權限
適用於:Exchange Server 2013
Microsoft Exchange Server 2013 根據角色型存取控制 (RBAC) 許可權模型,包含一組大型的預先定義許可權,您可以立即使用此模型,輕鬆地將許可權授與系統管理員和使用者。 您可以使用 Exchange 2013 中的許可權功能,讓新的組織快速啟動並執行。
注意事項
有幾項 RBAC 功能和概念屬於進階功能,因此不在本主題討論之列。 如果本主題所討論的功能不符合您的需求,而且您想進一步自訂權限模型,請參閱Understanding Role Based Access Control。
角色型權限
在 Exchange 2013 中,您授與系統管理員和使用者的許可權是以管理角色為基礎。 角色定義了系統管理員或使用者所能執行的一組工作。 例如,稱為 的 Mail Recipients 管理角色會定義某人可以在一組信箱、連絡人和通訊群組上執行的工作。 將角色指派給系統管理員或使用者後,該名人員便會獲得此角色所提供的權限。
角色可分成系統管理角色和使用者角色兩種類型:
- 系統管理角色:這些角色包含的許可權可以使用管理 Exchange 組織一部分的角色群組指派給系統管理員或專家使用者,例如收件者、伺服器或資料庫。
- 使用者角色:使用角色指派原則指派的這些角色,可讓使用者管理自己擁有的信箱和通訊群組的各個層面。 使用者角色的開頭為 前置詞
My。
角色可讓指派角色的使用者使用 Cmdlet,將執行工作的許可權授與系統管理員和使用者。 由於 Exchange 系統管理中心 (EAC) 和 Exchange 管理命令介面會使用 Cmdlet 來管理 Exchange,因此授與 Cmdlet 的存取權可讓系統管理員或使用者在每個 Exchange 管理介面中執行工作。
Exchange 2013 包含大約 86 個角色,可用來授與許可權。 如需 Exchange 2013 隨附的角色清單,請參閱 內建管理角色。
角色群組和指派原則
角色會授與在 Exchange 2013 中執行工作的許可權,但您需要簡單的方法將它們指派給系統管理員和使用者。 Exchange 2013 提供下列專案來協助您執行此作業:
- 角色群組:角色群組可讓您將許可權授與系統管理員和專家使用者。
- 角色指派原則:角色指派原則可讓您將許可權授與使用者,以變更他們自己的信箱或通訊群組上的設定。
如需角色群組和角色指派原則的詳細資訊,請參閱下列各節。
角色群組
管理 Exchange 2013 的每位系統管理員都必須至少獲指派一或多個角色。 系統管理員可能會有多個角色,因為他們可能會執行跨 Exchange 中多個區域的工作功能。 例如,一位系統管理員可能會同時管理收件者和 Exchange 伺服器。 在此情況下,系統管理員可能會同時 Mail Recipients 獲指派 和 Exchange Servers 角色。
為了更輕鬆地將多個角色指派給系統管理員,Exchange 2013 包含角色群組。 角色群組是特殊通用安全性群組, (Exchange 2013 所使用的 USG) ,其中可以包含 Active Directory 使用者、USG 和其他角色群組。 將角色指派至角色群組後,此角色群組的所有成員便會獲得由該角色所授與的權限。 這可讓您同時將多個角色指派給多位角色群組成員。 角色群組通常包含範圍較大的管理領域,例如收件者管理。 此外,角色群組只能與系統管理員角色搭配使用,不能用於使用者角色。
注意事項
您可以直接將角色指派給使用者或 USG,而不需要使用角色群組。 不過,這種角色指派方式屬於進階程序,不在本主題討論之列。 建議您使用角色群組來管理權限。
下圖顯示使用者、角色群組和角色之間的關係。
.gif "角色、角色群組和成員關聯性")
Exchange 2013 包含數個內建角色群組,每個角色群組都提供在 Exchange 2013 中管理特定區域的許可權。 某些角色群組可能會與其他角色群組重迭。 下表列出每個角色群組,並描述其用法。 如果您想要查看指派給每個角色群組的角色,請按一下 [角色群組] 資料行中的角色組名,然後開啟 [指派給此角色群組的管理角色] 區段。
| 角色群組 | 描述 |
|---|---|
