Informazioni sugli ambiti del ruolo di gestione
Si applica a: Exchange Server 2013
Gli ambiti dei ruoli di gestione consentono di definire lo specifico ambito di impatto o influenza di un ruolo di gestione quando viene creata un'assegnazione dei ruoli di gestione. Quando si applica un ambito, l'assegnatario dei ruoli può modificare solo gli oggetti contenuti all'interno di quell'ambito. Un assegnatario dei ruoli può indicare un gruppo dei ruoli di gestione, un ruolo di gestione, un criterio di assegnazione dei ruoli di gestione, un utente o un gruppo di protezione universale. Per ulteriori informazioni sui ruoli di gestione, vedere Controllo di accesso basato sui ruoli.
Nota
Questo argomento è incentrato sulla funzionalità RBAC avanzata. Per gestire le autorizzazioni di base di Exchange 2013, ad esempio l'uso dell'interfaccia di amministrazione di Exchange (EAC) per aggiungere e rimuovere membri da e verso gruppi di ruoli, creare e modificare gruppi di ruoli o creare e modificare i criteri di assegnazione dei ruoli, vedere Autorizzazioni.
Ogni ruolo di gestione, che sia incorporato o personalizzato, dispone di ambiti di gestione. Gli ambiti di gestione possono essere:
Normale: un ambito regolare non è esclusivo. Determina dove, in Active Directory, gli oggetti possono essere visualizzati o modificati dagli utenti a cui è stato assegnato il ruolo di gestione. In generale, un ruolo di gestione indica gli elementi che è possibile creare o modificare, mentre l'ambito di un ruolo di gestione indica la posizione in cui è possibile eseguire le operazioni di creazione o modifica. Gli ambiti regolari possono essere ambiti impliciti o espliciti, entrambi descritti più avanti in questo argomento.
Esclusivo: un ambito esclusivo si comporta quasi allo stesso modo di un ambito normale. L'unica differenza è che gli ambiti esclusivi consentono di negare agli utenti l'accesso agli oggetti contenuti all'interno dell'ambito, in quanto quegli utenti non sono assegnati a un ruolo associato all'ambito esclusivo. Tutti gli ambiti esclusivi sono espliciti, descritti più avanti in questo argomento.
Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sui ambiti esclusivi.
Gli ambiti possono essere ereditati dal ruolo di gestione, specificati come ambito relativo predefinito per un'assegnazione dei ruoli di gestione o creati utilizzando i filtri personalizzati e aggiunti a un'assegnazione dei ruoli di gestione. Gli ambiti ereditati dai ruoli di gestione vengono denominati ambiti impliciti, mentre quelli predefiniti e personalizzati vengono denominati ambiti espliciti. Nelle sezioni seguenti vengono descritti tutti i tipi di ambito:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Ogni ruolo può disporre dei seguenti tipi di ambiti:
- Ambito di lettura del destinatario: l'ambito di lettura implicita del destinatario determina gli oggetti destinatario che l'utente a cui è stato assegnato il ruolo di gestione può leggere da Active Directory.
- Ambito di scrittura del destinatario: l'ambito di scrittura implicito del destinatario determina gli oggetti destinatario che l'utente a cui è stato assegnato il ruolo di gestione può modificare in Active Directory.
- Ambito di lettura della configurazione: l'ambito di lettura della configurazione implicita determina gli oggetti di configurazione che l'utente ha assegnato al ruolo di gestione può leggere da Active Directory.
- Ambito di scrittura della configurazione: l'ambito di scrittura della configurazione implicita determina gli oggetti aziendali, di database e server che l'utente a cui è stato assegnato il ruolo di gestione può modificare in Active Directory.
Gli oggetti destinatario comprendono le cassette postali, i gruppi di distribuzione, gli utenti abilitati alla posta e altri oggetti. Gli oggetti di configurazione includono server che eseguono Microsoft Exchange Server 2013 e database che si trovano nei server che eseguono Exchange. Ogni tipo di ambito può essere implicito o esplicito.
Ambiti impliciti
Gli ambiti impliciti indicano gli ambiti predefiniti che si applicano a un tipo di ruolo di gestione. Siccome gli ambiti impliciti vengono associati a un tipo di ruolo di gestione, tutti i ruoli di gestione padre e figlio con lo stesso tipo di ruolo dispongono anche degli stessi ambiti impliciti. Gli ambiti impliciti si applicano ai ruoli di gestione incorporati e a quelli personalizzati. Per altre informazioni sui ruoli di gestione e sui tipi di ruolo di gestione, vedere Informazioni sui ruoli di gestione.
Nelle tabelle seguenti vengono elencati tutti gli ambiti impliciti definibili per i ruoli di gestione.
Ambiti impliciti definiti per i ruoli di gestione
| Ambiti impliciti | Descrizione |
|---|---|
Organization |
Se Organization è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può creare o modificare oggetti destinatario nell'organizzazione di Exchange. Se Organization è presente nell'ambito di lettura del destinatario del ruolo, i ruoli possono visualizzare qualsiasi oggetto destinatario nell'organizzazione di Exchange. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
MyGAL |
Se MyGAL è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale dell'utente corrente. Se MyGAL è presente nell'ambito di lettura del destinatario del ruolo, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale corrente. Questo ambito viene utilizzato solo con gli ambiti di lettura del destinatario. |
Self |
Se Self è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente. Se Self è presente nell'ambito di lettura del destinatario del ruolo, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
MyDistributionGroups |
Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può creare o modificare gli oggetti della lista di distribuzione di proprietà dell'utente corrente. Se MyDistributionGroups è presente nell'ambito di lettura del destinatario del ruolo, il ruolo può visualizzare gli oggetti della lista di distribuzione di proprietà dell'utente corrente. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
OrganizationConfig |
Se OrganizationConfig è presente nell'ambito di scrittura della configurazione del ruolo, il ruolo può creare o modificare qualsiasi oggetto di configurazione del server o del database nell'organizzazione di Exchange. Se OrganizationConfig è presente nell'ambito di lettura della configurazione del ruolo, il ruolo può visualizzare qualsiasi oggetto di configurazione del server o del database nell'organizzazione di Exchange. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura della configurazione. |
None |
Se None si trova in un ambito, tale ambito non è disponibile per il ruolo. Ad esempio, un ruolo che ha None nell'ambito di scrittura del destinatario non può modificare gli oggetti destinatario nell'organizzazione di Exchange. |
Se un ruolo viene associato a un assegnatario e nessun ambito predefinito o personalizzato viene specificato, gli ambiti impliciti definiti per il ruolo vengono utilizzati per controllare gli oggetti organizzazione o destinatario che l'utente può visualizzare o modificare.
L'ambito di scrittura implicito di un ruolo è sempre uguale o inferiore all'ambito di lettura implicito. Ciò significa che un ruolo non può mai modificare gli oggetti non visualizzabili dall'ambito.
Non è possibile modificare gli ambiti impliciti definiti per i ruoli di gestione. Tuttavia, è possibile sostituire l'ambito di scrittura implicito e l'ambito di configurazione per un ruolo di gestione. Quando un ambito relativo predefinito o un ambito personalizzato viene utilizzato per un'assegnazione di ruolo, l'ambito di scrittura implicito del ruolo viene sostituito, dando precedenza al nuovo ambito. L'ambito di lettura implicito di un ruolo non può essere sostituito e viene sempre applicato. Per ulteriori informazioni, vedere Ambiti relativi predefiniti e Ambiti personalizzati.
Espandere la tabella seguente per visualizzare un elenco di tutti i ruoli di gestione incorporati e i relativi ambiti impliciti. Per ulteriori informazioni su ogni ruolo incorporato, vedere Ruoli di gestione predefiniti.
Ambiti impliciti dei ruoli di gestione incorporati
| Ruolo di gestione | Ambito di lettura del destinatario | Ambito di scrittura del destinatario | Ambito di lettura della configurazione | Ambito di scrittura della configurazione |
|---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Ambiti espliciti
Gli ambiti espliciti sono ambiti che controllano gli oggetti modificabili da un ruolo di gestione. Mentre gli ambiti impliciti vengono definiti per un ruolo di gestione, gli ambiti espliciti vengono definiti per un'assegnazione del ruolo di gestione. Ciò consente agli ambiti impliciti di essere applicati in modo coerente in tutti i ruoli di gestione, se non si stabilisce di utilizzare un altro ambito esplicito. Per ulteriori informazioni sulle assegnazioni del ruolo di gestione, vedere Informazioni sulle assegnazioni dei ruoli di gestione.
Gli ambiti espliciti sostituiscono gli ambiti impliciti di configurazione e di scrittura di un ruolo di gestione. Non sostituiscono l'ambito di lettura implicito di un ruolo di gestione. L'ambito di lettura implicito continua a definire gli oggetti che il ruolo di gestione può leggere.
Gli ambiti espliciti risultano utili quando l'ambito di scrittura implicito di un ruolo di gestione non soddisfa le esigenze dell'azienda. È possibile aggiungere un ambito esplicito per comprendere quasi tutto ciò che si desidera, fino a quando il nuovo ambito non supera i limiti dell'ambito di lettura implicito. I cmdlet che fanno parte di un ruolo di gestione devono essere in grado di leggere le informazioni sugli oggetti o i contenitori che comprendono gli oggetti per i cmdlet per creare o modificare gli oggetti. Ad esempio, se l'ambito di lettura implicita in un ruolo di gestione è impostato su Self, non è possibile aggiungere un ambito di scrittura esplicito di perché l'ambito di Organization scrittura esplicito supera i limiti dell'ambito di lettura implicito.
Per ulteriori informazioni, vedere le seguenti sezioni:
Predefined Relative Scopes
Custom Scopes
Ambiti relativi predefiniti
Exchange 2013 offre diversi ambiti di scrittura relativi predefiniti che è possibile usare per modificare l'ambito di un ruolo di gestione. Gli ambiti relativi predefiniti forniscono un modo semplice per soddisfare maggiormente le esigenze dell'azienda, senza dover creare manualmente gli ambiti personalizzati. Vengono denominati ambiti relativi perché riguardano l'assegnatario a cui viene associato il ruolo. Ad esempio, l'ambito Self relativo predefinito limita l'ambito di scrittura solo all'utente corrente. L'ambito MyDistributionGroups relativo predefinito limita l'ambito di scrittura al gruppo di distribuzione di cui l'utente corrente è proprietario. Gli ambiti relativi predefiniti possono essere utilizzati solo per esaminare gli oggetti destinatario. Non è possibile utilizzare gli ambiti relativi predefiniti per esaminare gli oggetti configurazione. Nella tabella seguente sono elencati gli ambiti relativi predefiniti che è possibile utilizzare.
Ambiti relativi predefiniti
| Ambiti impliciti | Descrizione |
|---|---|
Organization |
Se Organization è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può creare o modificare oggetti destinatario nell'organizzazione di Exchange. Se Organization è presente nell'ambito di lettura del destinatario del ruolo, i ruoli possono visualizzare qualsiasi oggetto destinatario nell'organizzazione di Exchange. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
Self |
Se Self è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente. Se Self è presente nell'ambito di lettura del destinatario del ruolo, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
MyDistributionGroups |
Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario del ruolo, il ruolo può creare o modificare gli oggetti della lista di distribuzione di proprietà dell'utente corrente. Se MyDistributionGroups è presente nell'ambito di lettura del destinatario del ruolo, il ruolo può visualizzare gli oggetti della lista di distribuzione di proprietà dell'utente corrente. Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
Gli ambiti relativi predefiniti vengono applicati quando si crea una nuova assegnazione dei ruoli di gestione. Durante la creazione dell'assegnazione di ruolo, usando il cmdlet New-ManagementRoleAssignment , è possibile specificare un ambito relativo predefinito usando il parametro RecipientRelativeWriteScope . Una volta creata la nuova assegnazione di ruolo, il nuovo ruolo predefinito sostituisce l'ambito di scrittura implicito del ruolo di gestione. Non è possibile specificare un ambito dei destinatari personalizzato quando si crea un'assegnazione di ruolo con un ambito relativo predefinito. Se necessario, è comunque possibile specificare un ambito di configurazione personalizzato.
Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito relativo predefinito, vedere Aggiungere un ruolo di un utente o gruppo di protezione universale.
Ambiti personalizzati
Gli ambiti personalizzati sono necessari quando né l'ambito di scrittura implicito né gli ambiti relativi predefiniti soddisfano le esigenze dell'azienda. Gli ambiti personalizzati consentono di definire, in maniera dettagliata, l'ambito a cui verrà applicato il ruolo di gestione. Ad esempio, si potrebbe indirizzare una specifica unità organizzativa, un tipo specifico di destinatario o entrambi. Oppure è possibile consentire solo a un gruppo di amministratori di gestire un insieme specifico di database delle cassette postali.
Come con gli ambiti relativi predefiniti, gli ambiti personalizzati sostituiscono gli ambiti impliciti di scrittura e di configurazione dell'organizzazione definiti per i ruoli di gestione. L'ambito di lettura implicito per i ruoli di gestione continua a essere applicato e l'ambito personalizzato risultante non deve superare i limiti dell'ambito di lettura implicito. È possibile creare i seguenti tre tipi di ambiti personalizzati:
Ambito dell'unità organizzativa: un ambito di unità organizzativa, che è l'ambito personalizzato più semplice, viene creato usando il parametro RecipientOrganizationalUnitScope nel cmdlet New-ManagementRoleAssignment . Specificando un ambito di unità organizzativa quando viene assegnato un ruolo, l'assegnatario del ruolo può modificare solo gli oggetti destinatario all'interno di tale unità organizzativa. Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito di unità organizzativa, vedere Aggiungere un ruolo di un utente o gruppo di protezione universale.
Ambito filtro destinatario: gli ambiti di filtro del destinatario usano filtri per destinatari specifici in base al tipo di destinatario o ad altre proprietà del destinatario, ad esempio reparto, responsabile, posizione e altro ancora. Per ulteriori informazioni, vedere la sezione Ambiti di filtro dei destinatari.
Ambito di configurazione: gli ambiti di configurazione usano filtri o elenchi per indirizzare server specifici in base a elenchi di server o proprietà filtrabili che possono essere definite nei server, ad esempio un sito di Active Directory o un ruolo del server. Gli ambiti di configurazione possono anche usare ambiti di database per indirizzare database specifici in base a elenchi di database o proprietà di database filtrabili. Per ulteriori informazioni, vedere la sezione Ambiti di configurazione.
Utilizzando il cmdlet New-ManagementScope, è possibile creare ambiti personalizzati di configurazione e del destinatario semplici e ampi o complessi e precisi. Quando si crea un ambito di configurazione o del destinatario, vengono restituiti solo gli oggetti destinatario, server o database che corrispondono ai rispettivi ambiti. Quando questi ambiti vengono applicati a un'assegnazione di ruolo utilizzando i cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment, solo gli oggetti che corrispondono agli ambiti possono essere modificati dagli assegnatari del ruolo. Una volta creato un ambito personalizzato, non è possibile modificare il tipo di ambito. Un ambito per il destinatario è sempre un ambito per il destinatario e un ambito per la configurazione è sempre un ambito per la configurazione.
Per impostazione predefinita, un ambito personalizzato consente a un assegnatario del ruolo di accedere a una serie di oggetti corrispondenti agli ambiti definiti. Tuttavia, non escludono attivamente l'accesso agli altri assegnatari del ruolo che non sono stati associati allo stesso ambito o a uno equivalente. Tutti gli ambiti personalizzati possono accedere agli stessi oggetti se gli elenchi o i filtri per questi ambiti corrispondono agli stessi oggetti. Potrebbero esserci oggetti in cui questo comportamento non è desiderato, ad esempio nel caso dei dirigenti. Per questi oggetti, è possibile definire gli ambiti esclusivi. Gli ambiti esclusivi utilizzano i filtri o gli elenchi come gli ambiti normali ma, a differenza di questi, negano l'accesso agli oggetti compresi nell'ambito a chi non fa parte dello stesso ambito esclusivo o uno equivalente. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sui ambiti esclusivi.
Ambiti di filtro del destinatario
Gli ambiti di filtro dei destinatari consentono di controllare gli oggetti destinatario gestibili dagli assegnatari del ruolo valutando una o più proprietà di un oggetto destinatario rispetto al valore specificato in un'istruzione per il filtro. I destinatari compresi negli ambiti dei destinatari sono le cassette postali, gli utenti abilitati alla posta, i gruppi di distribuzione e i contatti di posta. Solo i destinatari corrispondenti al filtro specificato possono essere gestiti dagli assegnatari del ruolo. Un esempio di istruzione di filtro è { Name -Eq "David" } la posizione in cui Name è la proprietà dell'oggetto destinatario che viene valutato e David è il valore che si desidera valutare rispetto alla proprietà . L'operatore di confronto -Eq indica che il valore archiviato nella proprietà deve essere pari al valore specificato per il filtro affinché sia true. Se il filtro è true, il destinatario è compreso nell'ambito.
