本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

了解角色型存取控制

 

適用版本:Exchange Online, Exchange Server 2013

上次修改主題的時間:2012-12-05

Role Based Access Control(RBAC) 是 Microsoft Exchange Server 2013中所使用的權限模型。與 RBAC,您不需要修改和管理存取控制清單 (Acl),其中已完成Exchange Server 2007中。Acl Exchange 2007,例如而導致非預期的後果、 維護 ACL 修改透過升級,以及疑難排解問題發生因為使用 Acl 的非標準的方式修改 Acl 中建立數個挑戰。

RBAC 可讓您控制,在這兩種列出與細微的層級、 哪些系統管理員和使用者可以執行動作。RBAC 也可讓您更密切對齊您指派使用者和系統管理員所保留的實際角色至組織內的角色。在Exchange 2007、 server 權限模型只套用至受管理的Exchange 2007基礎結構的管理員。在Exchange 2013,RBAC 現在會控制可以執行的管理工作及的使用者現在可以管理自己的信箱和通訊群組的範圍。

RBAC 有兩種權限指派給您的組織根據使用者是系統管理員或專家使用者的使用者的主要方法: 管理角色群組和管理角色指派原則。每一種方法會執行其工作所需的權限與關聯的使用者。第三個、 更進階方法會直接使用者角色指派,也可以使用。本主題中的下列各節說明 RBAC 並提供其使用的範例。

注意事項注意事項:
本主題著重於進階 RBAC 功能。如果您要管理基本 Exchange 2013 權限,例如使用 Exchange 系統管理中心 (EAC) 新增和移除角色群組的成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱權限

目錄

管理角色群組

管理角色指派原則

使用者直接角色指派

摘要和範例

相關資訊

管理角色群組建立關聯的系統管理員或專家使用者群組的管理角色。系統管理員管理廣泛Exchange組織或收件者組態。專家使用者管理Exchange、 相符的特定功能。或他們可能有有限管理功能,例如說明支援部門成員 」,但不提供廣泛的系統管理權限。角色群組通常關聯可讓系統管理員和專家使用者管理其組織和收件者組態的系統管理角色。例如,系統管理員可以管理收件者或使用 mailbox 的探索功能是否是透過控制的角色群組。

新增或移除使用者或從角色群組是如何您通常指派權限給系統管理員或專家使用者。如需詳細資訊,請參閱了解管理角色群組

角色群組是由下列元件所定義系統管理員和專家使用者可以怎麼所組成:

  • 管理角色群組  管理角色群組是特殊萬用安全性群組 (USG) 包含信箱、 使用者、 Usg 及其他角色群組角色群組的成員。這是其中新增及移除的成員,而它也是已指派的管理角色。角色群組上的所有角色的組合會定義每個項目新增至角色群組的使用者可以管理Exchange組織中。

  • 管理角色  管理角色是管理角色項目之群組的容器。角色用以定義可以指派角色的角色群組的成員所執行之特定工作。管理角色項目是 cmdlet、 指令碼或讓每個角色將會執行中的特定工作的特殊權限。如需詳細資訊,請參閱了解管理角色

  • 管理角色指派  管理角色指派連結的角色和角色群組。將角色指派給角色群組授與角色群組能夠使用 cmdlet 和參數所定義之角色的成員。角色指派可使用可使用的工作分派至控制項的管理範圍。如需詳細資訊,請參閱了解管理角色指派

  • 管理角色範圍  管理角色範圍會影響或角色指派上的影響的範圍。當角色範圍指派給角色群組時、 管理範圍所談的是什麼特別物件來管理可允許工作分派。工作分派,其範圍,然後指定給角色群組的成員與限制這些成員可以管理。範圍可以包含清單中的伺服器或資料庫、 組織單位 (Ou)、 伺服器、 資料庫或收件者物件的篩選。如需詳細資訊,請參閱了解管理角色範圍

當您將使用者新增至角色群組時、 使用者是指定的所有角色指派給角色群組。如果範圍會套用至任何角色群組和角色之間的角色指派這些範圍控制哪些伺服器設定] 或 [收件者可以管理使用者。

如果您想要變更角色指派給角色群組,您需要變更連結至角色的角色群組的角色指派。除非Exchange 2013內建工作分派不符合您的需求,您不需要變更這些工作分派。如需詳細資訊,請參閱了解管理角色指派

如需角色群組的詳細資訊,請參閱了解管理角色群組

管理角色指派原則建立關聯的使用者的一般使用者管理角色。角色指派原則包含控制使用者可以執行與他的信箱或通訊群組的角色。這些角色不允許未直接的功能的管理與使用者相關聯。當您建立角色指派原則時,您可以定義使用者可以運用其信箱的所有項目。例如,角色指派原則可能會允許使用者設定的顯示名稱、 語音信箱、 設定和設定收件匣規則。其他角色指派原則可能會允許使用者變更地址,請使用文字訊息、 and set up 通訊群組。每位使用者具有Exchange 2013信箱,包括管理員提供預設角色指派原則。您可以決定應指派哪些角色指派原則根據預設,選擇 [新預設角色指派原則應包含,覆寫特定信箱的預設值或未完全預設指派的角色指派原則。

將使用者指派給一個指派原則是您最常管理來管理他們自己的信箱和通訊群組選項的使用者權限的方式。如需詳細資訊,請參閱了解管理角色指派原則

角色指派原則包含下列元件所定義的使用者可以不要使用自己的信箱。請注意相同元件的一些也適用於給角色群組。角色指派原則搭配使用時,這些元件是限制可讓使用者管理自己的信箱:

  • 管理角色指派原則  管理角色指派原則是Exchange 2013中的特殊物件。使用者與相關聯的角色指派原則時建立其信箱或如果您變更在信箱上的角色指派原則。這也是您要使用者管理角色指派。在角色指派原則的所有角色的組合會定義使用者可以管理的所有項目在其信箱或通訊群組。

  • 管理角色  管理角色是管理角色項目之群組的容器。角色可用來定義使用者可以運用其信箱或通訊群組的特定工作。管理角色項目是 cmdlet、 指令碼或特殊權限可讓每個要執行的管理角色中的特定工作。您只可以使用使用者角色與角色指派原則。如需詳細資訊,請參閱了解管理角色

  • 管理角色指派  管理角色指派為角色和角色指派原則之間的連結。將角色指派給角色指派原則授與能夠使用 cmdlet 和角色中所定義的參數。當您建立角色指派的角色指派原則和角色之間時,您無法指定任何範圍。工作分派所套用的範圍是SelfMyGAL。所有角色指派的範圍會都設為使用者的信箱或通訊群組。如需詳細資訊,請參閱了解管理角色指派

如果您想要變更角色指派給角色指派原則、 您需要變更連結的角色指派原則給角色的角色指派。除非Exchange 2013內建工作分派不符合您的需求,您不需要變更這些工作分派。如需詳細資訊,請參閱了解管理角色指派

如需詳細資訊,請參閱了解管理角色指派原則

直接角色指派是直接給使用者或 USG 的管理角色指派而不需使用角色群組或角色指派原則的進階的方法。當您需要提供細微的權限給特定使用者和任何其他人的直接角色指派可很有用。不過,使用的直接角色指派可能會大幅增加權限模型的複雜性。如果使用者變更工作或離職,您需要手動移除指派並將其新增至新的員工。我們建議您使用角色群組權限指派給系統管理員和專家使用者和角色指派原則指派給使用者的權限。

如需使用者直接工作分派的詳細資訊,請參閱了解管理角色指派

下圖顯示 RBAC 和如何一起配合元件:

  • 角色群組:

    • 一或多個系統管理員可以將角色群組的成員。他們也可以是一個以上的角色群組的成員。

    • 角色群組被指派一或多個角色指派。可執行這些連結與一個或多個定義何種工作的系統管理角色的角色群組。

    • 角色指派可包含定義的角色群組的使用者可以在其中執行動作的管理範圍。範圍決定角色群組的使用者可以在其中修改設定。

  • 角色指派原則:

    • 一或多個使用者可以與角色指派原則相關聯。

    • 角色指派原則指派一或多個角色指派。這些連結一或多個使用者角色的角色指派原則。使用者角色定義使用者可以設定其信箱上。

    • 角色指派的角色指派原則和角色之間具有內建範圍限制指派給使用者本身信箱或通訊群組的範圍。

  • (進階) 的直接角色指派:

    • 角色指派可建立直接之間的使用者或 USG,另一個或多個角色。角色定義新工作的使用者或 USG 可以執行。

    • 角色指派可包含定義使用者或 USG 可以執行動作的管理範圍。範圍會決定使用者或 USG 可以修改設定。

RBAC 概觀 (英文)

RBAC 元件關係

如上圖所示,在 RBAC 的許多元件相關給對方。它是如何每個元件放在一起定義套用至每個系統管理員或使用者權限。下列範例會提供關於如何在組織中使用角色群組和角色指派原則一些其他的內容。

Jane 為中等大小的 Contoso 公司的管理員。她負責管理其溫哥華 office 中的公司的收件者。Contoso 的權限模型已建立,Jane 進行收件者管理 -溫哥華自訂角色群組的成員。收件者管理 -溫哥華自訂角色群組最符合其工作職責,包括建立和移除收件者,例如信箱及連絡人管理通訊群組成員資格和信箱內容和類似的工作。

除了收件者管理 -溫哥華自訂角色群組、 Jane 也需要管理自己的信箱組態設定的角色指派原則。組織系統管理員已決定的所有使用者,但不包括資深管理相同的權限時都收到他們管理自己的信箱。它們可設定其語音信箱、 設定保留原則及變更其地址資訊。預設角色指派原則隨附於Exchange 2013現在會反映這些需求。

