Entendendo as Diretivas de Atribuições de Função de Gerenciamento
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Uma diretiva de atribuição de função de gerenciamento é uma coleção de uma ou mais funções de gerenciamento de usuários finais que permitem a esses usuários gerenciar suas próprias configurações de grupo de distribuição e caixa de correio do Microsoft Exchange Server 2010. As diretivas de atribuição de função, que são parte do modelo de permissões RBAC (controle de acesso baseado na função) no Exchange 2010, permitem controlar quais configurações de grupo de distribuição e caixa de correio específicas seus usuários finais poderão modificar. Grupos de usuários diferentes podem ter diretivas de atribuição de função especializadas para eles.
Dica
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2010, como usar o Painel de Controle do Exchange (ECP) para adicionar e remover membros de grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Entendendo as Permissões.
Para mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Sumário
Camadas de Diretiva de Atribuição de Função
Diretivas de Atribuição de Função Explícitas e Padrão
Usando Diretivas de Atribuição de Função
Gerenciamento de Diretiva de Atribuição de Função
Camadas de Diretiva de Atribuição de Função
A seguir estão as diversas camadas que compõem o modelo de diretiva de atribuição de função:
Caixa de correio Uma única diretiva de atribuição de função é atribuída às caixas de correio. Quando uma caixa de correio é atribuída a uma diretiva de atribuição de função, as atribuições entre as funções de gerenciamento e a diretiva de atribuição de função são aplicadas à caixa de correio. Isso concede à caixa de correio todas as permissões oferecidas pelas funções de gerenciamento.
Diretiva de atribuição de função de gerenciamento A diretiva de atribuição de função de gerenciamento é um objeto especial no Exchange 2010. Os usuários são associados a uma diretiva de atribuição de função quando suas caixas de correio são criadas, ou se você alterar a diretiva de atribuição de função em uma caixa de correio. Também é a ela que você atribui funções de gerenciamento de usuário final. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.
Atribuição de função de gerenciamento Uma atribuição de função de gerenciamento é o vínculo entre uma função de gerenciamento e uma diretiva de atribuição de função. Atribuir uma função de gerenciamento a uma diretiva de atribuição de função concede a capacidade de usar cmdlets e parâmetros definidos na função de gerenciamento. Ao criar uma atribuição de função entre uma diretiva de atribuição de função e uma função de gerenciamento, não é possível especificar um escopo. O escopo aplicado pela atribuição baseia-se na função de gerenciamento e é
SelfouMyGAL. Para mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.Função de gerenciamento Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa especificada em uma função de gerenciamento seja realizada. Só é possível usar funções de gerenciamento com diretivas de atribuição de função. Para mais informações, consulte Entendendo as Funções de Gerenciamento.
Entrada de função de gerenciamento As entradas de função de gerenciamento são as entradas individuais em uma função de gerenciamento que determinam quais cmdlets e parâmetros estão disponíveis à função de gerenciamento e ao grupo de função. Cada entrada de função consiste em um único cmdlet e nos parâmetros que podem ser acessados pela função de gerenciamento.
A imagem a seguir mostra cada camada de diretiva de atribuição de função na lista anterior e como cada camada se relaciona à outra.
Modelo de diretiva de atribuição de função de gerenciamento
.jpg "Relacionamentos do Modelo de Atribuição de Função")
Para mais informações sobre funções de gerenciamento, atribuições de função e escopos, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Voltar ao início
Diretivas de Atribuição de Função Explícitas e Padrão
As seções a seguir descrevem os dois tipos de diretivas de atribuição de função no Exchange 2010.
Diretiva de Atribuição de Função Padrão
Uma diretiva de atribuição de função padrão é aquela que é atribuída a uma caixa de correio quando a caixa de correio é criada ou movida para um servidor que executa o Exchange 2010, e uma diretiva de atribuição de função não foi fornecida usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox ou Enable-Mailbox.
O Exchange 2010 inclui uma diretiva de atribuição de função padrão que oferece aos usuários finais as permissões de uso mais comum. As permissões padrão podem ser alteradas na diretiva de atribuição de função padrão adicionando funções de gerenciamento a ela ou removendo-as.
Se você quiser substituir a diretiva de atribuição de função padrão integrada pela sua própria diretiva de atribuição de função padrão, use o cmdlet Set-RoleAssignmentPolicy para selecionar um novo padrão. Ao fazer isso, as caixas de correio novas são atribuídas à diretiva de atribuição de função especificada por padrão, caso uma diretiva de atribuição de função não seja especificada explicitamente.
Quando você altera a diretiva de atribuição de função padrão, as caixas de correio atribuídas à diretiva de atribuição de função padrão não são atribuídas automaticamente à nova diretiva de atribuição de função padrão. Se quiser atualizar caixas de correio criadas anteriormente para que usem a diretiva de atribuição de função que você definiu como padrão, use o cmdlet Set-Mailbox para isso.
Diretiva de Atribuição de Função Explícita
Uma diretiva de atribuição de função explícita é uma diretiva que você atribui a uma caixa de correio manualmente usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox, Set-Mailbox ou Enable-Mailbox. Ao atribuir uma diretiva de atribuição de função explícita, a nova diretiva tem efeito imediato e substitui a diretiva de atribuição de função explícita atribuída anteriormente.
Voltar ao início
Usando Diretivas de Atribuição de Função
As diretivas de atribuição de função permitem adaptar as permissões com base nas necessidades de seu negócio quanto ao que seus usuários precisam ser capazes de configurar. Se a diretiva de atribuição de função padrão atender às suas necessidades, não será preciso fazer mais personalizações. No entanto, se você tiver muitos grupos de usuários diferentes com necessidades especializadas, é possível criar diretivas de atribuição de função para cada um deles.
A diretiva de atribuição de função padrão que você usa deve conter as permissões que se aplicam ao maior grupo de seus usuários. Em seguida, crie diretivas de atribuição de função para cada grupo especializado de usuários e adapte essas diretivas de atribuição de função para conceder mais ou menos permissões restritivas a eles. Ao organizar suas diretivas de atribuição de função dessa forma, você reduz a complexidade atribuindo explicitamente apenas diretivas de atribuição de função aos seus usuários especializados, enquanto a maior parte de seus usuários recebe as permissões mais comuns fornecidas pela diretiva de atribuição de função padrão.
Uma caixa de correio pode ter apenas uma diretiva de atribuição de função. A todos os usuários, incluindo os administradores e usuários especialistas, é atribuída uma diretiva de atribuição de função. Se quiser que um usuário tenha um conjunto diferente de permissões, atribua à caixa de correio do usuário outra diretiva de atribuição de função com as permissões exigidas.
Voltar ao início
Gerenciamento de Diretiva de Atribuição de Função
Para adicionar uma nova diretiva de atribuição de função, crie uma primeiro e decida se ela deve ser a diretiva de atribuição de função padrão. Depois de criar uma diretiva de atribuição de função, atribua funções de gerenciamento à diretiva de atribuição de função e atribua a diretiva de atribuição de função às caixas de correio. Mais tarde, você poderá adicionar ou remover funções de gerenciamento ou escolher uma diretiva de atribuição de função diferente como padrão.
A tabela a seguir lista a camada de diretiva de atribuição de função e os tópicos sobre os procedimentos que podem ser usados no gerenciamento de cada camada.
Tópicos de gerenciamento de diretiva de atribuição de função
| Camada de modelo de diretiva de atribuição de função | Tópicos de gerenciamento |
|---|---|
Caixa de Correio |
|
Diretiva de atribuição de função |
Adicionar uma Diretiva de Atribuição |
Funções de gerenciamento e atribuições |
|
Entradas de função de gerenciamento |
Adicionar uma Entrada de Função a uma Função Remover uma Entrada de Função de uma Função Dica Alterar as entradas de função de gerenciamento nas funções de gerenciamento em uma diretiva de atribuição de função é uma tarefa avançada e na maioria dos caso não é exigida. Você pode, em vez disso, ser capaz de usar uma função de gerenciamento pré-existente adequada às suas necessidades. Para mais informações, consulte Grupos de Função Integrados. |
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.