Gli ambiti di filtro del destinatario vengono creati specificando il filtro destinatario da utilizzare con il parametro RecipientRestrictionFilter nel cmdlet New-ManagementScope . Per impostazione predefinita, il cmdlet New-ManagementScope crea ambiti normali. Se si vuole creare un ambito esclusivo, includere l'opzione Exclusive insieme al parametro RecipientRestrictionFilter .
Quando si crea un filtro di restrizione dei destinatari, Exchange valuta per impostazione predefinita il filtro fornito rispetto a ogni oggetto destinatario dell'organizzazione. Per limitare i destinatari valutati dall'ambito, è possibile usare il parametro RecipientRoot insieme al parametro RecipientRestrictionFilter . Il parametro RecipientRoot accetta un'unità organizzativa. Quando si usa il parametro RecipientRoot , Exchange valuta solo i destinatari inclusi nell'unità organizzativa specificata rispetto al filtro specificato.
Quando si aggiunge un ambito di filtro del destinatario a un'assegnazione di ruolo, specificare il nome dell'ambito del destinatario nel parametro CustomRecipientWriteScope in New-ManagementRoleAssignment se si sta creando una nuova assegnazione di ruolo o il cmdlet Set-ManagementRoleAssignment se si aggiorna un'assegnazione di ruolo esistente. Ogni assegnazione di ruolo può disporre di un unico ambito dei destinatari, compresi gli ambiti relativi predefiniti. È possibile aggiungere un unico ambito di configurazione alla stessa assegnazione di ruolo a cui è stato aggiunto un ambito dei destinatari.
Per ulteriori informazioni sulla sintassi dei filtri e per un elenco completo delle proprietà filtrabili dei destinatari, vedere Informazioni sui filtri di ambito di gestione dei ruoli.
Ambiti di configurazione
Di seguito sono riportati i due tipi di ambiti di configurazione offerti in Exchange 2013:
Ambiti del server: esistono due tipi di ambiti del server, ovvero ambiti di filtro del server e ambiti dell'elenco di server. La configurazione del server, inclusi connettori di ricezione, code di trasporto, certificati server, directory virtuali e così via, può essere gestita se un oggetto server è incluso in un ambito server.
Ambiti di filtro del server: gli ambiti di filtro del server consentono di controllare gli assegnatari di ruolo degli oggetti server che possono gestire valutando una o più proprietà di un oggetto server rispetto a un valore specificato in un'istruzione di filtro. Per creare un ambito di filtro del server, usare il parametro ServerRestrictionFilter nel cmdlet New-ManagementScope .
Ambiti elenco server: gli ambiti elenco server consentono di controllare gli assegnatari di ruolo degli oggetti server che possono gestire definendo un elenco di server a cui può accedere un assegnatario di ruolo. Per creare un ambito elenco server, usare il parametro ServerList nel cmdlet New-ManagementScope .
Ambiti del database: esistono due tipi di ambiti di database, ovvero ambiti di filtro del database e ambiti dell'elenco di database. La configurazione dei database, gestibile se un oggetto database è compreso in un ambito dei database, comprende i limiti di quota, la manutenzione dei database, la replica delle cartelle pubbliche, lo stato di montaggio di un database e così via. Oltre alla configurazione, gli ambiti dei database possono essere utilizzati anche per controllare in quali database possono essere creati i destinatari. Se nell'organizzazione sono presenti server precedenti a Exchange 2010 SP1, vedere la sezione Ambiti di database e versioni precedenti di Exchange più avanti in questo argomento.
Ambiti di filtro del database: gli ambiti di filtro del database consentono di controllare gli assegnatari del ruolo degli oggetti di database che possono gestire valutando una o più proprietà di un oggetto di database rispetto a un valore specificato in un'istruzione di filtro. Per creare un ambito di filtro del database, usare il parametro DatabaseRestrictionFilter nel cmdlet New-ManagementScope .
Ambiti elenco di database: gli ambiti dell'elenco di database consentono di controllare gli assegnatari di ruolo degli oggetti di database che possono gestire definendo un elenco di database a cui un assegnatario di ruolo può accedere. Per creare un ambito elenco di database, usare il parametro DatabaseList nel cmdlet New-ManagementScope .
Per ulteriori informazioni sulla sintassi dei filtri e per un elenco completo delle proprietà filtrabili dei server e dei database, vedere Informazioni sui filtri di ambito di gestione dei ruoli.
Gli elenchi dei server e dei database possono essere definiti specificando ogni server e ogni database che si desidera includere nei rispettivi ambiti. Nei rispettivi ambiti possono essere specificati più server o database, separando i nomi con una virgola.
Quando si aggiunge un ambito di configurazione del server o del database a un'assegnazione di ruolo, specificare il nome dell'ambito di configurazione del server o del database nel parametro CustomConfigWriteScope nel cmdlet New-ManagementRoleAssignment se si sta creando una nuova assegnazione di ruolo o il cmdlet Set-ManagementRoleAssignment se si aggiorna un'assegnazione di ruolo esistente. Ogni assegnazione di ruolo può disporre di un unico ambito di configurazione.
Oltre al controllo dei database gestibili dagli assegnatari del ruolo, gli ambiti dei database consentono anche di controllare i database in cui gli assegnatari del ruolo possono creare le cassette postali. Si tratta di un'operazione diversa dal controllo dei destinatari gestibili da un assegnatario del ruolo. Se un assegnatario del ruolo dispone delle autorizzazioni per creare una nuova cassetta postale, abilitare alla posta un utente esistente o spostare le cassette postali, è possibile definire ulteriormente le autorizzazioni utilizzando gli ambiti dei database per controllare il database in cui viene creata la cassetta postale o in quale database viene spostata una cassetta postale. Il controllo dei destinatari che un assegnatario di ruolo può gestire viene eseguito usando un ambito di destinatario specificato nel parametro CustomRecipientWriteScope nel cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment . Il controllo dei database in cui è possibile creare o spostare una cassetta postale viene controllato usando un ambito di database specificato nel parametro CustomConfigurationWriteScope negli stessi cmdlet.
Nota
La distribuzione automatica delle cassette postali può essere controllata utilizzando gli ambiti dei database.
Le funzionalità di Exchange possono richiedere la gestione di ambiti server, ambiti di database o entrambi. Se una funzionalità richiede la gestione di entrambi gli ambiti, due assegnazioni di ruolo devono essere create e associate all'assegnatario del ruolo che deve disporre dell'accesso alla gestione della funzionalità. All'ambito dei server e dei database deve essere associata un'unica assegnazione di ruolo.
Alcuni cmdlet può utilizzare gli ambiti di configurazione non immediatamente evidenti. La tabella seguente contiene un elenco dei cmdlet e degli ambiti di configurazione utilizzabile per controllarne l'applicazione. Per i cmdlet compresi nell'area funzionale dei destinatari, gli ambiti di configurazione consentono di controllare in quali database possono essere creati i destinatari. Non controllano quali destinatari possono essere gestiti. La colonna Ambiti necessari può contenere i seguenti elementi:
Database: per eseguire il cmdlet, all'assegnatario di ruolo deve essere assegnata un'assegnazione di ruolo con un ambito di database che include il database da gestire oppure l'ambito di scrittura implicito della configurazione del ruolo deve includere il database da gestire.
Server: per eseguire il cmdlet, all'assegnatario del ruolo deve essere assegnata un'assegnazione di ruolo con un ambito del server che include il server da gestire oppure l'ambito di scrittura implicito della configurazione del ruolo deve includere il server da gestire.
Server o database: per eseguire il cmdlet, all'assegnatario di ruolo deve essere assegnata un'assegnazione di ruolo in cui un ambito del database include il database gestito o in cui un ambito del server include il server in cui si trova il database. Oppure, l'ambito implicito di scrittura della configurazione del ruolo deve contenere il database da gestire o contenere il server in cui si trova il database e l'assegnazione di ruolo non può disporre di un ambito di scrittura personalizzato.
Server e database: per eseguire questo cmdlet, all'assegnatario di ruolo devono essere assegnate due assegnazioni di ruolo. La prima assegnazione di ruolo deve comprendere l'ambito dei database che comprende il database da gestire. La seconda assegnazione di ruolo deve comprendere l'ambito dei server che comprende il server da gestire. Le assegnazioni di ruolo possono disporre di ambiti di configurazione personalizzati definiti o possono ereditare l'ambito implicito di scrittura della configurazione dal ruolo. Per ereditare l'ambito implicito di scrittura dal ruolo, l'assegnazione di ruolo non può disporre di un ambito di scrittura personalizzato.
Aree funzionali e ambiti di server e database applicabili
| Area funzionale | Cmdlet | Ambiti necessari |
|---|---|---|
| Database | Dismount-Database | Database |
| Database | Mount-Database | Database |
| Database | Move-DatabasePath | Server e database |
| Database | Remove-MailboxDatabase | Server o database |
| Database | Set-MailboxDatabase | Database |
| Disponibilità elevata | Add-DatabaseAvailabilityGroupServer | Server |
| Disponibilità elevata | Add-MailboxDatabaseCopy | Server |
| Disponibilità elevata | Move-ActiveMailboxDatabase | Server |
| Disponibilità elevata | Remove-DatabaseAvailabilityGroupServer | Server |
| Disponibilità elevata | Remove-MailboxDatabaseCopy | Server o database |
| Disponibilità elevata | Resume-MailboxDatabaseCopy | Server o database |
| Disponibilità elevata | Set-MailboxDatabaseCopy | Server o database |
| Disponibilità elevata | Suspend-MailboxDatabaseCopy | Server o database |
| Disponibilità elevata | Update-MailboxDatabaseCopy | Server o database |
| Destinatari | Connect-Mailbox | Database |
| Destinatari | Enable-Mailbox | Database |
| Destinatari | New-Mailbox | Database |
| Destinatari | New-MoveRequest | Database |
| Risoluzione dei problemi | Test-MapiConnectivity | Database |
Ambiti di database e versioni precedenti di Exchange
Gli ambiti del database sono stati introdotti per la prima volta in Microsoft Exchange 2010 Service Pack 1 (SP1) e continuano a essere supportati in Exchange 2013. Le versioni di Exchange precedenti a Exchange 2010 SP1 supportano solo gli ambiti di destinatario e gli ambiti di configurazione del server. Quando si crea un nuovo ambito di database in un server Exchange 2010 SP1 o versione successiva, viene visualizzato l'avviso seguente:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Quando si crea un ambito di database, viene applicato solo agli utenti che si connettono ai server che eseguono Exchange 2010 SP1 o versioni successive. Gli utenti che si connettono ai server pre-Exchange 2010 SP1 non avranno assegnazioni di ruolo associate agli ambiti del database applicati. Ciò significa che tutte le autorizzazioni fornite da queste assegnazioni di ruolo non verranno concesse agli utenti quando si connettono ai server pre-Exchange 2010 SP1. Gli ambiti del database non possono essere creati, rimossi, modificati o visualizzati dai server pre-Exchange 2010 SP1.
Un ambito del database può includere qualsiasi database nell'organizzazione di Exchange. Sono inclusi i server Exchange Server 2007, Exchange 2010 ed Exchange 2013. In questo modo è possibile controllare i database, indipendentemente dalla versione di Exchange, che gli utenti possono gestire. Come per altri ambiti di database, le assegnazioni di ruolo associate agli ambiti di database che contengono database di Exchange 2007 ed Exchange 2010 vengono applicate agli utenti solo quando si connettono a un server Exchange 2010 SP1 o versione successiva.
Gli utenti che si connettono a un server pre-Exchange 2010 SP1 possono visualizzare e modificare le assegnazioni di ruolo associate agli ambiti del database. Ciò include la modifica dell'ambito di configurazione in un'assegnazione di ruolo esistente a un ambito del server se è attualmente associato a un ambito di database. Tuttavia, se l'ambito di configurazione di un'assegnazione di ruolo viene modificato in un ambito del server e un utente in un secondo momento vuole ripristinarlo in un ambito di database o se l'utente vuole modificare l'ambito di configurazione in un altro ambito del database, l'utente deve apportare la modifica durante la connessione a un server Exchange 2010 SP1 o versione successiva. Gli utenti possono specificare gli ambiti del server solo quando modificano l'ambito di configurazione in un'assegnazione di ruolo se sono connessi a un server pre-Exchange 2010 SP1.