Noções básicas sobre escopos da função de gerenciamento
Aplica-se a: Exchange Server 2013
Os Escopos de função de gerenciamento permitem que você defina o escopo específico do impacto ou da influência de uma função de gerenciamento quando uma atribuição de função de gerenciamento é criada. Quando você aplica um escopo, o destinatário da função pode apenas modificar os objetos contidos nesse escopo. O destinatário da função pode ser um grupo de função de gerenciamento, uma diretiva de atribuição de gerenciamento de função, um usuário ou um USG (grupo de segurança universal). Para mais informações sobre funções de gerenciamento, consulte Controle de acesso baseado em função de compreensão.
Observação
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2013, como usar o Centro de Administração do Exchange (EAC) para adicionar e remover membros de e para grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Permissões.
Todas as funções de gerenciamento, sejam funções internas ou personalizadas, têm escopos de gerenciamento. Um escopo de gerenciamento pode ser:
Regular: um escopo regular não é exclusivo. Ele determina onde, no Active Directory, os objetos podem ser exibidos ou modificados por usuários destinatários da função de gerenciamento. Em geral, uma função de gerenciamento indica o que você pode criar ou modificar e um escopo de função de gerenciamento indica onde você pode criar ou modificar. Os escopos regulares podem ser implícitos ou explícitos - ambos serão discutidos adiante, neste tópico.
Exclusivo: um escopo exclusivo se comporta quase o mesmo que um escopo regular. A diferença principal é que ele permite que você impeça que usuários acessem os objetos contidos dentro do escopo exclusivo, se esses usuários não forem os destinatários de uma função associada ao escopo exclusivo. Todos os escopos exclusivos são explícitos, e serão discutidos adiante, neste tópico.
Para mais informações sobre escopos exclusivos, consulte Noções básicas sobre escopos exclusivos.
Os escopos podem ser herdados da função de gerenciamento, especificados como um escopo relativo predefinido em uma atribuição de função de gerenciamento ou criados através de filtros personalizados em adicionados a uma atribuição de função de gerenciamento. Os escopos herdados de funções de gerenciamento são chamados escopos implícitos, enquanto escopos predefinidos e personalizados são chamados de escopos explícitos. As seções a seguir descrevem os tipos de escopo:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Cada função pode ter os seguintes tipos de escopos:
- Escopo de leitura do destinatário: o escopo de leitura implícito do destinatário determina quais objetos de destinatário o usuário atribuiu à função de gerenciamento é permitido ler do Active Directory.
- Escopo de gravação do destinatário: o escopo de gravação implícito do destinatário determina quais objetos destinatários o usuário atribuiu à função de gerenciamento pode ser modificado no Active Directory.
- Escopo de leitura da configuração: o escopo de leitura de configuração implícita determina quais objetos de configuração o usuário atribuiu à função de gerenciamento é permitido ler do Active Directory.
- Escopo de gravação de configuração: o escopo de gravação de configuração implícita determina quais objetos organizacionais, de banco de dados e de servidor o usuário atribuído à função de gerenciamento pode modificar no Active Directory.
Objetos de destinatário incluem caixas de correio, grupos de distribuição, usuários habilitados para email e outros objetos. Os objetos de configuração incluem servidores que executam Microsoft Exchange Server 2013 e bancos de dados localizados em servidores que executam o Exchange. Cada tipo de escopo pode ser implícito ou explícito.
Escopos implícitos
Os escopos implícitos são os escopos-padrão que se aplicam a um tipo de função de gerenciamento. Como os escopos implícitos são associados a um tipo de função de gerenciamento, todas as funções de gerenciamento mães e filhas com o mesmo tipo de função também terão os mesmos escopos implícitos. Os escopos implícitos se aplicam tanto a funções de gerenciamento internas quanto a funções de gerenciamento personalizadas. Para obter mais informações sobre funções de gerenciamento e tipos de função de gerenciamento, consulte Noções básicas sobre funções de gerenciamento.
As tabelas a seguir listam todos os escopos implícitos que podem ser definidos em funções de gerenciamento.
