль управления ролью из группы ролей Управление организацией.

В следующей таблице перечислены все встроенные группы ролей в составе Exchange 2013. Дополнительные сведения о встроенных группах ролей см. в разделе Встроенные группы ролей.

Встроенные группы ролей

Группа ролей Описание

Управление организацией

Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любые задачи с любым объектом Exchange 2013 за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью.

Управление организацией только с правом на просмотр

Администраторы, являющиеся участниками группы ролей Управление организацией только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange.

Управление получателями

Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2013 в организации Exchange 2013.

Управление единой системой обмена сообщениями

Администраторы, которые являются членами группы ролей Управление единой системой обмена сообщениями, могут управлять функциями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями.

Управление обнаружением

Администраторы или пользователи, которые являются участниками группы ролей Управление обнаружением, могут выполнять поиск данных, которые соответствуют определенным критериям, в почтовых ящиках организации Exchange, а также настраивать хранение почтовых ящиков для судебного разбирательства.

Управление записями

Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие соответствия требованиям, как теги политики хранения, классификации сообщений, правила транспорта и другие.

Управление сервером

Администраторы, которые являются участниками этой группы ролей, могут выполнять настройку серверной конфигурации транспорта, клиентского доступа и функций почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа.

Служба поддержки

Пользователи, являющиеся участниками группы ролей службы поддержки, могут выполнять ограниченное число задач управления получателями Exchange 2013.

Управление санацией

Пользователи, которые являются участниками группы ролей "Управление санацией", могут настраивать функции защиты от нежелательной почты и вредоносных программ в Exchange 2013. Сторонние программы, интегрированные с Exchange 2013, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange.

Управление соответствием требованиям

Пользователи, являющиеся членами группы ролей "Compliance Management", могут настраивать конфигурацию соответствия требованиям Exchange и управлять ими в соответствии со своими политиками.

Управление общими папками

Администраторы, которые являются членами группы ролей управления общедоступными папками, могут управлять общедоступными папками на серверах Exchange 2013.

Делегированная установка

Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange 2013, подготовленные членом группы ролей Управление организацией.

В начало

Связанные группы ролей используются в организациях, в которых серверы Exchange 2013 установлены в выделенном лесу ресурсов, а пользователи размещены в других внешних доверенных лесах. Связанные группы ролей позволяют создавать связь между группой ролей в лесу Exchange и универсальной группой безопасности во внешнем лесу. Это полезно, если учетные записи администраторов доменных служб Active Directory, которым необходимо назначить управление Exchange, не расположены в том же лесу ресурсов, что и Exchange. Связанные группы ролей можно связать только с одной внешней универсальной группой безопасности. Также отсутствует необходимость создавать двустороннее отношение доверия между лесом Exchange и внешним лесом. Лес Exchange должен доверять внешнему лесу, но внешний лес может не доверять лесу Exchange.

Дополнительные сведения о разрешениях в топологиях с несколькими лесами см. в разделе Общие сведения о разрешениях для нескольких лесов.

Связанная группа ролей состоит из двух частей.

  • Связанная группа ролей   Связанная группа ролей — это объект-контейнер, связывающий внешнюю универсальную группу безопасности с назначениями ролей управления группы ролей.

  • Внешняя универсальная группа безопасности   Внешняя универсальная группа безопасности включает в себя участников, которым необходимо назначить разрешения, предоставленные связанной группой ролей.

При создании связанной группы ролей необходимо предоставить контроллер домена во внешнем лесу, содержащем пользователей, которым необходимо назначить управление лесом Exchange, а также универсальную группу безопасности, которая содержит этих пользователей как участников, имя внешней универсальной группы безопасности и учетные данные, необходимые для получения доступа к внешнему лесу. Exchange добавляет идентификатор безопасности внешней универсальной группы безопасности в связанную группу ролей. Так как идентификатор безопасности (SID) является единственным идентификатором внешней универсальной группы безопасности, рекомендуется указывать внешний лес в имени группы ролей при наличии нескольких внешних лесов.

Связанная группа ролей не содержит участников. Управление всеми участниками этой группы ролей выполняется с помощью внешней универсальной группы безопасности. Поэтому невозможно использовать командлеты Update-RoleGroupMember, Add-RoleGroupMember или Remove-RoleGroupMember для добавления или удаления участников группы ролей. При добавлении участников во внешнюю универсальную группу безопасности им назначаются разрешения, предоставленные связанной группой ролей.

Невозможно изменить стандартную группу ролей, содержащую собственных участников, на связанную группу ролей и наоборот. Чтобы заменить стандартную группу ролей на связанную группу ролей, необходимо создать новую связанную группу ролей и выполнить репликацию назначений ролей управления, содержащихся в стандартной группе ролей, в связанную группу ролей. Эта схема замены также применяется к встроенным группам ролей, так как они являются стандартными группами ролей. Чтобы выполнять все задачи управления лесом Exchange из внешнего леса, необходимо создать новые связанные группы ролей и добавить роли управления, существующие во встроенных группах ролей, в новые связанные группы ролей. Дополнительные сведения о том, как это сделать, приведены в разделе Создание группы связанных ролей, которые зеркально встроенные группы ролей.

В начало

По умолчанию участники группы ролей Управление организацией могут добавлять и удалять участников в группах ролей. Тем не менее, можно разрешить пользователям, которые не являются участниками группы ролей Управление организацией, добавлять и удалять участников групп ролей. В этом случае можно использовать делегирование группы ролей.

Управление делегированием группы ролей выполняется с помощью свойства ManagedBy для каждой группы ролей. Свойство ManagedBy содержит список пользователей, которые могут добавлять и удалять участников определенной группы ролей или изменять конфигурацию группы ролей. Пользователям можно назначать разрешения, предоставляемые группой ролей, только если эти пользователи являются участниками группы ролей.

Если для группы ролей установлено свойство ManagedBy, только те пользователи, которые указаны в этом свойстве как руководители группы ролей, могут изменять группу ролей или членство в группе ролей по умолчанию. Тем не менее, дополнительный параметр командлетов, используемых для изменения групп ролей или членства в группе ролей, позволяет переопределить это ограничение. Параметр BypassSecurityGroupManagerCheck могут использовать пользователи, которые являются участниками роли Управление организацией или для которых прямо или косвенно назначена роль управления ролями. При использовании этого параметра свойство ManagedBy пропускается и пользователь может изменять группу ролей или членство в группе ролей.

Если для группы ролей свойство ManagedBy не установлено, изменять группу ролей или членство в группе ролей могут только те пользователи, которые являются участниками роли Управление организацией или для которых прямо или косвенно назначена роль управления ролями.

ПримечаниеПримечание.
Роли группы ролей можно назначить с помощью назначений ролей делегирования. С помощью назначений ролей делегирования участники группы ролей, для которой назначена роль делегирования, могут назначать эту роль другой группе ролей, политике назначения, пользователю или универсальной группе безопасности. Участники группы ролей могут назначать только роль делегирования и только после того, как будут добавлены в свойство ManagedBy. Дополнительные сведения о назначении ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.

Дополнительные сведения об управлении делегированием группы ролей см. в разделе Управление группами ролей.

В начало

Когда пользователь становится участником группы ролей, роли управления, назначенные этой группе ролей, назначаются этому пользователю. Если пользователь является участником нескольких групп ролей, роли управления каждой группы ролей объединяются и назначаются этому пользователю. Участниками групп ролей могут быть пользователи, универсальные группы безопасности и другие группы ролей.

Только те пользователи, которые являются участниками групп ролей Управление организацией или управления ролями, а также те, которым делегировано разрешение добавлять или удалять пользователей в группах ролей, могут управлять членством в группе ролей.

Дополнительные сведения об управлении членством в группах ролей см. в разделе Управление участниками группы ролей.

Как упоминалось ранее, группа ролей включает в себя несколько уровней. Чтобы понять, что происходит при создании группы ролей, см. следующий пример создания новой группы ролей.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

При выполнении предыдущей команды происходит следующее.

  1. Создается новая группа ролей с именем "Управление получателями в Сиэтле", являющаяся специальной универсальной группой безопасности.

  2. В качестве участников группы ролей добавляются почтовые ящики Ивана, Владимира, Марии, Григория, Елены, Светланы, Ирины, Бориса, Дарьи, Виталия и Валентины. Эти пользователи получают разрешения, предоставляемые этой группой ролей.

  3. Пользователи Виктор и Владимир добавляются в свойство ManagedBy группы ролей. Эти пользователи могут добавлять и удалять участников в группе ролей, но им не будут назначены разрешения, предоставляемые группой ролей, так как они не являются участниками этой группы. Валентина также добавлена в свойство ManagedBy группы ролей. Поскольку она добавлена в свойство ManagedBy и является участником группы ролей, она может добавлять и удалять участников в группе ролей и получает разрешения, предоставляемые группой ролей.

  4. Создаются следующие назначения ролей управления. Назначения ролей позволяют назначать группе ролей каждую роль управления, указанную в команде. Область управления "Пользователи в Сиэтле" добавлена для каждого назначения роли. Имя каждого назначения роли — это сочетание назначаемой роли управления и имени группы ролей.

    • Mail Recipients_Seattle Recipient Management

    • Distribution Groups_Seattle Recipient Management

    • Move Mailboxes_Seattle Recipient Management

    • UM Mailboxes_Seattle Recipient Management

При сравнении результатов этой команды с рисунком уровней группы ролей управления, приведенным выше в этом разделе, можно увидеть, в каких пунктах каждый шаг соответствует уровням группы ролей. Также см. сведения об управлении каждым уровнем группы ролей в разделах управления группой ролей управления, включенных в приведенный выше раздел "Управление группами ролей".

В начало

 
Показ: