了解管理角色指派原則

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2015-03-09

*「管理角色指派原則」*是一個或多個使用者管理角色的集合,可讓使用者管理自己的 Microsoft Exchange Server 2010 信箱和通訊群組組態。角色指派原則是 Exchange 2010 中應用角色的存取控制 (RBAC) 權限模型的一部分,可讓您控制使用者可以修改的特定信箱和通訊群組組態設定。不同的使用者群組可以有專用的角色指派原則。

注意事項附註:
本主題著重於進階 RBAC 功能。如果您要管理基本 Exchange 2010 權限,例如使用 Exchange 控制台 (ECP) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱了解權限

如需有關 RBAC 的詳細資訊,請參閱瞭解應用角色的存取控制

目錄

角色指派原則層

預設和明確角色指派原則

使用角色指派原則

角色指派原則管理

角色指派原則層

以下是構成角色指派原則模型的各種層:

  • 信箱   信箱會被指派單一角色指派原則。當信箱被指派角色指派原則時,管理角色和角色指派原則之間的指派會套用至信箱。這會將管理角色提供的所有權限授與信箱。

  • 管理角色指派原則   *「管理角色指派原則」*是 Exchange 2010 中的特殊物件。當建立使用者的信箱時,或者如果您變更信箱的角色指派原則,使用者便會與角色指派原則相關聯。這也是您將使用者管理角色指派到的地方。角色指派原則上所有角色的組合,定義使用者可在其信箱或通訊群組上管理的一切。

  • 管理角色指派   *「管理角色指派」*是管理角色和角色指派原則之間的連結。將管理角色指派到角色指派原則,會授與使用管理角色中所定義之 Cmdlet 和參數的能力。當您在角色指派原則和管理角色之間建立角色指派時,無法指定任何範圍。由指派套用的範圍是以管理角色為基礎,而且是 SelfMyGAL。如需詳細資訊,請參閱了解管理角色指派

  • 管理角色   「管理角色」(Management Role) 是一組管理角色項目的容器。角色用於定義使用者可使用其信箱或通訊群組執行的特定工作。*「管理角色項目」*是可允許執行管理角色中每個特定工作的 Cmdlet、指令碼或特殊權限。您只能將使用者管理角色與角色指派原則搭配使用。如需詳細資訊,請參閱了解管理角色

  • 管理角色項目   管理角色項目是管理角色上的個別項目,可決定管理角色和角色群組可以使用的 Cmdlet 和參數。每個角色項目都是由可供管理角色存取的單一 Cmdlet 和參數所組成。

下圖顯示上述清單中的每個角色指派原則層,以及每個層如何與其他層相關。

管理角色指派原則模型

角色指派模型關係

如需管理角色、角色指派和範圍的詳細資訊,請參閱瞭解應用角色的存取控制

回到頁首

預設和明確角色指派原則

下列各節說明 Exchange 2010 中兩種類型的角色指派原則。

預設角色指派原則

預設角色指派原則是在信箱建立或移至執行 Exchange 2010 之伺服器時指派給信箱,且角色指派原則不是使用 New-MailboxEnable-Mailbox Cmdlet 上的 RoleAssignmentPolicy 參數來提供。

Exchange 2010 包含提供使用者最常用之權限的預設角色指派原則。您可以透過在預設角色指派原則中新增或移除管理角色,變更該原則的預設權限。

如果您要以自己的預設角色指派原則取代內建預設角色指派原則,可以使用 Set-RoleAssignmentPolicy Cmdlet 選取新的預設值。採用此作法時,如果您沒有明確地指定角色指派原則,預設會為任何新信箱指派您所指定的角色指派原則。

當您變更預設角色指派原則時,不會自動將新的預設角色指派原則指派給已被指派新預設角色指派原則的信箱。如果您要將先前建立的信箱更新為使用您設定為預設值的角色指派原則,必須使用 Set-Mailbox Cmdlet 才能這麼做。

明確角色指派原則

明確角色指派原則是您使用 New-MailboxSet-MailboxEnable-Mailbox Cmdlet 上的 RoleAssignmentPolicy 參數,手動指派給信箱的原則。當您指派明確角色指派原則時,新原則會立即生效並取代先前指派的明確角色指派原則。

回到頁首

使用角色指派原則

角色指派原則可讓您根據您的企業希望使用者可以進行什麼設定來調整權限。如果預設角色指派原則符合需要,則不需要進行任何自訂設定。但是,如果您有許多具有特殊需求的不同使用者群組,可以針對每個群組建立角色指派原則。

您使用的預設角色指派原則應該包含套用至一組最廣泛之使用者的權限。然後,為每個特殊的使用者群組建立角色指派原則,並調整這些角色指派原則以授與它們限制性更多或更少的權限。當您使用此方式組織角色指派原則時,可透過只明確地將角色指派原則指派給特殊的使用者,而大多數使用者則獲得預設角色指派原則所提供的較常用權限,因而降低複雜度。

信箱只能有一個角色指派原則。包括系統管理員和專家使用者在內的所有使用者,都會被指派一個角色指派原則。如果您希望使用者擁有一組不同的權限,必須為該使用者的信箱指派具有所需權限的另一個角色指派原則。

回到頁首

角色指派原則管理

若要新增角色指派原則,請先建立一個角色指派原則,然後決定它是否應為預設角色指派原則。在您建立角色指派原則之後,請將管理角色指派到角色指派原則,然後將角色指派原則指派到信箱。您可在稍後選擇新增或移除管理角色,或選擇不同的角色指派原則作為預設值。

下表列出角色指派原則層以及您可用於管理每一層的程序主題。

角色指派原則管理主題

角色指派原則模型層 管理主題

信箱

建立信箱

變更信箱的指派原則

角色指派原則

新增指派原則

移除指派原則

變更預設指派原則

管理角色及指派

將角色新增至指派原則

移除指派原則中的角色

管理角色項目

將角色項目新增至角色

變更角色項目

移除角色中的角色項目

注意事項附註:
在角色指派原則的管理角色內變更管理角色項目是進階工作,且在大多數情況下通常不需要如此做。您可以改用符合您需求的既有管理角色。如需詳細資訊,請參閱內建角色群組

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。