了解基于角色的访问控制

 

适用于:Exchange Online, Exchange Server 2013

上一次修改主题:2012-12-05

Role Based Access Control (RBAC) 是用于 Microsoft Exchange Server 2013 的权限模型。通过 RBAC,您不需要修改和管理访问控制列表 (ACL),而在 Exchange Server 2007 中则需要执行这些操作。ACL 在 Exchange 2007 中带来了多个难题,例如修改 ACL 而不产生意外后果、通过升级来维持 ACL 修改,以及解决由于以非标准方式使用 ACL 而出现的问题。

通过 RBAC,您既可粗略地又可精细地控制管理员和最终用户可以执行的操作。通过 RBAC,还可以使您为用户和管理员分配的角色更接近他们在组织中所拥有的实际角色。在 Exchange 2007 中,服务器权限模型仅适用于管理 Exchange 2007 基础结构的管理员。在 Exchange 2013 中,RBAC 现在既控制可执行的管理任务,又控制用户现在可管理其各自邮箱和通讯组的程度。

RBAC 主要有以下两种向组织中的用户分配权限的方法(具体取决于该用户是管理员或专家用户,还是最终用户):管理角色组和管理角色分配策略。每种方法都会将用户与执行其工作所需的权限相关联。另外,也可以使用第三种更高级的方法,即直接用户角色分配。本主题中的以下部分将介绍 RBAC 并提供其使用示例。

注意注意:
本主题重点讲述高级 RBAC 功能。如果要管理基本的 Exchange 2013 权限(例如,使用 Exchange 管理中心 (EAC) 向角色组中添加成员或从角色组中删除成员,创建和修改角色组,或创建和修改角色分配策略),请参阅权限

目录

管理角色组

管理角色分配策略

直接用户角色分配

摘要和示例

详细信息

管理角色组可将管理角色与一组管理员或专家用户进行关联。管理员管理众多 Exchange 组织或收件人配置。专家用户管理 Exchange 的特定功能,例如遵从性。或者,他们可能具有有限的管理能力(例如技术支持成员),但没有被授予广泛的管理权限。角色组通常会关联公用管理角色,这些角色使管理员和专家用户可以管理其组织以及收件人的配置。例如,管理员能否管理收件人或使用邮箱发现功能是通过角色组控制的。

为管理员或专家用户分配权限最常见的操作是在角色组中添加或删除用户。有关详细信息,请参阅了解管理角色组

角色组包含用于定义管理员和专家用户可执行的操作的下列组件:

  • 管理角色组 管理角色组是一个特殊的通用安全组 (USG),它包含属于角色组成员的邮箱、用户、USG 以及其他角色组。可以在此处添加和删除成员,并且它还是向其分配管理角色的对象。角色组中所有角色的组合定义添加到角色组的用户可以在 Exchange 组织中管理的所有事情。

  • 管理角色 管理角色是一组管理角色条目的容器。角色用于定义特定任务,这些任务可以由分配该角色的角色组成员执行。管理角色条目是允许执行角色中的每个特定任务的 cmdlet、脚本或特殊权限。有关详细信息,请参阅了解管理角色

  • 管理角色分配 管理角色分配链接角色和角色组。将角色分配到角色组,将使角色组的成员能够使用此角色中定义的 cmdlet 和参数。角色分配可以使用管理作用域来控制何处能够使用此分配。有关详细信息,请参阅了解管理角色分配

  • 管理角色作用域 管理角色作用域是角色分配影响的作用域。将角色与作用域分配到角色组时,管理作用域会专门指定允许该分配进行管理的对象。然后会将此分配及其作用域指定给角色组的成员,从而限制这些成员可以管理的内容。作用域可以由一系列服务器或数据库、组织单位 (OU)、服务器上的筛选器、数据库或收件人对象组成。有关详细信息,请参阅了解管理角色作用域

在向角色组添加用户时,该用户将被授予分配给该角色组的所有角色。如果对角色组和角色之间的任何角色分配应用作用域,这些作用域将控制该用户可管理哪些服务器配置或收件人。

如果要更改分配给角色组的角色,则需要更改将角色组链接到角色的角色分配。除非 Exchange 2013 中内置的分配不符合需要,否则不必更改这些分配。有关详细信息,请参阅了解管理角色分配

有关角色组的详细信息,请参阅了解管理角色组

管理角色分配策略可将最终用户管理角色与用户进行关联。角色分配策略由角色组成,这些角色可以控制用户可对其邮箱或通讯组执行的操作。这些角色不允许管理未与用户直接关联的功能。创建角色分配策略时,可以定义用户可对其邮箱执行的所有操作。例如,某个角色分配策略可能会允许用户设置显示名称、设置语音邮件和配置收件箱规则。另一个角色分配策略可能会允许用户更改地址、使用短信服务以及设置通讯组。默认情况下,向具有 Exchange 2013 邮箱的每个用户(包括管理员)都提供一个角色分配策略。您可决定默认情况下应分配哪个角色分配策略、选择默认角色分配策略应包括的内容、忽略某些邮箱的默认策略或默认情况下根本不分配角色分配策略。

