同盟共用角色

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2015-03-09

Federated Sharing 管理角色可讓系統管理員管理組織中的跨樹系和跨組織共用。

此管理角色是 Microsoft Exchange Server 2010 中,應用角色的存取控制 (RBAC) 權限模型的其中一個內建角色。指派給一或多個管理角色群組、管理角色指派原則、使用者或萬用安全性群組 (USG) 的管理角色,會做為 Cmdlet 或指令碼的邏輯分組,合併後可提供檢視或修改 Exchange 2010 元件 (例如信箱、傳輸規則和收件者) 組態的存取權。如果 Cmdlet 或指令碼及其參數 (合稱管理角色項目) 包含在角色中,則該 cmdlet 或指令碼及其參數可以由指派的角色執行。如需管理角色和管理角色項目的詳細資訊,請參閱了解管理角色

如需管理角色、管理角色群組和其他 RBAC 元件的詳細資訊,請參閱瞭解應用角色的存取控制

管理角色指派

若要讓此角色授與權限,則必須將角色指派給角色受託人,此指派者可以是角色群組、使用者或萬用安全性群組 (USG)。這項指派是使用管理角色指派完成。角色指派會連結角色受託人與角色。如果指派多個角色給角色受託人,則會授與角色受託人所指派全部角色授與的所有權限組合。

除了連結角色受託人與角色之外,角色指派還可以套用自訂或內建管理範圍。管理範圍可控制角色受託人可以修改哪些收件者、伺服器和資料庫物件。如果將此角色指派給角色受託人,但管理範圍僅允許角色受託人根據定義的範圍管理某些物件,則角色受託人只能使用此角色授與這些特定物件的權限。此角色提供的權限無法套用至角色指派上所定義範圍以外的物件。如需角色指派和範圍的詳細資訊,請參閱下列主題:

根據預設,此角色會指派給一或多個角色群組。如需相關資訊,請參閱本主題稍後的「預設管理角色指派」一節。

如果您要檢視指派給此角色的角色群組、使用者或 USG 的清單,請使用下列命令。

Get-ManagementRoleAssignment -Role "<role name>"

一般和委派角色指派

可以使用一般或委派角色指派將此角色指派給角色受託人。一般角色指派會將角色提供的權限授與角色受託人。委派角色指派則會授與角色受託人,將角色指派給其他角色受託人的能力。如需一般和委派角色指派的詳細資訊,請參閱了解管理角色指派

新增或移除角色指派

您可以變更獲指派這個角色的角色受託人。透過變更指派給此角色的角色受託人,您就可以變更獲授與其權限的人。您可以將此角色指派給其他內建角色群組,或者建立角色群組,並將此角色指派給這些群組。您也可以指派此角色給使用者或 USG。不過,建議您將角色指派限於使用者和 USG,因爲這類指派可能大幅增加權限模型的複雜度。

若要將此角色指派給角色受託人,必須使用委派角色指派將角色指派給您所屬的角色群組、直接指派給您,或是您所屬的 USG。如需委派角色指派的詳細資訊,請參閱<一般和委派角色指派>一節。

您還可以從內建角色群組、您建立的角色群組、使用者和 USG 移除此角色。不過,此角色與角色群組或 USG 之間,至少一定要有一個委派角色指派。您無法刪除最後一個委派角色指派。這項限制有助於防止您系統中的鎖定自己。

重要事項重要事項:
此角色與角色群組或 USG 之間,至少一定要有一個委派角色指派。如果最後一個是對使用者的指派,則無法移除與此角色相關聯的最後一個委派角色指派。

如需如何在此角色與角色群組、使用者和 USG 之間新增或移除指派的詳細資訊,請參閱下列主題:

變更角色指派的管理範圍

您也可以變更此角色與角色受託人之間現有角色指派上的管理範圍。透過變更角色指派的範圍,即可控制可以使用此角色所提供權限進行管理的物件。變更角色指派的範圍時,有幾種選擇。您可以執行下列其中一個動作:

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增新的自訂範圍。如需詳細資訊,請參閱以下主題:

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增或變更組織單位範圍。如需詳細資訊,請參閱變更角色指派

  • 使用 Set-ManagementRoleAssignment Cmdlet 新增或變更預先定義的範圍。如需詳細資訊,請參閱變更角色指派

  • 使用 Set-ManagementScope Cmdlet 變更與角色指派相關聯之自訂範圍內的收件者、伺服器或資料庫範圍。如需詳細資訊,請參閱變更角色範圍

啟用或停用角色指派

透過啟用或停用角色指派,即可控制該角色指派是否應生效。如果停用角色指派,則相關聯角色授與的權限不會套用至角色受託人。如此可方便您暫時移除權限,而不刪除角色指派。如需詳細資訊,請參閱變更角色指派

預設管理角色指派

這個角色具有一或多個角色受託人的角色指派。下表指出角色指派為一般或委派,同時指出套用至每個指派的管理範圍。下列清單說明每個資料行:

  • 一般指派   一般角色指派可讓角色受託人存取此角色上的管理角色項目提供的權限。

  • 委派指派   委派角色指派會給予角色受託人將此角色指派給角色群組、使用者或 USG 的能力。

  • 收件者讀取範圍   收件者讀取範圍決定角色受託人可從 Active Directory 讀取的收件者物件。

  • 收件者寫入範圍   收件者寫入範圍決定角色受託人可在 Active Directory 中修改的收件者物件。

  • 組態讀取範圍   組態讀取範圍決定角色受託人可從 Active Directory 讀取的組態和伺服器物件。

  • 組態寫入範圍   組態寫入範圍決定角色受託人可在 Active Directory 中修改的組態和伺服器物件。

此角色的預設管理角色指派

角色群組 一般指派 委派指派 收件者讀取範圍 收件者寫入範圍 組態讀取範圍 組態寫入範圍

組織管理

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

管理角色自訂

此角色已設定為對角色受託人提供所有必要的 Cmdlet 及其參數,以便管理本主題開頭所列的功能和元件。另外也已提供其他角色,以便管理其他功能。透過在角色群組中新增和移除角色,您就可以建立自訂的權限模型,而不需要自訂個別管理角色。如需完整的角色清單,請參閱內建管理角色。如需自訂群組群組的詳細資訊,請參閱下列主題:

如果您決定要建立此角色的自訂版本,則必須建立此角色的子角色,然後自訂這個新角色。

注意注意:
以下資訊可讓您執行進階的權限管理。自訂管理角色可能大幅增加權限模型的複雜度。如果您以設定不正確的自訂角色取代內建管理角色,則可能導致某些功能無法使用。

以下是建立自訂角色並將其指派給角色受託人時最常用的步驟:

  1. 使用 New-ManagementRole Cmdlet 建立此角色的副本。如需詳細資訊,請參閱建立角色

  2. 使用 Set-ManagementRoleEntryRemove-ManagementRoleEntry Cmdlet 變更或移除在新角色上的角色項目。您無法新增其他角色項目至新角色,因爲新角色只能包含內建父角色上的角色項目。如需詳細資訊,請參閱以下主題:

  3. 如果您要以此自訂的新角色取代內建角色,請使用 Remove-ManagementRoleAssignment Cmdlet 移除與內建角色相關聯的任何角色指派。如需詳細資訊,請參閱以下主題:

  4. 使用 New-ManagementRoleAssignment Cmdlet 將自訂的新角色新增至所需的角色受託人。如需詳細資訊,請參閱以下主題:

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。