Roles de administración integradosBuilt-in management roles

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Microsoft Exchange Server 2013 incluye muchas funciones de administración de forma predeterminada. Las siguientes funciones se asignan a los grupos de funciones de administración o directivas de asignación de funciones de administración en diversas combinaciones que conceden permisos para administrar y usar las características proporcionadas en Exchange 2013. Para obtener más información acerca de los roles, consulte Descripción de los roles de administración.Microsoft Exchange Server 2013 includes many management roles by default. The following roles are assigned to management role groups or management role assignment policies in various combinations that grant permissions to manage and use the features provided by Exchange 2013. For more information about roles, see Understanding management roles.

Rol Permisos de Active DirectoryActive Directory Permissions role

Rol Listas de direccionesAddress Lists role

Rol ApplicationImpersonationApplicationImpersonation role

Rol ArchiveApplicationArchiveApplication role

Rol Registros de auditoríaAudit Logs role

Rol Agentes de extensión de cmdletCmdlet Extension Agents role

Rol Prevención de pérdida de datosData Loss Prevention role

Rol Grupos de disponibilidad de base de datosDatabase Availability Groups role

Rol Copias de base de datosDatabase Copies role

Rol Bases de datosDatabases role

Rol Recuperación ante desastresDisaster Recovery role

Rol de grupos de distribuciónDistribution Groups role

Rol Suscripciones perimetralesEdge Subscriptions role

Rol Directivas de dirección de correo electrónicoE-Mail Address Policies role

Rol Conectores de ExchangeExchange Connectors role

Rol Certificados del servidor de ExchangeExchange Server Certificates role

Rol Servidores de ExchangeExchange Servers role

Rol Directorios virtuales de ExchangeExchange Virtual Directories role

Rol Uso compartido federadoFederated Sharing role

Rol Administración de derechos de informaciónInformation Rights Management role

Rol Registro en diarioJournaling role

Rol Retención legalLegal Hold role

Rol LegalHoldApplicationLegalHoldApplication role

Rol Carpetas públicas habilitadas para correoMail Enabled Public Folders role

Rol Creación de destinatarios de correoMail Recipient Creation role

Rol Destinatarios de correoMail Recipients role

Rol Sugerencias para correo electrónicoMail Tips role

Rol Importar/Exportar buzónMailbox Import Export role

Rol Búsqueda entre buzonesMailbox Search role

Rol MailboxSearchApplicationMailboxSearchApplication role

Rol Seguimiento de mensajesMessage Tracking role

Rol de migraciónMigration role

Rol SupervisiónMonitoring role

Rol Mover buzonesMove Mailboxes role

Rol Mis aplicaciones personalizadasMy Custom Apps role

Rol My Marketplace AppsMy Marketplace Apps role

Función MyAddressInformationMyAddressInformation role

Rol MyBaseOptionsMyBaseOptions role

Rol MyContactInformationMyContactInformation role

Rol MyDiagnosticsMyDiagnostics role

Función MyDisplayNameMyDisplayName role

Rol MyDistributionGroupMembershipMyDistributionGroupMembership role

Rol MyDistributionGroupsMyDistributionGroups role

Función MyMobileInformationMyMobileInformation role

Función minombreMyName role

Función MyPersonalInformationMyPersonalInformation role

Rol MyProfileInformationMyProfileInformation role

Rol MyRetentionPoliciesMyRetentionPolicies role

Rol MyTeamMailboxesMyTeamMailboxes role

Rol MyTextMessagingMyTextMessaging role

Rol MyVoiceMailMyVoiceMail role

Rol OfficeExtensionApplicationOfficeExtensionApplication role

Rol Aplicaciones personalizadas de la organizaciónOrg Custom Apps role

Rol de aplicaciones del mercado de la organizaciónOrg Marketplace Apps role

Rol Acceso de clientes de la organizaciónOrganization Client Access role

Rol Configuración de la organizaciónOrganization Configuration role

Rol Configuración de transporte de la organizaciónOrganization Transport Settings role

Rol Protocolos POP3 e IMAP4POP3 and IMAP4 Protocols role

Rol Carpetas públicasPublic Folders role

Rol Conectores de recepciónReceive Connectors role

Rol Directivas de destinatariosRecipient Policies role

Rol Dominios remotos y aceptadosRemote and Accepted Domains role

Rol Restablecer contraseñaReset Password role

Rol Administración de retencióntRetention Management rolet

Rol Administración de rolesRole Management role

Rol Pertenencia y Creación de grupos de seguridadSecurity Group Creation and Membership role

Rol Conectores de envíoSend Connectors role

Rol Diagnósticos de soporteSupport Diagnostics role

Rol Buzones de equipoTeam Mailboxes role

Rol TeamMailboxLifecycleApplicationTeamMailboxLifecycleApplication role

Rol Agentes de transporteTransport Agents role

Rol Higiene de transporteTransport Hygiene role

Rol Colas de transporteTransport Queues role

Rol Reglas de transporteTransport Rules role

Rol Buzones de mensajería unificadaUM Mailboxes role

Rol Mensajes de mensajería unificadaUM Prompts role

Rol Mensajería unificadaUnified Messaging role

Rol Administración de roles sin ámbitoUnscoped Role Management role

Rol Opciones de usuarioUser Options role

Rol UserApplicationUserApplication role

Rol Registros de auditoría con permiso de vistaView-Only Audit Logs role

Rol Configuración con permiso de vistaView-Only Configuration role

Rol Destinatarios con permiso de vistaView-Only Recipients role

Estos roles de administración son uno de varios roles integrados en el modelo de permisos de control de acceso basado en roles (RBAC) en Microsoft Exchange Server 2013.These management roles are one of several built-in roles in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Los roles de administración, que se asignan a uno o más grupos de roles de administración, directivas de asignación de roles de administración, usuarios o grupos de seguridad universal, actúan como la agrupación lógica de cmdlets o scripts que se combinan para proporcionar acceso a fin de ver o modificar la configuración de los componentes de Exchange 2013, como bases de datos de buzones, reglas de transporte y destinatarios.Management roles, which are assigned to one or more management role groups, management role assignment policies, users, or universal security groups (USG), act as a logical grouping of cmdlets or scripts that are combined to provide access to view or modify the configuration of Exchange 2013 components, such as mailbox databases, transport rules, and recipients. Si un cmdlet o un script y sus parámetros (que, en conjunto, se denominan entrada de rol de administración), se incluyen en un rol, el cmdlet o el script y sus parámetros pueden ser ejecutados por aquellos a los que se les asignó el rol.If a cmdlet or script and its parameters, together called a management role entry, are included on a role, that cmdlet or script and its parameters can be run by those assigned the role. Para obtener más información acerca de los roles de administración y las entradas de roles de administración, consulte Descripción de los roles de administración.For more information about management roles and management role entries, see Understanding management roles.

Para obtener más información acerca de los roles de administración, los grupos de roles de administración y otros componentes RBAC, consulte Descripción del control de acceso basado en funciones.For more information about management roles, management role groups, and other RBAC components, see Understanding Role Based Access Control.

Asignaciones de roles de administraciónManagement role assignments

Para que estos roles concedan permisos, debe asignarse a un usuario al que se asigna un rol, que puede ser un grupo de roles, un usuario o un grupo de seguridad universal (USG).For these roles to grant permissions, it must be assigned to a role assignee, which can be a role group, user, or universal security group (USG). Esta asignación se realiza mediante asignaciones de roles de administración.This assignment is done using management role assignments. Las asignaciones de roles vinculan los roles y los usuarios a los que se les asignan los roles.Role assignments link role assignees and roles together. Si se le asigna más de un rol a un usuario, este recibe la combinación de todos los permisos concedidos por todos los roles asignados.If more than one role is assigned to a role assignee, the role assignee is granted the combination of all the permissions granted by all the assigned roles.

Además de vincular usuarios a los que se les asignan roles, las asignaciones de roles pueden aplicar ámbitos de administración integrados o personalizados.In addition to linking role assignees to roles, role assignments can also apply custom or built-in management scopes. Los ámbitos de administración controlan qué destinatarios, servidores y objetos de base de datos pueden modificar los usuarios a los que se asigna una función.Management scopes control which recipient, server, and database objects can be modified by role assignees. Si estas funciones se asignan a un usuario al que se asigna una función, pero un ámbito de administración permite al usuario al que se asigna una función administrar solo determinados objetos en función de un ámbito definido, el usuario al que se asigna una función solo puede usar los permisos concedidos por estos roles en esos objetos específicos.If these roles are assigned to a role assignee, but a management scope allows the role assignee only to manage certain objects based on a defined scope, the role assignee can only use the permissions granted by these roles on those specific objects. Los permisos proporcionados por estos roles no se pueden aplicar a objetos fuera del ámbito definido en la asignación de roles.The permissions provided by these roles can't be applied to objects outside the scope defined on the role assignment. Para obtener más información acerca de las asignaciones de roles y los ámbitos, consulte los siguientes temas:For more information about role assignments and scopes, see the following topics:

Estos roles se asignan a uno o más grupos de roles de forma predeterminada.These roles are assigned to one or more role groups by default. Para obtener más información, consulte la sección "Asignaciones de roles de administración predeterminadas" más adelante en este tema.For more information, see the "Default Management Role Assignments" section later in this topic.

Si desea ver una lista de grupos de roles, usuarios o USG asignados a estos roles, use el siguiente comando.If you want to view a list of role groups, users, or USGs assigned to these roles, use the following command.

Get-ManagementRoleAssignment -Role "<role name>"

Asignaciones de roles normales y de delegaciónRegular and delegating role assignments

Estas funciones se pueden asignar a los usuarios a los que se les asignan funciones mediante asignaciones de roles normales o de delegación.These roles can be assigned to role assignees using either regular or delegating role assignments. Las asignaciones de roles normales otorgan los permisos proporcionados por el rol al usuario al que se asigna un rol.Regular role assignments grant the permissions provided by the role to the role assignee. Las asignaciones de roles otorgan al usuario al que se asigna un rol la capacidad de asignar roles a otros usuarios.Delegating role assignments grant the role assignee the ability to assign the role to other role assignees. Para obtener más información acerca de las asignaciones de roles normales y de delegación, consulte Descripción de las asignaciones de roles de administraciónDescripción de las asignaciones de funciones de administración.For more information about regular and delegating role assignments, see Understanding management role assignments.

Agregar o quitar asignaciones de rolesAdding or removing role assignments

Puede cambiar los usuarios a los que se asignan estos roles.You can change which role assignees are assigned these roles. Al cambiar el usuario al que se le asignan estos roles, se cambia a quién se conceden los permisos.By changing which role assignee is assigned these roles, you change who is granted its permissions. Puede asignar estos roles a otros grupos de roles integrados o puede crear grupos de roles y asignarles estos roles.You can assign these roles to other built-in role groups, or you can create role groups and assign these roles to them. También puede asignar estos roles a usuarios o USG.You can also assign these roles to users or USGs. Sin embargo, recomendamos que limite la asignación de roles a los usuarios y grupos de seguridad universal, ya que este tipo de asignaciones puede aumentar significativamente la complejidad del modelo de permisos.However, we recommend that you limit assignment of roles to users and USGs because such assignments can greatly increase the complexity of your permissions model.

Para asignar estas funciones a los usuarios a los que se asigna un rol, el rol debe asignarse a un grupo de roles del que es miembro, directamente a usted o a un grupo de seguridad de seguridad de los que es miembro, mediante una asignación de roles de delegación.To assign these roles to role assignees, the role must be assigned to a role group you're a member of, directly to you, or to a USG you're a member of, using a delegating role assignment. Para obtener más información sobre asignaciones de roles de delegación, consulte la sección "Asignaciones de roles normales y de delegación".For more information about delegating role assignments, see the "Regular and Delegating Role Assignments" section.

También puede quitar estos roles de grupos de roles integrados, grupos de roles que cree, usuarios y grupos de seguridad universal.You can also remove these roles from built-in role groups, role groups you create, users, and USGs. Sin embargo, siempre debe haber al menos una asignación de roles de delegación entre estas funciones y un grupo de roles o grupo de seguridad general.However, there must always be at least one delegating role assignment between these roles and a role group or USG. No es posible eliminar la última asignación de roles de delegación.You can't delete the last delegating role assignment. Esta limitación ayuda a evitar que se bloquee su propio acceso al sistema.This limitation helps prevent you from locking yourself out of the system.

Importante

Debe haber al menos una asignación de roles de delegación entre estas funciones y un grupo de roles o grupo de seguridad general.There must be at least one delegating role assignment between these roles and a role group or USG. No puede quitar la última asignación de roles de delegación asociada a estos roles si la última asignación es a un usuario.You can't remove the last delegating role assignment associated with these roles if the last assignment is to a user.

Para obtener más información acerca de cómo agregar o quitar asignaciones entre estos roles y grupos de roles, usuarios y grupos de seguridad universal, vea los siguientes temas:For more information about how to add or remove assignments between these roles and role groups, users, and USGs, see the following topics:

Modificación de ámbitos de administración en las asignaciones de rolesChanging the management scopes on role assignments

También puede cambiar los ámbitos de administración de las asignaciones de funciones existentes entre estos roles y los usuarios a los que se asigna una función.You can also change the management scopes on existing role assignments between these roles and role assignees. Al cambiar los ámbitos de las asignaciones de roles, se controlan los objetos que se pueden administrar con los permisos proporcionados por estos roles.By changing the scopes on role assignments, you control what objects can be managed using the permissions provided by these roles. Hay varias opciones disponibles al cambiar el ámbito en una asignación de roles.You have several choices when changing the scope on a role assignment. Puede hacer uno de los pasos siguientes:You can do one of the following:

Habilitación y deshabilitación de asignaciones de rolesEnabling or disabling role assignments

Al habilitar o deshabilitar una asignación de roles, puede controlar si una asignación de roles debe tener vigencia. Si una asignación de roles está deshabilitada, los permisos otorgados por el rol asociado no se aplican al usuario al que se asigna el rol. Esto es útil si quiere quitar temporalmente los permisos sin eliminar una asignación de roles. Para obtener más información, consulte Cambiar una asignación de rolModificar una asignación de roles.By enabling or disabling a role assignment, you control whether that role assignment should be in effect. If a role assignment is disabled, the permissions granted by the associated role aren't applied to the role assignee. This is convenient if you want to temporarily remove permissions without deleting a role assignment. For more information, see Change a role assignment.

Personalización de roles de administraciónManagement role customization

Estas funciones se han configurado para proporcionar a un usuario al que se asigna un rol todos los cmdlets y parámetros necesarios para administrar las características y los componentes enumerados al principio de este tema.These roles have been configured to provide a role assignee with all necessary cmdlets and parameters to manage the features and components listed at the beginning of this topic. También se han proporcionado otros roles para habilitar la administración de otras características.Other roles have also been provided to enable management of other features. Al agregar y quitar roles de los grupos de roles, es posible crear un modelo de permisos personalizado sin necesidad de personalizar roles de administración individuales.By adding and removing roles to and from role groups, you can create a customized permissions model without the need to customize individual management roles. Para obtener una lista completa de los roles, consulte Roles de administración integrados.For a complete list of roles, see Built-in management roles. Para obtener más información acerca de la creación de grupos de roles, consulte Administrar grupos de roles.For more information about customizing role groups, see Manage role groups.

Si decide que necesita crear una versión personalizada de estos roles, debe crear una función como elemento secundario de estos roles y personalizar la nueva función.If you decide that you need to create a customized version of these roles, you must create a role as a child of these roles, and customize the new role.

Advertencia

Si decide que es necesario crear una versión personalizada de este rol, debe crear un rol secundario para este rol y personalizar el nuevo rol. The following information enables you to perform advanced management of permissions. Customizing management roles can significantly increase the complexity of your permissions model. You could cause certain features to stop functioning if you replace a built-in management role with an incorrectly configured custom role.

La siguiente información permite administrar los permisos de manera avanzada. La personalización de los roles de administración puede aumentar significativamente la complejidad de su modelo de permisos. Si reemplaza un rol de administración integrado por un rol personalizado configurado incorrectamente, es posible que ciertas características detengan su funcionamiento. The following are the most common steps to create a customized role and assign it to a role assignee:

  1. Cree una copia de un rol.Create a copy of a role. Para obtener más información, consulte Crear un rol.For more information, see Create a role.

  2. Cambiar o quitar las entradas de rol en el nuevo rol mediante los cmdlets Set-ManagementRoleEntry y Remove-ManagementRoleEntry. No es posible agregar otras entradas de rol al nuevo rol porque solamente puede contener las entradas de rol en el rol integrado principal. Para obtener más información al respecto, consulte los temas siguientes:Change or remove the role entries on the new role using the Set-ManagementRoleEntry and Remove-ManagementRoleEntry cmdlets. You can't add additional role entries to the new role because it can only contain the role entries on the parent built-in role. For more information, see the following topics:

  3. Remove a Role Entry from a RoleIf you want to replace the built-in role with this new customized role, remove any role assignments associated with the built-in role. For more information, see the following topics:

  4. Añadir el nuevo rol personalizado a los encargados del rol requerido. Para obtener más información al respecto, consulte los temas siguientes:Add the new customized role to the required role assignees. For more information, see the following topics: