本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

安全群組建立與成員資格的角色

 

適用版本:Exchange Server 2013

上次修改主題的時間:2015-03-09

Security Group Creation and Membership 管理角色可讓系統管理員建立和管理組織中的萬用安全性群組 (USG) 及其成員資格。

如果您的組織維持應用角色的存取控制 (RBAC) 分割權限模式,其中建立和管理 USG 的群組與管理執行 Exchange 之伺服器的群組不相同,請指派此角色給該群組。

如果您的組織已啟用Active Directory分割權限,已移除所有非委派管理角色指派給此管理角色。啟用Active Directory分割權限時,僅使用Active Directory管理工具的Active Directory系統管理員可以建立新的安全性主體例如使用者和安全性群組。

如需詳細資訊,請參閱了解分割權限

此管理角色是 Microsoft Exchange Server 2013 中,角色型存取控制 (RBAC) 權限模型的其中一個內建角色。指派給一或多個管理角色群組、管理角色指派原則、使用者或萬用資訊安全群組 (USG) 的管理角色,會作為 Cmdlet 或指令碼的邏輯群組,合併後可提供檢視或修改 Exchange 2013 元件 (例如信箱資料庫、傳輸規則和收件者) 組態的存取權。如果 Cmdlet 或指令碼及其參數 (合稱管理角色項目) 包含在角色中,則該 Cmdlet 或指令碼及其參數可以由指派的角色執行。如需管理角色和管理角色項目的詳細資訊,請參閱了解管理角色

如需管理角色、管理角色群組和其他 RBAC 元件的詳細資訊,請參閱了解角色型存取控制

若要讓此角色授予權限,即必須將角色指派給角色受託人,給角色受託人可以是角色群組、使用者或萬用資訊安全群組 (USG)。這項指派是運用管理角色指派完成。角色指派會連結角色受託人與角色。如果指派多個角色給一個角色受託人,則會授與角色受託人所指派全部角色授與的所有權限組合。

除了連結角色受託人與角色之外,角色指派還可以套用自訂或內建管理範圍。管理範圍可控制角色受託人可以修改哪些收件者、伺服器和資料庫物件。如果將此角色指派給角色受託人,但管理範圍僅允許角色受託人根據定義的範圍管理某些物件,則角色受託人只能使用此角色針對這些特定物件所授予的權限。此角色提供的權限無法套用至角色指派所定義範圍以外的物件。如需角色指派和範圍的詳細資訊,請參閱下列主題:

根據預設,此角色會指派給一或多個角色群組。如需相關資訊,請參閱本主題稍後的<預設管理角色指派>一節。

如果您要檢視指派給此角色的角色群組、使用者或 USG 的清單,請使用下列命令。

Get-ManagementRoleAssignment -Role "<role name>"

可以使用一般或委派角色指派將此角色指派給角色受託人。一般角色指派會將角色提供的權限授與角色受託人。委派角色指派則會授與角色受託人,將角色指派給其他角色受託人的能力。如需一般和委派角色指派的詳細資訊,請參閱了解管理角色指派

您可以變更獲指派這個角色的角色受託人。變更指派有此角色的角色受託人,就可以變更獲授予其權限的人。您可以將此角色指派給其他內建角色群組,或者建立角色群組並將此角色指派給這些群組。您也可以指派此角色給使用者或 USG。不過,建議您在將角色指派給使用者和 USG 時有所限制,因爲這類指派可能大幅增加權限模型的複雜度。

若要將此角色指派給角色受託人,必須使用委派角色指派,將角色指派給您所屬的角色群組、直接指派給您,或是您所屬的 USG。如需委派角色指派的詳細資訊,請參閱<一般和委派角色指派>一節。

您還可以從內建角色群組、您建立的角色群組、使用者和 USG 移除此角色。不過,此角色與角色群組或 USG 之間,至少一定要有一個委派角色指派。您無法刪除最後一個委派角色指派。這項限制有助於防止您將自己鎖在系統外。

重要事項重要事項:
此角色與角色群組或 USG 之間,至少一定要有一個委派角色指派。如果最後一個委派角色指派是給予使用者,則無法移除與此角色相關聯的最後一個指派。

如需如何在此角色與角色群組、使用者和 USG 之間新增或移除指派的詳細資訊,請參閱下列主題:

您也可以變更此角色與角色受託人之間現有角色指派上的管理範圍。變更角色指派的範圍,即可控制能使用此角色所提供權限進行管理的物件。變更角色指派的範圍時,有幾種選擇。您可執行下列其中一項動作:

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增新的自訂範圍。如需相關資訊,請參閱下列主題:

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增或變更組織單位範圍。如需詳細資訊,請參閱變更角色指派

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增或變更預先定義的範圍。如需詳細資訊,請參閱變更角色指派

  • 使用 Set-ManagementScope Cmdlet 變更與角色指派相關聯之自訂範圍內的收件者、伺服器或資料庫範圍。如需詳細資訊,請參閱角色範圍變更

透過啟用或停用角色指派,即可控制該角色指派是否應生效。如果停用角色指派,則相關聯角色授與的權限不會套用至角色受託人。如此可方便您暫時移除權限,而不刪除角色指派。如需詳細資訊,請參閱變更角色指派

這個角色具有一或多個角色受託人的角色指派。下表指出角色指派為一般或委派,同時指出套用至每個指派的管理範圍。下列清單說明每個資料行:

  • 一般指派   一般角色指派可讓角色受託人存取此角色上的管理角色項目提供的權限。

  • 委派指派   委派角色指派可讓角色受託人將此角色指派給角色群組、使用者或 USG。

  • 收件者讀取範圍   收件者讀取範圍決定角色受託人可從 Active Directory 讀取的收件者物件。

  • 收件者寫入範圍   收件者寫入範圍決定角色受託人可在 Active Directory 中修改的收件者物件。

  • 組態讀取範圍   組態讀取範圍決定角色受託人可從 Active Directory 讀取的組態和伺服器物件。

  • 組態寫入範圍   組態寫入範圍決定角色受託人可在 Active Directory 中修改的組態和伺服器物件。

此角色的預設管理角色指派

角色群組 一般指派 委派指派 收件者讀取範圍 收件者寫入範圍 組態讀取範圍 組態寫入範圍

組織管理

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

此角色已設定為對角色受託人提供所有必要的 Cmdlet 及參數,以便管理本主題開頭所列的功能和元件。另外也已提供其他角色,以便管理其他功能。透過在角色群組中新增和移除角色,您就可以建立自訂的權限模型,而不需要自訂個別管理角色。如需完整的角色清單,請參閱 內建管理角色。如需自訂角色群組的詳細資訊,請參閱 管理角色群組

如果您決定要建立此角色的自訂版本,則必須建立此角色的子角色,然後自訂這個新角色。

注意注意:
以下資訊可讓您執行進階的權限管理。自訂管理角色可能會大幅增加權限模型的複雜度。如果您以設定不正確的自訂角色取代內建管理角色,可能導致某些功能停止運作。

以下是建立自訂角色並將其指派給角色受託人時最常用的步驟:

  1. 建立此角色的複本。如需詳細資訊,請參閱建立角色

  2. 使用 Set-ManagementRoleEntryRemove-ManagementRoleEntry Cmdlet 變更或移除新角色上的角色項目。您無法新增其他角色項目至新角色,因爲新角色只能包含內建上層角色上的角色項目。如需相關資訊,請參閱下列主題:

  3. 如果您要以此自訂的新角色取代內建角色,請移除與內建角色相關聯的任何角色指派。如需相關資訊,請參閱下列主題:

  4. 將自訂的新角色新增至所需的角色受託人。如需相關資訊,請參閱下列主題:

    • 管理角色群組 中的「新增角色至角色群組或移除其中的角色」一節

    • 將角色新增至使用者或 USG

      重要事項重要事項:
      如果除了建立角色的使用者以外,您要讓其他使用者也能指派新的自訂角色,務必將「委派角色指派」的權限新增到至少一位角色受託人。如需詳細資訊,請參閱委派角色指派
 
顯示: