Descripción del control de acceso basado en funcionesUnderstanding Role Based Access Control

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Role Based Access Control (RBAC) es el modelo de permisos de Microsoft Exchange Server 2013. Con RBAC no necesitará modificar ni administrar las listas de control de acceso, como sucedía en Exchange Server 2007. Las listas de control de acceso dificultaban el uso de Exchange 2007, pues había que modificarlas sin causar resultados no deseados, había que mantener dichas modificaciones en las actualizaciones posteriores y había que solucionar los problemas que pudieran surgir al no utilizarlas de la forma habitual.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

RBAC permite controlar lo que los administradores y los usuarios finales pueden hacer, ya sea de un modo general o pormenorizado, así como alinear más exactamente los roles que se asignan a usuarios y administradores con los verdaderos roles que éstos desempeñan dentro de la organización. En Exchange 2007, el modelo de permisos de servidor se aplicaba solamente a los administradores encargados de la infraestructura de Exchange 2007. Sin embargo, en Exchange 2013 RBAC controla tanto las tareas administrativas que se pueden llevar a cabo como las posibilidades que tienen los usuarios de administrar su propio buzón y grupos de distribución.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

Mediante RBAC se pueden asignar permisos a los usuarios de una organización de dos formas distintas, en función de si el usuario es administrador o usuario experto, o bien usuario final: grupos de roles de administración y directivas de asignación de roles de administración. Cada método asocia a los usuarios con los permisos que necesitan para realizar su trabajo. También se puede usar un tercer método más avanzado: la asignación directa de roles de usuario. En las siguientes secciones de este tema se describe RBAC con ejemplos sobre el modo de usarlo.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Nota

Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2013, como usar el Panel de control de Exchange (EAC) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Permisos.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Grupos de roles de administraciónManagement role groups

Los grupos de roles de administración asocian los roles de administración a un grupo de administradores o usuarios especialistas.Management role groups associate management roles to a group of administrators or specialist users. Los administradores gestionan una amplia organización de Exchange o de configuración de destinatarios.Administrators manage a broad Exchange organization or recipient configuration. Los usuarios especialistas administran las características específicas de Exchange, como la conformidad.Specialist users manage the specific features of Exchange, such as compliance. Estos últimos pueden tener una capacidad de administración limitada, como los miembros del departamento de soporte técnico, pero en cualquier caso no disfrutarán de derechos administrativos globales.Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Los grupos de funciones normalmente están relacionados con funciones de administración pública que permiten que los administradores y los usuarios especialistas administren la configuración de su organización y destinatarios.Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. Por ejemplo, con los grupos de funciones se controla si los administradores pueden administrar a los destinatarios o utilizar características de detección de buzones.For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

La forma más común de asignar permisos a administradores o usuarios especialistas consiste en agregar usuarios a los grupos de roles o quitarlos. Para obtener más información, consulte Descripción de los grupos de roles de administración.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Los grupos de roles constan de los siguientes componentes, que definen lo que los administradores y usuarios especialistas pueden llevar a cabo:Role groups consist of the following components that define what administrators and specialist users can do:

  • Grupo de roles de administración: el grupo de roles de administración es un grupo de seguridad universal (USG) especial que contiene buzones de correo, usuarios, USG y otros grupos de roles que son miembros del grupo de roles.Management role group: The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. Aquí es donde se agregan y quitan miembros, y también adonde se asignan los roles de administración.This is where you add and remove members, and it's also what management roles are assigned to. La combinación de todos los roles de un grupo de roles define todo lo que los usuarios agregaron a un grupo de roles de la organización Exchange.The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Rolde administración: un rol de administración es un contenedor para una agrupación de entradas de funciones de administración.Management role: A management role is a container for a grouping of management role entries. Los roles se usan para definir las tareas específicas que pueden realizar los miembros de un grupo de roles asignados a un rol.Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. Una entrada de rol de administración es un cmdlet, un script o un permiso especial que permite realizar todas y cada una de las tareas que tiene un rol.A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. Para obtener más información, consulte Descripción de los roles de administración.For more information, see Understanding management roles.

  • Asignación de roles de administración: una asignación de roles de administración vincula un rol y un grupo de roles.Management role assignment: A management role assignment links a role and a role group. La asignación de un rol a un grupo de roles permite que los miembros de dicho grupo usen los cmdlets y los parámetros definidos en el rol.Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Las asignaciones de roles pueden usar ámbitos de administración para controlar dónde se puede usar la asignación.Role assignments can use management scopes to control where the assignment can be used. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.For more information, see Understanding management role assignments.

  • Ámbito de función de administración: un ámbito de función de administración es el ámbito de influencia o impacto en una asignación de roles.Management role scope: A management role scope is the scope of influence or impact on a role assignment. Cuando un rol se asigna con un ámbito a un grupo de roles, el ámbito de administración define qué objetos puede administrar esa asignación.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. A continuación, los miembros del grupo de roles reciben la asignación y su ámbito, los cuales restringen lo que estos miembros pueden administrar.The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. Un ámbito puede estar formado por una lista de servidores o bases de datos, unidades organizativas o filtros en servidores, bases de datos u objetos de destinatario.A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. Para obtener más información, consulte Descripción de los ámbitos de roles de administración.For more information, see Understanding management role scopes.

Al agregar un usuario a un grupo de roles, aquél obtiene todos los roles que dicho grupo tiene asignados. Si hay ámbitos aplicados a cualquier asignación de roles entre el grupo de roles y los roles, dichos ámbitos establecerán la configuración de servidor o los destinatarios que el usuario podrá administrar.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

En caso de que desee cambiar los roles que se han asignado a los grupos de roles, deberá cambiar las asignaciones que vinculan los grupos con los roles. De todas formas, no será necesario modificar estas asignaciones a menos que las creadas en Exchange 2013 no se ajusten a sus necesidades. Para obtener más información, vea Descripción de las asignaciones de funciones de administración.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Para obtener más información acerca de los grupos de roles, consulte Descripción de los grupos de roles de administración.For more information about role groups, see Understanding management role groups.

Directivas de asignación de roles de administraciónManagement role assignment policies

Las directivas de asignación de roles de administración asocian los roles de administración de usuarios finales a los usuarios. Estas directivas constan de roles que controlan lo que un usuario puede hacer con su buzón o sus grupos de distribución. Estos roles no permiten la administración de características que no estén directamente asociadas con el usuario. Cuando se crea una directiva de asignación de roles, se define todo lo que un usuario puede hacer con el buzón. Por ejemplo, una directiva de asignación de funciones puede permitir que un usuario establezca el nombre para mostrar, configure el correo de voz y las reglas de la bandeja de entrada. Otra directiva de asignación de funciones puede permitir que un usuario cambie la dirección, utilice la mensajería de texto y configure los grupos de distribución. De forma predeterminada, cada usuario que tenga un buzón de correo de Exchange 2013, incluidos los administradores, tiene una directiva de asignación de roles. Puede decidir la directiva de asignación de roles que se aplica de forma predeterminada, elegir el contenido de la directiva de asignación de roles predeterminada, anular la directiva predeterminada en algunos buzones de correo o no asignar ninguna directiva de asignación de roles predeterminada.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

El modo más habitual de administrar los permisos para que los usuarios administren las opciones de su propio buzón y grupos de distribución es asignando un usuario a una directiva de asignación. Para obtener más información, consulte Descripción de las directivas de asignación de roles de administración.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Las directivas de asignación de roles constan de los siguientes componentes, que definen lo que los usuarios pueden hacer con sus buzones. Observe que algunos de estos componentes se aplican también a grupos de roles. Cuando se usan con las directivas de asignaciones de roles, tales componentes son limitados para que los usuarios administren únicamente su propio buzón:Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Directiva de asignación de funciones de administración: la Directiva de asignación de funciones de administración es un objeto especial de Exchange 2013.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. Los usuarios se asocian a la directiva de asignación de roles al crear sus buzones o si se cambia la directiva de asignación de roles en un buzón.Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. También es a ella a la que se asignan los roles de administración de los usuarios finales.This is also what you assign end-user management roles to. La combinación de todos los roles en una directiva de asignación de roles define todo lo que puede administrar un usuario en su buzón o grupo de distribución.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Rolde administración: un rol de administración es un contenedor para una agrupación de entradas de funciones de administración.Management role: A management role is a container for a grouping of management role entries. Los roles se usan para definir tareas específicas que un usuario puede realizar con su buzón o sus grupos de distribución.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. Una entrada de rol de administración es un cmdlet, un script o un permiso especial que permite realizar todas y cada una de las tareas específicas que tiene un rol de administración.A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. Sólo se pueden usar roles de usuario final con directivas de asignación de roles.You can only use end-user roles with role assignment policies. Para obtener más información, consulte Descripción de los roles de administración.For more information, see Understanding management roles.

