组织管理

 

适用于:Exchange Server 2013

上一次修改主题:2015-03-09

组织管理 管理角色组是组成 Microsoft Exchange Server 2013 中基于角色的访问控制 (RBAC) 权限模型的多个内置角色组之一。角色组会分配给一个或多个管理角色,这些管理角色拥有执行一组给定任务所需的权限。角色组的成员会获得访问角色组所分配的管理角色的权限。有关角色组的详细信息,请参阅了解管理角色组

作为 组织管理 角色组成员的管理员具有对整个 Exchange 2013 组织的管理访问权限,并且几乎可以对任意 Exchange 2013 对象执行任何任务(某些情况除外)。默认情况下,此角色组的成员无法执行邮箱搜索以及对无作用域的顶级管理角色的管理。有关详细信息,请参阅本主题后面的“仅委派角色分配”部分。

重要说明重要说明:
组织管理 角色组本身是非常强大的角色,只有执行组织级别管理任务(可能影响整个 Exchange 组织)的用户或通用安全组 (USG) 才可以是此角色组的成员。

该角色组等同于 Exchange Server 2007 中的 Exchange 组织管理员角色。

有关 RBAC 的详细信息,请参阅了解基于角色的访问控制

默认情况下,将用于在组织中安装 Exchange 2013 的帐户添加为 组织管理 角色组的成员。然后,此帐户可以根据需要将其他成员添加到角色组。

如果要向此角色组中添加或从中删除成员,请参阅管理角色组成员

默认情况下,只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。有关如何添加其他角色组委派的详细信息,请参阅管理角色组中的“添加或删除角色组委派”一节。

可以使用以下命令查看作为此角色组成员的用户或 USG 的列表。

Get-RoleGroupMember "Organization Management"

有关角色组的成员的详细信息,请参阅管理角色组

此角色组默认分配管理角色。“分配给此角色组的管理角色”一节列出了所包括的角色。您可以向此该角色组中添加或从中删除角色分配,以满足您组织的需要。

Exchange 2013 附带的角色组旨在匹配更精细的任务。通过将角色分配到角色组,就可以使该角色组的成员能够执行与该角色相关联的任务。例如,Journaling 角色可以管理日记代理和日记规则。有关如何将角色分配给角色组的详细信息,请参阅了解管理角色分配

分配给此角色组的角色拥有默认管理作用域。管理作用域确定可以由角色组成员查看或修改的 Exchange 对象。可以更改与角色和角色组之间的分配相关联的作用域。例如,如果仅希望角色组的成员能够更改特定组织单位下或特定位置中的收件人,则可能要执行此操作。有关管理作用域的详细信息,请参阅了解管理角色作用域

有关如何自定义该角色组的详细信息,请参阅下列主题:

如果要创建角色组并将部分已分配到该角色组的角色分配到新的角色组,请参阅管理角色组中的“创建角色组”一节。

以下是自定义此角色时可能需要的一些方法:

  • 权限所有者:如果组织中的权限由除 Exchange 管理员之外的特定组控制,则可以创建角色组,并将“角色管理”角色的常规角色分配和委派角色分配移到新角色组。这样做将阻止 组织管理 角色组的成员管理任何 RBAC 权限。

  • Active Directory 拆分权限:如果组织中的安全主体(如用户帐户)的创建,由除 Exchange 管理员之外的特定组控制,则可以创建角色组,并将“邮件收件人创建”角色以及“安全组创建和成员身份”角色的常规和委派角色分配移到新角色组。这样做会阻止 组织管理 角色组的成员创建 Active Directory 对象。但是,这些成员可以继续使新的 Active Directory 对象具有邮件功能。有关拆分权限的详细信息,请参阅了解拆分权限

可在此角色组中添加或删除的任何角色,都具有以下限制:

  • 每个角色都必须拥有至少一个某角色组或 USG 的委派角色分配,才可以从该角色组中删除委派角色分配。

  • “角色管理”角色必须拥有至少一个某角色组或 USG 的常规角色分配,才可以从该角色组中删除常规角色分配。

这些限制旨在帮助防止无意中锁定系统。通过要求每个角色和一个或多个角色组或 USG 之间至少存在一个委派角色分配,将始终可以对角色受理人分配角色。通过要求“角色管理”角色和一个或多个角色组或 USG 之间至少存在一个常规角色分配,将始终可以配置角色组和角色分配。

重要说明重要说明:
这些限制要求角色组或 USG 作为委派和常规角色分配的目标。如果最后一个分配是对用户进行的,则无法删除“角色管理”角色的委派角色分配或常规分配。

组织管理 角色组与管理角色之间的某些角色分配(如邮箱搜索和未区分范围的角色管理)仅委派角色分配。这些角色允许访问敏感或个人信息(如邮箱内容)或可以用于创建功能强大的未区分范围的管理角色。

仅委派角色分配使 组织管理 角色组的成员仅能将相关角色分配到其他角色组、管理角色分配策略、用户或 USG。默认情况下,不会给予 组织管理 角色组的成员任何由角色提供的权限。这样有助于避免意外泄漏个人信息或意外的权限提升。

但是,组织管理 角色组的成员可以向自己分配任何角色,实际上使他们可以执行任何任务。例如,组织管理 角色组的成员可以向 组织管理 角色组分配邮箱搜索角色。进行了此角色分配之后,组织管理 角色组的成员可以执行由“邮箱搜索”角色启用的任务。

有关委派角色分配的详细信息,请参阅了解管理角色分配

授予 组织管理 角色组成员的权限主要由分配到此角色组的管理角色确定。但是,管理角色并未涵盖您需要执行的所有任务。由于某些任务发生在 Exchange 管理工具之外,因此 RBAC 权限模型不适用。对于这些任务,可通过将 组织管理 角色组添加到某些 Active Directory 对象的访问控制列表 (ACL) 来为其提供权限。

通过 Active Directory 对象上的 ACL(而不是通过分配到 组织管理 角色组的管理角色),对以下任务授予权限:

  • 使用 Setup.exe 运行 DomainPrep 和 ForestPrep

  • 在组织中部署其他服务器

下表列出了分配给此角色组的所有管理角色,以及每个角色分配的下列属性:

  • 常规分配:使角色组成员能够访问由关联管理角色提供的管理角色条目。

  • 委派分配:使角色组成员能够将指定角色分配给其他角色组、角色分配策略、用户或 USG。

  • 收件人读取作用域:确定角色组成员允许从 Active Directory 读取的收件人对象。

  • 收件人写入作用域:确定角色组成员允许在 Active Directory 中修改的收件人对象。

  • 配置读取作用域:确定角色组成员允许从 Active Directory 读取的配置和服务器对象。

  • 配置写入作用域:确定角色组成员允许在 Active Directory 中修改的组织对象和服务器对象。

有关角色分配和管理作用域的详细信息,请参阅下列主题:

分配给此角色组的管理角色

管理角色常规分配委派分配收件人读取作用域收件人写入作用域配置读取作用域配置写入作用域

Active Directory 权限角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

地址列表角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation 角色

X

Organization

Organization

None

None

ArchiveApplication 角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

审核日志角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

cmdlet 扩展代理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

数据丢失防护角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

数据库可用性组角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

数据库副本角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

数据库角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

灾难恢复角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

通讯组角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

边缘订阅角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

电子邮件地址策略角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 连接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server 证书角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 服务器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 虚拟目录角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

联合共享角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

信息权限管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

日记角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

法定保留角色

X

X

Organization

Organization

OrganizationConfig

None

LegalHoldApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

启用邮件的公用文件夹角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮件收件人创建角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮件收件人角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮件提示角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮箱导入导出角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮箱搜索角色

X

Organization

Organization

None

None

MailboxSearchApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

邮件跟踪角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

迁移角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

监视角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

移动邮箱角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

组织客户端访问角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

组织配置角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

组织传输设置角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 和 IMAP4 协议角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

公用文件夹角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

接收连接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

收件人策略角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

远程域和接受的域角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

重置密码角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

保留管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

角色管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

安全组创建和成员身份角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

发送连接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

支持诊断角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

传输代理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

传输清洁角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

传输队列角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

传输规则角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UM 邮箱角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UM 提示语角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

无作用域的角色管理角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

统一消息角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

用户选项角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

仅查看审核日志角色

X

X

Organization

None

OrganizationConfig

None

仅查看配置角色

X

X

Organization

None

OrganizationConfig

None

仅查看收件人角色

X

X

Organization

None

OrganizationConfig

None

WorkloadManagement 角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

我的自定义应用角色

X

Self

Self

OrganizationConfig

OrganizationConfig

我的市场应用角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership 角色

X

MyGAL

MyGAL

None

None

MyDistributionGroups 角色

X

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyProfileInformation 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

 
显示: