관리 역할 그룹 이해Understanding management role groups

적용 대상: Exchange Server 2013Applies to: Exchange Server 2013

관리 역할 그룹 은 Microsoft Exchange Server 2013의 RBAC (역할 기반 액세스 제어) 권한 모델에서 사용 되는 USG (유니버설 보안 그룹)입니다.A management role group is a universal security group (USG) used in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. 관리 역할 그룹을 사용하여 관리 역할을 사용자 그룹에 간편하게 할당할 수 있습니다.A management role group simplifies the assignment of management roles to a group of users. 역할 그룹의 모든 구성원에게 동일한 역할 집합이 할당됩니다.All members of a role group are assigned the same set of roles. 역할 그룹에는 조직 관리, 받는 사람 관리 및 기타 작업과 같은 Exchange 2013의 주요 관리 작업을 정의하는 관리자 및 전문가 역할이 할당됩니다.Role groups are assigned administrator and specialist roles that define major administrative tasks in Exchange 2013 such as organization management, recipient management, and other tasks. 역할 그룹을 사용하면 관리자 또는 전문가 사용자 그룹에 보다 광범위한 사용 권한 집합을 쉽게 할당할 수 있습니다.Role groups enable you to more easily assign a broader set of permissions to a group of administrators or specialist users.

참고

이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다.This topic focuses on advanced RBAC functionality. EAC (Exchange 관리 센터)를 사용 하 여 역할 그룹에서 구성원을 추가 및 제거 하 고, 역할 그룹을 만들거나 수정 하거나, 역할 할당 정책을 만들거나 수정 하는 등 기본 Exchange 2013 사용 권한을 관리 하려면 사용 권한을참조 하십시오.If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

사용자에게 자신의 사서함이나 메일 그룹을 관리할 수 있는 권한을 할당하려면 관리 역할 할당 정책 이해 (영문) 항목을 참조하십시오.If you want to assign permissions to users to manage their own mailbox or distribution groups, see Understanding management role assignment policies.

역할 그룹 계층Role group layers

역할 그룹 모델을 구성하는 계층은 다음과 같습니다.The following are the layers that make up the role group model:

  • 역할 그룹 구성원: 역할 그룹 구성원은 역할 그룹의 구성원으로 추가할 수 있는 사서함, USG (유니버설 보안 그룹) 또는 다른 역할 그룹입니다.Role group member: A role group member is a mailbox, universal security group (USG), or other role group that can be added as a member of a role group. 사서함, USG 또는 다른 역할 그룹이 역할 그룹의 구성원으로 추가되면 관리 역할과 역할 그룹 간의 할당이 새 구성원에게 적용됩니다.When a mailbox, USG, or another role group is added as a member of a role group, the assignments that have been made between management roles and a role group are applied to the new member. 이렇게 하면 관리 역할에서 제공되는 모든 사용 권한이 새 구성원에게 부여됩니다.This grants the new member all of the permissions provided by the management roles.

  • 관리 역할 그룹: 관리 역할 그룹 은 사서함, usg 및 역할 그룹의 구성원 인 다른 역할 그룹이 포함 된 특수 USG입니다.Management role group: The management role group is a special USG that contains mailboxes, USGs, and other role groups that are members of the role group. 이 그룹에 구성원을 추가 및 제거하며 관리 역할이 할당되는 것도 이 그룹입니다.This is where you add and remove members, and it's also what management roles are assigned to. 역할 그룹의 모든 역할이 조합되어 역할 그룹에 추가된 구성원이 Exchange 조직에서 관리할 수 있는 항목을 정의합니다.The combination of all the roles on a role group defines everything that members added to a role group can manage in the Exchange organization.

  • 관리 역할 할당: 관리 역할 할당 은 관리 역할과 역할 그룹으로 연결 됩니다.Management role assignment: A management role assignment links a management role and a role group. 역할 그룹에 관리 역할을 할당하면 역할 그룹의 구성원에게 관리 역할에 정의된 cmdlet과 매개 변수를 사용할 수 있는 권한이 부여됩니다.Assigning a management role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the management role. 역할 할당에서 관리 범위를 사용하여 할당을 사용할 수 있는 영역을 제어할 수 있습니다.Role assignments can use management scopes to control where the assignment can be used. 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role assignments.

