组织管理

适用于:Exchange Server 2013

组织管理角色组是 2013 Microsoft Exchange Server 中构成基于角色访问控制 (RBAC) 权限模型的几个内置角色组之一。 角色组会分配有一个或多个管理角色,这些管理角色拥有执行一组给定任务所需的权限。 角色组的成员会获得访问角色组所分配的管理角色的权限。 有关角色组的详细信息,请参阅了解管理角色组

作为 组织管理 角色组成员的管理员具有对整个 Exchange 2013 组织的管理访问权限,并且几乎可以对任意 Exchange 2013 对象执行任何任务(某些情况除外)。 默认情况下,此角色组的成员无法执行邮箱搜索以及对无作用域的顶级管理角色的管理。 有关详细信息,请参阅本主题后面的"仅委派角色分配"部分。

重要

组织管理 角色组本身是非常强大的角色,只有执行组织级别管理任务(可能影响整个 Exchange 组织)的用户或通用安全组 (USG) 才可以是此角色组的成员。

该角色组等同于 Exchange Server 2007 中的 Exchange 组织管理员角色。

有关 RBAC 的详细信息,请参阅了解基于角色的访问控制

角色组成员身份

默认情况下,将用于在组织中安装 Exchange 2013 的帐户添加为 组织管理 角色组的成员。 然后,此帐户可以根据需要将其他成员添加到角色组。

如果要向此角色组中添加或从中删除成员,请参阅管理角色组成员

默认情况下,只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。 有关如何添加其他角色组委派的详细信息,请参阅管理角色组中的"添加或删除角色组委派"一节。

可以使用以下命令查看作为此角色组成员的用户或 USG 的列表。

Get-RoleGroupMember "Organization Management"

有关角色组的成员的详细信息,请参阅管理角色组

角色组自定义

此角色组默认分配管理角色。 "分配给此角色组的管理角色"一节列出了所包括的角色。 您可以向此该角色组中添加或从中删除角色分配,以满足您组织的需要。

Exchange 2013 附带的角色组旨在匹配更精细的任务。 通过将角色分配到角色组,就可以使该角色组的成员能够执行与该角色相关联的任务。 例如,Journaling 角色可以管理日记代理和日记规则。 有关如何将角色分配给角色组的详细信息,请参阅了解管理角色分配

分配给此角色组的角色拥有默认管理作用域。 管理作用域确定可以由角色组成员查看或修改的 Exchange 对象。 可以更改与角色和角色组之间的分配相关联的作用域。 例如,如果仅希望角色组的成员能够更改特定组织单位下或特定位置中的收件人,则可能要执行此操作。 有关管理作用域的详细信息,请参阅了解管理角色作用域

有关如何自定义该角色组的详细信息,请参阅下列主题:

如果要创建角色组并将部分已分配到该角色组的角色分配到新的角色组,请参阅管理角色组中的"创建角色组"一节。

以下是自定义此角色时可能需要的一些方法:

  • 权限所有者:如果组织中的权限由 Exchange 管理员以外的特定组控制,则可以创建角色组,并将角色管理角色的常规角色分配和委派角色分配移动到新角色组。 这样做将阻止 组织管理 角色组的成员管理任何 RBAC 权限。
  • Active Directory 拆分权限:如果组织中的安全主体(例如用户帐户)的创建由 Exchange 管理员以外的特定组控制,则可以创建角色组,并将邮件收件人创建角色以及安全组创建和成员身份角色的常规和委派角色分配移动到新角色组。 这样做会阻止 组织管理 角色组的成员创建 Active Directory 对象。 但是,这些成员可以继续使新的 Active Directory 对象具有邮件功能。 有关拆分权限的详细信息,请参阅了解拆分权限

自定义限制

可在此角色组中添加或删除的任何角色,都具有以下限制:

  • 每个角色都必须拥有至少一个某角色组或 USG 的委派角色分配,才可以从该角色组中删除委派角色分配。
  • "角色管理"角色必须拥有至少一个某角色组或 USG 的常规角色分配,才可以从该角色组中删除常规角色分配。

这些限制旨在帮助防止无意中锁定系统。 通过要求每个角色和一个或多个角色组或 USG 之间至少存在一个委派角色分配,将始终可以对角色受理人分配角色。 通过要求"角色管理"角色和一个或多个角色组或 USG 之间至少存在一个常规角色分配,将始终可以配置角色组和角色分配。

重要

这些限制要求角色组或 USG 作为委派和常规角色分配的目标。 如果最后一个分配是对用户进行的,则无法删除"角色管理"角色的委派角色分配或常规分配。

仅委派角色分配

组织管理 角色组与管理角色之间的某些角色分配(如邮箱搜索和未区分范围的角色管理)仅委派角色分配。 这些角色允许访问敏感或个人信息(如邮箱内容)或可以用于创建功能强大的未区分范围的管理角色。

仅委派角色分配使 组织管理 角色组的成员仅能将相关角色分配到其他角色组、管理角色分配策略、用户或 USG。 默认情况下,不会给予 组织管理 角色组的成员任何由角色提供的权限。 这样有助于避免意外泄漏个人信息或意外的权限提升。

但是,组织管理 角色组的成员可以向自己分配任何角色,实际上使他们可以执行任何任务。 例如,组织管理 角色组的成员可以向 组织管理 角色组分配邮箱搜索角色。 进行了此角色分配之后,组织管理 角色组的成员可以执行由"邮箱搜索"角色启用的任务。

有关委派角色分配的详细信息,请参阅了解管理角色分配

其他权限

授予 组织管理 角色组成员的权限主要由分配到此角色组的管理角色确定。 但是,管理角色并未涵盖您需要执行的所有任务。 由于某些任务发生在 Exchange 管理工具之外,因此 RBAC 权限模型不适用。 对于这些任务,可通过将 组织管理 角色组添加到某些 Active Directory 对象的访问控制列表 (ACL) 来为其提供权限。

通过 Active Directory 对象上的 ACL(而不是通过分配到 组织管理 角色组的管理角色),对以下任务授予权限:

  • 使用 Setup.exe 运行 DomainPrep 和 ForestPrep
  • 在组织中部署其他服务器

分配给此角色组的管理角色

默认情况下,只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。有关如何添加其他角色组委派的详细信息,请参阅Manage Role Groups中的“添加或删除角色组委派”一节。

  • 下表列出了分配给此角色组的所有管理角色,以及每个角色分配的下列属性:
  • 常规分配:使角色组成员能够访问由关联管理角色提供的管理角色条目。
  • 收件人读取作用域:确定角色组成员允许从 Active Directory 读取的收件人对象。
  • 收件人写入范围:确定允许在 Active Directory 中修改角色组的收件人对象成员。
  • 配置读取作用域:确定角色组成员允许从 Active Directory 读取的配置和服务器对象。
  • 配置写入范围:确定允许在 Active Directory 中修改角色组的组织和服务器对象成员。

配置写入作用域:确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。

管理角色 常规分配 委派分配 收件人读取作用域 收件人写入作用域 配置读取作用域 配置写入作用域
Active Directory 权限角色 X X Organization Organization OrganizationConfig OrganizationConfig
地址列表角色 X X Organization Organization OrganizationConfig OrganizationConfig
ApplicationImpersonation 角色 X Organization Organization None None
ArchiveApplication 角色 X X Organization Organization OrganizationConfig OrganizationConfig
审核日志角色 X X Organization Organization OrganizationConfig OrganizationConfig
cmdlet 扩展代理角色 X X Organization Organization OrganizationConfig OrganizationConfig
数据丢失防护角色 X X Organization Organization OrganizationConfig OrganizationConfig
数据库可用性组角色 X X Organization Organization OrganizationConfig OrganizationConfig
数据库副本角色 X X Organization Organization OrganizationConfig OrganizationConfig
数据库角色 X X Organization Organization OrganizationConfig OrganizationConfig
灾难恢复角色 X X Organization Organization OrganizationConfig OrganizationConfig
通讯组角色 X X Organization Organization OrganizationConfig OrganizationConfig
边缘订阅角色 X X Organization Organization OrganizationConfig OrganizationConfig
电子邮件地址策略角色 X X Organization Organization OrganizationConfig OrganizationConfig
Exchange 连接器角色 X X Organization Organization OrganizationConfig OrganizationConfig
Exchange Server 证书角色 X X Organization Organization OrganizationConfig OrganizationConfig
Exchange 服务器角色 X X Organization Organization OrganizationConfig OrganizationConfig
Exchange 虚拟目录角色 X X Organization Organization OrganizationConfig OrganizationConfig
联合共享角色 X X Organization Organization OrganizationConfig OrganizationConfig
信息权限管理角色 X X Organization Organization OrganizationConfig OrganizationConfig
日记角色 X X Organization Organization OrganizationConfig OrganizationConfig
法定保留角色 X X Organization Organization OrganizationConfig None
LegalHoldApplication 角色 X Organization Organization OrganizationConfig OrganizationConfig
启用邮件的公用文件夹角色 X X Organization Organization OrganizationConfig OrganizationConfig
邮件收件人创建角色 X X Organization Organization OrganizationConfig OrganizationConfig
邮件收件人角色 X X Organization Organization OrganizationConfig OrganizationConfig
邮件提示角色 X X Organization Organization OrganizationConfig OrganizationConfig
邮箱导入导出角色 X Organization Organization OrganizationConfig OrganizationConfig
邮箱搜索角色 X Organization Organization None None
MailboxSearchApplication 角色 X Organization Organization OrganizationConfig OrganizationConfig
邮件跟踪角色 X X Organization Organization OrganizationConfig OrganizationConfig
迁移角色 X X Organization Organization OrganizationConfig OrganizationConfig
监视角色 X X Organization Organization OrganizationConfig OrganizationConfig
移动邮箱角色 X X Organization Organization OrganizationConfig OrganizationConfig
OfficeExtensionApplication 角色 X Self Self OrganizationConfig OrganizationConfig
组织客户端访问角色 X X Organization Organization OrganizationConfig OrganizationConfig
组织配置角色 X X Organization Organization OrganizationConfig OrganizationConfig
组织传输设置角色 X X Organization Organization OrganizationConfig OrganizationConfig
POP3 和 IMAP4 协议角色 X X Organization Organization OrganizationConfig OrganizationConfig
公用文件夹角色 X X Organization Organization OrganizationConfig OrganizationConfig
接收连接器角色 X X Organization Organization OrganizationConfig OrganizationConfig
收件人策略角色 X X Organization Organization OrganizationConfig OrganizationConfig
远程域和接受的域角色 X X Organization Organization OrganizationConfig OrganizationConfig
重置密码角色 X Organization Organization OrganizationConfig OrganizationConfig
保留管理角色 X X Organization Organization OrganizationConfig OrganizationConfig
角色管理角色 X X Organization Organization OrganizationConfig OrganizationConfig
安全组创建和成员身份角色 X X Organization Organization OrganizationConfig OrganizationConfig
发送连接器角色 X X Organization Organization OrganizationConfig OrganizationConfig
支持诊断角色 X Organization Organization OrganizationConfig OrganizationConfig
TeamMailboxLifecycleApplication 角色 X Self Self OrganizationConfig OrganizationConfig
传输代理角色 X X Organization Organization OrganizationConfig OrganizationConfig
传输清洁角色 X X Organization Organization OrganizationConfig OrganizationConfig
传输队列角色 X X Organization Organization OrganizationConfig OrganizationConfig
传输规则角色 X X Organization Organization OrganizationConfig OrganizationConfig
UM 邮箱角色 X X Organization Organization OrganizationConfig OrganizationConfig
UM 提示语角色 X X Organization Organization OrganizationConfig OrganizationConfig
无作用域的角色管理角色 X Organization Organization OrganizationConfig OrganizationConfig
统一消息角色 X X Organization Organization OrganizationConfig OrganizationConfig
UserApplication 角色 X Organization Organization OrganizationConfig OrganizationConfig
用户选项角色 X X Organization Organization OrganizationConfig OrganizationConfig
仅查看审核日志角色 X X Organization None OrganizationConfig None
仅查看配置角色 X X Organization None OrganizationConfig None
仅查看收件人角色 X X Organization None OrganizationConfig None
WorkloadManagement 角色 X X Organization Organization OrganizationConfig OrganizationConfig
我的自定义应用角色 X Self Self OrganizationConfig OrganizationConfig
我的市场应用角色 X Self Self OrganizationConfig OrganizationConfig
MyBaseOptions 角色 X Self Self OrganizationConfig OrganizationConfig
MyContactInformation 角色 X Self Self OrganizationConfig OrganizationConfig
MyDiagnostics 角色 X Self Self OrganizationConfig OrganizationConfig
MyDistributionGroupMembership 角色 X MyGAL MyGAL None None
MyDistributionGroups 角色 X MyGAL MyDistributionGroups OrganizationConfig None
MyProfileInformation 角色 X Self Self OrganizationConfig OrganizationConfig
MyRetentionPolicies 角色 X Self Self OrganizationConfig OrganizationConfig
MyTeamMailboxes 角色 X Organization Organization OrganizationConfig OrganizationConfig
MyTextMessaging 角色 X Self Self OrganizationConfig OrganizationConfig
MyVoiceMail 角色 X Self Self OrganizationConfig OrganizationConfig