Escopos implícitos definidos nas funções de gerenciamento
| Escopos implícitos | Descrição |
|---|---|
Organization |
Se Organization estiver presente no escopo de gravação do destinatário da função, a função poderá criar ou modificar objetos destinatários em toda a organização do Exchange. Se Organization estiver presente no escopo de leitura do destinatário da função, as funções poderão exibir qualquer objeto destinatário em toda a organização do Exchange. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyGAL |
Se MyGAL estiver presente no escopo de gravação do destinatário da função, a função poderá exibir as propriedades de qualquer destinatário na GAL (lista de endereços global) do usuário atual. Se MyGAL estiver presente no escopo de leitura do destinatário da função, a função poderá exibir as propriedades de qualquer destinatário no GAL atual. Esse escopo é usado somente com os escopos de leitura de destinatário. |
Self |
Se Self estiver presente no escopo de gravação do destinatário da função, a função poderá modificar apenas as propriedades da caixa de correio do usuário atual. Se Self estiver presente no escopo de leitura do destinatário da função, a função poderá exibir apenas as propriedades da caixa de correio do usuário atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyDistributionGroups |
Se MyDistributionGroups estiver presente no escopo de gravação do destinatário da função, a função poderá criar ou modificar objetos de lista de distribuição pertencentes ao usuário atual. Se MyDistributionGroups estiver presente no escopo de leitura do destinatário da função, a função poderá exibir objetos de lista de distribuição pertencentes ao usuário atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
OrganizationConfig |
Se OrganizationConfig estiver presente no escopo de gravação de configuração da função, a função poderá criar ou modificar qualquer objeto de configuração de servidor ou banco de dados em toda a organização do Exchange. Se OrganizationConfig estiver presente no escopo de leitura de configuração da função, a função poderá exibir qualquer objeto de configuração de servidor ou banco de dados em toda a organização do Exchange. Esse escopo é usado somente com escopos de leitura e gravação de configuração. |
None |
Se None estiver em um escopo, esse escopo não estará disponível para a função. Por exemplo, uma função que tem None no escopo de gravação do destinatário não pode modificar objetos destinatários na organização exchange. |
Se uma função for atribuída a um destinatário de função e nenhum escopo predefinido ou personalizado for especificado, os escopos implícitos definidos na função serão usados para controlar os objetos de destinatário ou organização que o usuário pode exibir ou modificar.
O escopo de gravação implícito de uma função é sempre igual a ou menor que o escopo de leitura implícito. Isso significa que uma função nunca pode modificar objetos que não podem ser vistos pelo escopo.
Não é possível alterar os escopos implícitos definidos nas funções de gerenciamento. Você pode, entretanto, ignorar o escopo de gravação implícito e o escopo de configuração em uma função de gerenciamento. Quando um escopo relativo predefinido ou personalizado é usado em uma atribuição de função, o escopo de gravação implícito da função é substituído, e o novo escopo prevalece. O escopo de leitura implícito de uma função não pode ser substituído e sempre se aplica. Para mais informações, consulte Escopos relativos predefinidos e Escopos personalizados.
Expanda a seguinte tabela para ver uma lista de todas as funções de gerenciamento integradas e seus escopos implícitos. Para obter mais informações sobre cada função integrada, consulte Funções de gerenciamento internas.
Escopos implícitos de funções de gerenciamento internas
| Função de gerenciamento | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
|---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Escopos explícitos
Os escopos explícitos são escopos que você mesmo define para controlar que objetos uma função de gerenciamento pode modificar. Embora os escopos implícitos sejam definidos em uma função de gerenciamento, os escopos explícitos são definidos em uma atribuição de função de gerenciamento. Isso permite que os escopos implícitos sejam aplicados consistentemente por todas as funções de gerenciamento, a menos que você escolha usar um escopo explícito de substituição. Para mais informações sobre as atribuições da função de gerenciamento, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Os escopos explícitos substituem os escopos implícitos de gravação e configuração de uma função de gerenciamento. Eles não substituem o escopo de leitura implícito de uma função de gerenciamento. O escopo de leitura implícito continua a definir que objetos a função de gerenciamento pode ler.
Os escopos explícitos são úteis quando o escopo de gravação implícito de uma função de gerenciamento não cumpre as necessidades de seus negócios. Você pode adicionar um escopo explícito para incluir praticamente qualquer coisa que você queira, contanto que o novo escopo não exceda os limites do escopo de leitura implícito. Os cmdlets que são parte de uma função de gerenciamento devem poder ler informações sobre os objetos ou contêineres que contenham objetos para os cmdlets criarem ou modificarem objetos. Por exemplo, se o escopo de leitura implícito em uma função de gerenciamento for definido como Self, você não poderá adicionar um escopo de gravação explícito porque Organization o escopo de gravação explícito excede os limites do escopo de leitura implícito.
Para obter mais informações, consulte as seguintes seções:
Predefined Relative Scopes
Custom Scopes
Escopos relativos predefinidos
O Exchange 2013 fornece vários escopos de gravação relativos predefinidos que você pode usar para modificar o escopo de uma função de gerenciamento. Os escopos relativos predefinidos oferecem um jeito fácil de você combinar melhor as necessidades de seus negócios sem ter que criar escopos personalizados manualmente. Eles são chamados de escopos relativos porque eles são relativos ao destinatário da função ao qual a atribuição de função associada é atribuída. Por exemplo, o Self escopo relativo predefinido restringe esse escopo de gravação somente ao usuário atual. O MyDistributionGroups escopo relativo predefinido restringe o escopo de gravação ao grupo de distribuição que o usuário atual possui apenas. Escopos relativos predefinidos só podem ser usados para objetos de destinatário do escopo. Escopos relativos predefinidos não podem ser usados para objetos de configuração do escopo. A tabela a seguir lista os escopos relativos predefinidos que podem ser usados.
Escopos relativos predefinidos
| Escopos implícitos | Descrição |
|---|---|
Organization |
Se Organization estiver presente no escopo de gravação do destinatário da função, a função poderá criar ou modificar objetos destinatários em toda a organização do Exchange. Se Organization estiver presente no escopo de leitura do destinatário da função, as funções poderão exibir qualquer objeto destinatário em toda a organização do Exchange. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
Self |
Se Self estiver presente no escopo de gravação do destinatário da função, a função poderá modificar apenas as propriedades da caixa de correio do usuário atual. Se Self estiver presente no escopo de leitura do destinatário da função, a função poderá exibir apenas as propriedades da caixa de correio do usuário atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyDistributionGroups |
Se MyDistributionGroups estiver presente no escopo de gravação do destinatário da função, a função poderá criar ou modificar objetos de lista de distribuição pertencentes ao usuário atual. Se MyDistributionGroups estiver presente no escopo de leitura do destinatário da função, a função poderá exibir objetos de lista de distribuição pertencentes ao usuário atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
Os escopos relativos predefinidos são aplicados quando você cria uma nova atribuição de função de gerenciamento. Durante a criação da atribuição de função, usando o cmdlet New-ManagementRoleAssignment , você pode especificar um escopo relativo predefinido usando o parâmetro RecipientRelativeWriteScope . Quando a nova atribuição de função é criada, a nova função predefinida substitui o escopo de gravação implícito da função de gerenciamento. Não é possível especificar um escopo de destinatário personalizado quando se cria uma atribuição de função com um escopo relativo predefinido. Entretanto, você poderá especificar um escopo de configuração personalizado, se necessário.
Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo relativo predefinido, consulte Adicionar uma função a um usuário ou USG.
Escopos personalizados
Escopos personalizados são necessários quando nem o escopo de gravação implícito nem os escopos relativos predefinidos atendem às necessidades da sua empresa. Os escopos personalizados permitem que você defina, em nível granular, o escopo a que sua função de gerenciamento será aplicada. Por exemplo, você pode querer focar uma unidade organizacional (OU) específica, um tipo específico de destinatário ou ambos. Ou é possível permitir apenas que um grupo de administradores possa gerenciar um conjunto específico de bancos de dados de caixa de correio.
Assim como os escopos relativos predefinidos, os escopos personalizados substituem os escopos implícitos de gravação e configuração de organização definidos nas funções de gerenciamento. O escopo de leitura implícito nas funções de gerenciamento continua a se aplicar, e o escopo personalizado resultante não deve exceder os limites do escopo de leitura implícito. É possível criar os seguintes três tipos de escopos personalizados:
Escopo ou: um escopo ou, que é o escopo personalizado mais simples, é criado usando o parâmetro RecipientOrganizationalUnitScope no cmdlet New-ManagementRoleAssignment . Especificando um escopo da OU quando uma função é atribuída, o destinatário da função atribuído á função pode modificar somente os objetos de destinatário dentro dessa OU. Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo da OU, consulte Adicionar uma função a um usuário ou USG.
Escopo do filtro do destinatário: os escopos de filtro do destinatário usam filtros para direcionar destinatários específicos com base no tipo de destinatário ou em outras propriedades do destinatário, como departamento, gerente, localização e muito mais. Para obter mais informações, consulte a seção Escopos de filtro de destinatário.
Escopo de configuração: os escopos de configuração usam filtros ou listas para direcionar servidores específicos com base em listas de servidores ou propriedades filtradas que podem ser definidas em servidores, como um site do Active Directory ou uma função de servidor. Os escopos de configuração também podem usar escopos de banco de dados para direcionar bancos de dados específicos com base em listas de banco de dados ou propriedades de banco de dados filtradas. Para obter mais informações, consulte a seção Escopos de configuração.
Escopos personalizados de destinatário e de configuração complexos e granulares simples e amplos podem ser criados com o uso do cmdlet New-ManagementScope. Quando você cria um escopo de destinatário ou configuração, somente os objetos de destinatário, servidor ou banco de dados que correspondam aos respectivos escopos filtrados são retornados. Quando esses escopos são aplicados a uma função de atribuição, usando os cmdlets New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, somente os objetos que correspondam a esses escopos podem ser modificados pelos destinatários da função a quem a função foi atribuída. Após um escopo personalizado ter sido criado, você não pode alterar o tipo de escopo. Um escopo de destinatário é sempre um escopo de destinatário, e um escopo de configuração é sempre um escopo de configuração.
Por padrão, um escopo personalizado habilita um destinatário de função a acessar um conjunto de objetos que correspondam aos escopos que você definir. Entretanto, eles não excluem ativamente o acesso a outros destinatários de função a que não foi atribuído o mesmo escopo ou um equivalente. Qualquer escopo personalizado poderá acessar os mesmos objetos, se as listas ou os filtros nesses escopos corresponderem aos mesmos objetos. Pode haver objetos em que esse comportamento não é desejado, como no caso dos executivos. Para esses objetos, você pode definir escopos exclusivos. Escopos exclusivos usam listas ou filtros da mesma forma que os escopos regulares, mas, ao contrário destes, negam acesso a objetos incluídos no escopo para qualquer um que não faça parte do mesmo escopo exclusivo ou um equivalente. Para mais informações sobre escopos exclusivos, consulte Noções básicas sobre escopos exclusivos.
Escopos de filtro do destinatário
Os escopos de filtro de destinatário permitem controlar quais destinatários de função de objetos de destinatário podem ser gerenciados pela avaliação de uma ou mais propriedades em objeto de destinatário em relação a um valor especificado em uma instrução de filtro. Os destinatários incluídos nos escopos de destinatário são caixas de correio, usuários habilitados para email, grupos de distribuição e contatos de email. Somente os destinatários que correspondam ao filtro especificado podem ser gerenciados pelos destinatários de função com essa atribuição de função. Um exemplo de uma instrução de filtro é { Name -Eq "David" } onde Name é a propriedade no objeto destinatário que está sendo avaliado e David é o valor que você deseja avaliar em relação à propriedade. O operador de comparação -Eq indica que o valo armazenado na propriedade deve ser igual ao especificado para que o filtro seja verdadeiro. Se o filtro for verdadeiro, esse destinatário será incluído no escopo.
Os escopos de filtro do destinatário são criados especificando o filtro do destinatário a ser usado com o parâmetro RecipientRestrictionFilter no cmdlet New-ManagementScope . Por padrão, o cmdlet New-ManagementScope cria escopos regulares. Se você quiser criar um escopo exclusivo, inclua o comutador Exclusivo junto com o parâmetro RecipientRestrictionFilter .
Quando você cria um filtro de restrição de destinatário, o Exchange avalia o filtro fornecido em relação a qualquer objeto de destinatário na organização por padrão. Se você quiser limitar quais destinatários o escopo avalia, poderá usar o parâmetro RecipientRoot junto com o parâmetro RecipientRestrictionFilter . O parâmetro RecipientRoot aceita uma OU. Quando você usa o parâmetro RecipientRoot , o Exchange avalia apenas os destinatários incluídos na UA especificada em relação ao filtro fornecido.
Ao adicionar um escopo de filtro de destinatário a uma atribuição de função, especifique o nome do escopo do destinatário no parâmetro CustomRecipientWriteScope no New-ManagementRoleAssignment se você estiver criando uma nova atribuição de função ou o cmdlet Set-ManagementRoleAssignment se estiver atualizando uma atribuição de função existente. Cada atribuição de função pode ter um escopo de destinatário, incluindo escopos relativos predefinidos. É possível adicionar um escopo de configuração à mesma atribuição de função adicionada a um escopo de destinatário.
Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de destinatário filtráveis em destinatários, consulte Noções básicas sobre filtros do escopo de função de gerenciamento.
Escopos de configuração
Veja a seguir os dois tipos de escopos de configuração oferecidos no Exchange 2013:
Escopos do servidor: há dois tipos de escopos de servidor, escopos de filtro de servidor e escopos de lista de servidores. A configuração do servidor, incluindo conectores de recebimento, filas de transporte, certificados de servidor, diretórios virtuais e assim por diante, pode ser gerenciada se um objeto de servidor estiver incluído em um escopo de servidor.
Escopos de filtro de servidor: os escopos de filtro do servidor permitem controlar quais atribuições de função de objetos de servidor podem gerenciar avaliando uma ou mais propriedades em um objeto de servidor em relação a um valor especificado em uma instrução de filtro. Para criar um escopo de filtro de servidor, use o parâmetro ServerRestrictionFilter no cmdlet New-ManagementScope .
Escopos de lista de servidores: os escopos da lista de servidores permitem controlar quais atribuidores de função de objetos de servidor podem gerenciar definindo uma lista de servidores que um atribuídor de função pode acessar. Para criar um escopo de lista de servidores, use o parâmetro ServerList no cmdlet New-ManagementScope .
Escopos de banco de dados: há dois tipos de escopos de banco de dados, escopos de filtro de banco de dados e escopos de lista de banco de dados. A configuração de banco de dados que poderá ser gerenciada se um objeto de banco de dados a ser incluído em um escopo de banco de dados tiver limites de cota de banco de dados, manutenção de banco de dados, replicação de pasta pública, se um banco de dados está montado ou não etc. Além da configuração de banco de dados, os escopos de banco de dados podem também ser usados para controlar quais destinatários de bancos de dados podem ser criados. Se você tiver servidores SP1 pré-Exchange 2010 em sua organização, consulte a seção Escopos de banco de dados e versões anteriores do Exchange posteriormente neste tópico.
Escopos de filtro de banco de dados: os escopos de filtro de banco de dados permitem controlar quais atribuições de função de objetos de banco de dados podem gerenciar avaliando uma ou mais propriedades em um objeto de banco de dados em relação a um valor especificado em uma instrução de filtro. Para criar um escopo de filtro de banco de dados, use o parâmetro DatabaseRestrictionFilter no cmdlet New-ManagementScope .
Escopos de lista de banco de dados: os escopos da lista de banco de dados permitem controlar quais atribuições de função de objetos de banco de dados podem gerenciar definindo uma lista de bancos de dados que um atribuídor de função pode acessar. Para criar um escopo de lista de banco de dados, use o parâmetro DatabaseList no cmdlet New-ManagementScope .
Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de servidor e banco de dados filtráveis, consulte Noções básicas sobre filtros do escopo de função de gerenciamento.
As listas de servidor e banco de dados podem ser definidas com a especificação de cada servidor e banco de dados que quiser incluir em seus respectivos escopos. Vários servidores ou bancos de dados podem ser especificados em seus respectivos escopos, separando os nomes de servidor e banco de dados com vírgulas.
Ao adicionar um escopo de configuração de servidor ou banco de dados a uma atribuição de função, especifique o nome do escopo de configuração do servidor ou banco de dados no parâmetro CustomConfigWriteScope no cmdlet New-ManagementRoleAssignment se você estiver criando uma nova atribuição de função ou o cmdlet Set-ManagementRoleAssignment se estiver atualizando uma atribuição de função existente. Cada atribuição de função pode ter apenas um escopo de configuração.
Além de controlar quais destinatários de função de bancos de dados podem gerenciar, os escopos de banco de dados também permitem controlar quais destinatários de função de bancos de dados podem criar caixas de correio. Isso é separado do controle de quais destinatários um destinatário de função pode gerenciar. Se um destinatário de função tiver permissões para criar uma nova caixa de correio, habilitar por email um usuário existente ou mover caixas de correio, você poderá refinar as permissões usando escopos de banco de dados para controlar o banco de dados em que a caixa de correio é criada ou para qual banco de dados uma caixa de correio é movida. Controlar quais destinatários um atribuídor de função pode gerenciar é feito usando um escopo de destinatário especificado no parâmetro CustomRecipientWriteScope no cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment . Controlar quais bancos de dados uma caixa de correio pode ser criada ou movida para é controlada usando um escopo de banco de dados especificado no parâmetro CustomConfigurationWriteScope nos mesmos cmdlets.
Observação
A distribuição de caixa de correio automática pode ser controlada com o uso de escopos de banco de dados.
Os recursos do Exchange podem exigir que escopos de servidor, escopos de banco de dados ou ambos sejam gerenciados. Se um recurso solicitar que os escopos de servidor e de banco de dados sejam gerenciados, duas atribuições de função deverão ser criadas e atribuída ao destinatário de função que deverá ter acesso para gerenciar o recurso. Uma atribuição de função deverá ser associada ao escopo de servidor, e outra, ao escopo de banco de dados.
Alguns cmdlets podem usar escopos de configuração que não sejam imediatamente óbvio. A seguinte tabela inclui uma lista de cmdlets e os escopos de configuração que podem ser usados para controlar seu uso. Para os cmdlets incluídos na área de recursos de destinatários, os escopos de configuração permite controlar quais destinatários de bancos de dados podem ser criados. Eles não controlam quais destinatários podem ser gerenciados. A coluna Escopos necessários pode conter o seguinte:
Banco de dados: para executar o cmdlet, o atribuídor de função deve receber uma atribuição de função com um escopo de banco de dados que inclua o banco de dados a ser gerenciado ou o escopo de gravação de configuração implícita da função deve incluir o banco de dados a ser gerenciado.
Servidor: para executar o cmdlet, o atribuídor de função deve receber uma atribuição de função com um escopo de servidor que inclua o servidor a ser gerenciado ou o escopo de gravação de configuração implícita da função deve incluir o servidor a ser gerenciado.
Servidor ou banco de dados: para executar o cmdlet, o atribuídor de função deve receber uma atribuição de função em que um escopo de banco de dados inclui o banco de dados que está sendo gerenciado ou onde um escopo de servidor inclui o servidor onde o banco de dados está localizado. Ou, o escopo de gravação de configuração implícito da função deve conter o banco de dados a ser gerenciado ou conter o servidor em que o banco de dados está localizado, e a atribuição de função não pode ter um escopo de gravação personalizado.
Servidor e banco de dados: para executar esse cmdlet, o atribuídor de função deve receber duas atribuições de função. A primeira atribuição de função deve ter um escopo de banco de dados que inclua o banco de dados a ser gerenciado. A segunda atribuição de função deve ter um escopo de servidor que inclua o servidor em que o banco de dados está localizado. As atribuições de função podem ter escopos de configuração personalizados definidos, ou as atribuições de função podem herdar o escopo de gravação de configuração implícito a partir da função. Para herdar o escopo de gravação implícito da função, a atribuição de função não pode ter um escopo de gravação personalizado.
