了解管理角色指派

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2010-12-16

屬於 Microsoft Exchange Server 2010 中應用角色的存取控制 (RBAC) 權限模型一部分的*「管理角色指派」，是管理角色和角色受託人之間的連結。「角色受託人」*是角色群組、角色指派原則、使用者或萬用安全性群組 (USG)。您必須將角色指派給角色受託人才能使其生效。如需有關 RBAC 的詳細資訊，請參閱瞭解應用角色的存取控制。

附註：
本主題著重於進階 RBAC 功能。如果您要管理基本 Exchange 2010 權限，例如使用 Exchange 控制台 (ECP) 在角色群組中新增和移除成員、建立和修改角色群組，或建立和修改角色指派原則，請參閱了解權限。

本主題討論將角色指派給角色群組和角色指派原則，以及將角色直接指派給使用者和 USG。它並未討論將角色群組或角色指派原則指派給使用者。如需角色群組和角色指派原則 (也就是將權限指派給使用者的建議方法) 的詳細資訊，請參閱下列主題：

• 了解管理角色群組

• 了解管理角色指派原則

您可以建立下列類型的角色指派，這些指派會在本主題稍後的內容中詳細說明：

• 一般和委派角色指派

• 獨佔角色指派

管理角色指派

當您變更角色指派時，您所做的變更可能介於角色群組和角色指派原則之間。您可以透過新增、移除或修改這些角色受託人的角色指派，來控制授與系統管理員和使用者的權限，以便實際開啟及關閉相關功能的管理。

您也可以直接將角色指派給使用者或 USG。這是一項更進階的工作，可讓您在細微層次定義授與使用者的權限。雖然這可為您提供彈性，但也會增加權限模型的複雜度。例如，如果使用者變更工作，您可能需要將指派給該使用者的角色手動重新指派給另一個使用者。這就是爲什麽我們建議您使用角色群組和角色指派原則，將權限授與您的使用者。您可以將角色指派給角色群組或角色指派原則，然後只要視需要新增或移除角色群組成員，或變更角色指派原則即可。

您可以新增、移除和啟用角色指派，也可以針對現有的角色指派修改管理範圍，以及將角色指派移至其他角色受託人。將角色指派給角色群組、角色指派原則、使用者和 USG 的程序，對每個角色受託人大多相同。以下是唯一的例外狀況：

• 角色指派原則只能被指派給使用者管理角色。

• 角色指派原則無法被指派委派角色指派。

• 建立角色指派原則的角色指派時，無法指定管理範圍。

如需管理角色指派的詳細資訊，請參閱下列主題：

• 角色群組：

  • 將角色新增至角色群組

  • 移除角色群組中的角色

  • 變更角色指派

  • 變更角色群組中角色指派的範圍

  • 委派角色指派

• 角色指派原則：

  • 將角色新增至指派原則

  • 移除指派原則中的角色

  • 變更角色指派

• 使用者及 USG：

  • 將角色新增至使用者或 USG

  • 移除使用者或 USG 的角色

  • 變更角色指派

  • 變更角色範圍

  • 委派角色指派

一般和委派角色指派

一般角色指派可讓角色受託人存取由關聯的管理角色提供的管理角色項目。如果將多個管理角色指派給角色受託人，則會彙總並套用來自每個管理角色的管理角色項目。這表示如果角色受託人被指派傳輸規則和日誌角色，則會合併這些角色，並將所有關聯的管理角色項目授與角色受託人。如果角色受託人是角色群組或角色指派原則，則會將角色所提供的權限授與指派給角色群組或角色指派原則的使用者。如需管理角色和角色項目的詳細資訊，請參閱了解管理角色。

委派角色指派並不會授與管理功能的存取權。委派角色指派可讓角色受託人將指定角色指派給其他角色受託人。如果角色受託人是角色群組，則角色群組的任何成員都可將角色指派給另一個角色受託人。根據預設，只有組織管理角色群組才能將角色指派給其他角色受託人。根據預設，只有安裝 Exchange 2010 的使用者是組織管理角色群組的成員。不過，您可以視需要將其他使用者新增至此角色群組，或建立其他角色群組並為這些群組指派委派角色指派。

附註：
委派角色指派可讓角色受託人將管理角色委派給其他角色受託人。這不會讓使用者委派角色群組。如需角色群組委派的詳細資訊，請參閱了解管理角色群組。

如果您希望使用者可以管理功能，並將授與使用該功能之權限的角色指派給其他使用者，請進行下列指派：

1. 為每個管理角色進行一般角色指派，以授與需要管理之功能的存取權。

2. 為每個您允許指派給其他角色受託人的管理角色，進行委派角色指派。

為不需要相同的角色受託人進行一般和委派角色指派。例如，使用者是使用一般角色指派來指派傳輸規則角色之角色群組的成員。這可讓使用者管理傳輸規則功能。但是，使用者未獲指派傳輸規則角色的委派角色指派，因此該使用者無法將此角色指派給其他使用者。不過，使用者是使用委派角色指派來指派日誌管理角色之角色群組的成員。使用者所屬的角色群組沒有日誌角色的一般角色指派，但由於它有委派角色指派，因此使用者可以將角色指派給其他角色受託人。

管理範圍

當您建立一般或委派管理角色指派時，可以選擇建立具有管理範圍的指派，以限制使用者可以操作的物件。您可以建立收件者範圍或設定範圍。收件者範圍可讓您控制誰可以操作信箱、郵件使用者、通訊群組等等。設定範圍可讓您控制誰可以操作伺服器和資料庫。

收件者範圍和設定範圍可讓您在組織中分割伺服器、資料庫或收件者物件的管理。例如，收件者範圍可以新增至角色指派，讓位於溫哥華的系統管理員只能管理相同辦公室中的收件者。伺服器設定範圍可新增至不同的角色指派，讓位於雪梨的系統管理員只能管理其 Active Directory 站台中的伺服器。

範圍可允許將權限指派給使用者群組，且讓您指示這些系統管理員可以執行其管理的範圍。這可讓您建立對應至地理或組織界限的權限模型。

您可以使用預先定義的範圍建立指派，或將自訂範圍新增至指派。您可以使用指派本身的可用選項來套用預先定義的範圍，例如限制使用者只能到其信箱或通訊群組。或者，您可以建立自訂收件者或設定範圍，然後將該範圍新增至角色指派。自訂範圍可提供您更大的精細度，控制哪些物件要包含在範圍內。

您無法在相同的指派上指定預先定義的範圍及自訂範圍。您也不能在相同的指派上混合獨佔範圍和一般範圍。

各個角色指派只能有一個收件者範圍和一個設定範圍。如果您要將超過一個收件者範圍或一個設定範圍套用至相同管理角色的角色受託人，您必須建立多個角色指派。

不是使用自訂或預先定義範圍時，角色指派僅適用於在角色本身定義的收件者範圍和設定範圍。這些範圍稱為隱含範圍。任何沒有預先定義或自訂範圍的角色指派會從與其相關聯的角色繼承隱含範圍。

如需範圍的詳細資訊，請參閱瞭解管理角色範圍。

獨佔角色指派

將獨佔範圍與角色指派產生關聯時，便會建立獨佔角色指派。獨佔範圍的作用類似一般範圍，可讓角色受託人管理符合獨佔範圍的收件者。但是，與一般範圍不同的是，其他所有角色受託人都無法管理收件者，即使收件者符合套用至其角色指派的範圍也一樣。當您想要限制只有少數系統管理員可以管理收件者時，這會非常有用。只有這些特定系統管理員可以管理收件者，其他所有系統管理員都會遭到拒絕存取。

例如，假設下列情況：

• John 是 Contoso 公司的高層主管。他的信箱符合名為 VIP Users 的獨佔範圍，該範圍與 VIP Restricted 獨佔指派相關聯。

• John 的信箱還包含在名爲 Redmond Users 的一般範圍中，該範圍與 Redmond Administration 一般指派相關聯。

• Bill 是與 VIP Restricted 獨佔指派關聯的系統管理員。

• Chris 是與 Redmond Administration 一般指派關聯的系統管理員。

由於 John 的信箱符合 VIP Users 獨佔範圍，所以只有 Bill 可以管理他的信箱。雖然 John 的信箱也符合 Redmond Users 一般範圍，但 Chris 並未與 VIP Restricted 獨佔指派關聯。因此，Exchange 拒絕讓 Chris 管理 John 的信箱。若要讓 Chris 管理 John 的信箱，Chris 需要被指派具有符合 John 信箱之獨佔範圍的獨佔指派。

如需詳細資訊，請參閱瞭解管理角色範圍。

 © 2010 Microsoft Corporation. 著作權所有，並保留一切權利。