Descripción de las directivas de asignación de roles de administración

Se aplica a: Exchange Server 2013

Una directiva de asignación de roles de administración es una colección de uno o varios roles de administración de usuarios finales que permite a los usuarios finales administrar sus propias Microsoft Exchange Server configuración de grupos de distribución y buzones de correo de 2013. Las directivas de asignación de funciones, que son parte del modelo de permisos de control de acceso basado en funciones (RBAC) en Exchange 2013, le permiten controlar qué configuración de un buzón específico y un grupo de distribución podrán modificar los usuarios finales. Los diferentes grupos de usuarios pueden tener directivas de asignación de funciones especializadas.

Nota:

Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2013, como usar el Panel de control de Exchange (EAC) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Permisos.

Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.

Capas de directivas de asignación de roles

Las siguientes lista describe las capas que constituyen el modelo de directivas de asignación de roles:

  • Buzón: a los buzones se les asigna una única directiva de asignación de roles. Cuando se asigna una directiva de asignación de funciones a un buzón, se aplican al buzón las asignaciones entre funciones de administración y una directiva de asignación de funciones. Esto otorga al buzón todos los permisos proporcionados por las funciones de administración.

  • Directiva de asignación de roles de administración: la directiva de asignación de roles de administración es un objeto especial en Exchange 2013. Los usuarios se asocian con una directiva de asignación de funciones al crear sus buzones o si se cambia la directiva de asignación de funciones en un buzón. También es a lo que usted asigna funciones de administración de los usuarios finales. La combinación de todos los roles en una directiva de asignación de roles define todo lo que puede administrar un usuario en su buzón o grupo de distribución.

  • Asignación de roles de administración: una asignación de roles de administración es el vínculo entre un rol de administración y una directiva de asignación de roles. La asignación de una función de administración a una directiva de asignación de funciones garantiza la posibilidad de usar cmdlets y parámetros definidos en la función de administración. Cuando crea una asignación de funciones entre una directiva de asignación de funciones y una función de administración, no puede especificar ningún ámbito. El ámbito aplicado por la asignación se basa en el rol de administración y es o SelfMyGAL. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.

  • Rol de administración: un rol de administración es un contenedor para una agrupación de entradas de rol de administración. Las funciones se usan para definir tareas específicas que un usuario puede realizar en su buzón o en sus grupos de distribución. Una entrada de función de administración es un cmdlet, un script o un permiso especial que permite que se realice cada tarea específica en una función de administración. Solo se pueden usar funciones de administración de usuario final con directivas de asignación de funciones. Para obtener más información, consulte Descripción de los roles de administración.

  • Entrada de rol de administración: las entradas de rol de administración son las entradas individuales de un rol de administración que determinan qué cmdlets y parámetros están disponibles para el rol de administración y el grupo de roles. Cada entrada de función consiste en un único cmdlet y los parámetros a los que se puede tener acceso mediante la función de administración.

La siguiente figura muestra cada capa de directiva de asignación de funciones de la lista anterior y cómo cada una de las capas se relaciona con la otra.

Relaciones del modelo de asignación de roles.

Para obtener más información acerca de las funciones de administración, las asignaciones de funciones y los ámbitos, consulte Descripción del control de acceso basado en funciones.

Directivas de asignación de roles predeterminadas y explícitas

Las siguientes secciones describen los dos clases de directivas de asignación de funciones en Exchange 2013.

Directiva de asignación de funciones predeterminada

Una directiva de asignación de roles predeterminada es una asignada a un buzón cuando se crea o mueve el buzón a un servidor que ejecuta Exchange 2013, y no se proporcionó una directiva de asignación de roles mediante el parámetro RoleAssignmentPolicy en los cmdlets New-Mailbox o Enable-Mailbox .

Exchange 2013 incluye una directiva de asignación de funciones predeterminada que otorga a los usuarios los permisos usados con más frecuencia. Es posible agregar o eliminar funciones de administración para modificar los permisos predeterminados de la directiva de asignación de funciones.

Si desea sustituir la directiva de asignación de funciones predeterminada con su propia directiva de asignación de funciones predeterminada, puede usar el cmdlet Set-RoleAssignmentPolicy para seleccionarla. Cuando hace esto, si no especifica una directiva de asignación de funciones, todos los buzones nuevos se asignan a la directiva de asignación de funciones que especificó como predeterminada.

Al cambiar la directiva de asignación de funciones predeterminada, los buzones asignados a ésta no se asignan de manera automática a la nueva directiva de asignación de funciones predeterminada. Si desea actualizar los buzones creados anteriormente para que usen la directiva de asignación de funciones que estableció como predeterminada, debe usar el cmdlet Set-Mailbox.

Directiva de asignación de funciones explícita

Una directiva de asignación de funciones es una directiva que asigna a un buzón en forma manual con el parámetro RoleAssignmentPolicy de los cmdlets New-Mailbox, Set-Mailbox o Enable-Mailbox. Al asignar una directiva de asignación de funciones explícita, la nueva directiva se aplica inmediatamente y sustituye a la directiva de asignación de funciones explícita anterior.

Uso directivas de asignación de roles

Las directivas de asignación de roles le permiten diseñar permisos según sus necesidades comerciales y lo que necesita que puedan configurar sus usuarios. Si la directiva de asignación de funciones cumple con sus necesidades, no precisa realizar ninguna personalización. Sin embargo, si tiene muchos grupos de usuarios diferentes con necesidades especializadas, puede crear directivas de asignación de funciones para cada uno de ellos.

La directiva de asignación de funciones predeterminada que use, debe contener permisos que se apliquen a la mayor cantidad de usuarios posible. A continuación, cree directivas de asignación de funciones para cada grupo de usuarios especializados y personalícelas para garantizar a los usuarios más o menos permisos restrictivos. Cuando organiza las directivas de asignación de funciones de esta manera, reduce la complejidad al asignar directivas de asignación de funciones de manera explícita a los usuarios especializados, mientras que la mayoría de los usuarios reciben los permisos más comunes proporcionados por la directiva de asignación de funciones predeterminada.

Un buzón puede tener solamente una directiva de asignación de funciones. Todos los usuarios, incluidos los administradores y los usuarios especializados, tienen asignada una directiva de asignación de funciones. Si desea que un usuario tenga un conjunto de permisos diferente, debe asignar al buzón de ese usuario otra directiva de asignación de funciones con los permisos requeridos.

Administración de la directiva de asignación de roles

Para agregar una nueva directiva de asignación de funciones, primero debe crear una y decidir si será la directiva de asignación de funciones predeterminada. Después de crear una directiva de asignación de funciones, asigne funciones de administración a la directiva de asignación de funciones y, a continuación, asigne la directiva de asignación de funciones a un buzón. Posteriormente, podrá elegir si desea agregar o eliminar funciones de administración o seleccionar una directiva de asignación de funciones para que sea la predeterminada.

La siguiente tabla enumera la capa de directiva de asignación de funciones y los temas de procedimientos que puede usar para administrar cada capa.

Temas de administración de directivas de asignación de funciones

Capa de modelos de directivas de asignación de funciones Temas de administración
Mailbox Administrar los buzones de usuario

Cambiar la directiva de asignación en un buzón
Directiva de asignación de funciones Administrar directivas de asignación de funciones
Funciones de administración y asignaciones Administrar directivas de asignación de funciones
Entradas de funciones de administración Agregar una entrada de función a una función

Cambiar una entrada de función

Quitar una entrada de función de una función

Nota: Cambiar las entradas del rol de administración en los roles de administración en una directiva de asignación de roles es una tarea avanzada y, por lo general, no es necesaria en la mayoría de los casos. En cambio, es posible que pueda usar una función de administración preexistente que se adecue a sus requisitos. Para obtener más información, consulte Grupos de funciones integradas.