了解管理角色指派

適用於：Exchange Server 2013

管理角色指派是 2013 Microsoft Exchange Server中角色型存取控制 (RBAC) 許可權模型的一部分，是管理角色與角色指派者之間的連結。 角色指派者是角色群組、角色指派原則、使用者或通用安全性群組， (USG) 。 您必須將角色指派給角色受託人才能讓它生效。 如需有關 RBAC 的相關資訊，請參閱了解角色型存取控制。

本主題討論角色指派給角色群組和角色指派原則，以及將角色指派給使用者和 USG。 它不會討論將角色群組或角色指派原則指派給使用者。 如需角色群組和角色指派原則的詳細資訊，這是將許可權指派給使用者的建議方式，請參閱下列主題：

• 了解管理角色群組

• 了解管理角色指派原則

您可以建立下列類型的角色指派，這些指派會在本主題稍後的內容中詳細說明：

• Regular and delegating role assignments

• Exclusive role assignments

管理角色指派

當您變更角色指派時，您所做的變更可能介於角色群組和角色指派原則之間。 您可以透過新增、移除或修改這些角色受託人的角色指派，來控制授與系統管理員和使用者的權限，以便實際開啟及關閉相關功能的管理。

您可能也想要將角色直接指派給使用者或 USG。 這是更進階的工作，可讓您在細微層級定義使用者獲授與的許可權。 雖然這可為您提供彈性，但也會增加許可權模型的複雜度。 例如，如果使用者變更作業，您可能需要手動將指派給該使用者的角色重新指派給另一位使用者。 這就是為什麼我們建議您使用角色群組和角色指派原則來授與許可權給使用者。 您可以將角色指派給角色群組或角色指派原則，然後只新增或移除角色群組的成員，或視需要變更角色指派原則。

您可以新增、移除和啟用角色指派、修改現有角色指派的管理範圍，以及將角色指派移至其他角色指派者。 針對每個角色指派者，將角色指派給角色群組、角色指派原則、使用者和 USG 的程式大致相同。 以下是唯一的例外狀況：

• 角色指派原則只能被指派給使用者管理角色。

• 角色指派原則無法被指派委派角色指派。

• 建立角色指派原則的角色指派時，無法指定管理範圍。

如需管理角色指派的詳細資訊，請參閱下列主題：

• 角色群組：

  • 管理角色群組

• 角色指派原則：

  • 管理角色指派原則

  • 變更角色指派

• 使用者及 USG：

  • 將角色新增至使用者或 USG

  • 移除使用者或 USG 的角色

  • 變更角色指派

  • 角色範圍變更

  • 委派角色指派

Regular and delegating role assignments

一般角色指派可讓角色受託人存取由關聯的管理角色提供的管理角色項目。 如果將多個管理角色指派給角色受託人，則會彙總並套用來自各個管理角色的管理角色項目。 這表示，如果角色指派者獲指派傳輸規則和日誌角色，則會合並角色，並將所有相關聯的管理角色專案提供給角色指派者。 如果角色指派者是角色群組或角色指派原則，則角色所提供的許可權會授與指派給角色群組或角色指派原則的使用者。 如需管理角色和角色專案的詳細資訊，請參閱 瞭解管理角色。

委派角色指派並不會提供管理功能的存取權。 委派角色指派可讓角色指派者能夠將指定的角色指派給其他角色指派者。 如果角色被指派者是角色群組，角色群組的任何成員都可以將角色指派給另一個角色指派者。 根據預設，只有組織管理角色群組能夠將角色指派給其他角色指派者。 根據預設，只有安裝 Exchange 2013 的使用者是組織管理角色群組的成員。 不過，您可以視需要將其他使用者新增至此角色群組，或建立其他角色群組，並將角色指派指派指派給這些群組。

如果您希望使用者可以管理功能，並將授與使用該功能之權限的角色指派給其他使用者，請進行下列指派：

1. 為每個管理角色進行一般角色指派，以授與需要管理之功能的存取權。

2. 為每個您允許指派給其他角色受託人的管理角色，進行委派角色指派。

角色指派者的一般和委派角色指派不需要相同。 例如，使用者是使用一般角色指派指派傳輸規則角色的角色群組成員。 這可讓使用者管理傳輸規則功能。 不過，使用者未獲指派傳輸規則角色的委派角色指派，因此使用者無法將此角色指派給其他使用者。 不過，使用者是角色群組的成員，該角色群組是使用委派角色指派來指派日誌管理角色。 使用者所屬的角色群組沒有日誌角色的一般角色指派，但因為它有委派的角色指派，所以使用者可以將角色指派給其他角色指派者。

管理範圍

當您建立一般或委派管理角色指派時，可以選擇建立具有管理範圍的指派，以限制使用者可以操作的物件。 您可以建立收件者範圍或設定範圍。 收件者範圍可讓您控制誰可以操作信箱、郵件使用者、通訊群組等等。 設定範圍可讓您控制誰可以操作伺服器和資料庫。

收件者和設定範圍可讓您分割組織中伺服器、資料庫或收件者物件的管理。 例如，可以將收件者範圍新增至角色指派，以便在宣告中的系統管理員只能管理相同辦公室中的收件者。 伺服器設定範圍可以新增至不同的角色指派，讓雪梨的系統管理員只能管理其 Active Directory 月臺中的伺服器。

範圍可讓您將許可權指派給使用者群組，並讓您指示這些系統管理員可以執行其系統管理的位置。 這可讓您建立對應至地理或組織界限的許可權模型。

您可以建立具有預先定義範圍的指派，也可以將自訂範圍新增至指派。 您可以使用指派本身可用的選項來套用預先定義的範圍，例如將使用者限制為僅限其信箱或通訊群組。 或者，您可以建立自訂收件者或設定範圍，然後將該範圍新增至角色指派。 自訂範圍可讓您更細微地瞭解範圍中包含哪些物件。

您無法在相同的指派上指定預先定義和自訂的範圍。 您也無法在相同的指派上混合獨佔和一般範圍。

每個角色指派只能有一個收件者範圍和一個設定範圍。 如果您想要將多個收件者範圍或一個設定範圍套用至相同管理角色的角色指派者，您必須建立多個角色指派。

由於沒有自訂或預先定義的範圍，角色指派受限於角色本身所定義的收件者和設定範圍。 這些範圍稱為隱含範圍。 任何沒有預先定義或自訂範圍的角色指派，都會從與其相關聯的角色繼承隱含範圍。

如需範圍的詳細資訊，請參閱了解管理角色範圍。

Exclusive role assignments

將獨佔範圍與角色指派產生關聯時，便會建立獨佔角色指派。 獨佔範圍的作用類似一般範圍，可讓角色受託人管理符合獨佔範圍的收件者。 但是，與一般範圍不同的是，其他所有角色受託人都無法管理收件者，即使收件者符合套用至其角色指派的範圍也一樣。 當您想要將可管理收件者的人員限制為少數系統管理員時，這會很有用。 只有這些特定的系統管理員可以管理收件者，而且所有其他系統管理員都會被拒絕存取。

例如，假設下列情況：

• John 是 Contoso 的主管。 他的信箱符合稱為 VIP 使用者的獨佔範圍，該範圍與 VIP 限制的獨佔指派相關聯。

• John 的信箱還包含在名爲 Redmond Users 的一般範圍中，該範圍與 Redmond Administration 一般指派相關聯。

• Bill 是與 VIP Restricted 獨佔指派關聯的系統管理員。

• Chris 是與 Redmond Administration 一般指派關聯的系統管理員。

因為 John 的信箱符合 VIP 使用者專屬範圍，所以只有 Bill 可以管理其信箱。 即使 John 的信箱也符合 Redmond Users 一般範圍，Chris 也不會與 VIP 限制的獨佔指派相關聯。 因此，Exchange 拒絕 Chris 管理 John 信箱的能力。 若要讓 Chris 管理 John 的信箱，Chris 必須獲指派專屬指派，該指派具有符合 John 信箱的獨佔範圍。

如需相關資訊，請參閱了解獨佔範圍。