Descripción de las asignaciones de roles de administraciónUnderstanding management role assignments

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Una asignación de funciones de administración, que forma parte del modelo de permisos de control de acceso basado en roles (RBAC) de Microsoft Exchange Server 2013, es el vínculo entre una función de administración y un usuario al que se asigna un rol.A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. Un usuario al que se asigna una función es un grupo de funciones, una directiva de asignación de funciones, un usuario o un grupo de seguridad universal (USG).A role assignee is a role group, role assignment policy, user, or universal security group (USG). Una función debe estar asignada a un usuario al que se le asigna una función para que surta efecto.A role must be assigned to a role assignee for it to take effect. Para obtener más información acerca RBAC, consulte Descripción del control de acceso basado en funciones.For more information about RBAC, see Understanding Role Based Access Control.

Nota

Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2013, como usar el Panel de control de Exchange (EAC) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Permisos.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Este tema presenta la asignación de funciones a los grupos de funciones y las directivas de asignación de funciones, y la asignación de funciones directas a usuarios y grupos de seguridad universal. No se trata de la asignación de grupos de funciones o de directivas de asignación de funciones a usuarios. Para obtener más información sobre los grupos de funciones y las directivas de asignación de funciones, que son la forma recomendada para asignar permisos a usuarios, consulte los siguientes temas:This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

Puede crear los siguientes tipos de asignaciones de funciones, que se explican detalladamente más adelante en este tema:You can create the following types of role assignments, which are explained in detail later in this topic:

  • Regular and delegating role assignmentsRegular and delegating role assignments

  • Exclusive role assignmentsExclusive role assignments

Administración de asignaciones de rolesManaging role assignments

Cuando cambia las asignaciones de funciones, los cambios que realice, probablemente, sean entre los grupos de funciones y las directivas de asignación de funciones. Si se agregan, se quitan o se modifican asignaciones de funciones de los usuarios a los que se asigna una función, puede controlar qué permisos se otorgan a los administradores y usuarios al activar o desactivar la administración de características relacionadas.When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

También es posible que desee asignar funciones directamente a los usuarios o grupos de seguridad universal. Esta es una tarea más avanzada que le permite definir, en un nivel granular, qué permisos se otorgan a los usuarios. Aunque esto proporciona flexibilidad, también aumenta la complejidad del modelo de permisos. Por ejemplo, si el usuario cambia de trabajo, es posible que deba reasignar a otro usuario, de manera manual, las funciones que estaban asignadas a ese usuario. Es por ello que se recomienda utilizar grupos de funciones y directivas de asignación de funciones para otorgar permisos a los usuarios. Puede asignar las funciones a un grupo de funciones o a una directiva de asignación de funciones y, a continuación, simplemente, agregar o quitar miembros del grupo de funciones o cambiar las directivas de asignación de funciones según sea necesario.You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

Es posible agregar, quitar y habilitar asignaciones de funciones, modificar el ámbito de administración de una asignación de funciones existente y mover las asignaciones de funciones a otros usuarios a los que se asigna una función. Este proceso de asignación de funciones a grupos de funciones, directivas de asignación de funciones, usuarios y grupos de seguridad universal es, en su mayoría, igual para todos los usuarios a los que se asigna una función. Las únicas excepciones son las siguientes:You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • Las directivas de asignación de funciones solo se pueden asignar a funciones de administración de usuarios finales.Role assignment policies can only be assigned end-user management roles.

  • A las directivas de asignación de funciones no se les puede asignar asignaciones de funciones de delegación.Role assignment policies can't be assigned delegating role assignments.

  • No puede especificar el ámbito de administración cuando crea una asignación de funciones para directivas de asignación de funciones.You can't specify a management scope when creating a role assignment to role assignment policies.

