Noções básicas sobre as políticas de atribuições de função de gerenciamento
Aplica-se a: Exchange Server 2013
Uma política de atribuição de função de gerenciamento é uma coleção de uma ou mais funções de gerenciamento de usuário final que permite que os usuários finais gerenciem suas próprias Microsoft Exchange Server configuração de grupo de distribuição e caixa de correio 2013. As diretivas de atribuição de função, que são parte do modelo de permissões RBAC (controle de acesso baseado na função) no Exchange 2013, permitem controlar quais configurações de grupo de distribuição e caixa de correio específicas seus usuários finais poderão modificar. Grupos de usuários diferentes podem ter diretivas de atribuição de função especializadas para eles.
Observação
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2013, como usar o Centro de Administração do Exchange (EAC) para adicionar e remover membros de e para grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Permissões.
Para mais informações sobre o RBAC, consulte Controle de acesso baseado em função de compreensão.
Camadas de diretiva de atribuição de função
A lista a seguir descreve as camadas que compõem o modelo de diretiva de atribuição de função:
Caixa de correio: as caixas de correio recebem uma política de atribuição de função única. Quando uma caixa de correio é atribuída a uma diretiva de atribuição de função, as atribuições entre as funções de gerenciamento e a diretiva de atribuição de função são aplicadas à caixa de correio. Isso concede à caixa de correio todas as permissões oferecidas pelas funções de gerenciamento.
Política de atribuição de função de gerenciamento: a política de atribuição de função de gerenciamento é um objeto especial no Exchange 2013. Os usuários são associados a uma diretiva de atribuição de função quando suas caixas de correio são criadas, ou se você alterar a diretiva de atribuição de função em uma caixa de correio. Também é a ela que você atribui funções de gerenciamento de usuário final. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.
Atribuição de função degerenciamento: uma atribuição de função de gerenciamento é o vínculo entre uma função de gerenciamento e uma política de atribuição de função. Atribuir uma função de gerenciamento a uma diretiva de atribuição de função concede a capacidade de usar cmdlets e parâmetros definidos na função de gerenciamento. Ao criar uma atribuição de função entre uma diretiva de atribuição de função e uma função de gerenciamento, não é possível especificar um escopo. O escopo aplicado pela atribuição é baseado na função de gerenciamento e é
SelfouMyGAL. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.Função de gerenciamento: uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa especificada em uma função de gerenciamento seja realizada. Só é possível usar funções de gerenciamento com diretivas de atribuição de função. Para obter mais informações, confira Noções básicas sobre funções de gerenciamento.
Entrada de função de gerenciamento: as entradas de função de gerenciamento são as entradas individuais em uma função de gerenciamento que determinam quais cmdlets e parâmetros estão disponíveis para a função de gerenciamento e o grupo de funções. Cada entrada de função consiste em um único cmdlet e nos parâmetros que podem ser acessados pela função de gerenciamento.
A imagem a seguir mostra cada camada de diretiva de atribuição de função na lista anterior e como cada camada se relaciona à outra.
.jpg "Relações de modelo de atribuição de função")
Para mais informações sobre funções de gerenciamento, atribuições de função e escopos, consulte Controle de acesso baseado em função de compreensão.
Diretivas de atribuição de função explícitas e padrão
As seções a seguir descrevem os dois tipos de diretivas de atribuição de função no Exchange 2013.
Diretiva de atribuição de função padrão
Uma política de atribuição de função padrão é atribuída a uma caixa de correio quando a caixa de correio é criada ou movida para um servidor que executa o Exchange 2013, e uma política de atribuição de função não foi fornecida usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox ou Enable-Mailbox .
O Exchange 2013 inclui uma diretiva de atribuição de função padrão que oferece aos usuários finais as permissões de uso mais comum. As permissões padrão podem ser alteradas na diretiva de atribuição de função padrão adicionando funções de gerenciamento a ela ou removendo-as.
