관리 역할 할당 이해Understanding management role assignments

적용 대상: Exchange Server 2013Applies to: Exchange Server 2013

Microsoft Exchange Server 2013의 RBAC (역할 기반 액세스 제어) 권한 모델에 속하는 관리 역할 할당은 관리 역할과 역할 담당자 간의 링크입니다.A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. 역할 담당자는 역할 그룹, 역할 할당 정책, 사용자 또는 USG(유니버설 보안 그룹)입니다.A role assignee is a role group, role assignment policy, user, or universal security group (USG). 역할을 적용하려면 역할 담당자에게 할당해야 합니다.A role must be assigned to a role assignee for it to take effect. RBAC에 대한 자세한 내용은 역할 기반 액세스 제어 이해 항목을 참조하십시오.For more information about RBAC, see Understanding Role Based Access Control.

참고

이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다.This topic focuses on advanced RBAC functionality. EAC (Exchange 관리 센터)를 사용 하 여 역할 그룹에서 구성원을 추가 및 제거 하 고, 역할 그룹을 만들거나 수정 하거나, 역할 할당 정책을 만들거나 수정 하는 등 기본 Exchange 2013 사용 권한을 관리 하려면 사용 권한을참조 하십시오.If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

이 항목에서는 역할 그룹과 역할 할당 정책에 대한 역할 할당 및 사용자와 USG에 대한 직접 역할 할당에 대해 설명합니다. 사용자에 대한 역할 그룹 또는 역할 할당 정책의 할당에 대해서는 설명하지 않습니다. 사용자에게 사용 권한을 할당하는 권장 방법인 역할 그룹 및 역할 할당 정책에 대한 자세한 내용은 다음 항목을 참조하십시오.This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

이 항목의 뒷부분에서 자세히 설명하는 다음 유형의 역할 할당을 만들 수 있습니다.You can create the following types of role assignments, which are explained in detail later in this topic:

  • Regular and delegating role assignmentsRegular and delegating role assignments

  • Exclusive role assignmentsExclusive role assignments

역할 할당 관리Managing role assignments

역할 할당을 만드는 경우 주로 역할 그룹과 역할 할당 정책 간에 변경 작업을 수행합니다. 이러한 역할 담당자에 대해 역할 할당을 추가, 제거 또는 수정하여 관리자 및 사용자에게 부여되는 사용 권한을 제어함으로써 관련 기능의 관리를 설정 및 해제합니다.When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

사용자 또는 USG에 직접 역할을 할당할 수도 있습니다. 이러한 고급 작업을 사용하면 사용자에게 부여되는 사용 권한을 보다 세부적으로 정의할 수 있습니다. 고급 작업은 유연성을 제공하지만 사용 권한 모델을 더 복잡하게 만듭니다. 예를 들어 사용자가 작업을 변경하는 경우 해당 사용자에게 할당된 역할을 다른 사용자에게 수동으로 다시 할당해야 할 수도 있습니다. 이런 이유 때문에 사용자에게 사용 권한을 부여하는 경우 역할 그룹과 역할 할당 정책을 사용하는 것이 좋습니다. 역할 그룹이나 역할 할당 정책에 역할을 할당한 다음 필요에 따라 역할 그룹의 구성원을 추가 또는 제거하거나 역할 할당 정책을 변경할 수 있습니다.You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

역할 할당을 추가, 제거 및 사용하도록 설정하고, 기존 역할 할당의 관리 범위를 수정하고, 역할 할당을 다른 역할 담당자에게 이동할 수 있습니다. 역할 그룹, 역할 할당 정책, 사용자 및 USG에 역할을 할당하는 프로세스는 대체로 각 역할 담당자에서 동일합니다. 유일한 예외는 다음과 같습니다.You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • 역할 할당 정책에는 최종 사용자 관리 역할만 할당할 수 있습니다.Role assignment policies can only be assigned end-user management roles.

  • 역할 할당 정책에는 위임 역할 할당을 할당할 수 없습니다.Role assignment policies can't be assigned delegating role assignments.

  • 역할 할당 정책에 대한 역할 할당을 만드는 경우 관리 범위를 지정할 수 없습니다.You can't specify a management scope when creating a role assignment to role assignment policies.

역할 할당 관리에 대한 자세한 내용은 다음 항목을 참조하십시오.For more information about managing role assignments, see the following topics:

일반 및 위임 역할 할당Regular and delegating role assignments

일반 역할 할당을 사용하면 역할 담당자가 연결된 관리 역할에 의해 사용 가능한 관리 역할 항목에 액세스할 수 있습니다.Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. 역할 담당자에게 여러 관리 역할이 할당된 경우 각 관리 역할의 관리 역할 항목이 집계되어 적용됩니다.If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. 즉, 역할 담당자에게 전송 규칙 및 저널링 역할이 할당된 경우 두 역할이 결합되어 연결된 모든 관리 역할 항목이 역할 담당자에게 제공됩니다.This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. 역할 담당자가 역할 그룹이나 역할 할당 정책인 경우 역할이 제공하는 사용 권한이 역할 그룹이나 역할 할당 정책에 할당된 사용자에게 부여됩니다.If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. 관리 역할 및 역할 항목에 대 한 자세한 내용은 관리 역할 이해를 참조 하십시오.For more information about management roles and role entries, see Understanding management roles.

위임 역할 할당은 관리 기능에 대한 액세스를 제공하지 않습니다. 위임 역할 할당은 역할 담당자가 지정된 역할을 다른 역할 담당자에게 할당할 수 있도록 합니다. 역할 담당자가 역할 그룹인 경우 역할 그룹의 모든 구성원이 다른 역할 담당자에게 역할을 할당할 수 있습니다. 기본적으로 조직 관리 역할 그룹만 다른 역할 담당자에게 역할을 할당할 수 있습니다. 기본적으로 Exchange 2013을 설치한 사용자만 조직 관리 역할 그룹의 구성원이 됩니다. 그러나 필요에 따라 이 역할 그룹에 다른 사용자를 추가하거나 다른 역할 그룹을 만들고 이러한 그룹에 위임 역할 할당을 할당할 수 있습니다.Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

참고

위임 역할 할당은 역할 담당자가 다른 역할 담당자에게 관리 역할을 위임할 수 있도록 합니다. 사용자가 역할 그룹을 위임할 수는 없습니다. 역할 그룹 위임에 대한 자세한 내용은 관리 역할 그룹 이해 (영문) 항목을 참조하십시오.Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

사용자가 기능을 관리하고 기능 사용 권한을 다른 사용자에게 제공하는 역할을 할당할 수 있도록 하려면 다음을 할당합니다.If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. 관리해야 하는 기능에 대한 액세스 권한을 부여하는 각 관리 역할의 일반 역할 할당A regular role assignment for each management role that grants access to the features that need to be managed.

  2. 다른 역할 담당자에게 할당할 수 있도록 허용할 각 관리 역할의 위임 역할 할당A delegating role assignment for each management role that you allow to be assigned to other role assignees.

역할 담당자에 대한 일반 및 위임 역할 할당이 같을 필요는 없습니다. 예를 들어 사용자가 일반 역할 할당을 사용하는 전송 규칙 역할이 할당된 역할 그룹의 구성원입니다. 이 경우 사용자는 전송 규칙 기능을 관리할 수 있습니다. 그러나 전송 규칙 역할의 위임 역할 할당은 할당되지 않았으므로 사용자가 이 역할을 다른 사용자에게 할당할 수는 없습니다. 한편, 사용자는 위임 역할 할당을 사용하는 저널링 관리 역할이 할당된 역할 그룹의 구성원입니다. 사용자가 소속된 역할 그룹에는 저널링 역할의 일반 역할 할당이 없지만 위임 역할 할당이 있으므로 사용자는 이 역할을 다른 역할 담당자에게 할당할 수 있습니다.The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

관리 범위Management scopes

일반 또는 위임 관리 역할 할당을 만드는 경우 관리 범위가 있는 할당을 만들어 사용자가 조작할 수 있는 개체를 제한할 수 있습니다. 받는 사람 범위 또는 구성 범위를 만들 수 있습니다. 받는 사람 범위를 사용하면 사서함, 메일 사용자, 메일 그룹 등을 조작할 수 있는 사용자를 제어할 수 있습니다. 구성 범위를 사용하면 서버 및 데이터베이스를 조작할 수 있는 사용자를 제어할 수 있습니다.When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

받는 사람 및 구성 범위를 사용하면 조직에서 서버, 데이터베이스 또는 받는 사람 개체의 관리를 구분할 수 있습니다. 예를 들면, 밴쿠버의 관리자는 같은 사무실의 받는 사람만 관리할 수 있도록 받는 사람 범위를 역할 할당에 추가할 수 있습니다. 시드니의 관리자는 해당 Active Directory 사이트의 서버만 관리할 수 있도록 서버 구성 범위를 다른 역할 할당에 추가할 수 있습니다.Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

범위를 사용하면 사용자 그룹에 사용 권한을 할당할 수 있으며 관리자가 관리를 수행할 수 있는 영역을 지정할 수 있습니다. 이러한 방법으로 지역 또는 조직 경계에 매핑되는 사용 권한 모델을 만들 수 있습니다.Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

미리 정의된 범위가 있는 할당을 만들거나 할당에 사용자 지정 범위를 추가할 수 있습니다. 사용자를 자신의 사서함이나 메일 그룹으로만 제한 등의 미리 정의된 범위는 할당 자체에서 사용 가능한 옵션을 사용하여 적용할 수 있습니다. 또는 사용자 지정 받는 사람 또는 구성 범위를 만든 다음 해당 범위를 역할 할당에 추가할 수 있습니다. 사용자 지정 범위를 사용하면 해당 범위에 포함되는 개체를 좀 더 세부적으로 조정할 수 있습니다.You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

동일한 할당에 미리 정의된 범위와 사용자 지정 범위를 모두 지정할 수는 없습니다. 동일한 할당에 배타적 범위와 일반 범위를 함께 사용할 수도 없습니다.You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

각 역할 할당은 받는 사람 범위와 구성 범위를 각각 하나씩만 가질 수 있습니다. 동일한 관리 역할에 대한 역할 담당자에게 둘 이상의 받는 사람 범위 또는 구성 범위를 적용하려면 여러 역할 할당을 만들어야 합니다.Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

사용자 지정 범위나 미리 정의된 범위가 없으면 역할 할당은 역할 자체에 정의된 받는 사람 및 구성 범위로 제한됩니다. 이러한 범위를 암시적 범위라고 합니다. 미리 정의된 범위나 사용자 지정 범위가 없는 역할 할당은 연결된 역할에서 암시적 범위를 상속합니다.With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

범위에 대한 자세한 내용은 관리 역할 범위 이해 (영문) 항목을 참조하십시오.For more information about scopes, see Understanding management role scopes.

배타적 역할 할당Exclusive role assignments

배타적 역할 할당은 배타적 범위를 역할 할당에 연결할 때 만들어집니다. 배타적 범위는 일반 범위처럼 작동하며 역할 담당자가 배타적 범위와 일치하는 받는 사람을 관리할 수 있도록 합니다. 그러나 일반 범위와 달리 다른 모든 역할 담당자는 받는 사람이 해당 역할 할당에 적용된 범위와 일치하더라도 받는 사람을 관리할 수 없습니다. 이 기능은 받는 사람을 관리할 수 있는 사람을 몇 명의 관리자로 제한하려는 경우에 유용할 수 있습니다. 특정 관리자만 받는 사람을 관리할 수 있고 다른 모든 관리자는 액세스가 거부됩니다.Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

예를 들어 다음 경우를 검토해 보겠습니다.For example, consider the following:

  • John은 Contoso의 임원입니다. John의 사서함은 VIP Restricted 배타적 할당과 연결된 VIP Users라는 배타적 범위와 일치합니다.John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • John의 사서함은 Redmond Administration 일반 할당과 연결된 Redmond Users라는 일반 범위에도 포함됩니다.John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Bill은 VIP Restricted 배타적 할당과 연결된 관리자입니다.Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Chris는 Redmond Administration 일반 할당과 연결된 관리자입니다.Chris is an administrator who is associated with the Redmond Administration regular assignment.

John의 사서함이 VIP Users 배타적 범위와 일치하므로 Bill만 John의 사서함을 관리할 수 있습니다. John의 사서함은 Redmond Users 일반 범위와도 일치하지만 Chris가 VIP Restricted 배타적 할당에 연결되어 있지 않으므로 Exchange에서 Chris는 John의 사서함을 관리할 수 없습니다. Chris가 John의 사서함을 관리하려면 Chris에게 John의 사서함과 일치하는 배타적 범위가 포함된 배타적 할당을 할당해야 합니다.Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Therefore, Exchange denies Chris the ability to manage John's mailbox. For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

자세한 내용은 배타적 범위 이해 (영문) 항목을 참조하십시오.For more information, see Understanding exclusive scopes.