注意事項注意事項:
您可能已經注意到 Jane 由於收件者管理 -溫哥華自訂角色群組的成員,應給其管理自己的信箱的權限。這是 true;不過,角色群組不提供其所有管理功能的使用者信箱的所有必要的權限。管理語音信箱所需的權限和保留原則設定都包含在其角色群組。這些提供只能由預設角色指派原則指派給他。

若要允許這,請考慮角色群組中,透過溫哥華收件者提供 Jane 的管理權限:

  1. 建立溫哥華呼叫收件者管理 -自訂角色群組。它建立時,發生下列:

    1. 角色群組已指派的所有相同也都會指定給收件者管理內建角色群組的管理角色。這可讓使用者新增至收件者管理 -溫哥華自訂角色群組新增至收件者管理角色群組的那些使用者相同的權限。不過,下列步驟將限制他們可以在其中使用這些權限。

    2. 建立溫哥華收件者的自訂管理範圍,以比對只收件者位於溫哥華。做法是建立在使用者所在的城市或其他唯一的資訊來篩選的範圍。

    3. 與 Vancouver 的收件者的自訂管理範圍建立角色群組。這表示系統管理員新增至收件者管理 -溫哥華自訂角色群組擁有完整收件者的管理權限時,他們只能使用收件者的溫哥華針對這些權限。

    如需建立自訂角色群組的詳細資訊,請參閱管理角色群組

  2. Jane 再新增做為收件者管理 -溫哥華自訂角色群組的成員。

    如需新增成員至角色群組的詳細資訊,請參閱管理角色群組成員

若要讓 Jane 能夠管理其自己的信箱設定、 角色指派原則需要設定必要的權限。預設角色指派原則用來為使用者提供功能所需設定他們自己的信箱的權限。使用者的所有角色會從預設角色指派原則都移除除了 ︰ MyBaseOptionsMyContactInformationMyVoicemailMyRetentionPolicies。加入MyBaseOptions則由於此管理角色提供Outlook Web App,例如收件匣規則、 行事曆組態和其他工作中的基本使用者功能。

其他人則是 nothing 您必須完成項因為 Jane 已經指派預設角色指派原則。這表示該變更角色指派原則會立即套用至其信箱和其他也都會指定給預設角色指派原則的信箱。

如需自訂預設角色指派原則的詳細資訊,請參閱管理角色指派原則

Contoso,Jane 適用於同一家公司的 Joe 運作。他是負責執行法律調查、 保留原則和設定傳輸規則和整個組織的日誌記錄。做為 Jane、 與 Contoso 的權限模型已建立,Joe 已新增至角色群組符合其工作職責。記錄管理角色群組提供 Joe 具有權限才能設定保留原則、 日誌、 和傳輸規則。探索管理角色群組提供他能夠執行信箱搜尋。

與 Jane、 Joe 也需要管理其本身信箱權限。會授與 Jane 相同的權限 ︰ 他可以設定其語音信箱和保留原則,並變更其地址資訊。

Joe 權限提供給執行其工作職責、 Joe 新增至記錄管理及探索管理角色群組。角色群組不必以任何方法變更因為他們已經提供他具有權限他需求,並對它們套用的管理範圍包含整個組織。

如需將使用者新增至角色群組的詳細資訊,請參閱管理角色群組成員

「 喬治的信箱也都會指定之相同預設角色指派原則套用至 Jane 的信箱。這可讓他他需要管理功能的他具有允許來管理其信箱的權限。

Isabel 是總裁的行銷在 Contoso。Isabel,Contoso,資深領導小組的一部分授與超出平均使用者的權限。這包括其提供給管理其信箱,有一個例外的權限: 若要管理其自己的保留原則的法律規範理由而不允許 Isabel。Isabel 可以設定其語音信箱、 變更其連絡人資訊、 變更其設定檔資訊、 建立及管理其自己的通訊群組,並新增或移除自己擁有人的現有通訊群組。

因此,Isabel 授與不同的權限在自己的信箱。在 Contoso 大部分使用者指派給預設角色指派原則。不過,資深領導指派給資深領導角色指派原則。以下是完成建立自訂角色指派原則:

  1. 建立稱為資深領導自訂角色指派原則。MyBaseOptionsMyContactInformationMyVoicemailMyProfileInformationMyDistributionGroupMembership MyDistributionGroups角色指派的角色指派原則。此角色提供基本的使用者功能中Outlook Web App,例如收件匣規則、 行事曆組態和其他工作失敗原因在於包含MyBaseOptions

  2. Isabel 然後手動指派資深領導角色指派原則。

Isabel 的信箱現在有提供資深領導角色指派原則的權限。此角色指派原則所做的任何變更會自動套用至其信箱和其他也都會指定給相同的角色指派原則的信箱。

 
顯示: