組織管理

 

適用版本:Exchange Server 2013

上次修改主題的時間:2015-03-09

組織管理 管理角色群組是組成 Microsoft Exchange Server 2013 中角色型存取控制 (RBAC) 權限模型的其中一個內建角色群組。角色群組會有一或多個管理角色指派,其中包含執行指定工作集所需的權限。角色群組的成員擁有指派給該角色群組的管理角色存取權。如需角色群組的詳細資訊,請參閱了解管理角色群組

屬於 組織管理 角色群組之成員的系統管理員擁有整個 Exchange 2013 組織的管理存取權,並幾乎可對任何 Exchange 2013 物件執行任何工作,只有少部分例外。根據預設,此角色群組成員無法執行信箱搜尋和未限定範圍的頂層管理角色的管理。如需詳細資訊,請參閱本主題稍後的「只委派角色指派」一節。

重要事項重要事項:
組織管理 角色群組是功能非常強大的角色,因此只有執行可能影響整個 Exchange 組織之組織層級管理工作的使用者或萬用安全性群組 (USG) 才應該是這個角色群組的成員。

這個角色群組相當於 Exchange Server 2007 中的 Exchange 組織系統管理員角色。

如需有關 RBAC 的詳細資訊,請參閱了解角色型存取控制

用於將 Exchange 2013 安裝在組織中的帳戶預設會新增為 組織管理 角色群組的成員。然後此帳戶便可視需要,將其他成員新增至此角色群組。

如果您要新增或移除此角色群組中的成員,請參閱管理角色群組成員

根據預設,只有組織管理角色群組的成員可以新增或移除此角色群組中的成員。如需如何新增其他角色群組委派的詳細資訊,請參閱 管理角色群組 中的「新增或移除角色群組委派」一節。

您可以使用下列命令來檢視屬於此角色群組成員之使用者或 USG 的清單。

Get-RoleGroupMember "Organization Management"

如需角色群組之成員的詳細資訊,請參閱管理角色群組

此角色群組預設會獲派管理角色。<指派給此角色群組的管理角色>一節中會列出包含的角色。您可以在新增或移除此角色群組的角色指派,以符合組織的需要。

Exchange 2013 所提供的角色群組旨在於符合更細微的工作。將角色指派給角色群組,即可讓該角色群組的成員執行與角色關聯的工作。例如,[日誌] 角色會啟用日誌代理程式的管理功能和日誌規則。如需如何將角色指派給角色群組的詳細資訊,請參閱了解管理角色指派

指派給此角色群組的角色會擁有預設的管理範圍。管理範圍決定角色群組的成員可以檢視或修改的 Exchange 物件。您可以變更角色和角色群組之間與指派相關聯的範圍。例如,如果您只想讓角色群組的成員變更特定組織單位下或是特定位置的收件者,則可執行這項操作。如需管理範圍的詳細資訊,請參閱了解管理角色範圍

如需如何自訂此角色群組的詳細資訊,請參閱下列主題:

如果您要建立角色群組並且將指派給此角色群組的部分角色指派給新角色群組,請參閱 管理角色群組 中的<建立角色群組>一節。

下列是您可以自訂此角色的一些方法:

  • 權限擁有者   如果您組織中的權限是由 Exchange 管理員之外的特定群組所控制,您可以建立角色群組,然後將角色管理角色的一般及委派管理角色指派移至新的角色群組。這樣做可防止 組織管理 角色群組的成員管理任何 RBAC 權限。

  • Active Directory 分割權限   如果組織中安全性主體 (例如使用者帳戶) 的建立是由 Exchange 系統管理員以外的特定群組所控制,您可以建立一個角色群組,然後將「郵件收件者建立」角色與「安全性群組建立及成員資格」角色的一般和委派角色指派移至新的角色群組。這樣做可以防止 組織管理 角色群組的成員建立 Active Directory 物件。不過,他們可以繼續啟用新 Active Directory 物件的郵件功能。如需分割權限的詳細資訊,請參閱了解分割權限

任何角色都可新增至此角色群組或從此角色群組移除,但有下列限制:

  • 在委派角色指派可以從此角色群組移除之前,每個角色都必須至少有ㄧ個角色群組或 USG 的委派角色指派。

  • 在可以從此角色群組移除一般角色指派之前,「角色管理」角色必須至少有一個角色群組或 USG 的一般角色指派。

這些限制是為了防止您不小心將自己鎖在系統之外。透過在每個角色與一或多個角色群組或 USG 之間至少需要存在一個委派角色指派,您就永遠可以指派角色給角色受託人。透過在「角色管理」角色與一或多個角色群組或 USG 之間至少需要存在一個一般角色指派,您就永遠可以設定角色群組和角色指派。

重要事項重要事項:
這些限制需要角色群組或 USG 是委派和一般角色指派的目標。如果最後一個指派是指派給使用者,您就無法移除「角色管理」角色的委派角色指派或一般指派。

