了解管理角色指派原則
適用於:Exchange Server 2013
管理角色指派原則是一或多個使用者管理角色的集合,可讓使用者管理自己的Microsoft Exchange Server 2013 信箱和通訊群組設定。 角色指派原則是 Exchange 2013 中角色型存取控制 (RBAC) 許可權模型的一部分,可讓您控制終端使用者可以修改的特定信箱和通訊群組組態設定。 不同群組的使用者可以有特製化的角色指派原則。
注意事項
本主題著重于進階 RBAC 功能。 如果您想要管理基本的 Exchange 2013 許可權,例如使用 Exchange 系統管理中心 (EAC) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱 許可權。
如需有關 RBAC 的相關資訊,請參閱了解角色型存取控制。
角色指派原則層
以下清單說明構成角色指派原則模型的各種層:
信箱:將單一角色指派原則指派給信箱。 當信箱獲指派角色指派原則時,管理角色與角色指派原則之間的指派會套用至信箱。 這會授與信箱管理角色所提供的擁有權限。
管理角色指派原則: 管理角色指派原則 是 Exchange 2013 中的特殊物件。 建立使用者的信箱時,或您變更信箱上的角色指派原則時,使用者會與角色指派原則相關聯。 這也是您指派使用者管理角色的用途。 角色指派原則上所有角色的組合會定義使用者可在信箱或通訊群組上管理的所有專案。
管理角色指派: 管理角色指派 是管理角色與角色指派原則之間的連結。 將管理角色指派給角色指派原則會授與使用管理角色中所定義 Cmdlet 和參數的能力。 當您在角色指派原則和管理角色之間建立角色指派時,您無法指定任何範圍。 指派所套用的範圍是以管理角色為基礎,而且 為
Self或MyGAL。 如需詳細資訊,請 參閱瞭解管理角色指派。管理角色: 管理角色 是管理角色專案群組的容器。 角色可用來定義使用者可以使用信箱或通訊群組執行的特定工作。 管理角色專案是 Cmdlet、腳本或特殊許可權,可讓管理角色中的每個特定工作執行。 您只能搭配角色指派原則使用使用者管理角色。 如需詳細資訊,請 參閱瞭解管理角色。
管理角色專案:管理角色專案是管理角色上的個別專案,可決定管理角色和角色群組可用的 Cmdlet 和參數。 每個角色專案都包含單一 Cmdlet 以及可由管理角色存取的參數。
下圖顯示上述清單中的每個角色指派原則層,以及每個層如何與其他層相關。
.jpg "角色指派模型關聯性")
如需管理角色、角色指派和範圍的詳細資訊,請參閱了解角色型存取控制。
預設和明確角色指派原則
下列各節說明 Exchange 2013 中兩種類型的角色指派原則。
預設角色指派原則
預設角色指派原則是在建立信箱或移至執行 Exchange 2013 的伺服器時指派給信箱的指派原則,而且未使用New-Mailbox或Enable-Mailbox Cmdlet 上的RoleAssignmentPolicy參數來提供角色指派原則。
Exchange 2013 包含預設的角色指派原則,可為使用者提供最常使用的許可權。 您可以藉由在預設角色指派原則中新增或移除管理角色,來變更預設角色指派原則的預設許可權。
如果您想要以自己的預設角色指派原則取代內建的預設角色指派原則,您可以使用 Set-RoleAssignmentPolicy Cmdlet 來選取新的預設值。 當您這樣做時,如果您未明確指定角色指派原則,系統會將您預設指定的角色指派原則指派給任何新的信箱。
當您變更預設角色指派原則時,指派預設角色指派原則的信箱不會自動指派新的預設角色指派原則。 如果您想要更新先前建立的信箱,以使用您已設定為預設的角色指派原則,您必須使用 Set-Mailbox Cmdlet 來執行此動作。
明確角色指派原則
明確的角色指派原則是您在New-Mailbox、Set-Mailbox或Enable-Mailbox Cmdlet 上使用RoleAssignmentPolicy參數手動指派給信箱的原則。 當您指派明確的角色指派原則時,新原則會立即生效,並取代先前指派的明確角色指派原則。
使用角色指派原則
角色指派原則可讓您根據使用者必須設定的商務需求,量身訂做許可權。 如果預設角色指派原則符合您的需求,您就不需要進行任何自訂。 不過,如果您有許多具有特殊需求的不同使用者群組,您可以為每個使用者建立角色指派原則。
您使用的預設角色指派原則應該包含套用至最廣泛使用者集合的許可權。 然後,為每個特製化使用者群組建立角色指派原則,並量身打造這些角色指派原則,以授與更多或較不嚴格的許可權。 當您以這種方式組織角色指派原則時,只要明確指派角色指派原則給特殊使用者,而大部分的使用者會收到預設角色指派原則所提供的較常見許可權,即可降低複雜度。
信箱只能有一個角色指派原則。 所有使用者,包括系統管理員和專家使用者,都會獲指派一個角色指派原則。 如果您希望使用者擁有一組不同的權限,必須為該使用者的信箱指派具有所需權限的另一個角色指派原則。
角色指派原則管理
若要新增角色指派原則,您必須先建立一個角色指派原則,並決定是否應為預設的角色指派原則。 建立角色指派原則之後,您會將管理角色指派給角色指派原則,然後將角色指派原則指派給信箱。 您可在稍後選擇新增或移除管理角色,或選擇不同的角色指派原則作為預設值。
下表列出角色指派原則層以及您可用於管理每一層的程序主題。
角色指派原則管理主題
| 角色指派原則模型層 | 管理主題 |
|---|---|
| 信箱 | 管理使用者信箱 變更在信箱上的指派原則 |
| 角色指派原則 | 管理角色指派原則 |
| 管理角色及指派 | 管理角色指派原則 |
| 管理角色項目 | 將角色項目新增至角色 變更的角色項目 從角色移除角色項目 注意:變更角色指派原則中管理角色中的管理角色專案是一項進階工作,在大部分情況下通常不需要。 相反地,您可以使用符合您需求的既存管理角色。 如需詳細資訊,請參閱 內建角色群組。 |