Exchange Server permissões
Microsoft Exchange Server inclui um grande conjunto de permissões predefinidos, com base no modelo de permissões controle de acesso baseado em função (RBAC), que você pode usar imediatamente para conceder permissões facilmente aos administradores e usuários. Você pode usar os recursos de permissões no Exchange Server para que você possa começar sua nova organização em execução rapidamente.
Permissões baseadas em função
Em Exchange Server, as permissões concedidas a administradores e usuários se baseiam em funções de gerenciamento. Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de Mail Recipients gerenciamento chamada define as tarefas que alguém pode executar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.
Existem dois tipos de funções, funções administrativas e de usuário final:
Funções administrativas: essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especialistas usando grupos de funções que gerenciam uma parte da organização Exchange, como destinatários, servidores ou bancos de dados.
Funções de usuário final: essas funções, atribuídas usando políticas de atribuição de função, permitem que os usuários gerenciem aspectos de suas próprias caixas de correio e grupos de distribuição que eles têm. As funções de usuário final começam com o prefixo
My.
As funções atribuem permissões aos administradores e usuários para executar tarefas por meio da disponibilização de cmdlets. Como o centro de administração do Exchange (EAC) e o Shell de Gerenciamento do Exchange usam cmdlets para gerenciar o Exchange, conceder acesso a um cmdlet concede ao administrador ou usuário permissão para executar a tarefa em cada uma das interfaces de gerenciamento Exchange.
grupos de função e políticas de atribuição de função
As funções concedem permissões para executar tarefas Exchange Server, mas você precisa de uma maneira fácil de atribuí-las a administradores e usuários. Exchange Server fornece o seguinte para ajudá-lo a fazer isso:
Grupos de funções: os grupos de funções permitem conceder permissões a administradores e usuários especialistas.
Políticas de atribuição de função: as políticas de atribuição de função permitem que você conceda permissões aos usuários finais para alterar as configurações em suas próprias caixas de correio ou grupos de distribuição que eles têm.
Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.
Grupos de função
Cada administrador que gerencia Exchange Server precisa ter pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem executar funções de trabalho que abrangem várias áreas no Exchange. Por exemplo, um administrador pode gerenciar destinatários e Exchange servidores. Nesse caso, esse administrador pode ter as funções Mail Recipients e Exchange Servers as funções atribuídas.
Para facilitar a atribuição de várias funções a um administrador, Exchange Server inclui grupos de função. Os grupos de funções são USGs (grupos de segurança universal especiais) usados por Exchange Server que podem conter usuários do Active Directory, USGs e outros grupos de função. Quando uma função é atribuída a um grupo de função, as permissões concedidas pela função são concedidas a todos os membros do grupo de função. Isso permite atribuir muitas funções a muitos membros de grupos de função de uma só vez. Os grupos de função normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São usados apenas para funções administrativas e não para funções de usuário final.
Observação
É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de funções para gerenciar permissões.
A figura a seguir mostra a relação entre usuários, grupos de função e funções.
Funções, grupos de função e membros de grupo de função do
Exchange Server inclui vários grupos de função integrados, cada um fornecendo permissões para gerenciar áreas específicas no Exchange Server. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Se você quiser ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de função na coluna "Grupo de funções" e abra a seção "Funções de Gerenciamento Atribuídas a Este Grupo de Função".
Importante
Se um administrador for membro de mais de um grupo de funções, Exchange Server conceder ao administrador todas as permissões fornecidas pelos grupos de função dos qual ele é membro.
Grupos de função internos
| Grupo de função | Descrição |
|---|---|
| Organization Management | Os administradores que são membros do grupo de função Gerenciamento da Organização têm acesso administrativo a toda a organização Exchange Server e podem executar quase qualquer tarefa em qualquer objeto Exchange Server, com algumas exceções, Discovery Management como a função. Importante: como o grupo de função Gerenciamento da Organização é uma função poderosa, somente usuários ou USGs que executam tarefas administrativas de nível organizacional que podem afetar a organização Exchange toda deve ser membros desse grupo de funções. |
| View-Only Organization Management | Os administradores que são membros do grupo de função Exibir Somente Gerenciamento da Organização podem exibir as propriedades de qualquer objeto na Exchange organização. |
| Gerenciamento de Destinatários | Os administradores que são membros do grupo de função Gerenciamento de Destinatários têm acesso administrativo para criar ou modificar Exchange Server destinatários na Exchange Server organização. |
| Gerenciamento de UM | Os administradores que são membros do grupo de funções gerenciamento de UM podem gerenciar recursos na organização Exchange, como configuração de serviço de Unificação de Mensagens (UM), propriedades de UM em caixas de correio, prompts de UM e configuração de atendimento automático de UM. (Observação: a UM não está disponível no Exchange 2019.) |
| Suporte Técnico | O grupo de funções do Help Desk, por padrão, permite aos membros exibir e modificar as opções de Outlook na Web (anteriormente conhecidas como Outlook Web App) de qualquer usuário na organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Eles não incluem opções que não estão disponíveis em opções Outlook na Web, como modificar o tamanho de uma caixa de correio ou configurar o banco de dados de caixa de correio no qual uma caixa de correio está localizada. |
| Gerenciamento de Higienização | Os administradores que são membros do grupo de função Gerenciamento de Higienização podem configurar os recursos antivírus e antispam de Exchange Server. Programas de terceiros que se integram ao Exchange Server podem adicionar contas de serviço a esse grupo de funções para conceder a esses programas acesso aos cmdlets necessários para recuperar e configurar a configuração Exchange. |
| Gerenciamento de Registros | Os usuários que são membros do grupo de função Gerenciamento de Registros podem configurar recursos de conformidade, como marcas de política de retenção, classificações de mensagens e regras de fluxo de emails (também conhecidas como regras de transporte). |
| Gerenciamento de Descobertas | Os administradores ou usuários que são membros do grupo de função Gerenciamento de Descoberta podem realizar pesquisas de caixas de correio na organização Exchange para dados que atendam a critérios específicos e também podem configurar respetivas legais em caixas de correio. |
| Gerenciamento de Pasta Pública | Os administradores que são membros do grupo de função Gerenciamento de Pastas Públicas podem gerenciar pastas públicas em servidores que executam Exchange Server. |
| Gerenciamento do Servidor | Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente. (Observação: a UM não está disponível no Exchange 2019.) |
| Configuração Delegada | Os administradores que são membros do grupo de funções de Instalação Delegada podem implantar servidores executando Exchange Server que tenham sido provisionados anteriormente por um membro do grupo de função Gerenciamento da Organização. |
| Gerenciamento de Conformidade | Os usuários que são membros do grupo de função Gerenciamento de Conformidade podem configurar e gerenciar Exchange configurações de conformidade de acordo com a política de sua organização. |
Se você trabalhar em uma pequena organização que tenha apenas alguns administradores, poderá usar apenas o grupo de função Gerenciamento da Organização e nenhum dos outros. Se você trabalhar em uma organização maior, poderá ter administradores que executam tarefas específicas que Exchange, como gerenciamento de destinatários ou servidores. Nesses casos, você pode adicionar um administrador ao grupo de função Gerenciamento de Destinatários e outro ao grupo de função Gerenciamento de Servidor. Esses administradores podem gerenciar suas áreas específicas de Exchange Server, mas não terão permissões para gerenciar áreas pelas que não são responsáveis.
Se você não conseguir encontrar um grupo de funções integrado que se ajuste aos trabalhos que seus administradores precisam fazer, você pode criar grupos de funções e adicionar funções a eles. Para obter mais informações, consulte Trabalhar com grupos de funções, posteriormente neste tópico.
Diretivas de atribuição de função
Exchange Server fornece políticas de atribuição de função para que você possa controlar quais configurações seus usuários podem configurar em suas próprias caixas de correio e em grupos de distribuição que eles têm. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.
Sua Exchange Server pode ter várias políticas de atribuição de função que fornecem diferentes níveis de permissões para os diferentes tipos de usuários em suas organizações. Alguns usuários podem ter permissão para alterar seu endereço ou criar grupos de distribuição, enquanto outros não podem. Tudo depende da política de atribuição de função associada à caixa de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.
Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.
As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de usuário final começam com e My concedem permissões para que os usuários gerenciem apenas suas caixas de correio ou grupos de distribuição que eles têm. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.
Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Isso permite adicionar ou remover permissões de conjuntos de usuários sem ter de configurar as caixas de correio individuais. A figura a seguir mostra:
Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.
Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.
Quando uma caixa de correio é associada a uma política de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.
Funções, diretivas de atribuição de função e caixas de correio
A política de atribuição de função de Política de Atribuição de Função Padrão está incluída no Exchange Server. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Trabalhar com políticas de atribuição de função mais adiante neste tópico.
Trabalhar com grupos de funções
Para gerenciar suas permissões usando grupos de funções em Exchange Server, recomendamos que você use o centro de administração Exchange (EAC). Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a novo grupo de função, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de nova grupo de funções no EAC
Se nenhum dos grupos de função incluídos no Exchange Server tiver as permissões de que você precisa, você poderá usar o EAC para criar um grupo de funções e adicionar as funções que têm as permissões de que você precisa. Para o novo grupo de funções, você precisará:
Escolher um nome para o grupo de função.
Selecionar as funções que deseja adicionar ao grupo de função.
Adicionar membros ao grupo de funções.
Salvar o grupo de função.
Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.
Caso exista um grupo de função contendo algumas, mas não todas, das permissões necessárias, você poderá copiá-lo e fazer alterações para criar um grupo de função. Copiar um grupo de função existente permite que você faça alterações nele sem afetar o grupo de função original. Como parte da cópia do grupo de função, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de função e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.
Os grupos de função existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de função, você ativa e desativa recursos administrativos para os membros desses grupos de função.
Observação
Embora seja possível alterar as funções atribuídas aos grupos de função internos, recomendamos copiar esses grupos de função, alterar a cópia e então adicionar os membros ao grupo de função copiado.
Trabalhar com políticas de atribuição de função
Para gerenciar as permissões que você concede aos usuários finais para gerenciar sua própria caixa de correio no Exchange Server, recomendamos que você use o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de política de atribuição de funções no EAC
Exchange Server inclui uma política de atribuição de função chamada Política de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:
Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.
Criar, modificar ou exibir configurações de mensagens de texto.
Exibir ou modificar as configurações de caixa postal.
Exibir e modificar seus aplicativos do marketplace.
Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.
Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. Ao abrir a política de atribuição de função no EAC, marque a caixa de seleção ao lado das funções que você deseja atribuir e desmarque a caixa de seleção das funções que você deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.
Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.
Se você quiser alterar qual política de atribuição de função é o padrão, você precisa usar o Shell de Gerenciamento Exchange gerenciamento. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.
Observações:
Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você desmarcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão desmarcadas.
Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos: