Exchange 中标准安全角色的价值
上一次修改主题: 2005-04-22
为了帮助简化权限管理过程,Exchange 2003 提供了三个预定义的安全角色,可以在 Exchange 管理委派向导中使用这些角色。这些角色是标准权限的集合,可以应用在组织或管理组级别。
.gif "note") 注意: |
|---|
| 有关管理组的信息,请参阅本章前面的“创建和管理管理组”。 |
帐户或组应用这些角色后,将立即被授予相应对象上的一组标准权限。角色十分依赖于权限继承,以确保权限的应用保持一致。应用角色后,与该角色关联的标准权限通过继承应用到层次结构中的下级对象。
由于设计角色是为了满足 Exchange 部署中常见的安全要求,因此应尽可能多地尝试使用这些角色。
Exchange 2003 提供的标准安全角色有:
- Exchange 管理员(完全控制) 该角色对 Exchange 系统信息具有完全管理权限并可以修改权限。此角色适用于必须能够修改权限以及查看和管理 Exchange 配置信息的人员。
- Exchange 管理员 该角色对 Exchange 系统信息具有完全管理权限。该角色不同于 Exchange 管理员(完全控制)。主要区别是该角色不能修改权限。该角色适用于必须能够查看和管理 Exchange 配置信息而不需要能够修改权限的人员。
- Exchange 管理员(仅查看) 该角色可以查看但不能管理 Exchange 配置信息。该角色适用于必须能够查看 Exchange 配置信息而不需要能够更改该配置信息的人员。与 Exchange 管理员角色一样,该角色也不能修改权限。注意:
不要将 Exchange 安全角色与 Active Directory 中的安全组弄混。角色是应用于 Active Directory 中的用户或组的一组标准权限。可以将角色想像成模板,而不要想像成安全组。
由于这些角色是一组标准权限,与安全组不同,角色具有相互取代的固有特性,因此,没有必要同时应用较高级和较低级的特权角色。应用较高级特权角色已足够。应用于组织的角色和应用于管理组的角色稍有不同。因此,应用角色后所导致的有效权限也可能稍有不同。
下列各表列出了有效权限(基于应用的角色以及应用的位置)。这些表帮助说明了角色是如何相互取代的,以及在组织级别和管理组级别产生的不同影响。
| 注意: |
|---|
| 没有表显示在管理组级别应用的角色在组织级别应用后的有效角色。这是因为在管理组级别应用的角色只适用于本地管理组。由于管理组位于层次结构中组织级别的下面,因此管理组可以继承组织的权限,但反过来则不成立。 |
在管理组级别应用的角色在管理组级别应用后的有效角色
| 被授予的 Exchange 管理员角色 | 仅查看 | 管理员 | 管理员(完全控制) |
|---|---|---|---|
Exchange 管理员(仅查看) |
是 |
否 |
否 |
Exchange 管理员 |
是 |
是 |
否 |
Exchange 管理员(完全控制) |
是 |
是 |
是 |
在组织级别应用的角色在管理组级别应用后的有效角色
| 被授予的 Exchange 管理员角色 | 仅查看 | 管理员 | 管理员(完全控制) |
|---|---|---|---|
Exchange 管理员(仅查看) |
是 |
否 |
否 |
Exchange 管理员 |
是 |
是 |
否 |
Exchange 管理员(完全控制) |
是 |
是 |
是 |
在组织级别应用的角色在组织级别应用后的有效角色
| 被授予的 Exchange 管理员角色 | 仅查看 | 管理员 | 管理员(完全控制) |
|---|---|---|---|
Exchange 管理员(仅查看) |
是 |
否 |
否 |
Exchange 管理员 |
是 |
是 |
否 |
Exchange 管理员(完全控制) |
是 |
是 |
是 |