  • 관리 역할 범위: 관리 역할 범위 는 역할 할당에 대 한 영향 또는 영향의 범위입니다.Management role scope: A management role scope is the scope of influence or impact on a role assignment. 범위를 사용하여 역할 그룹에 역할을 할당하면 관리 범위가 할당에서 관리할 수 있는 대상 개체를 구체적으로 지정합니다.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. 할당과 할당 범위는 역할 그룹의 구성원에게 할당되어 구성원이 관리할 수 있는 항목을 제한합니다.The assignment, and its scope, are then given to the members of the role group, which restricts what those members can manage. 범위는 서버나 데이터베이스 목록, 조직 구성 단위 또는 서버나 데이터베이스나 받는 사람 개체에 대한 필터로 구성될 수 있습니다.A scope can be made up of lists of servers or databases, organizational units, or filters on server, database or recipient objects. 자세한 내용은 관리 역할 범위 이해 (영문) 항목을 참조하십시오.For more information, see Understanding management role scopes.

  • 관리 역할: 관리 역할은 관리 역할 항목 그룹에 대 한 컨테이너입니다.Management role: A management role is a container for a grouping of management role entries. 역할은 해당 역할이 할당된 역할 그룹의 구성원이 수행할 수 있는 특정 작업을 정의하는 데 사용됩니다.Roles are used to define the specific tasks that can be performed by the members of a role group assigned the role. 자세한 내용은 관리 역할 이해를 참조 하십시오.For more information, see Understanding management roles.

  • 관리 역할 항목: 관리 역할 항목 은 관리 역할의 개별 항목으로, cmdlet, 스크립트 및 특정 작업을 수행 하는 데 액세스를 허용 하는 기타 특별 한 사용 권한에 대 한 액세스를 제공 합니다.Management role entries: Management role entries are the individual entries on a management role that provide access to cmdlets, scripts, and other special permissions that enable access to perform a specific task. 대체로 역할 항목은 관리 역할에서 액세스할 수 있는 매개 변수와 하나의 cmdlet 또는 스크립트 및 역할이 할당되는 역할 그룹으로 구성됩니다.Most often, role entries consist of a single cmdlet or script and the parameters that can be accessed by the management role, and therefore the role group to which the role is assigned.

다음 그림에서는 앞의 목록에 있는 각 역할 그룹 계층과 각 계층이 서로 연결된 방식을 보여 줍니다.The following figure shows each of the role group layers in the preceding list and how each of the layers relates to the other.

관리 역할 그룹 계층Management role group layers

관리 역할 그룹 계층Management role group layers

RBAC에 대한 자세한 내용은 역할 기반 액세스 제어 이해 항목을 참조하십시오.For more information about RBAC, see Understanding Role Based Access Control.

역할 그룹 관리Role group management

역할 그룹을 만드는 경우 역할 그룹의 구성원을 포함하는 USG를 만들고 역할 그룹과 지정한 관리 역할 간에 할당을 만들게 됩니다. 선택적으로 역할 할당에 적용할 관리 범위를 지정할 수도 있으며, 새 역할 그룹의 구성원이 될 사서함을 추가할 수 있습니다.When you create a role group, you create the USG that holds the members of the role group, and you create the assignments between the role group and the management roles you specify. Optionally, you can also specify a management scope to apply to the role assignments, and you can add any mailboxes that you want to be members of the new role group.

역할 그룹을 만든 후에는 각 계층이 독립적인 개체가 됩니다. 역할 그룹은 모든 계층이 결합되는 중앙 지점으로 계속 사용되지만 각 계층이 독립적으로 관리됩니다. 예를 들어 역할 그룹을 만들 때 적용한 관리 범위를 수정하려면 역할 그룹을 만든 후 개별 역할 할당의 범위를 변경해야 합니다. 역할 그룹 모델 관리는 역할 그룹 모델의 개별 계층을 관리하는 cmdlet을 사용하여 수행됩니다.After you create a role group, each layer becomes an independent object. The role group continues to be the central point at which all of the layers are joined together, however, each layer is managed individually. For example, to modify the management scope that you applied to the role group when it was created, you need to change the scope on each individual role assignment after the role group is created. The management of the role group model is performed using the cmdlets that manage the individual layers of the role group model.

다음 표에서는 역할 그룹 계층 및 각 계층을 관리하는 데 사용할 수 있는 절차 항목을 보여 줍니다.The following table lists the role group layer and the procedural topics that you can use to manage each layer.

역할 그룹 관리 항목Role group management topics

역할 그룹 모델 계층Role group model layer 관리 항목Management topic

역할 그룹 구성원Role group member

역할 그룹 구성원 관리Manage role group members

역할 그룹Role group

역할 그룹 관리Manage role groups

관리 역할 및 할당Management roles and assignments

역할 그룹 관리Manage role groups

관리 역할 항목Management role entries

역할에 역할 항목 추가Add a role entry to a role

역할 항목 변경Change a role entry

역할에서 역할 항목을 제거 합니다.Remove a role entry from a role

참고

역할 그룹에서 관리 역할의 관리 역할 항목을 변경하는 것은 고급 작업이며 일반적으로 필요하지 않습니다.Changing the management role entries in management roles in a role group is an advanced task and is generally not required in most cases. 대신 요구 사항에 맞는 기존 관리 역할을 사용할 수 있습니다.Instead, you may be able to use a pre-existing management role that suits your requirements. 자세한 내용은 기본 제공 역할 그룹을 참조 하십시오.For more information, see Built-in role groups.

기본 제공 역할 그룹Built-in role groups

기본 제공 역할 그룹은 Exchange 2013에 포함되어 있는 역할로, 사용자 그룹에 여러 수준의 관리 권한을 제공하는 데 사용할 수 있는 역할 그룹 집합을 제공합니다. 기본 제공 역할 그룹에 사용자를 추가하거나 제거할 수 있습니다. 대부분의 역할 그룹에 역할 할당을 추가하거나 제거할 수도 있습니다. 유일한 예외는 다음과 같습니다.Built-in roles groups are roles shipped with Exchange 2013. They provide you with a set of role groups that you can use to provide varying levels of administrative permissions to groups of users. You can add or remove users to or from any built-in role group. You can also add or remove role assignments to or from most role groups. The only exceptions are the following:

  • 조직 관리 역할 그룹에서 위임 역할 할당을 제거할 수 없습니다.You can't remove any delegating role assignments from the Organization Management role group.

  • 조직 관리 역할 그룹에서 역할 관리 역할을 제거할 수 없습니다.You can't remove the Role Management role from the Organization Management role group.

다음 표에는 Exchange 2013에 포함된 기본 제공 역할 그룹이 모두 나와 있습니다. 기본 제공 역할 그룹에 대한 자세한 내용은 기본 제공 역할 그룹 항목을 참조하십시오.The following table lists all the built-in role groups included with Exchange 2013. For more information about built-in role groups, see Built-in role groups.

기본 제공 역할 그룹Built-in role groups

역할 그룹Role group 설명Description

조직 관리Organization Management

조직 관리 역할 그룹의 구성원 인 관리자는 전체 Exchange 2013 조직에 대 한 관리 액세스 권한을 가지 며 일부 예외를 제외 하 고 모든 Exchange 2013 개체에 대해 거의 모든 작업을 수행할 수 있습니다.Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. 기본적으로 이 역할 그룹의 구성원은 사서함 검색 및 범위가 지정되지 않은 최상위 관리 역할 관리를 수행할 수 없습니다.By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles.

보기 전용 조직 관리View-only Organization Management

보기 전용 조직 관리 역할 그룹의 구성원 인 관리자는 Exchange 조직에 있는 모든 개체의 속성을 볼 수 있습니다.Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

Recipient ManagementRecipient Management

Recipient Management 역할 그룹의 구성원인 관리자는 Exchange 2013 조직 내에서 Exchange 2013 받는 사람을 만들거나 수정할 수 있는 관리 액세스 권한이 있습니다.Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

UM ManagementUM Management

UM Management 역할 그룹의 구성원인 관리자는 UM(통합 메시징) 서버 구성, 사서함의 UM 속성, UM 프롬프트 및 UM 자동 전화 교환 구성과 같은 Exchange 조직의 기능을 관리할 수 있습니다.Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

검색 관리Discovery Management

검색 관리 역할 그룹의 구성원인 사용자나 관리자는 Exchange 조직의 사서함에서 특정 기준을 충족하는 데이터를 검색할 수 있으며, 사서함에 대해 소송 보존을 구성할 수도 있습니다.Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure litigation holds on mailboxes.

레코드 관리Records Management

Records Management 역할 그룹의 구성원 인 사용자는 보존 정책 태그, 메시지 분류, 전송 규칙 등의 준수 기능을 구성할 수 있습니다.Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, transport rules, and more.

서버 관리Server Management

이 역할 그룹의 구성원인 관리자는 전송, 클라이언트 액세스 및 사서함 기능(예: 데이터베이스 복사본, 인증서, 전송 큐 및 송신 커넥터, 가상 디렉터리, 클라이언트 액세스 프로토콜)의 서버별 구성을 구성할 수 있습니다.Administrators who are members of this role group can configure server-specific configuration of transport , client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

지원 센터Help Desk

Help Desk 역할 그룹의 구성원 인 사용자는 Exchange 2013 받는 사람에 대해 제한 된 받는 사람 관리를 수행할 수 있습니다.Users who are members of the Help Desk role group can perform limited recipient management of Exchange 2013 recipients.

Hygiene ManagementHygiene Management

바이러스 예방 관리 역할 그룹의 구성원 인 사용자는 Exchange 2013의 스팸 방지 및 맬웨어 방지 기능을 구성할 수 있습니다.Users who are members of the Hygiene Management role group can configure the anti-spam and anti-malware features of Exchange 2013. Exchange 2013와 통합 되는 타사 프로그램은이 역할 그룹에 서비스 계정을 추가 하 여 Exchange 구성을 검색 하 고 구성 하는 데 필요한 cmdlet에 대 한 액세스 권한을 해당 프로그램에 부여할 수 있습니다.Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

준수 관리Compliance Management

Compliance Management 역할 그룹의 구성원인 사용자는 정책에 따라 Exchange 준수를 구성하고 관리할 수 있습니다.Users who are members of the Compliance Management role group can configure and manage Exchange compliance configuration in accordance with their policies.

공용 폴더 관리Public Folder Management

공용 폴더 관리 역할 그룹의 구성원 인 관리자는 Exchange 2013을 실행 하는 서버의 공용 폴더를 관리할 수 있습니다.Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

위임 설치Delegated Setup

위임 설치 역할 그룹의 구성원인 관리자는 Exchange 2013 역할 그룹 구성원에 의해 이전에 제공된 조직 관리을 실행하는 서버를 배포할 수 있습니다.Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

연결된 역할 그룹Linked role groups

연결된 역할 그룹은 전용 리소스 포리스트에 Exchange 2013을 설치하고 다른 신뢰할 수 있는 외부 포리스트에 사용자를 배치하는 조직에서 사용됩니다. 이름에서 알 수 있듯이 연결된 역할 그룹은 Exchange 포리스트의 역할 그룹과 외부 포리스트의 USG 간에 연결을 만듭니다. 연결된 역할 그룹은 Exchange를 관리하도록 하려는 관리자의 AD DS(Active Directory 도메인 서비스) 사용자 계정이 Exchange와 동일한 리소스 포리스트에 없는 경우에 유용합니다. 연결된 역할 그룹은 외부 USG 하나에만 연결할 수 있습니다. 또한 Exchange 포리스트와 외부 포리스트 간에 양방향 트러스트를 만들 필요가 없습니다. Exchange 포리스트는 외부 포리스트를 트러스트해야 하지만 외부 포리스트는 Exchange 포리스트를 트러스트하지 않아도 됩니다.Linked role groups are used in organizations that install Exchange 2013 in a dedicated resource forest and place users in other, trusted foreign forests. Linked role groups, as the name implies, create a link between a role group in the Exchange forest and a USG in a foreign forest. This is useful when the Active Directory Domain Services (AD DS) user accounts of the administrators you want to administer Exchange don't reside in the same resource forest as Exchange. Linked role groups can only be associated with one foreign USG. Additionally, you don't need to create a two-way trust between the Exchange forest and the foreign forest. The Exchange forest needs to trust the foreign forest but the foreign forest doesn't need to trust the Exchange forest.

다중 포리스트 토폴로지의 사용 권한에 대한 자세한 내용은 다중 포리스트 사용 권한을 이해 (영문) 항목을 참조하십시오.For more information about permissions in multiple-forest topologies, see Understanding multiple-forest permissions.

연결된 역할 그룹은 다음 두 부분으로 구성됩니다.A linked role group consists of two parts:

  • 연결 된 역할 그룹: 연결 된 역할 그룹은 외부 USG를 역할 그룹에 할당 된 관리 역할 할당에 연결 하는 컨테이너 개체입니다.Linked role group: The linked role group is a container object that associates the foreign USG with the management role assignments assigned to the role group.

  • 외부 usg: 외부 usg에는 연결 된 역할 그룹이 제공 하는 사용 권한을 부여 해야 하는 구성원이 포함 되어 있습니다.Foreign USG: The foreign USG contains the members that should be granted the permissions provided by the linked role group.

연결된 역할 그룹을 만드는 경우 Exchange 포리스트를 관리하도록 할 사용자가 포함된 외부 포리스트에 도메인 컨트롤러를 제공하고 이러한 사용자를 구성원으로 포함하는 USG, 외부 USG 이름 및 외부 포리스트에 액세스하는 데 필요한 자격 증명을 제공합니다. Exchange는 연결된 역할 그룹에 외부 USG의 SID(보안 식별자)를 추가합니다. USG SID는 외부 USG의 유일한 ID이므로 외부 포리스트가 여러 개 있는 경우 역할 그룹의 이름에 외부 포리스트를 지정하는 것이 좋습니다.When you create a linked role group, you provide a domain controller in the foreign forest that contains the users you want to manage the Exchange forest and the USG that contains those users as members, the foreign USG name, and the credentials required to access the foreign forest. Exchange adds the security identifier (SID) of the foreign USG to the linked role group. Because the USG SID is the only identification of the foreign USG, we strongly recommend that you specify the foreign forest in the name of the role group if you have multiple foreign forests.

연결된 역할 그룹에는 구성원이 포함되어 있지 않습니다. 해당 역할 그룹의 모든 구성원은 외부 USG를 사용하여 관리됩니다. 따라서 Update-RoleGroupMember, Add-RoleGroupMember 또는 Remove-RoleGroupMember cmdlet을 사용하여 역할 그룹 구성원을 추가하거나 제거할 수는 없습니다. 외부 USG에 구성원을 추가하면 연결된 역할 그룹이 제공하는 사용 권한이 부여됩니다.A linked role group doesn't contain any members. All of the members of that role group are managed using the foreign USG. This means you can't use the Update-RoleGroupMember, Add-RoleGroupMember, or Remove-RoleGroupMember cmdlets to add or remove role group members. When you add members to the foreign USG, they are given the permissions provided by the linked role group.

자체 구성원이 포함된 표준 역할 그룹을 연결된 역할 그룹으로 변경할 수 없으며 그 반대의 경우도 마찬가지입니다. 역할 그룹을 표준 역할 그룹에서 연결된 역할 그룹으로 변경하려면 새 연결된 역할 그룹을 만들고 표준 역할 그룹에 있는 관리 역할 할당을 연결된 역할 그룹에 복제해야 합니다. 기본 제공 역할 그룹도 표준 역할 그룹이기 때문에 동일한 제한이 적용됩니다. 외부 포리스트에서 Exchange 포리스트의 모든 관리 작업을 수행하려면 새 연결된 역할 그룹을 만들고 기본 제공 역할 그룹에 있는 관리 역할을 새 연결된 역할 그룹에 추가해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 기본 제공 역할 그룹을 미러링 하는 연결 된 역할 그룹 만들기 항목을 참조하십시오.You can't change a standard role group, which contains its own members, to a linked role group and vice versa. If you want to change a role group from a standard role group to a linked role group, you must create a new linked role group and replicate the management role assignments that are present on the standard role group on the linked role group. This is also the case for built-in role groups because they're standard role groups. If you want to perform all of the management of your Exchange forest from a foreign forest, you need to create new linked role groups and add the management roles that exist on the built-in role groups to the new linked role groups. For more information about how to accomplish this, see Create linked role groups that mirror built-in role groups.

역할 그룹 위임Role group delegation

기본적으로 조직 관리 역할 그룹의 구성원은 역할 그룹에 구성원을 추가 및 제거할 수 있습니다. 그러나 조직 관리 역할 그룹의 구성원이 아닌 사용자가 역할 그룹 구성원을 추가 및 제거할 수 있도록 설정할 수도 있습니다. 이 경우 역할 그룹 위임을 사용합니다.By default, members of the Organization Management role group can add and remove members to and from role groups. However, you might want to enable users who aren't members of the Organization Management role group to add and remove role group members. If so, you can use role group delegation.

역할 그룹 위임은 각 역할 그룹의 ManagedBy 속성에 의해 제어됩니다. ManagedBy 속성에는 역할 그룹에 구성원을 추가 및 제거하고 역할 그룹의 구성을 변경할 수 있는 사용자 목록이 포함되어 있습니다. 사용자가 역할 그룹의 구성원이 아닌 경우 역할 그룹이 제공하는 사용 권한은 할당되지 않습니다.Role group delegation is controlled by the ManagedBy property on each role group. The ManagedBy property contains a list of users who can add and remove members to and from that role group or change the configuration of a role group. The users aren't assigned any permissions given by the role group unless they're also members of the role group.

역할 그룹에 ManagedBy 속성을 설정하면 기본적으로 해당 속성에 역할 그룹 관리자로 표시된 사용자만 역할 그룹 또는 역할 그룹의 구성원을 수정할 수 있습니다.If the ManagedBy property is set on a role group, only those users who are listed as role group managers on that property can modify a role group or the membership of a role group by default. 그러나 역할 그룹 또는 역할 그룹 구성원을 수정하는 cmdlet의 선택적 매개 변수를 통해 이 제한을 재정의할 수 있습니다.However, an optional parameter on cmdlets that modify role groups or role group membership can override that restriction. BypassSecurityGroupManagerCheck 스위치는 조직 관리 역할의 구성원 이거나 직접 또는 간접적으로 역할 관리 관리 역할에 할당 된 사용자가 사용할 수 있습니다.The BypassSecurityGroupManagerCheck switch can be used by users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role. 이 스위치를 사용하면 ManagedBy 속성이 무시되고 사용자가 역할 그룹 또는 역할 그룹 구성원을 수정할 수 있습니다.When this switch is used, the ManagedBy property is ignored and the user can modify the role group or role group membership.

역할 그룹에 ManagedBy 속성을 설정하지 않으면 조직 관리 역할의 구성원이거나 직접 또는 간접적으로 역할 관리 관리 역할이 할당된 사용자만 역할 그룹 또는 역할 그룹 구성원을 수정할 수 있습니다.If the ManagedBy property isn't set on a role group, only users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role can modify a role group or role group membership.

참고

역할 그룹에 할당되는 역할을 위임 역할 할당으로 할당할 수도 있습니다. 위임 역할 할당을 사용하면 위임 역할이 할당된 역할 그룹의 구성원이 해당 역할을 다른 역할 그룹, 할당 정책, 사용자 또는 USG에 할당할 수 있습니다. 역할 그룹의 구성원은 ManagedBy 속성에도 추가되어 있는 경우가 아니면 해당 역할만 할당할 수 있고 역할 그룹을 위임할 수는 없습니다. 위임 역할 할당에 대한 자세한 내용은 관리 역할 할당 이해 (영문) 항목을 참조하십시오.Roles assigned to a role group may be assigned using delegating role assignments. With delegating role assignments, members of a role group that's assigned a delegated role can assign that role to another role group, assignment policy, user, or USG. Members of the role group can assign only that role and can't delegate the role group, unless they're also added to the ManagedBy property. For more information about delegated role assignments, see Understanding management role assignments.

역할 그룹 위임을 관리하는 방법에 대한 자세한 내용은 역할 그룹 관리 항목을 참조하십시오.For more information about how to manage role group delegation, see Manage role groups.

역할 그룹 구성원Role group membership

사용자가 역할 그룹의 구성원이 되면 역할 그룹에 할당된 관리 역할이 사용자에게 할당됩니다. 사용자가 여러 역할 그룹의 구성원인 경우 각 역할 그룹의 관리 역할이 집계되어 사용자에게 할당됩니다. 사용자, USG 및 기타 역할 그룹이 역할 그룹의 구성원이 될 수 있습니다.When a user is made a member of a role group, the management roles assigned to the role group are assigned to the user. If a user is a member of multiple role groups, the management roles from each role group are aggregated and assigned to the user. Users, USGs, and other role groups can be members of role groups.

조직 관리 또는 역할 관리 역할 그룹의 구성원인 사용자와 역할 그룹에 사용자를 추가 및 제거할 수 있는 권한이 위임된 사용자만 역할 그룹 구성원을 관리할 수 있습니다.Only users who are members of the Organization Management or Role Management role groups and users who have been delegated the ability to add and remove users to or from role groups can manage role group membership.

역할 그룹 구성원을 관리하는 방법에 대한 자세한 내용은 역할 그룹 구성원 관리 항목을 참조하십시오.For more information about how to manage role group membership, see Manage role group members.

역할 그룹 만들기 워크플로Role group creation workflow

앞에서 설명한 것처럼 역할 그룹은 여러 계층으로 이루어져 있습니다. 역할 그룹을 만들 때 나타나는 결과를 이해하려면 새 역할 그룹을 만드는 다음 예를 고려해 보십시오.As mentioned previously, a role group is made up of several layers. To help you understand what happens when a role group is created, consider the following example, which creates a new role group.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

앞의 명령을 실행하면 다음과 같은 결과가 나타납니다.When the preceding command is run, the following happens:

  1. 시애틀 받는 사람 관리 라는 특수 USG 인 새 역할 그룹 개체가 포리스트 루트 도메인의 Microsoft Exchange 보안 그룹 OU에 만들어집니다.A new role group object, which is a special USG, called Seattle Recipient Management is created under Microsoft Exchange Security Groups OU in the forest root domain.

  2. Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel 및 Katie의 사서함이 역할 그룹의 구성원으로 추가됩니다. 이러한 사용자는 이 역할 그룹이 제공하는 사용 권한을 받습니다.The mailboxes for Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel, and Katie are added as members of the role group. These users receive the permissions provided by this role group.

  3. 사용자 Brian과 David가 역할 그룹의 ManagedBy 속성에 추가됩니다. 두 사용자는 역할 그룹에 구성원을 추가 및 제거할 수 있지만 구성원이 아니기 때문에 역할 그룹이 제공하는 사용 권한을 받지 못합니다. Katie도 역할 그룹의 ManagedBy 속성에 추가됩니다. Katie는 ManagedBy 속성에 추가되었으며 역할 그룹의 구성원이기 때문에 역할 그룹에 구성원을 추가하거나 제거할 수 있을 뿐 아니라 역할 그룹이 제공하는 사용 권한도 받습니다.The users Brian and David are added to the ManagedBy property of the role group. These users can add and remove members to and from the role group but won't be given any permissions provided by the role group because they're not members. Katie is also added to the ManagedBy property of the role group. Because she's added to the ManagedBy property, and she's a member of the role group, she can add or remove members to and from the role group, and she also receives the permissions provided by the role group.

  4. 다음과 같은 관리 역할 할당이 만들어집니다. 역할 할당은 명령에 지정된 각 관리 역할을 역할 그룹에 할당합니다. 관리 범위 Seattle Users가 각 역할 할당에 추가됩니다. 각 역할 할당의 이름은 할당되는 관리 역할과 역할 그룹 이름의 조합입니다.The following management role assignments are created. The role assignments assign each management role specified in the command to the role group. The management scope Seattle Users is added to each role assignment. The name of each role assignment is a combination of the management role being assigned and the role group name.

    • Mail Recipients_Seattle Recipient Management

    • Distribution Groups_Seattle Recipient Management

    • Move Mailboxes_Seattle Recipient Management

    • UM Mailboxes_Seattle Recipient Management

이 명령의 결과를 이 항목의 앞부분 있는 관리 역할 그룹 계층 그림과 비교하면 각 단계가 역할 그룹 계층에 상호 관련되는 위치를 확인할 수 있습니다. 그런 다음 이 항목의 앞부분에 있는 "역할 그룹 관리"에 표시된 관리 역할 그룹 관리 항목을 참조하여 각 역할 그룹 계층을 관리할 수 있습니다.If you compare the results of this command to the Management role group layers figure earlier in this topic, you can see where each step correlates to the role group layers. You can then refer to the Management role group management topics shown in "Role group management" earlier in this topic to manage each role group layer.