Настройка олицетворения

  • Статья

Сведения о предоставлении роли олицетворения учетной записи службы с помощью командной консоли Exchange.

С помощью олицетворения вызывающая сторона, например приложение службы, может олицетворять учетную запись пользователя. Вызывающая сторона может выполнять операции, используя вместо разрешений своей учетной записи те, которые сопоставлены с олицетворенной учетной записью.

Для назначения разрешений учетным записям в Exchange Online (автономной службе и в составе Office 365) и всех версиях Exchange, начиная с Exchange 2013, используется управление доступом на основе ролей (RBAC). Чтобы учетная запись службы могла олицетворять других пользователей, администратору сервера Exchange Server потребуется предоставить ей роль ApplicationImpersonation с помощью командлета New-ManagementRoleAssignment.

Настройка роли ApplicationImpersonation

Вам или администратору сервера Exchange Server следует использовать указанные ниже параметры командлета New-ManagementRoleAssignment при назначении роли ApplicationImpersonation.

  • Name — понятное имя назначения роли. При каждом назначении роли запись о ней вносится в список ролей RBAC. Используйте командлет Get-ManagementRoleAssignment, чтобы проверить назначения ролей.
  • Role — назначаемая роль RBAC. Для настройки олицетворения нужно назначить роль ApplicationImpersonation.
  • Пользователь — учетная запись службы.
  • CustomRecipientScope — область действия пользователей, которые может олицетворить учетная запись службы. Учетная запись службы может олицетворять только тех пользователей, которые входят в указанную область. Если область не указана, учетная запись службы получает роль ApplicationImpersonation для всех пользователей организации. Можно создавать специальные области управления с помощью командлета New-ManagementScope.

Перед настройкой олицетворения вам понадобятся:

  • Учетные данные администратора для сервера Exchange Server.
  • Учетные данные администратора домена или другие учетные данные с разрешением на создание и назначение ролей и областей.
  • Средства управления Exchange. Их нужно установить на компьютере, с которого будут выполняться команды.

Настройка олицетворения для всех пользователей в организации

  1. Запустите командную консоль Exchange. В меню "Пуск" выберите Все приложения > >Microsoft Exchange Server 2013.

  2. Запустите командлет New-ManagementRoleAssignment, чтобы добавить разрешение на олицетворение для указанного пользователя. В приведенном ниже примере показано, как настроить олицетворение так, чтобы учетная запись службы могла олицетворять всех остальных пользователей в организации.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount

Настройка олицетворения для определенных пользователей или групп пользователей

  1. Запустите командную консоль Exchange. В меню "Пуск" выберите Все приложения > >Microsoft Exchange Server 2013.

  2. Запустите командлет New-ManagementScope, чтобы создать область, которой можно назначить роль олицетворения. Если такая область уже есть, этот шаг можно пропустить. В приведенном ниже примере показано, как создать область управления для определенной группы.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter

    Параметр RecipientRestrictionFilter командлетаNew-ManagementScope определяет участников области. Можно использовать свойства объекта Identity, чтобы создать фильтр. В примере ниже показан фильтр, который ограничивает результаты одним пользователем с именем "john".

    Name -eq "john"

  3. Запустите командлет New-ManagementRoleAssignment, чтобы добавить разрешение на олицетворение пользователей, входящих в указанную область. В приведенном ниже примере показано, как настроить учетную запись службы так, чтобы она могла олицетворять всех пользователей в области.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName

Когда администратор предоставит разрешения на олицетворение, с помощью учетной записи службы можно будет вызывать учетные записи других пользователей. Используйте командлет Get-ManagementRoleAssignment, чтобы проверить назначения ролей.

См. также