Se você quiser substituir a diretiva de atribuição de função padrão integrada pela sua própria diretiva de atribuição de função padrão, use o cmdlet Set-RoleAssignmentPolicy para selecionar um novo padrão. Ao fazer isso, as caixas de correio novas são atribuídas à diretiva de atribuição de função especificada por padrão, caso uma diretiva de atribuição de função não seja especificada explicitamente.
Quando você altera a diretiva de atribuição de função padrão, as caixas de correio atribuídas à diretiva de atribuição de função padrão não são atribuídas automaticamente à nova diretiva de atribuição de função padrão. Se quiser atualizar caixas de correio criadas anteriormente para que usem a diretiva de atribuição de função que você definiu como padrão, use o cmdlet Set-Mailbox para isso.
Diretiva de Atribuição de Função Explícita
Uma diretiva de atribuição de função explícita é uma diretiva que você atribui a uma caixa de correio manualmente usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox, Set-Mailbox ou Enable-Mailbox. Ao atribuir uma diretiva de atribuição de função explícita, a nova diretiva tem efeito imediato e substitui a diretiva de atribuição de função explícita atribuída anteriormente.
Usando diretivas de atribuição de função
As diretivas de atribuição de função permitem adaptar as permissões com base nas necessidades empresariais seus usuários precisam ser capazes de configurar. Se a diretiva de atribuição de função padrão atender às suas necessidades, não será preciso fazer mais personalizações. No entanto, se você tiver muitos grupos de usuários diferentes com necessidades especializadas, é possível criar diretivas de atribuição de função para cada um deles.
A diretiva de atribuição de função padrão que você usa deve conter as permissões que se aplicam ao maior grupo de seus usuários. Em seguida, crie diretivas de atribuição de função para cada grupo especializado de usuários e adapte essas diretivas de atribuição de função para conceder mais ou menos permissões restritivas a eles. Ao organizar suas diretivas de atribuição de função dessa forma, você reduz a complexidade atribuindo explicitamente apenas diretivas de atribuição de função aos seus usuários especializados, enquanto a maior parte de seus usuários recebe as permissões mais comuns fornecidas pela diretiva de atribuição de função padrão.
Uma caixa de correio pode ter apenas uma diretiva de atribuição de função. A todos os usuários, incluindo os administradores e usuários especialistas, é atribuída uma diretiva de atribuição de função. Se quiser que um usuário tenha um conjunto diferente de permissões, atribua à caixa de correio do usuário outra diretiva de atribuição de função com as permissões exigidas.
Gerenciamento de diretiva de atribuição de função
Para adicionar uma nova diretiva de atribuição de função, crie uma primeiro e decida se ela deve ser a diretiva de atribuição de função padrão. Depois de criar uma diretiva de atribuição de função, atribua funções de gerenciamento à diretiva de atribuição de função e atribua a diretiva de atribuição de função às caixas de correio. Mais tarde, você poderá adicionar ou remover funções de gerenciamento ou escolher uma diretiva de atribuição de função diferente como padrão.
A tabela a seguir lista a camada de diretiva de atribuição de função e os tópicos sobre os procedimentos que podem ser usados no gerenciamento de cada camada.
Tópicos de gerenciamento de diretiva de atribuição de função
| Camada de modelo de diretiva de atribuição de função | Tópicos de gerenciamento |
|---|---|
| Mailbox | Gerenciar caixas de correio de usuários Alterar a política de atribuição de uma caixa de correio |
| Diretiva de atribuição de função | Gerenciar políticas de atribuição de função |
| Funções de gerenciamento e atribuições | Gerenciar políticas de atribuição de função |
| Entradas de função de gerenciamento | Adicionar uma entrada de função a uma função Alterar uma entrada de função Remover uma entrada de função de uma função Observação: alterar as entradas de função de gerenciamento em funções de gerenciamento em uma política de atribuição de função é uma tarefa avançada e geralmente não é necessária na maioria dos casos. Você pode, em vez disso, ser capaz de usar uma função de gerenciamento pré-existente adequada às suas necessidades. Para obter mais informações, confira Grupos de funções internos. |