管理权限以便用户管理各自的邮箱和通讯组选项最常见的操作是向分配策略分配用户。有关详细信息,请参阅了解管理角色分配策略

角色分配策略由以下组件组成,这些组件可以定义用户可对各自的邮箱执行的操作。请注意,一些相同的组件也适用于角色组。当这些组件与角色分配策略一起使用时,将被限制为使用户只能管理各自的邮箱:

  • 管理角色分配策略 管理角色分配策略 是 Exchange 2013 中的特殊对象。创建用户邮箱或更改邮箱上的角色分配策略时,用户将与角色分配策略关联。这也是您将最终用户管理角色分配到的对象。角色分配策略上的所有角色的组合定义用户可在其邮箱或通讯组上管理的所有事情。

  • 管理角色 管理角色是一组管理角色条目的容器。这些角色用于定义用户可使用其邮箱或通讯组来执行的特定任务。管理角色条目是允许执行管理角色中的每个特定任务的 cmdlet、脚本或特殊权限。您只能使用拥有角色分配策略的最终用户角色。有关详细信息,请参阅了解管理角色

  • 管理角色分配 管理角色分配是角色和角色分配策略之间的链接。将角色分配到角色分配策略,将允许使用在角色中定义的 cmdlet 和参数。在角色分配策略和角色之间创建角色分配时,无法指定任何作用域。由分配应用的作用域是 SelfMyGAL。所有角色分配的作用域限制为用户的邮箱或通讯组。有关详细信息,请参阅了解管理角色分配

如果要更改分配给角色分配策略的角色,则需要更改将角色分配策略链接到角色的角色分配。除非 Exchange 2013 中内置的分配不符合需要,否则不必更改这些分配。有关详细信息,请参阅了解管理角色分配

有关详细信息,请参阅了解管理角色分配策略

直接角色分配是一种高级方法,用于将管理角色直接分配给用户或 USG,而不使用角色组或角色分配策略。当您需要为特定用户提供一组更精细的权限且没有其他用户时,直接角色分配会非常有用。但是,使用直接角色分配可能大大增加权限模型的复杂性。如果用户工作变动或离开公司,则需要手动删除分配并将这些分配添加到新员工。建议您使用角色组向管理员和专家用户分配权限,使用角色分配策略向用户分配权限。

有关直接用户分配的详细信息,请参阅了解管理角色分配

下图显示了 RBAC 中的组件以及这些组件如何协同工作:

  • 角色组:

    • 一个或多个管理员可以是一个角色组的成员,也可以是多个角色组的成员。

    • 可为角色组分配一个或多个角色分配。这些角色分配将角色组与一个或多个定义可执行哪些任务的管理角色链接在一起。

    • 角色分配可以包含管理作用域,用于定义角色组中的用户可执行操作的位置。这些作用域将确定角色组中的用户可在何处修改配置。

  • 角色分配策略:

    • 一个或多个用户可以与角色分配策略相关联。

    • 可为角色分配策略分配一个或多个角色分配。这些角色分配将角色分配策略与一个或多个最终用户角色链接在一起。最终用户角色用于定义用户可对其邮箱配置的内容。

    • 角色分配策略和角色之间的角色分配内置了作用域,这些作用域将分配作用域限制为用户自己的邮箱或通讯组。

  • 直接角色分配(高级):

    • 可以在用户或 USG 与一个或多个角色之间直接创建角色分配。该角色定义了用户或 USG 可以执行的任务。

    • 角色分配可以包含管理作用域,用于定义用户或 USG 可执行操作的位置。这些作用域将确定用户或 USG 可在何处修改配置。

RBAC 概述

RBAC 组件关系

如上图所示,RBAC 中的许多组件都是相互关联的。正是各组件组成整体的方式定义了适用于每个管理员或用户的权限。下面的示例另外提供了一些上下文,用于说明如何在组织中使用角色组和角色分配策略。

Jane 是中型公司 Contoso 的管理员。她负责管理温哥华办公室中的公司收件人。创建 Contoso 的权限模型后,Jane 即成为 收件人管理 - Vancouver 自定义角色组的成员。收件人管理 - Vancouver 自定义角色组与她的工作职责最为匹配,其工作职责包括创建和删除收件人(例如邮箱和联系人)、管理通讯组成员身份和邮箱属性以及类似任务。

除 收件人管理 - Vancouver 自定义角色组外,Jane 还需要一个角色分配策略来管理自己的邮箱配置设置。组织管理员已决定所有用户(高层管理人员除外)在管理各自的邮箱时将获得相同的权限。这些用户可以配置语音邮件、设置保留策略以及更改地址信息。Exchange 2013 附带的默认角色分配策略现在反映了这些要求。