Para obtener más información sobre cómo administrar asignaciones de funciones, consulte los siguientes temas:For more information about managing role assignments, see the following topics:

Asignaciones de roles normales y de delegaciónRegular and delegating role assignments

Las asignaciones de funciones normales permiten que el usuario al que se asigna una función acceda a entradas de funciones de administración que la función de administración asociada puso a disposición. Si un usuario al que se asigna una función tiene asignadas varias funciones de administración, se agregan y aplican las entradas de funciones de administración de cada función de administración. Esto significa que si un usuario al que se asignan funciones tiene asignadas las funciones de reglas de transporte y funciones de registro en diario, las funciones se combinan y se dan al usuario al que se asigna una función todas las entradas de funciones de administración asociadas. Si el usuario al que se asigna una función es un grupo de funciones o una directiva de asignación de funciones, los permisos provistos por las funciones son otorgados a los usuarios asignados al grupo de funciones o a la directiva de asignación de funciones. Para obtener más información sobre las funciones de administración y las entradas de funciones, consulte Descripción de los roles de administración.Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. For more information about management roles and role entries, see Understanding management roles.

Las asignaciones de funciones de delegación no proporcionan acceso para administrar las características. Las asignaciones de funciones de delegación permiten que un usuario al que se asigna una función asigne la función especificada a otros usuarios. Si el usuario al que se asigna una función es un grupo de funciones, cualquier miembro del grupo puede asignar la función a otro usuario al que se asigna una función. De manera predeterminada, solamente el grupo de funciones de administración de la organización puede asignar funciones a otros usuarios a los que se asigna una función. De forma predeterminada, solamente el usuario que instaló Exchange 2013 es miembro del grupo de funciones de administración de la organización. Sin embargo, si es necesario, se puede agregar otros usuarios a este grupo de funciones o crear otros grupos de funciones y asignar asignaciones de funciones de delegación a esos grupos.Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

Nota

Las asignaciones de funciones de delegación permiten que los usuarios a los que se asigna una función deleguen funciones de administración a otros usuarios. Esto no permite a los usuarios delegar grupos de funciones. Para obtener más información acerca de la delegación de los grupos de funciones, consulte Descripción de los grupos de roles de administración.Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

Si desea que un usuario pueda administrar una característica y asignar a otros usuarios una función que otorgue permisos para usar la característica, asigne lo siguiente:If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. Una asignación de funciones normal para cada función de administración que otorga acceso a las características que deben administrarse.A regular role assignment for each management role that grants access to the features that need to be managed.

  2. Una asignación de funciones de delegación para cada función de administración que usted permite asignar a otros usuarios a los que se asigna una función.A delegating role assignment for each management role that you allow to be assigned to other role assignees.

No es necesario que las asignaciones de funciones normales y de delegación para un usuario al que se asigna una función sean idénticas. Por ejemplo, un usuario es un miembro de un grupo de funciones asignado a la función reglas de transporte mediante una asignación de funciones normal. Esto permite al usuario administrar la característica de reglas de transporte. Sin embargo, el usuario no tiene asignada una asignación de funciones de delegación para la función regla de transporte, por lo que no puede asignar esta función a otros usuarios. No obstante, el usuario es un miembro del grupo al cual se le asignó la función de administración de registro en diario mediante una asignación de funciones de delegación. El grupo de funciones al cual pertenece el usuario no tiene una asignación de funciones normal para la función de registro en diario, pero, dado que tiene una asignación de funciones de delegación, el usuario puede asignar la función a otros usuarios a los que se les asignan funciones.The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

Ámbitos de administraciónManagement scopes

Cuando crea una asignación de funciones de administración normales o de delegación, tiene la opción de crear la asignación con un ámbito de administración para limitar los objetos que puedan ser manipulados por el usuario. Puede crear ámbitos de destinatarios o ámbitos de configuración. Los ámbitos de destinatarios el permiten controlar quién puede manipular buzones de correo, usuarios de corro, grupos de distribución y demás. Los ámbitos de configuración le permiten controlar quién puede manipular bases de datos y servidores.When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

Los ámbitos de destinatarios y de configuración le permiten segmentar la administración de objetos del servidor, la base de datos o los destinatarios de la organización.Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. Por ejemplo, se puede agregar un ámbito de destinatario a una asignación de rol de modo que los administradores de Vancouver solamente puedan administrar destinatarios en la misma oficina.For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. Se podría agregar un ámbito de configuración de servidor a una asignación de roles diferente para que los administradores de Sídney solo puedan administrar servidores en su sitio de Active Directory.A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

Los ámbitos permiten asignar permisos a grupos de usuarios y permiten determinar el lugar en que los administradores pueden realizar su tarea de administración. Esto permite crear un modelo de permisos que asigne los límites geográficos u organizacionales.Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

Puede crear una asignación con un ámbito predefinido o puede agregar un ámbito personalizado a la asignación. Los ámbitos predefinidos, como el limitar a un usuario solamente a su buzón o grupos de distribución, se pueden aplicar con las opciones disponibles en la misma asignación. También puede crear un ámbito de configuración o destinatario personalizado y, a continuación, agregar ese ámbito a una asignación de roles. Los ámbitos personalizados le otorgan mayor granularidad de los objetos incluidos en el ámbito.You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

No se puede especificar ámbitos predefinidos y personalizados en la misma asignación. Tampoco se pueden mezclar ámbitos exclusivos y normales en la misma asignación.You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

Todas las asignaciones de roles solamente pueden tener un ámbito de destinatario y u ámbito de configuración. Si desea aplicar más de un ámbito de destinatario o un ámbito de configuración a una asignación de roles para el mismo rol de administración, debe crear varias asignaciones de roles.Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

Con un ámbito personalizado o predefinido, las asignaciones de roles están limitadas a los ámbitos de destinatario y de configuración definidos en el rol. Estos ámbitos se denominan ámbitos implícitos. Cualquier asignación de roles que no tenga un ámbito predefinido o personalizado, heredará los ámbitos implícitos del rol al que está asociada.With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

Para obtener más información sobre los ámbitos, consulte Descripción de los ámbitos de roles de administración.For more information about scopes, see Understanding management role scopes.

Asignaciones de roles exclusivosExclusive role assignments

Las asignaciones de funciones exclusivas se crean cuando asocia un ámbito exclusivo con una asignación de funciones. Los ámbitos exclusivos funcionan como los ámbitos normales y permiten que los usuarios a los que se asigna una función administren destinatarios que coincidan con el ámbito exclusivo. Sin embargo, a diferencia de los ámbitos normales, los demás los usuarios a los que se asigna una función no pueden administrar el destinatario, incluso, si éste coincide con los ámbitos aplicados a sus asignaciones de funciones. Puede ser útil cuando desea establecer un límite de quién puede administrar un destinatario solamente para algunos administradores. Solo administradores específicos pueden administrar el destinatario, y se le niega el acceso a todos los otros destinatarios.Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

Por ejemplo, considere lo siguiente:For example, consider the following:

  • Juan es un ejecutivo de Contoso. Su buzón coincide con un ámbito exclusivo llamado Usuarios VIP, que está asociado con la asignación exclusiva VIP restringidos.John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • Su buzón también está incluido en un ámbito normal llamado Usuarios Redmond, que está asociado con la asignación normal de Administración Redmond.John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Federico es un administrador que está asociado con la asignación exclusiva VIP restringido.Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Andrés es un administrador que está asociado con la asignación normal Administración Redmond.Chris is an administrator who is associated with the Redmond Administration regular assignment.

Debido a que el buzón de Juan coincide con el ámbito exclusivo Usuarios VIP, solo Federico puede administrar su buzón.Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Aunque el buzón de Juan también coincide con el ámbito normal Usuarios Redmond, Andrés no está asociado con la asignación exclusiva VIP restringido.Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Por lo tanto, Exchange deniega a Chris la capacidad de administrar el buzón de John.Therefore, Exchange denies Chris the ability to manage John's mailbox. Como Andrés administra el buzón de Juan, Andrés necesita tener una asignación exclusiva que tenga un ámbito exclusivo que coincida con el buzón de Juan.For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

Para obtener más información, vea Descripción de los ámbitos exclusivos.For more information, see Understanding exclusive scopes.