| 組織管理 | 屬於組織管理角色群組成員的系統管理員具有整個 Exchange 2013 組織的系統管理存取權,而且幾乎可以針對任何 Exchange 2013 物件執行任何工作,但有些例外狀況,例如 Discovery Management 角色。 重要:因為組織管理角色群組是一個強大的角色,所以只有執行組織層級系統管理工作的使用者或 USG 可能會影響整個 Exchange 組織,所以應該是此角色群組的成員。 |
| 僅限檢視組織管理 | 屬於「僅檢視組織管理」角色群組成員的系統管理員可以檢視 Exchange 組織中任何物件的屬性。 |
| 收件者管理 | 身為收件者管理角色群組成員的系統管理員,具有在 Exchange 2013 組織內建立或修改 Exchange 2013 收件者的系統管理存取權。 |
| UM 管理 | 屬於 UM 管理 角色群組成員的系統管理員可以管理 Exchange 組織中的功能,例如整合通訊 (UM) 服務組態、信箱上的 UM 內容、UM 提示及 UM 自動語音應答組態。 |
| 服務台 | 根據預設,技術支援中心角色群組可讓成員檢視和修改組織中任何使用者的 Microsoft Office Outlook Web App選項。 這些選項可以包括修改使用者的顯示名稱、地址和電話號碼。 它們不包含Outlook Web App選項中無法使用的選項,例如修改信箱的大小或設定信箱所在的信箱資料庫。 |
| 檢疫管理 | 身為「隔離管理」角色群組成員的系統管理員,可以設定 Exchange 2013 的防毒軟體和防垃圾郵件功能。 與 Exchange 2013 整合的協力廠商程式可以將服務帳戶新增至此角色群組,以授與這些程式存取擷取和設定 Exchange 設定所需的 Cmdlet。 |
| 記錄管理 | 屬於 記錄管理 角色群組成員的使用者可以設定符合性功能,例如保留原則標記、訊息分類和傳輸規則。 |
| 探索管理 | 身為探索管理角色群組成員的系統管理員或使用者,可以針對 Exchange 組織中符合特定準則的資料執行信箱搜尋,也可以在信箱上設定合法保留。 |
| 公用資料夾管理 | 屬於「公用資料夾管理」角色群組成員的系統管理員可以在執行 Exchange 2013 的伺服器上管理公用資料夾。 |
| 伺服器管理 | 屬於 Server Management 角色群組之成員的系統管理員可以設定伺服器特定的傳輸組態、整合通訊、用戶端存取以及信箱功能,例如資料庫複本、憑證、傳輸佇列及傳送連接器、虛擬目錄以及用戶端存取通訊協定。 |
| 委派安裝 | 身為「委派安裝」角色群組成員的系統管理員,可部署先前已由 Exchange 2013 角色群組的成員提供的 組織管理 伺服器。 |
| 規範管理 | 身為合規性管理角色群組成員的使用者,可以根據其組織的原則來設定和管理 Exchange 合規性設定。 |
如果您任職於只有幾個系統管理員的小型組織,可能只需要將這些系統管理員新增到 組織管理 角色群組,而且可能永遠不需要使用其他角色群組。 如果您在較大的組織中工作,您可能會有系統管理員執行管理 Exchange 的特定工作,例如收件者或伺服器管理。 在這些情況下,您可以將一個系統管理員新增至收件者管理角色群組,並將另一個系統管理員新增至伺服器管理角色群組。 這些系統管理員接著可以管理其 Exchange 2013 的特定區域,但不會擁有管理其不負責之區域的許可權。
如果 Exchange 2013 中的內建角色群組不符合系統管理員的作業功能,您可以建立角色群組,並在其中新增角色。 如需詳細資訊,請參閱本主題稍後的使用角色群組。
角色指派原則
Exchange 2013 提供角色指派原則,讓您可以控制使用者可以在自己的信箱和他們擁有的通訊群組上設定哪些設定。 這些設定包括使用者的顯示名稱、連絡資訊、語音信箱設定,以及通訊群組成員資格。
您的 Exchange 2013 組織可以有多個角色指派原則,為組織中不同類型的使用者提供不同層級的許可權。 依據使用者信箱相關聯的角色指派原則而定,有些使用者可以變更其地址或建立通訊群組,但有些使用者卻不行。 角色指派原則會直接新增至信箱,而且每個信箱一次只能與一個角色指派原則相關聯。
在組織的角色指派原則中,有一個會被標示為預設的原則。 如果在建立新信箱時沒有明確指派特定的角色指派原則,這些新信箱就會與預設的角色指派原則產生關聯。 預設的角色指派原則應該包含多數信箱所應套用的權限。