Áreas de recurso e escopos de banco de dados e servidor aplicáveis
| Área de recurso | Cmdlet | Escopos necessários |
|---|---|---|
| Bancos de dados | Dismount-Database | Banco de dados |
| Bancos de dados | Mount-Database | Banco de dados |
| Bancos de dados | Move-DatabasePath | Servidor e banco de dados |
| Bancos de dados | Remove-MailboxDatabase | Servidor ou banco de dados |
| Bancos de dados | Set-MailboxDatabase | Banco de dados |
| Alta disponibilidade | Add-DatabaseAvailabilityGroupServer | Servidor |
| Alta disponibilidade | Add-MailboxDatabaseCopy | Servidor |
| Alta disponibilidade | Move-ActiveMailboxDatabase | Servidor |
| Alta disponibilidade | Remove-DatabaseAvailabilityGroupServer | Servidor |
| Alta disponibilidade | Remove-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Resume-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Set-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Suspend-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Update-MailboxDatabaseCopy | Servidor ou banco de dados |
| Destinatários | Connect-Mailbox | Banco de dados |
| Destinatários | Enable-Mailbox | Banco de dados |
| Destinatários | New-Mailbox | Banco de dados |
| Destinatários | New-MoveRequest | Banco de dados |
| Solução de problemas | Test-MapiConnectivity | Banco de dados |
Escopos de banco de dados e versões anteriores do Exchange
Os escopos de banco de dados foram introduzidos pela primeira vez no Microsoft Exchange 2010 Service Pack 1 (SP1) e continuam com suporte no Exchange 2013. As versões do Exchange antes do Exchange 2010 SP1 dão suporte apenas a escopos de configuração do destinatário e de servidor. Ao criar um novo escopo de banco de dados em um servidor do Exchange 2010 SP1 ou posterior, você receberá o seguinte aviso:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Quando você cria um escopo de banco de dados, ele só é aplicado a usuários que se conectam a servidores que executam o Exchange 2010 SP1 ou posterior. Os usuários que se conectam a servidores do SP1 pré-Exchange 2010 não terão atribuições de função associadas a escopos de banco de dados aplicados a eles. Isso significa que todas as permissões fornecidas por essas atribuições de função não serão concedidas aos usuários quando eles se conectarem a servidores do SP1 pré-Exchange 2010. Os escopos de banco de dados não podem ser criados, removidos, modificados ou exibidos de servidores do SP1 pré-Exchange 2010.
Um escopo de banco de dados pode incluir qualquer banco de dados de sua organização do Exchange. Isso inclui servidores Exchange Server 2007, Exchange 2010 e Exchange 2013. Isso permite controlar quais bancos de dados, independentemente da versão do Exchange, que os usuários podem gerenciar. Assim como acontece com outros escopos de banco de dados, as atribuições de função associadas a escopos de banco de dados que contêm bancos de dados exchange 2007 e Exchange 2010 só são aplicadas aos usuários quando se conectam a um servidor do Exchange 2010 SP1 ou posterior.
Os usuários que se conectam a um servidor SP1 pré-Exchange 2010 podem exibir e modificar atribuições de função associadas a escopos de banco de dados. Isso inclui a mudança do escopo da configuração em uma atribuição de função existente para um escopo de servidor se ela estiver atualmente associada a um escopo de banco de dados. No entanto, se o escopo de configuração em uma atribuição de função for alterado para um escopo de servidor e um usuário posteriormente quiser alterá-lo para um escopo de banco de dados ou se o usuário quiser alterar o escopo de configuração para outro escopo de banco de dados, o usuário deverá fazer a alteração enquanto estiver conectado a um servidor do Exchange 2010 SP1 ou posterior. Os usuários só podem especificar escopos de servidor quando alterarem o escopo de configuração em uma atribuição de função se estiverem conectados a um servidor SP1 pré-Exchange 2010.