Descripción de los ámbitos de roles de administración
Se aplica a: Exchange Server 2010
Última modificación del tema: 2009-10-14
Los ámbitos de rol de administración permiten establecer el ámbito de impacto o influencia específico de un rol de administración cuando se crea una asignación de rol de administración. Cuando se aplica un ámbito, el usuario asignado a un rol solamente puede modificar los objetos contenidos en dicho ámbito. El usuario puede ser un grupo de roles de administración, un rol de administración, una directiva de rol de administración, un usuario o un grupo de seguridad universal (USG). Para obtener más información acerca de los roles de administración, consulte Descripción del control de acceso basado en funciones.
Todo rol de administración, ya sea integrado o personalizado, tiene ámbitos de administración. Los ámbitos de administración pueden ser:
- Normal El ámbito normal no es exclusivo. Éste determina dónde, en Active Directory, los usuarios asignados al rol de administración pueden ver o modificar los objetos. En general, el rol de administración indica qué se puede crear o modificar y el ámbito de rol de administración indica dónde se puede crear o modificar. Los ámbitos normales pueden ser implícitos o explícitos, ambos se tratarán en este tema.
- Exclusivo El ámbito exclusivo funciona casi de igual manera que el ámbito normal. La diferencia principal es que permite negar a los usuarios el acceso a objetos que se encuentren dentro del ámbito exclusivo si a los usuarios no se les asigna un rol asociado con el ámbito exclusivo. Todos los ámbitos exclusivos son ámbitos explícitos y se tratarán más adelante en este tema.
Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.
Los ámbitos se pueden heredar de un rol de administración, especificada como un ámbito relativo predefinido en una asignación de rol de administración, o se pueden crear mediante filtros personalizados y agregar a una asignación de rol de administración. Los ámbitos heredados de los roles de administración se llaman ámbitos implícitos y los ámbitos predefinidos y personalizados se llaman ámbitos explícitos. En las secciones siguientes se describe cada uno de los ámbitos:
- Ámbitos implícitos
- Ámbitos explícitos
- Ámbitos relativos predefinidos
- Ámbitos personalizados
Cada rol puede tener los siguientes tipos de ámbitos:
- Ámbito de lectura de destinatario El ámbito de lectura de destinatario implícito determina qué objetos de destinatario puede leer de Active Directory el usuario asignado a un rol de administración.
- Ámbito de escritura de destinatario El ámbito de escritura de destinatario implícito determina qué objetos de destinatario puede modificar de Active Directory el usuario asignado a un rol de administración.
- Ámbito de lectura de configuración El ámbito de lectura de configuración implícito determina qué objetos de configuración puede leer de Active Directory el usuario asignado a un rol de administración.
- Ámbito de escritura de configuración El ámbito de escritura de configuración determina qué objetos de organización y de servidor tiene permitido modificar en Active Directory el usuario al que se le asigna el rol de administración.
Los objetos de destinatario pueden ser buzones, grupos de distribución, usuarios habilitados para correo y otros objetos. Los objetos de configuración pueden ser servidores que ejecutan Microsoft Exchange Server 2010. Cada tipo de ámbito puede ser o implícito o explícito.
Ámbitos implícitos
Los ámbitos implícitos son ámbitos predeterminados que se aplican a un tipo de rol de administración. Como los ámbitos implícitos están asociados al tipo de rol de administración, todos los roles de administración principales y secundarios con mismo tipo de rol también tienen los mismos ámbitos implícitos. Los ámbitos implícitos se aplican tanto a los roles de administración integrados como a los personalizados. Para obtener más información acerca de los roles de administración y los tipos de roles de administración, consulte Descripción de las funciones de administración.
En la tabla siguiente se enumeran todos los ámbitos implícitos que se pueden definir en los roles de administración.
Ámbitos implícitos definidos en los roles de administración
| Ámbitos implícitos | Descripción |
|---|---|
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
|
Si Si Este ámbito se usa solo con ámbitos de lectura de destinatario. |
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
|
Si Si Este ámbito solo se usa con los ámbitos de lectura y escritura de configuración. |
|
Si |
Si se asigna un rol a un usuario y no se especifican ámbitos predefinidos o personalizados, los ámbitos implícitos definidos en el rol se usan para controlar los objetos de destinatario o de organización que el usuario puede ver o modificar.
En la siguiente tabla se enumeran todos los roles de administración integrados con sus ámbitos implícitos.
Ámbitos implícitos de los roles de administración integrados
| Rol de administración | Ámbito de lectura de destinatario | Ámbito de escritura de destinatario | Ámbito de lectura de configuración | Ámbito de escritura de configuración |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
El ámbito de escritura implícito de un rol siempre es igual o menor que el ámbito de lectura implícito. Esto significa que un rol nunca puede modificar los objetos que el ámbito no puede ver.
No puede cambiar los ámbitos implícitos definidos en los roles de administración. Sin embargo, se pueden invalidar el ámbito de escritura implícito y el ámbito de configuración en un rol de administración. Cuando se usa un ámbito relativo predefinido o un ámbito personalizado en una asignación de rol, se invalidan el ámbito de escritura implícito o el ámbito de configuración del rol y el nuevo ámbito adquiere prioridad. El ámbito de lectura implícito de un rol no se puede invalidar y siempre se aplica. Para obtener más información acerca de los ámbitos explícitos predefinidos o personalizados, consulte las secciones relacionadas que aparecen más adelante en este tema.
Ámbitos explícitos
Los ámbitos explícitos son ámbitos que se establecen para controlar qué objetos puede modificar un rol de administración. Mientras que los ámbitos implícitos se definen en un rol de administración, los ámbitos explícitos se definen en una asignación de rol de administración. Esto permite aplicar los ámbitos implícitos de manera coherente en todos los roles de administración a menos que decida usar un ámbito de invalidación explícito. Para obtener más información acerca de asignaciones de roles de administración, consulte Descripción de las asignaciones de funciones de administración.
Los ámbitos explícitos invalidan los ámbitos de escritura y de configuración implícitos de un rol de administración. Sin embargo, no invalidan el ámbito de lectura implícito de un rol de administración. El ámbito de lectura implícito define qué objetos puede leer el rol de administración.
Los ámbitos explícitos son útiles cuando el ámbito de escritura implícito de un rol de administración no satisface las necesidades de su empresa. Puede agregar un ámbito explícito para incluir casi cualquier cosa que desee, siempre y cuando el nuevo ámbito no sobrepase los límites del ámbito de lectura implícito. Para poder crear o modificar objetos, los cmdlets que forman parte de un rol de administración tienen que poder leer la información sobre los objetos o los contenedores que contienen objetos. Por ejemplo, si el ámbito de lectura implícito en un rol de administración está configurado en Self, no se puede agregar un ámbito de escritura explícito de Organization porque el ámbito de escritura explícito sobrepasa los límites del ámbito de lectura implícito.
En las siguientes secciones se describen los ámbitos relativos predefinidos y los ámbitos personalizados.
Ámbitos relativos predefinidos
Exchange 2010 incluye varios ámbitos de escritura relativos predefinidos que se pueden usar para modificar los ámbitos del rol de administración. Los ámbitos relativos predefinidos brindan una solución sencilla para satisfacer mejor las necesidades de su empresa sin tener que crear ámbitos personalizados en forma manual. Se llaman ámbitos relativos porque son relativos al usuario al que está asignada la asignación del rol de administración. Por ejemplo, el ámbito relativo predefinido Self restringe ese ámbito de escritura solo al usuario actual. El ámbito relativo predefinido MyDistributionGroups restringe el ámbito de escritura solo al grupo de distribución que tiene en usuario actual. Los ámbitos relativos predefinidos solo se pueden usar para objetos de ámbitos de destinatarios. Los ámbitos relativos predefinidos no se pueden usar para objetos de ámbitos de configuración. En la tabla siguiente se enumeran los ámbitos relativos predefinidos que puede usar.