注意注意:
您可能已注意到,由于 Jane 是 收件人管理 - Vancouver 自定义角色组的成员,因此该角色组应向她授予管理她自己的邮箱的权限。这是正确的;但是,该角色组不会向 Jane 提供管理其邮箱的全部功能所需的所有权限。管理语音邮件和保留策略设置所需的权限未包括在其角色组中。这些权限将仅由分配给她的默认角色分配策略提供。

为了实现这一点,请考虑可基于温哥华办公室中的收件人为 Jane 提供管理权限的角色组:

  1. 创建了一个名为 收件人管理 - Vancouver 的自定义角色组。创建该角色组后,发生了以下情况:

    1. 为该角色组分配的所有管理角色也被分配给 收件人管理 内置角色组。这样,添加到 收件人管理 - Vancouver 自定义角色组的用户与添加到 收件人管理 角色组的用户便拥有相同的权限。但是,以下步骤限制了用户可以使用这些权限的位置。

    2. 创建了 Vancouver Recipients 自定义管理作用域,该作用域仅与位于温哥华的收件人匹配。这是通过创建对用户城市或其他唯一信息进行筛选的作用域来完成的。

    3. 该角色组是与 Vancouver Recipients 自定义管理作用域一起创建的。这意味着,尽管添加到 收件人管理 - Vancouver 自定义角色组的管理员拥有完全的收件人管理权限,但他们只能对总部在温哥华的收件人使用这些权限。

    有关创建自定义角色组的详细信息,请参阅管理角色组

  2. 然后,将 Jane 添加为 收件人管理 - Vancouver 自定义角色组的成员。

    有关添加成员到角色组的详细信息,请参阅管理角色组成员

为使 Jane 能够管理自己的邮箱设置,需要配置具有必要权限的角色分配策略。默认角色分配策略用于为用户提供配置各自的邮箱所需的权限。从默认角色分配策略中删除了所有最终用户角色,但以下角色除外:MyBaseOptionsMyContactInformationMyVoicemailMyRetentionPolicies。包括 MyBaseOptions 是因为此管理角色可在 Outlook Web App 中提供基本用户功能,例如收件箱规则、日历配置以及其他任务。

由于已为 Jane 分配了默认角色分配策略,因此无须执行任何其他操作。这意味着,对该角色分配策略所做的更改将立即应用于其邮箱,以及应用于也分配给默认角色分配策略的任何其他邮箱。

有关自定义默认角色分配策略的详细信息,请参阅管理角色分配策略

Joe 与 Jane 在同一家公司 Contoso 工作。他负责执行法律发现、设置保留策略以及为整个组织配置传输规则和日记。与 Jane 一样,在创建 Contoso 的权限模型后,Joe 即被添加到与其工作职责匹配的角色组中。记录管理 角色组为 Joe 提供了配置保留策略、日记和传输规则的权限。发现管理 角色组为他提供了执行邮箱搜索的能力。

与 Jane 一样,Joe 也需要权限来管理自己的邮箱。他被授予了与 Jane 相同的权限:可以设置语音邮件和保留策略以及更改地址信息。

为了授予 Joe 履行其工作职责的权限,Joe 被添加到 记录管理 和 发现管理 角色组中。不需要以任何方式更改这些角色组,因为这些角色组已为 Joe 提供了所需的权限,并且应用于这些角色组的管理作用域包括整个组织。

有关向角色组添加用户的详细信息,请参阅管理角色组成员

Joe 的邮箱也被分配了相同的应用于 Jane 邮箱的默认角色分配策略。这样,他便拥有了所需的全部权限,可以管理允许管理的邮箱的功能。

Isabel 是 Contoso 的营销副总裁。作为 Contoso 高层领导团队的一员,Isabel 被授予了比普通用户更多的权限。其中包括向她提供的用于管理其邮箱的权限,但有一项例外:由于法律遵从性原因,不允许 Isabel 管理自己的保留策略。Isabel 可以配置语音邮件、更改联系人信息、更改配置文件信息、创建和管理自己的通讯组,以及在其他用户所拥有的现有通讯组中添加或删除她自己。

因此,针对 Isabel 自己的邮箱向她授予了各种权限。Contoso 中的大多数用户都被分配了默认角色分配策略。然而,高层领导被分配了 Senior Leadership 角色分配策略。为创建自定义角色分配策略,执行了以下操作:

  1. 创建了一个名为 Senior Leadership 的自定义角色分配策略。该角色分配策略分配有MyBaseOptionsMyContactInformationMyVoicemailMyProfileInformationMyDistributionGroupMembership MyDistributionGroups 角色。包括 MyBaseOptions 是因为此角色可在 Outlook Web App 中提供基本用户功能,例如收件箱规则、日历配置以及其他任务。

  2. 然后,为 Isabel 手动分配了 Senior Leadership 角色分配策略。

现在,Isabel 的邮箱便具有 Senior Leadership 角色分配策略所提供的权限。对该角色分配策略所做的任何更改都将立即应用于其邮箱,以及应用于也分配给同一角色分配策略的任何其他邮箱。

 
显示: