Exchange Server权限
Microsoft Exchange Server包含基于角色访问控制 (RBAC) 权限模型的大量预定义权限,可立即使用这些权限轻松向管理员和用户授予权限。 可以使用 Exchange Server 中的权限功能,以便快速启动并运行新组织。
注意
不支持在准备托管 Exchange 的 AD 域中对 Active Directory (AD) 对象禁用权限继承。 删除对 AD 对象与 Exchange 相关的权限将导致 Exchange 任务和函数中断或可能导致未知问题。
基于角色的权限
在 Exchange Server 中,授予管理员和用户的权限基于管理角色。 角色定义了管理员或用户可以执行的任务集。 例如,名为 的管理 Mail Recipients 角色定义某人可以对一组邮箱、联系人和通讯组执行的任务。 为管理员或用户分配角色的同时,也会授予此人该角色所提供的权限。
有两种类型的角色,即管理角色和最终用户角色:
管理角色:这些角色包含可使用管理 Exchange 组织一部分(如收件人、服务器或数据库)的角色组分配给管理员或专家用户的权限。
最终用户角色:这些角色使用角色分配策略分配,使用户能够管理其拥有的邮箱和通讯组的各个方面。 最终用户角色以前缀
My开头。
当角色分配给管理员和用户时,它会通过为管理员和用户提供 cmdlet 来授予他们执行任务的权限。 由于 Exchange 管理中心 (EAC) 并且 Exchange 命令行管理程序使用 cmdlet 来管理 Exchange,因此授予对 cmdlet 的访问权限可授予管理员或用户在每个 Exchange 管理界面中执行任务的权限。
角色组和角色分配策略
角色授予在 Exchange Server 中执行任务的权限,但你需要一种简单的方法来将角色分配给管理员和用户。 Exchange Server提供了以下方法来帮助你执行此操作:
角色组:角色组使你能够向管理员和专家用户授予权限。
角色分配策略:通过角色分配策略,可以向最终用户授予更改其拥有的邮箱或通讯组设置的权限。
有关角色组和角色分配策略的详细信息,请参阅以下各部分。
角色组
管理Exchange Server的每个管理员至少需要分配一个或多个角色。 管理员可能具有多个角色,因为他们可以在 Exchange 中执行跨多个区域的作业功能。 例如,一个管理员可以管理收件人和 Exchange 服务器。 在这种情况下,可能会为该管理员分配 Mail Recipients 和 Exchange Servers 角色。
为了更轻松地向管理员分配多个角色,Exchange Server包括角色组。 角色组是 (USG) 由Exchange Server使用的特殊通用安全组,可以包含 AD 用户、USG 和其他角色组。 将一个角色分配给角色组时,会将该角色授予的权限授予该角色组的所有成员。 使用此功能,可以同时向多个角色组成员分配多个角色。 角色组通常覆盖更广泛的管理区域,如收件人管理。 它们仅用于管理角色,而不用于最终用户角色。
注意
可以在不使用角色组的情况下将角色直接分配给用户或 USG。 但是,这种角色分配方法是一个高级过程,本主题将不做介绍。 建议您使用角色组来管理权限。
下图显示了用户、角色组和角色之间的关系。
角色、角色组和角色组成员
Exchange Server包括多个内置角色组,每个角色组提供管理Exchange Server中特定区域的权限。 某些角色组可能与其他角色组重叠。 下表列出了每个角色组及其使用说明。 如果要查看分配给每个角色组的角色,请在“角色组”列中单击角色组的名称,然后转到“分配给此角色组的管理角色”部分。
重要
如果管理员是多个角色组的成员,Exchange Server向管理员授予这些角色组提供的所有权限。
内置的角色组
| 角色组 | 说明 |
|---|---|
| 组织管理 | 作为组织管理角色组成员的管理员对整个Exchange Server组织具有管理访问权限,并且几乎可以对任何Exchange Server对象执行任何任务,但有一些例外,例如Discovery Management角色。 重要说明:由于组织管理角色组是一个强大的角色,因此只有执行组织级管理任务(可能影响整个 Exchange 组织)的用户或 USG 才应是此角色组的成员。 |