權限是透過使用者角色新增到角色指派原則。 使用者角色開頭為 ,並授與 My 許可權讓使用者只管理其擁有的信箱或通訊群組。 使用者角色不能用來管理其他任何信箱。 此外,只有使用者角色可以指派到角色指派原則。
將使用者角色指派到角色指派原則後,與該角色指派原則相關聯的所有信箱都會取得該角色所授與的權限。 因此,您不需要設定個別的信箱,就可以對多組使用者新增或移除權限。 下圖顯示:
使用者角色會指派至角色指派原則。 角色指派原則可以共用相同的使用者角色。
角色指派原則會與信箱產生關聯。 每個信箱只能與一個角色指派原則相關聯。
在信箱與角色指派原則產生關聯後,使用者角色會套用到該信箱。 信箱使用者會獲得角色所授與的權限。
.gif "角色、角色指派原則、信箱關聯性")
預設角色指派原則角色指派原則隨附于 Exchange 2013。 顧名思義,這是預設角色指派原則。 如果您想要變更此角色指派原則所提供的許可權,或如果您想要建立角色指派原則,請參閱本主題稍後的使用角色指派原則。
使用角色群組
若要在 Exchange 2013 中使用角色群組來管理您的許可權,建議您使用 Exchange 系統管理中心。 When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the new role group dialog box, shown in the following figure, to perform these tasks.
![EAC 中的 [新增角色群組] 對話方塊。](exchangeserver2013/images/dd351175.e0577090-73e6-4671-ae98-78a8064fde87(exchg.150).jpg "EAC 中的 [新增角色群組] 對話方塊")
Exchange 2013 包含數個角色群組,可將許可權分隔為特定的系統管理區域。 如果這些現有的角色群組提供系統管理員管理 Exchange 2013 組織所需的許可權,您只需要將系統管理員新增為適當角色群組的成員。 在您將系統管理員新增至角色群組之後,他們就可以管理與該角色群組相關的功能。 若要新增或移除角色群組的成員,請在 EAC 中開啟角色群組,然後再於成員資格清單中新增或移除成員。 如需內建角色群組的清單,請參閱 內建角色群組。
重要事項
如果系統管理員是多個角色群組的成員,Exchange 2013 會授與系統管理員其所屬角色群組所提供的擁有權限。
如果 Exchange 2013 隨附的角色群組都沒有您所需的許可權,您可以使用 EAC 來建立角色群組,並新增具有所需許可權的角色。 針對新的角色群組,您會:
- 選擇角色群組的名稱。
- 選取要新增到角色群組的角色。
- 在角色群組中新增成員。
- 儲存角色群組。
建立角色群組之後,您可以比照其他任何角色群組來管理它。
如果有現有的角色群組具有一些許可權,但並非您需要的擁有權限,您可以複製它,然後進行變更以建立角色群組。 您可以複製現有的角色群組並進行變更,而不會影響原始的角色群組。 在複製角色群組的過程中,您可以加入新的名稱和描述、在新的角色群組中新增及移除角色,並新增成員。 建立或複製角色群組時,您會使用上圖中所顯示的同一個對話方塊。
您也可以修改現有的角色群組。 您可以使用與上圖所示對話方塊類似的 EAC 對話方塊,從現有的角色群組新增與移除角色,並同時從該群組新增及移除成員。 透過在角色群組中新增及移除角色,您便可開啟與關閉該角色群組成員的系統管理功能。 如需您可以新增至角色群組的角色清單,請參閱 內建管理角色。
注意事項
雖然您可以變更指派至內建角色群組的角色,我們還是建議您複製內建角色群組、修改角色群組複本,然後再新增成員到角色群組複本。
使用角色指派原則
若要管理您授與使用者在 Exchange 2013 中管理自己信箱的許可權,建議您使用 EAC。 When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the role assignment policy dialog box, shown in the following figure, to perform these tasks.
.jpg "EAC 中的角色指派原則對話方塊")
Exchange 2013 包含名為預設角色指派原則的角色指派原則。 這個角色指派原則可以讓其相關聯信箱的使用者執行下列動作:
- 加入或離開可讓成員自行管理成員資格的通訊群組。
- 在自己的信箱上檢視並修改基本的信箱設定,例如收件匣規則、拼字檢查行為和 Microsoft ActiveSync 裝置。
- 修改連絡資訊,例如公司地址和電話號碼、行動電話號碼,以及呼叫器號碼。
- 建立、修改或檢視簡訊設定。
- 檢視或修改語音信箱設定。
- 檢視和修改市場應用程式。
- 建立團隊信箱,並且將這些信箱連接到 Microsoft SharePoint 清單。
如果要從「預設角色指派原則」或其他任何角色指派原則新增或移除權限,您可以使用 EAC。 使用的對話方塊與上圖所示的對話方塊類似。 當您在 EAC 中開啟角色指派原則時,請選取要指派至該原則的角色旁的核取方塊,或清除想要移除的角色旁的核取方塊。 您對角色指派原則所做的變更將會套用到與它相關聯的每一個信箱。
如果要指派不同的使用者權限給組織中各種類型的使用者,您可以建立角色指派原則。 建立角色指派原則時,您會看到與上圖類似的對話方塊。 您可以為角色指派原則指定新名稱,然後再選取要指派至角色指派原則的角色。 建立角色指派原則後,您可以使用 EAC 讓它與信箱產生關聯。
如果想要變更預設的角色指派原則,您必須使用命令介面。 在您變更預設的角色指派原則之後,如果沒有為建立的任何信箱明確指定角色指派原則,這些信箱都會與新的預設角色指派原則產生關聯。 當您選取新的預設角色指派原則時,與現有信箱關聯的角色指派原則將維持不變。
注意事項
如果選取含有子角色之角色的核取方塊,也會選取子角色的核取方塊。 如果取消選取含有子角色之角色的核取方塊,也會取消選取子角色的核取方塊。
如需如何建立角色指派原則或變更現有角色指派原則的詳細步驟,請參閱下列主題:
權限文件
下表包含主題的連結,可協助您瞭解和管理 Exchange 2013 中的許可權。
| 主題 | 描述 |
|---|---|
| 了解角色型存取控制 | 瞭解組成 RBAC 的每個元件,以及如何在角色群組和管理角色不足時建立進階許可權模型。 |
| 了解多重樹系權限 | 瞭解如何在具有帳戶和資源樹系的組織中實作 RBAC 許可權。 |
| 了解分割權限 | 瞭解如何使用 RBAC 和 Active Directory 分割許可權來分割 Exchange 和安全性主體管理。 |
| 了解與 Exchange 2007 及 Exchange 2010 的權限共存 | 設定許可權,以在現有的 Exchange 2007 和 Exchange 2010 組織中啟用 Exchange 2013 的管理。 |
| 管理角色群組 | 使用角色群組設定 Exchange 系統管理員和專家使用者的許可權。 |
| 管理角色群組成員 | 在角色群組中新增或移除成員。 藉由在角色群組中新增和移除成員,您可以設定誰能夠管理 Exchange 功能。 |
| 管理連結的角色群組 | 在多樹系 Exchange 部署中設定 Exchange 系統管理員和專家使用者的許可權。 |
| 管理角色指派原則 | 使用角色指派原則,設定使用者可在其信箱上存取哪些功能。 |
| 變更在信箱上的指派原則 | 設定哪些角色指派原則套用於一或多個信箱。 |
| 建立鏡像內建角色群組的連結的角色群組 | 在多樹系 Exchange 部署中,將內建角色群組重新建立為連結的角色群組。 |
| 檢視有效權限 | 檢視有權管理 Exchange 功能的人員。 |
| 功能權限 | 深入瞭解管理 Exchange 功能和服務所需的許可權。 |
| 進階權限 | 使用進階 RBAC 功能來建立高度自訂的許可權模型,以符合任何組織的需求。 |