Ámbitos relativos predefinidos
| Ámbitos implícitos | Descripción |
|---|---|
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
|
Si Si Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
Los ámbitos relativos predefinidos se aplican cuando crea una nueva asignación de rol de administración. Durante la creación de la asignación del rol, con el cmdlet New-ManagementRoleAssignment, puede especificar un ámbito relativo predefinido mediante el parámetro RecipientRelativeWriteScope. Cuando se crea la asignación del nuevo rol, el nuevo rol predefinido invalida el ámbito de escritura implícito del rol de administración.
Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito relativo predefinido, consulte Agregar una función a un usuario o grupo de seguridad universal.
Ámbitos personalizados
Los ámbitos personalizados son necesarios cuando ni los ámbitos de escritura implícitos ni los ámbitos relativos predefinidos satisfacen las necesidades de su empresa. Los ámbitos personalizados le permiten definir de manera individualizada en qué ámbito se aplicará su rol de administración. Por ejemplo, aplicarla a una unidad organizacional específica (OU), un tipo de destinatario específico o ambos.
Así como sucede con los ámbitos relativos predefinidos, los ámbitos personalizados invalidan los ámbitos de escritura y organización de configuración implícitos definidos por roles de administración. El ámbito de lectura implícito de los roles de administración se sigue aplicando; el ámbito personalizado resultante no debe superar los límites del ámbito de lectura implícito.
El ámbito personalizado más sencillo es un ámbito OU creado con el parámetro RecipientOrganizationalUnitScope en el cmdlet New-ManagementRoleAssignment . Al especificar un ámbito OU cuando se asigna un rol, el usuario asignado al rol puede modificar solamente los objetos de destinatario dentro de ese OU.
Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito OU, consulte Agregar una función a un usuario o grupo de seguridad universal.
También se pueden crear ámbitos personalizados más complejos e individualizados con el cmdlet New-ManagementScope. Con el cmdlet New-ManagementScope cmdlet, se pueden crear ámbitos de destinatario y configuración filtrados. Los ámbitos de destinatario filtrados usan filtros para destinatarios específicos según el tipo de destinatario y otras propiedades tales como departamento, gerente, ubicación, etc. Los ámbitos de configuración de filtrado usan filtros para servidores específicos basados en propiedades filtrables que se pueden definir en servidores tales como un sitio Active Directory o un rol del servidor.
Cuando crea un ámbito de destinatario o de configuración de filtrado, solo devuelven los objetos de destinatarios o de servidores que coinciden con sus respectivos ámbitos de filtrado. Cuando estos ámbitos se aplican a una asignación de rol mediante los cmdlets New-ManagementRoleAssignment oSet-ManagementRoleAssignment, los usuarios asignados al rol solo pueden modificar los objetos que coinciden con los filtros. Después de que se crea un ámbito personalizado, no puede cambiar el tipo de ámbito. Un ámbito de destinatario siempre será un ámbito de destinatario y un ámbito de configuración siempre será un ámbito de configuración.
De manera predeterminada, un ámbito personalizado habilita un usuario para que tenga acceso a un conjunto de objetos que coinciden con los filtros establecidos. Sin embargo, estos no excluyen de manera activa a otros usuarios que no tengan asignado el mismo ámbito o alguno equivalente. Cualquier ámbito personalizado puede tener acceso a los mismos objetos si los filtros de esos ámbitos coinciden con los mismos objetos. Quizá desea que esto no ocurra con algunos objetos, por ejemplo en el caso de los empleados de alta jerarquía, tales como los ejecutivos. En ese caso, puede definir ámbitos exclusivos para dichos objetos. Los ámbitos exclusivos usan filtros del mismo modo que los ámbitos normales, la diferencia radica en que los ámbitos exclusivos le niegan acceso a los objetos incluidos en el ámbito a cualquiera que no forme parte de es mismo ámbito o de uno equivalente. Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.
Para obtener más información
Descripción de filtros de ámbito de funciones de administración
Crear un ámbito regular o exclusivo
Cambiar el ámbito de una función
Cambiar el ámbito de asignaciones de funciones en un grupo de funciones