  • Asignación de roles de administración: una asignación de roles de administración es el vínculo entre una función y una directiva de asignación de roles.Management role assignment: A management role assignment is the link between a role and a role assignment policy. La asignación de un rol a una directiva de asignación de roles garantiza la posibilidad de usar cmdlets y parámetros definidos en dicho rol.Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. Cuando se crea una asignación de roles entre una directiva de asignación de roles y un rol, no se puede especificar ningún ámbito.When you create a role assignment between a role assignment policy and a role, you can't specify any scope. El ámbito que aplica la asignación es Self o MyGALbien.The scope applied by the assignment is either Self or MyGAL. El ámbito de todas las asignaciones de roles se reduce al buzón o a los grupos de distribución del usuario.All role assignments are scoped to the user's mailbox or distribution groups. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.For more information, see Understanding management role assignments.

En caso de que desee cambiar los roles que se han asignado a las directivas de asignación de roles, deberá cambiar las asignaciones de roles que vinculan las directivas de asignación a roles. De todas formas, no será necesario modificar estas asignaciones a menos que las creadas en Exchange 2013 no se ajusten a sus necesidades. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Para obtener más información, consulte Descripción de las directivas de asignación de roles de administración.For more information, see Understanding management role assignment policies.

Asignación directa de roles de usuarioDirect user role assignment

La asignación directa de roles es un método avanzado mediante el cual se asignan roles de administración directamente a un usuario o grupo de seguridad universal sin usar un grupo de roles ni una directiva de asignación de roles. Las asignaciones directas de roles pueden resultar útiles cuando se debe proporcionar un conjunto de permisos pormenorizado a un usuario en concreto y no a otros. sin embargo, el uso de las asignaciones de funciones directas puede aumentar significativamente la complejidad de su modelo de permisos. Si un usuario cambia de puesto de trabajo o deja la empresa, tendrá que eliminar manualmente las asignaciones y agregarlas al nuevo empleado. Por lo tanto, se recomienda usar los grupos de roles para asignar permisos a los administradores y usuarios especialistas, y las directivas de asignación de roles para asignar permisos a los usuarios.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Para obtener más información sobre la asignación directa de usuarios, consulte Descripción de las asignaciones de funciones de administración.For more information about direct user assignment, see Understanding management role assignments.

Resumen y ejemplosSummary and examples

La siguiente ilustración muestra los componentes de RBAC y el modo en que se combinan entre sí:The following figure shows the components in RBAC and how they fit together:

  • Grupos de roles:Role groups:

    • Uno o más administradores pueden ser miembros de un grupo de roles. También pueden ser miembros de más de un grupo de roles.One or more administrators can be members of a role group. They can also be members of more than one role group.

    • El grupo de roles se asigna a una o más asignaciones de roles. Y éstas vinculan el grupo de roles con uno o varios roles administrativos que definen las tareas que se pueden llevar a cabo.The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Las asignaciones de roles pueden contener ámbitos de administración que definen dónde pueden realizar acciones los usuarios del grupo de roles. Los ámbitos determinan qué aspectos de la configuración pueden modificar los usuarios del grupo de roles.The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Directivas de asignación de roles:Role assignment policies:

    • Uno o varios usuarios se pueden asociar a una directiva de asignación de roles.One or more users can be associated with a role assignment policy.

    • La directiva de asignación de roles se asocia a una o varias asignaciones de roles. Y éstas vinculan la directiva de asignación de roles a uno o varios roles de usuario final. Los roles de usuario final definen lo que el usuario puede configurar en su buzón.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Las asignaciones de roles entre las directivas de asignación de roles y los roles cuentan con ámbitos integrados que acotan el ámbito de las asignaciones al buzón o los grupos de distribución del usuario.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Asignación directa de roles (avanzada):Direct role assignment (advanced):

    • Se puede crear una asignación de roles directamente entre un usuario o grupo de seguridad universal y uno o varios roles. El rol define las tareas que el usuario o grupo de seguridad universal puede realizar.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Las asignaciones de roles pueden contener ámbitos de administración que definen dónde puede realizar acciones el usuario o el grupo de seguridad universal. Los ámbitos determinan qué aspectos de la configuración puede modificar el usuario o el grupo de seguridad universal.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Información general sobre RBACRBAC overview

![Relaciones de componentes de RBAC] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "Relaciones de componentes de RBAC")RBAC component relationships

Como se muestra en la figura anterior, la mayoría de los componentes de RBAC están relacionados entre sí. El modo en que cada componente se agrupa es lo que define los permisos que se aplican a cada administrador o usuario. Los siguientes ejemplos ofrecen más contexto sobre el modo en que los grupos de roles y las directivas de asignación de roles se usan en una organización.As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Julia, la administradoraJane the Administrator

Julia es administradora de Contoso, una mediana empresa. Como tal, se encarga de administrar los destinatarios de la compañía en su oficina de Vancouver. Cuando el modelo de permisos de Contoso se creó, se designó a Julia como miembro del grupo de roles personalizado Recipient Management - Vancouver. El grupo de roles personalizado Recipient Management - Vancouver es el que más se parece a las tareas que ella desempeña en su trabajo, como crear y eliminar destinatarios (p. ej. buzones y contactos), administrar la pertenencia a los grupos de distribución y las propiedades de los buzones, etc.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

Aparte del grupo de roles personalizado Recipient Management - Vancouver, Julia también precisa de una directiva de asignación de roles para administrar las opciones de configuración de su propio buzón. Los administradores de la compañía han decidido que todos los usuarios, excepto los más altos cargos, reciban los mismos permisos al administrar sus propios buzones. Así, pueden configurar el correo de voz, establecer directivas de retención y cambiar la información de dirección. La directiva de asignación de roles predeterminada que se suministró con Exchange 2013 refleja ahora estos requisitos.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Nota

Habrá observado que como Julia es miembro del grupo de roles personalizado Recipient Management - Vancouver, tendrá permisos para administrar su propio buzón. Eso es cierto, pero el grupo de roles no le proporciona todos los permisos necesarios para administrar todas las características del buzón. Los permisos necesarios para administrar el correo de voz y la configuración de la directiva de retención quedan fuera del ámbito de su grupo de roles. Sólo podrá adquirirlos a través de la directiva de asignación de roles predeterminada que se le haya asignado.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Para hacer esto posible, considere el grupo de roles que proporciona los permisos administrativos de Julia sobre los destinatarios de Vancouver:To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Se creó un grupo de roles personalizado llamado Recipient Management - Vancouver. Cuando se creó, sucedió lo siguiente:A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. El grupo de roles se asignó a los mismos roles de administración que se asignaron al grupo de roles integrado Recipient Management. De esta forma, se otorgó a los usuarios agregados al grupo de roles personalizado Recipient Management - Vancouver los mismos permisos que los de los usuarios agregados al grupo de roles Recipient Management. Sin embargo, los siguientes pasos limitan dónde pueden hacer uso de tales permisos.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Se creó el ámbito de administración personalizado Destinatarios de Vancouver, que engloba únicamente a los destinatarios sitos en Vancouver. Y se hizo creando un ámbito que filtraba por ciudad del usuario o cualquier otra información única.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. El grupo de roles se creó con el ámbito de administración personalizado de Destinatarios de Vancouver. Esto quiere decir que, si bien los administradores agregados al grupo de roles personalizado Recipient Management - Vancouver disponían de plenos permisos de administración de destinatarios, solamente podían usar esos permisos con los destinatarios de Vancouver.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Para obtener más información acerca de la creación de grupos de roles personalizados, consulte Administrar grupos de roles.For more information about creating a custom role group, see Manage role groups.

  2. Julia se agrega como miembro del grupo de roles personalizado Recipient Management - Vancouver.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Para obtener más información acerca de agregar miembros de un grupo de roles, consulte Administrar miembros de grupos de roles.For more information about adding members to a role group, see Manage role group members.

A fin de que Julia pueda configurar su propio buzón, será necesario definir una directiva de asignación de roles con los permisos pertinentes.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. La directiva de asignación de roles predeterminada sirve para dar a los usuarios los permisos que necesitan para configurar su propio buzón.The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. Todos los roles de usuario final se quitan de la Directiva de asignación de roles predeterminada MyBaseOptions, MyContactInformationexcepto MyVoicemailpara: MyRetentionPolicies,, y.All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions se incluye porque este rol de administración proporciona la funcionalidad de usuario básica en Outlook Web App, como las reglas de la Bandeja de entrada, la configuración del calendario y otras tareas.MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

No es preciso hacer nada más, dado que Julia ya tiene asignada la directiva de asignación de roles predeterminada. Esto significa que los cambios efectuados en esa directiva de asignación de roles se aplicarán inmediatamente a su buzón, así como al resto de buzones asignados a dicha directiva.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Para obtener más información acerca de cómo personalizar la directiva de asignación de roles predeterminada, consulte Administrar directivas de asignación de funciones.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Fabricio, el especialistaJoe the Specialist

Fabricio trabaja para Contoso, la misma empresa que Julia. Se encarga de llevar a cabo detecciones legales, establecer directivas de retención y configurar las reglas de transporte y el registro en el diario de toda la organización. Al igual que ocurrió con Julia, cuando se creó el modelo de permisos de Contoso, Fabricio se agregó al grupo de roles que coincidía con su labor profesional. El grupo de roles Records Management provee a Fabricio de permisos para configurar las directivas de retención, el registro en diario y las reglas de transporte. El grupo de roles de Discovery Management le permite realizar búsquedas en el buzón.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Al igual que Julia, Fabricio también necesita permisos para administrar su propio buzón. Posee los mismo permisos que Julia: puede configurar su correo de voz y las directivas de retención y cambiar la información de dirección.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Para que Fabricio obtenga los permisos necesarios para poder desempeñar su trabajo, se le agrega a los grupos de roles Records Management y Discovery Management. No es necesario modificar los grupos de roles porque ya le suministran los permisos que necesita, mientras que los ámbitos de administración aplicados a tales grupos abarcan a toda la organización.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Para obtener más información sobre cómo añadir un usuario a un grupo de roles, consulte Administrar miembros de grupos de roles.For more information about adding a user to a role group, see Manage role group members.

El buzón de Fabricio tiene asignada la misma directiva de asignación de roles predeterminada que se aplicó al buzón de Julia. Gracias a ello, dispone de todos los permisos necesarios para administrar aquellas características de su buzón que puede administrar.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabel, la vicepresidentaIsabel the Vice President

Isabel es la vicepresidenta de marketing de Contoso. En tanto que miembro del cuerpo ejecutivo de Contoso, Isabel disfruta de más permisos que el usuario medio. entre ellos están los que le permiten administrar su buzón, salvo una excepción: en conformidad con la ley, Isabel no puede administrar sus propias directivas de retención. Puede configurar su buzón de voz; cambiar los datos de contacto y la información de perfil; crear y administrar sus propios grupos de distribución, y agregarse a grupos de distribución que son propiedad de otros, así como quitarse de ellos.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Por lo tanto, a Isabel se le conceden distintos permisos para su propio buzón. La mayoría de los usuarios de Contoso se asignan a la directiva de asignación de funciones predeterminada. Sin embargo, los altos ejecutivos se asignan a la directiva de asignación de roles del cuerpo ejecutivo. Para crear la directiva de asignación de roles personalizada, se realiza lo siguiente:So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Se crea una directiva de asignación de roles personalizada llamada Cuerpo ejecutivo.A custom role assignment policy called Senior Leadership is created. A la Directiva de asignación de roles MyBaseOptionsse MyContactInformationle MyVoicemailasignan MyDistributionGroupMembershiplos rolesMyDistributionGroups ,, MyProfileInformation, y.The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions se incluye porque es el rol que proporciona la funcionalidad de usuario básica en la Outlook Web App, como las reglas de la Bandeja de entrada, la configuración del calendario y otras tareas.MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. A continuación, a Isabel se le asigna manualmente la directiva de asignación de roles Cuerpo ejecutivo.Isabel is then manually assigned the Senior Leadership role assignment policy.

Ahora el buzón de Isabel tiene los permisos que reporta la directiva de asignación de roles Cuerpo ejecutivo. Cualquier cambio efectuado en esa directiva de asignación de roles se aplicará automáticamente a su buzón, así como al resto de buzones asignados a dicha directiva.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Más informaciónFor more information

Administrar directivas de asignación de funcionesManage role assignment policies

Cambiar la directiva de asignación en un buzónChange the assignment policy on a mailbox