| View-Only Organization Management | 属于 仅查看组织管理 角色组成员的管理员可以查看 Exchange 组织中任何对象的属性。 |
| 收件人管理 | 属于“收件人管理”角色组成员的管理员具有管理访问权限,可在Exchange Server组织中创建或修改Exchange Server收件人。 |
| UM 管理 | 属于 UM 管理 角色组成员的管理员可以管理 Exchange 组织中的功能,例如统一消息 (UM) 服务配置、邮箱上的 UM 属性、UM 提示和 UM 自动助理配置。 (注意:UM 在 Exchange 2019.) 上不可用 |
| 帮助中心 | 默认情况下,技术支持角色组允许成员查看和修改组织中任何用户的“Outlook 网页版” (以前称为Outlook Web App) 选项。 这些选项可能包括修改用户的显示名称、地址和电话号码。 这些选项不包括“Outlook 网页版”选项中不可用的选项,例如修改邮箱的大小或配置邮箱所在的邮箱数据库。 |
| 清洁管理 | 卫生管理角色组成员的管理员可以配置Exchange Server的防病毒和反垃圾邮件功能。 与 Exchange Server 集成的第三方程序可以将服务帐户添加到此角色组,以授予这些程序对检索和配置 Exchange 配置所需的 cmdlet 的访问权限。 |
| 记录管理 | 属于记录管理角色组成员的用户可以配置合规性功能,例如保留策略标记、邮件分类和邮件流规则 (也称为传输规则) 。 |
| 发现管理 | “发现管理”角色组成员的管理员或用户可以对 Exchange 组织中的邮箱执行搜索,以查找符合特定条件的数据,还可以在邮箱上配置法定保留。 |
| 公用文件夹管理 | 作为公用文件夹管理角色组成员的管理员可以管理运行 Exchange Server 的服务器上的公用文件夹。 |
| 服务器管理 | 属于“服务器管理”角色组成员的管理员可以配置诸如数据库副本、证书、传输队列和发送连接器、虚拟目录和客户端访问协议这样的传输、统一消息、客户端访问和邮箱功能的特定于服务器的配置。 (注意:UM 在 Exchange 2019.) 上不可用 |
| 委派安装 | 作为委派安装角色组成员的管理员可以部署运行 Exchange Server 的服务器,这些服务器之前由组织管理角色组的成员预配。 |
| 遵从性管理 | 属于合规管理角色组的用户可根据其组织策略配置和管理 Exchange 合规性设置。 |
如果你在一个只有少数管理员的小型组织中工作,则可能只使用组织管理角色组,而不使用其他角色组。 如果你在较大的组织中工作,你可能有管理员执行管理 Exchange 的特定任务,例如收件人或服务器管理。 在这些情况下,可以将一名管理员添加到“收件人管理”角色组,将另一名管理员添加到“服务器管理”角色组。 然后,这些管理员可以管理其特定区域Exchange Server但无权管理他们不负责的区域。
如果找不到与管理员需要执行的作业适合的内置角色组,则可以创建角色组并向其中添加角色。 有关详细信息,请参阅本主题后面的使用角色组。
角色分配策略
Exchange Server提供角色分配策略,以便你可以控制用户可以在他们拥有的邮箱和通讯组上配置哪些设置。 这些设置包括其显示名称、联系人信息、语音邮件设置和通讯组成员身份。
Exchange Server组织可以有多个角色分配策略,这些策略为组织中的不同类型的用户提供不同级别的权限。 可以允许某些用户更改其地址或创建通讯组,而其他用户则不能。 这一切都取决于与其邮箱关联的角色分配策略。 角色分配策略直接添加到邮箱,且每个邮箱一次只能与一个角色分配策略相关联。
对于组织中的角色分配策略,其中一个将被标记为默认策略。 默认角色分配策略将与创建时未明确分配特定角色分配策略的新邮箱相关联。 默认角色分配策略应包含适用于大多数邮箱的权限。
使用最终用户角色将权限添加到角色分配策略。 最终用户角色以 My 开头,并授予用户仅管理其拥有的邮箱或通讯组的权限。 不能使用其管理其他任何邮箱。 只有最终用户角色可以分配给角色分配策略。
将最终用户角色分配给角色分配策略后,与该角色分配策略相关联的所有邮箱都将获得该角色授予的权限。 因此,可以添加或删除对用户集的权限,而无需配置单个邮箱。 下图显示:
将最终用户角色分配给角色分配策略。 角色分配策略可以共享相同的最终用户角色。
角色分配策略与邮箱相关联。 每个邮箱只能与一个角色分配策略相关联。
邮箱与角色分配策略相关联之后,最终用户角色会应用于该邮箱。 将向该邮箱的用户授予此类角色授予的权限。
角色、角色分配策略和邮箱
默认角色分配策略包含在Exchange Server中。 顾名思义,它是默认角色分配策略。 如果要更改该角色分配策略提供的权限或创建角色分配策略,请参阅本主题后面的使用角色分配策略。
使用角色组
若要使用 Exchange Server 中的角色组管理权限,建议使用 Exchange 管理中心 (EAC) 。 When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. EAC 提供了简单的对话框来执行这些任务,如下图所示的“新建角色组”对话框。
EAC 中的“新建角色组”对话框
如果Exchange Server附带的任何角色组都没有所需的权限,则可以使用 EAC 创建角色组并添加具有所需权限的角色。 对于新建的角色组,需执行以下操作:
选择名称。
选择要添加的角色。
添加成员。
将其保存。
创建角色组后,可以像管理其他任何角色组一样对其进行管理。
如果某个现有角色组具有部分你需要的权限但并非全部,则可以复制该角色组,然后对其进行更改以创建一个角色组。 复制现有角色组可让你对其进行更改,而不影响原始角色组。 复制角色组过程中,可以添加新的名称和说明,向新角色组中添加角色和删除新角色组中的角色,以及添加新成员。 创建或复制角色组时,使用上图所示的同一对话框。
也可以修改现有角色组。 使用与上图类似的 EAC 对话框,可以同时向现有角色组中添加角色和成员,以及从其中删除角色和成员。 通过向角色组中添加角色和从其中删除角色,可以为该角色组的成员启用和禁用管理功能。
注意
尽管可以确定将哪些角色分配给内置角色组,但我们建议复制内置角色组,修改角色组副本,然后将成员添加到角色组副本。
使用角色分配策略
若要管理你授予最终用户在 Exchange Server 中管理其自己的邮箱的权限,建议使用 EAC。 When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. EAC 提供了简单的对话框来执行这些任务,如下图所示的“角色分配策略”对话框。
EAC 中的“角色分配策略”对话框
Exchange Server包括名为“默认角色分配策略”的角色分配策略。 通过该角色分配策略,与其关联的邮箱用户可以执行下列操作:
加入或退出允许成员管理其自己的成员身份的通讯组。
查看并修改自己邮箱中的基本邮箱设置,如收件箱规则、拼写检查行为、垃圾邮件设置和 Microsoft ActiveSync 设备。
修改他们的联系信息,例如工作地址和电话号码、手机号码和寻呼机号码。
创建、修改或查看文本邮件设置。
查看或修改语音邮件设置。
查看和修改其市场应用程序。
创建团队邮箱,并且将它们连接到 Microsoft SharePoint 列表。
如果要向"默认角色分配策略"或其他任何角色分配策略中添加权限或删除其中的权限,可以使用 EAC。 在 EAC 中打开角色分配策略时,选中要为其分配的角色旁边的复选框,或清除要删除的角色旁边的复选框。 对角色分配策略所做的更改将应用到与其关联的每个邮箱。
如果要为组织中各种类型的用户分配不同的最终用户权限,可以创建角色分配策略。 可以为角色分配策略指定新的名称,然后选择要分配给该角色分配策略的角色。 创建角色分配策略后,可以使用 EAC 将其与邮箱相关联。
如果要确定默认的角色分配策略,则需要使用 Exchange 命令行管理程序。 在更改默认角色分配策略时,任何创建时未明确指定角色分配策略的新建邮箱都将与新的默认角色分配策略相关联。 选择新的默认角色分配策略时,与现有邮箱关联的角色分配策略不会发生变化。
注意: