了解獨佔範圍
適用於:Exchange Server 2013
專屬範圍 是一種特殊類型的明確管理範圍,可與管理角色指派相關聯。 專屬範圍的設計目的是要讓您擁有一組極有價值的物件,例如 CEO 信箱,而且您想要緊密控制誰有權管理這些物件。
具有獨佔範圍的角色指派稱為[獨佔角色指派]。
當您建立獨佔範圍時,只有獲指派該專屬範圍或對等獨佔範圍的人員可以修改符合範圍的物件。 未指派該獨佔範圍或對等角色指派者無法修改符合範圍的物件,即使其本身的角色具有範圍,否則會包含物件。 獨佔範圍會覆寫任何其他非獨佔的一般範圍。 此行為類似于 ACL) 函式 (Active Directory 存取控制清單上的拒絕存取控制專案 (ACE) 。
對 等的獨佔範圍 是指另一個與另一個獨佔範圍符合一些相同物件的獨佔範圍。 範圍不需要符合相同的完整物件集。 這兩個範圍都可以修改部分或全部符合它們的物件。
建立獨佔範圍
獨佔範圍可以像任何其他明確範圍一樣建立。 您可以指定預先建置的相對範圍;收件者、資料庫或伺服器篩選;或資料庫或伺服器清單。 不同于在您將範圍與管理角色指派產生關聯之前不會生效的一般範圍,專屬範圍的拒絕層面會立即生效。 這表示一旦建立獨佔範圍,任何使用者都無法立即存取該範圍內包含的物件,直到建立角色指派為止。
建立指派之後,專屬範圍會提供指派管理角色和範圍的存取權。 如果另一個對等的獨佔範圍符合相同的物件,則與該專屬範圍相關聯的角色指派仍然可以存取物件。
如需管理範圍篩選的相關資訊,請參閱了解管理角色範圍篩選器。
重要事項
當對任何管理角色元件 (包括獨佔範圍) 進行變更時,Active Directory 複寫時間應予以考慮。
如果您有包含在多個獨佔範圍內的物件,則指派給任何一個獨佔範圍可讓您存取物件。 如需詳細資訊,請參閱本主題稍後的獨佔和一般範圍互動。
專屬範圍只會控制角色指派的明確收件者或設定寫入範圍。 指派給使用者或群組的角色隱含收件者或設定讀取範圍仍然適用。 這表示適用下列各項:
- 指派的角色繼續查看符合角色隱含讀取範圍的物件。
- 如果其他角色的讀取範圍包含 物件,則指派的其他角色可能可以看到包含在獨佔範圍內的物件。 不過,物件只能由獲指派與獨佔範圍相關聯之角色的人員修改。
專屬範圍只能與系統管理或專家角色搭配使用,不能與使用者角色搭配使用。 如需角色的詳細資訊,請 參閱瞭解管理角色。
獨佔和定期領域互動
本節結尾的圖表說明專屬範圍如何彼此互動,以及與一般範圍互動。 圖中的使用者都有下列相關聯的屬性。
| 使用者 | 城市 | 標題 | 部門 |
|---|---|---|---|
| 泰 瑞 | 溫哥華 | 會計 | 帳戶 |
| 大衛 | 溫哥華 | 作家 | 行銷 |
| 沃爾特 | 溫哥華 | 管理員 | 行銷 |
| 百勝 | 溫哥華 | Ceo | 看板 |
| 克莉 絲 汀 | 溫哥華 | 總統 | 看板 |
| 又倫 | 溫哥華 | Cfo | 高管 |
| 馬丁 | 溫哥華 | Cio | 高管 |
| 金 | 溫哥華 | 營運副總經理 | 高管 |
| 詹妮弗 | 溫哥華 | 技術副總經理 | 高管 |
下圖中的下列三個管理角色指派會管理上表中的使用者。 每個都有相關聯的範圍,其中有些是獨佔範圍。
| 角色指派 | 範圍篩選器 | 獨佔或一般 |
|---|---|---|
| 收件者系統管理員 | 城市 = 溫哥華 | 標準 |
| VIP 系統管理員 | 職稱 = CEO 或 CFO 或 CIO 或總經理 | 獨家 |
| 行政人員系統管理員 | 部門 = 行政 | 獨家 |
[收件者系統管理員] 角色指派具有符合所有使用者的範圍,因為每個使用者都位在[布建] 中。 沒有任何獨佔範圍,這表示收件者系統管理員角色指派可以管理任何使用者。 不過,此組織已建立兩個獨佔範圍:VIP 系統管理員和執行管理員。 這些獨佔範圍會限制誰可以管理符合其各自範圍篩選準則的使用者。 VIP 系統管理員角色指派具有範圍篩選準則,可比對具有 CEO、CFO、CIO 或長職稱的任何使用者。 執行系統管理員角色指派的範圍篩選準則符合主管部門中的任何使用者。
評估一般範圍和獨佔範圍時,其結果如下:
[收件者系統管理員] 角色指派可以管理使用者,並且管理使用者,並管理 David 和 David。 此角色指派無法管理任何其他使用者,因為他們符合 VIP 系統管理員和執行管理員角色指派的獨佔範圍篩選準則。
VIP 系統管理員角色指派可以管理使用者 Bob、接著、Bob 和 Martin。 這是因為與此角色指派相關聯的獨佔範圍篩選準則符合這些物件上的屬性。 此角色指派無法管理使用者,因為其屬性不符合此專屬範圍。
執行系統管理員角色指派可以管理使用者Kim、此身分、項、項及以下專案。 這是因為與此角色指派相關聯的獨佔範圍篩選準則符合這些物件上的屬性。 此角色指派無法管理使用者 Bob 和消費者,因為他們的屬性不符合此專屬範圍。
請注意,這兩個專屬範圍都可存取Fred 和 Martin。 這是因為這些使用者上的屬性符合這兩個獨佔範圍的篩選準則。
.jpg "獨佔和一般範圍互動")
如需管理範圍的相關資訊,請參閱了解管理角色範圍。