組織管理 角色群組和管理角色之間的某些角色指派 (例如「信箱搜尋」和「未限定範圍的角色管理」) 僅委派角色指派。這些角色可讓您存取敏感或個人資訊 (例如信箱的內容),或讓您建立功能強大的未限定範圍管理角色。

僅委派角色指派可讓 組織管理 角色群組的成員只能將關聯的角色指派給其他角色群組、管理角色指派原則、使用者或 USG。組織管理 角色群組的成員預設不會取得角色所提供的任何權限。這有助於避免意外曝露個人資訊,或造成權限意外提高。

但是,組織管理 角色群組的成員可為自己指定任何角色,藉以讓自己可執行任何工作。例如,組織管理 角色群組的成員可將信箱搜尋指定至 組織管理 角色群組。進行此角色指派之後,組織管理 角色群組的成員可以執行由「信箱搜尋」角色啟用的工作。

如需有關委派角色指派的詳細資訊,請參閱了解管理角色指派

授與 組織管理 角色群組之成員的權限主要是由指派給角色群組的管理角色決定。不過,管理角色並未涵蓋您需要執行的所有工作。某些工作是在 Exchange 管理工具外部進行,因此不適用 RBAC 權限模式。對於這些工作,權限是透過將 組織管理 角色群組新增到某些 Active Directory 物件的存取控制清單 (ACL) 來提供。

下列工作的權限是透過 Active Directory 物件上的 ACL 的方式授與,而不是透過指派給 組織管理 角色群組的管理角色授與:

  • 使用 Setup.exe 執行 DomainPrep 及 ForestPrep

  • 在組織中部署其他伺服器

下表列出指派給此角色群組的所有管理角色,以及每個角色指派的下列屬性:

  • 一般指派   可讓角色群組的成員存取相關管管理角色提供的管理角色項目。

  • 委派指派   讓角色群組的成員能將特定角色指派給其他角色群組、角色指派原則、使用者或 USG。

  • 收件者讀取範圍   決定角色群組的成員可以從 Active Directory 讀取的收件者物件。

  • 收件者寫入範圍   決定角色群組的成員可以在 Active Directory 修改的收件者物件。

  • 組態讀取範圍   決定角色群組的成員可以從 Active Directory 讀取的組態和伺服器物件。

  • 組態寫入範圍   決定角色群組的成員可以在 Active Directory 修改的組態和伺服器物件。

如需角色指派和管理範圍的詳細資訊,請參閱下列主題:

指派給此角色群組的管理角色

管理角色一般指派委派指派收件者讀取範圍收件者寫入範圍組態讀取範圍組態寫入範圍

Active Directory 權限角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

地址清單角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation 角色

X

Organization

Organization

None

None

ArchiveApplication 角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

稽核記錄 」 角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet 延伸代理程式角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

資料外洩防護角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

資料庫可用性群組角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

資料庫副本的角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

資料庫角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

嚴重損壞復原角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

通訊群組角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge 訂閱角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

電子郵件地址原則角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 連接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server 憑證角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 伺服器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange 虛擬目錄角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

同盟的共用的角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

資訊版權管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

日誌記錄角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

法律保留角色

X

X

Organization

Organization

OrganizationConfig

None

LegalHoldApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

擁有郵件功能的公用資料夾角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

郵件建立收件者角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

郵件收件者角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

郵件提示角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

信箱匯入匯出角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

信箱搜尋角色

X

Organization

Organization

None

None

MailboxSearchApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

郵件追蹤角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

移轉角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

監視角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

移動信箱角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

組織用戶端存取角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

組織設定角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

組織傳輸設定角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 與 IMAP4 通訊協定的角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

公用資料夾角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

接收連接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

收件者原則角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

遠端和公認的網域角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

重設密碼角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

保留管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

角色管理角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

安全群組建立與成員資格的角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

傳送連接器角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

支援診斷角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

傳輸代理程式角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

傳輸檢疫角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

傳輸佇列角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

傳輸規則角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UM 信箱角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UM 提示角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

未限定範圍的角色管理角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

整合的通訊角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

使用者選項角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

僅檢視稽核記錄 」 角色

X

X

Organization

None

OrganizationConfig

None

僅檢視設定角色

X

X

Organization

None

OrganizationConfig

None

僅檢視收件者角色

X

X

Organization

None

OrganizationConfig

None

WorkloadManagement 角色

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

我自訂應用程式的角色

X

Self

Self

OrganizationConfig

OrganizationConfig

我市集應用程式的角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership 角色

X

MyGAL

MyGAL

None

None

MyDistributionGroups 角色

X

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyProfileInformation 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes 角色

X

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail 角色

X

Self

Self

OrganizationConfig

OrganizationConfig

 
顯示: