了解管理角色作用域
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-10-14
管理角色作用域使您能够在创建管理角色分配时,定义对管理角色产生影响的特定作用域。应用作用域时,分配给该角色的角色受理人只能修改该作用域内包含的对象。角色受理人可以是一个管理角色组、管理角色、管理角色分配策略、用户或通用安全组 (USG)。有关管理角色的详细信息,请参阅了解基于角色的访问控制。
无论是内置角色还是自定义角色,每个管理角色都具有管理作用域。管理作用域有以下两种类型:
- 常规:常规作用域不是独占的。它将确定分配了管理角色的用户在 Active Directory 中可以查看或修改对象的位置。通常,“管理角色”表示可以创建或修改的内容,而“管理角色作用域”表示可以创建或修改的位置。常规作用域可以是隐式或显式作用域,这两种作用域将在本主题的后面部分中进行讨论。
- 独占:独占作用域和常规作用域的作用几乎一样。主要区别在于如果用户未分配与独占作用域相关联的角色,则独占作用域可以拒绝这些用户访问独占作用域内包含的对象。所有独占作用域都是显式作用域,这将在本主题的后面部分中进行讨论。
有关独占作用域的详细信息,请参阅了解独占作用域。
作用域可以从管理角色继承,指定为对管理角色分配的预定义相对作用域,或使用自定义筛选器创建并添加到管理角色分配。从管理角色继承的作用域称为隐式作用域,而预定义和自定义的作用域称为显式作用域。以下部分分别介绍了这两种作用域:
每个角色可以具有以下类型的作用域:
- 收件人读取作用域:隐式收件人读取作用域将确定分配了管理角色的用户可从 Active Directory 读取的收件人对象。
- 收件人写入作用域:隐式收件人写入作用域将确定分配了管理角色的用户可在 Active Directory 中修改的收件人对象。
- 配置读取作用域:隐式配置读取作用域将确定分配了管理角色的用户可从 Active Directory 读取的配置对象。
- 配置写入作用域:配置写入作用域将确定分配了管理角色的用户可在 Active Directory 中修改的组织对象和服务器对象。
收件人对象包括邮箱、通讯组、启用邮件的用户和其他对象。配置对象包括运行 Microsoft Exchange Server 2010 的服务器。每种类型的作用域都可以是隐式作用域或显式作用域。
隐式作用域
隐式作用域是应用于管理角色类型的默认作用域。因为隐式作用域与管理角色类型相关联,所以相同角色类型的所有父项和子项管理角色也具有相同的隐式作用域。隐式作用域不仅应用于内置管理角色,还应用于自定义管理角色。有关管理角色和管理角色类型的详细信息,请参阅了解管理角色。
下表列出了可在管理角色上定义的所有隐式作用域。
对管理角色定义的所有隐式作用域
Organization
|
如果角色的收件人写入作用域中存在 Organization ,则该角色可以创建或修改 Exchange 组织内的收件人对象。
如果角色的收件人读取作用域中存在 Organization ,则该角色可以查看 Exchange 组织内的任何收件人对象。
此类作用域只能与收件人读取和写入作用域一起使用。 |
MyGAL
|
如果角色的收件人写入作用域中存在 MyGAL ,则该角色可以查看当前用户的全局地址列表 (GAL) 内任何收件人的属性。
如果角色的收件人读取作用域中存在 MyGAL ,则该角色可以查看当前 GAL 内任何收件人的属性。
此类作用域只能与收件人读取作用域一起使用。 |
Self
|
如果角色的收件人写入作用域中存在 Self ,则该角色只能修改当前用户邮箱的属性。
如果角色的收件人读取作用域中存在 Self ,则该角色只能查看当前用户邮箱的属性。
此类作用域只能与收件人读取和写入作用域一起使用。 |
MyDistributionGroups
|
如果角色的收件人写入作用域中存在 MyDistributionGroups ,则该角色可以创建或修改当前用户所有的通讯组列表对象。
如果角色的收件人读取作用域中存在 MyDistributionGroups ,则该角色可以查看当前用户所有的通讯组列表对象。
此类作用域只能与收件人读取和写入作用域一起使用。 |
OrganizationConfig
|
如果角色的配置写入作用域中存在 OrganizationConfig ,则该角色可以创建或修改 Exchange 组织内的任何服务器配置对象。
如果角色的配置读取作用域中存在 OrganizationConfig ,则该角色可以查看 Exchange 组织内的任何服务器配置对象。
此类作用域只能与配置读取和写入作用域一起使用。 |
None
|
如果作用域中存在 None ,则该作用域对角色不可用。例如,角色的收件人写入作用域中存在 None ,则其不能修改 Exchange 组织中的收件人对象。 |
如果某角色分配到某个角色受理人且未指定预定义或自定义作用域,则在该角色上定义的隐式作用域将用于控制用户可查看或修改的收件人或组织对象。
下表列出了所有的内置管理角色和其隐式作用域。
内置管理角色隐式作用域
Active Directory Permissions
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Address Lists
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Audit Logs
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Cmdlet Extension Agents
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Database Availability Groups
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Database Copies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Databases
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Disaster Recovery
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Distribution Groups
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Edge Subscriptions
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
E-Mail Address Policies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Server Certificates
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Servers
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Virtual Directories
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Federated Sharing
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Information Rights Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Journaling
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Legal Hold
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Enabled Public Folders
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Recipient Creation
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Recipients
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Tips
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mailbox Search
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Message Tracking
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Migration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Monitoring
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Move Mailboxes
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
MyBaseOptions
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyContactInformation
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyDistributionGroupMembership
|
MyGAL
|
MyGAL
|
None
|
None
|
MyDistributionGroups
|
MyGAL
|
MyDistributionGroups
|
OrganizationConfig
|
None
|
MyMailSubscriptions
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyProfileInformation
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyRetentionPolicies
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyTextMessaging
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyVoiceMail
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
Organization Client Access
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Organization Configuration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Organization Transport Settings
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
POP3 And IMAP4 Protocols
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Public Folder Replication
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Public Folders
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Receive Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Recipient Policies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Remote and Accepted Domains
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Reset Password
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Retention Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Role Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Security Group Creation and Membership
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Send Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Support Diagnostics
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Agents
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Hygiene
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Queues
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Rules
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UM Mailboxes
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UM Prompts
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Unified Messaging
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UnScoped Role Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
User Options
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
View-Only Configuration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
View-Only Recipients
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
一个角色的隐式写入作用域总是等于或小于隐式读取作用域。这意味着一个角色永远不能修改作用域内看不见的对象。
您无法更改对管理角色定义的隐式作用域。但是可以覆盖管理角色上的隐式写入作用域和配置作用域。当预定义相对作用域或自定义作用域用于角色分配时,该角色的隐式写入作用域或配置作用域将被覆盖,而优先使用新的作用域。该角色的隐式读取作用域无法被覆盖并且始终应用。有关预定义或自定义显式作用域的详细信息,请参阅本主题稍后的相关部分。
显式作用域
显式作用域是指您自己设置的作用域,用于控制管理角色可以修改的对象。隐式作用域定义针对管理角色,而显式作用域定义针对管理角色分配。这将使隐式作用域可以一致地应用于所有管理角色,除非您选择使用覆盖显式作用域。有关管理角色分配的详细信息,请参阅了解管理角色分配。
显式作用域会覆盖管理角色的隐式写入和配置作用域。它们不会覆盖管理角色的隐式读取作用域。隐式读取作用域将继续定义管理角色可以读取的对象。
当管理角色的隐式读取作用域不能满足您的业务需求时,显式作用域将很有用。只要新的作用域不超过隐式读取作用域的界限,可以添加一个显式作用域,用来包含几乎所有您想要的内容。cmdlet 作为管理角色的一部分,必须能够读取有关对象或包含 cmdlet 要创建或修改对象的容器的信息。例如,如果管理角色上的隐式读取作用域设置为 Self
,则您不能添加 Organization
的显式写入作用域,因为显式写入作用域超出了隐式读取作用域的界限。
以下各节描述了预定义相对作用域和自定义作用域。
预定义相对作用域
Exchange 2010 提供了若干个预定义相对写入作用域,可以用于修改管理角色的作用域。预定义相对作用域提供了一种轻松的方式来更好地满足业务需求,而无需手动创建自定义作用域。它们之所以称为相对作用域,是因为它们对应于关联角色分配将分配到的角色受理人。例如,Self
预定义相对作用域使该写入作用域仅限于当前用户。MyDistributionGroups
预定义相对作用域使写入作用域仅限于当前用户所有的通讯组。预定义相对作用域只能用于确定收件人对象的作用域。预定义相对作用域不能用于确定配置对象的作用域。下表列出了可用的几种预定义相对作用域。
预定义相对作用域
Organization
|
如果角色的收件人写入作用域中存在 Organization ,则该角色可以创建或修改 Exchange 组织内的收件人对象。
如果角色的收件人读取作用域中存在 Organization ,则该角色可以查看 Exchange 组织内的任何收件人对象。
此类作用域只能与收件人读取和写入作用域一起使用。 |
Self
|
如果角色的收件人写入作用域中存在 Self ,则该角色只能修改当前用户邮箱的属性。
如果角色的收件人读取作用域中存在 Self ,则该角色只能查看当前用户邮箱的属性。
此类作用域只能与收件人读取和写入作用域一起使用。 |
MyDistributionGroups
|
如果角色的收件人写入作用域中存在 MyDistributionGroups ,则该角色可以创建或修改当前用户所有的通讯组列表对象。
如果角色的收件人读取作用域中存在 MyDistributionGroups ,则该角色可以查看当前用户所有的通讯组列表对象。
此类作用域只能与收件人读取和写入作用域一起使用。 |
新建管理角色分配时可以应用预定义相对作用域。使用 New-ManagementRoleAssignment cmdlet 创建角色分配时,可以使用 RecipientRelativeWriteScope 参数指定预定义相对作用域。新建角色分配时,新的预定义角色会覆盖管理角色的隐式写入作用域。
有关如何添加具有预定义相对作用域的管理角色分配,请参阅向用户或 USG 添加角色。
自定义作用域
当隐式读取作用域和预定义相对作用域都不能满足业务需求时,则需要使用自定义作用域。自定义作用域使您能够在粒度级别上定义管理角色将应用到的作用域。例如,您可能想把特定的组织单位 (OU) 和/或特定类型的收件人作为目标。
和预定义相对作用域一样,自定义作用域会覆盖在管理角色上定义的隐式写入和组织配置作用域。管理角色上的隐式读取作用域将继续适用,并且生成的自定义作用域不得超过隐式读取作用域的界限。
最简单的自定义作用域是使用 New-ManagementRoleAssignment cmdlet 上的 RecipientOrganizationalUnitScope 参数创建的 OU 作用域。通过在分配角色时指定 OU 作用域,分配了该角色的用户仅可以修改此 OU 内的收件人对象。
有关如何添加带有 OU 作用域的管理角色分配,请参阅向用户或 USG 添加角色。
使用 New-ManagementScope cmdlet 可以创建更加复杂和精细的自定义作用域。使用 New-ManagementScope cmdlet,可以创建收件人和配置筛选作用域。收件人筛选作用域按收件人类型或其他收件人属性(如部门、管理员、位置等),使用筛选器将特定的收件人作为目标。配置筛选作用域按可以在服务器上定义的可筛选属性,如 Active Directory 站点或服务器角色,使用筛选器将特定的服务器作为目标。
当您创建收件人或配置筛选作用域时,仅返回与各自的筛选作用域匹配的收件人或服务器对象。使用 New-ManagementRoleAssignment 或 Set-ManagementRoleAssignment cmdlet 将这些作用域应用于角色分配时,分配了该角色的角色受理人只能修改与筛选条件匹配的对象。自定义作用域创建后,不能更改作用域类型。收件人作用域始终是收件人作用域,而配置作用域始终是配置作用域。
默认情况下,自定义作用域使角色受理人可以访问与定义的筛选条件匹配的对象集。但是,它们不会主动地排除其他未分配相同或等同作用域的角色受理人的访问权限。如果自定义作用域上的多个筛选条件与相同对象匹配,则这些作用域都可以访问该相同对象。可能有些对象不希望实现此行为,比如说重要人员(例如高级管理人员)。您可以为这些对象定义独占作用域。独占作用域和常规作用域使用筛选器的方式相同,但和常规作用域不同的是,它拒绝不是相同或等同独占作用域中的一部分的任何人访问作用域内的对象。有关独占作用域的详细信息,请参阅了解独占作用域。
详细信息
了解管理角色作用域筛选
创建常规或独占作用域
更改角色作用域
更改角色组中角色分配的作用域
New-ManagementRole
New-ManagementScope
Set-ManagementScope
New-ManagementRoleAssignment
Set-ManagementRoleAssignment