Управление организациейOrganization Management

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Группа ролей управления организацией управления — это один из нескольких встроенные группы ролей, которые составляют модель разрешений элемента управления на основе Access ролей (RBAC) в Microsoft Exchange Server 2013. Группы ролей назначаются один или несколько ролей управления, которые содержат разрешения, необходимые для выполнения данного списка задач. Участники группы ролей, получают доступ к роли управления, назначенные в группу ролей. Дополнительные сведения о группах ролей можно Общее представление о группах ролей управления.The Organization Management management role group is one of several built-in role groups that make up the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Role groups are assigned one or more management roles that contain the permissions required to perform a given set of tasks. The members of a role group are granted access to the management roles assigned to the role group. For more information about role groups, see Understanding management role groups.

Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любые задачи с любым объектом Exchange 2013 за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе "Назначения делегирования ролей" данного раздела.Administrators that are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles. For more information, see the "Delegating Only Role Assignments" section later in this topic.

Важно!

Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange.The Organization Management role group is a very powerful role and as such, only users or universal security groups (USGs) that perform organizational-level administrative tasks that can potentially impact the entire Exchange organization should be members of this role group.

Эта группа ролей эквивалентна роли администратора организации Exchange в Exchange Server 2007.This role group is equivalent to the Exchange Organization Administrators role in Exchange Server 2007.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.For more information about RBAC, see Understanding Role Based Access Control.

Членство в группе ролейRole group membership

По умолчанию учетная запись, используемая для установки Exchange 2013 в организации, добавляется в качестве участника группы ролей Управление организацией. Затем пользователь под этой учетной записью может при необходимости добавлять других участников в эту группу ролей.By default, the account that's used to install Exchange 2013 in the organization is added as a member of the Organization Management role group. This account can then add other members to the role group as needed.

Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.If you want to add or remove members to or from this role group, see Manage role group members.

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о том, как добавлять представителей группы ролей, см. в подразделе "Добавление или удаление представителя группы ролей" в разделе Управление группами ролей.By default, only members of the Organization Management role group can add or remove members from this role group. For more information about how to add additional role group delegates, see the "Add or remove a role group delegate" section in Manage role groups.

Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.You can use the following command to view a list of users or USGs that are members of this role group.

Get-RoleGroupMember "Organization Management"

Дополнительные сведения об участниках группы ролей см. в разделе Управление группами ролей.For more information about the members of a role group, see Manage role groups.

Настройка группы ролейRole group customization

Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе "Роли управления, назначенные этой группе ролей". В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.This role group is assigned management roles by default. The roles that are included are listed in the "Management Roles Assigned to this Role Group" section. You can add or remove role assignments to or from this role group to match the needs of your organization.

Группы ролей, предусмотренные в Exchange 2013, предназначены для решения определенных задач. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль "Ведение журнала" позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в разделе Общие сведения о назначениях ролей управления.The role groups provided with Exchange 2013 are designed to match more granular tasks. By assigning roles to a role group, you enable the members of that role group to perform the tasks associated with the role. For example, the Journaling role enables the management of the Journaling agent and journaling rules. For more information about how roles are assigned to role groups, see Understanding management role assignments.

Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.The roles assigned to this role group are given default management scopes. Management scopes determine what Exchange objects can be viewed or modified by the members of a role group. You can change the scopes associated with assignments between roles and role groups. For example, you might want to do this if you only want members of a role group to be able to change recipients that are under a specific organizational unit or in a specific location. For more information about management scopes, see Understanding management role scopes.

Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.For more information about how to customize this role group, see the following topics:

Для создания группы ролей и назначения некоторые роли, назначенные этой группе ролей в новую группу ролей, см раздел «Создание группы ролей» Управлениегруппами ролей.If you want to create a role group and assign some of the roles that are assigned to this role group to the new role group, see the “Create a role group” section in Manage role groups.

Ниже перечислены некоторые способы настройки этой роли.The following are some ways you might want to customize this role:

  • Владелец разрешения Если разрешения в вашей организации осуществляется с определенной группой отличный от администраторов Exchange, можно создать группы ролей и переместить регулярных и делегирование назначения ролей для управления ролями роли в новую группу ролей. Это позволяет предотвратить членов группы ролей управления организацией от управления никаких разрешений RBAC.Permissions owner If the permissions in your organization are controlled by a specific group other than the Exchange administrators, you can create a role group and move the regular and delegating role assignments for the Role Management role to the new role group. Doing so prevents members of the Organization Management role group from managing any RBAC permissions.

  • Разделения разрешений Active Directory Если создание участников безопасности в вашей организации, такие как учетные записи пользователей управляются конкретную группу отличный от администраторов Exchange, можно создавать группы ролей и перемещение регулярных и делегирование назначения ролей для получателя сообщения Создание роли и создание группы безопасности и членство в роли в новую группу ролей. Это позволяет предотвратить членов группы ролей управления организацией от создания объектов Active Directory. Тем не менее, они могут продолжать включить поддержку почты новых объектов Active Directory. Дополнительные сведения о разрешениях split split Общие сведения о разрешенияхсм.Active Directory split permissions If the creation of security principals in your organization, such as user accounts, is controlled by a specific group other than the Exchange administrators, you can create a role group and move the regular and delegating role assignments for the Mail Recipient Creation role and the Security Group Creation and Membership role to the new role group. Doing so prevents members of the Organization Management role group from creating Active Directory objects. They can, however, continue to mail-enable the new Active Directory objects. For more information about split permissions, see Understanding split permissions.

Ограничения настройкиCustomization limitations

Любую роль можно добавить или удалить из этой группы ролей со следующими ограничениями.Any role can be added to or removed from this role group, with the following limitations:

  • У каждой роли должно быть как минимум одно назначение роли делегирования группе ролей или универсальной группе безопасности, прежде чем назначение роли делегирования может быть удалено из этой группы ролей.Every role must have at least one delegating role assignment to a role group or USG before the delegating role assignment can be removed from this role group.

  • У роли управления ролями должно быть как минимум одно назначение стандартной роли группе ролей или универсальной группе безопасности, прежде чем назначение стандартной роли может быть удалено из этой группы ролей.The Role Management role must have at least one regular role assignment to a role group or USG before the regular role assignment can be removed from this role group.

Эти ограничения предназначены для предотвращения случайной блокировки пользователем самого себя. Предусматривая наличие как минимум одного назначения роли делегирования между каждой ролью и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность назначать роли уполномоченным этой роли. Предусматривая наличие как минимум одного назначения стандартной роли между ролью управления ролями и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность настраивать группы ролей и назначения ролей.These limitations are intended to help prevent you from inadvertently locking yourself out of the system. By requiring that at least one delegating role assignment exists between every role and one or more role groups or USGs, you will always be able to assign roles to role assignees. By requiring that at least one regular role assignment exists between the Role Management role and one or more role groups or USGs, you will always be able to configure role groups and role assignments.

Важно!

Для этих ограничений требуется, чтобы группы ролей или универсальные группы безопасности являлись объектами назначения стандартных ролей и ролей делегирования. Нельзя удалить назначение роли делегирования или стандартное назначение для роли управления ролями, если последнее назначение выполнялось для пользователя.These limitations require that role groups or USGs be the targets of the delegating and regular role assignments. You can't remove a delegating role assignment or the regular assignment for the Role Management role if the last assignment is to a user.

Назначения ролей только для делегированияDelegating only role assignments

Некоторые назначения ролей между группой ролей Управление организацией и ролями управления, например поиск по почтовым ящикам и управление ролями с незаданной областью, предназначены только для делегирования. Эти роли дают доступ к конфиденциальным данным или личным сведениям, таким как содержимое почтовых ящиков, а также обеспечивают создание мощных ролей управления с незаданной областью.Some role assignments between the Organization Management role group and management roles, such as Mailbox Search and Unscoped Role Management, are delegating only role assignments. These roles allow access to sensitive or personal information, such as the contents of mailboxes, or enable the creation of powerful unscoped management roles.

Назначение только ролей делегирования позволяет участникам группы ролей Управление организацией только назначать связанные роли другим группам ролей, политикам назначения ролей управления, пользователям или универсальным группам безопасности. По умолчанию участники группы ролей Управление организацией не получают каких-либо разрешений, которые предоставляются данной ролью. Это помогает предотвратить случайное раскрытие личных сведений или несанкционированное получение прав.Delegating only role assignments enable members of the Organization Management role group only to assign the associated roles to other role groups, management role assignment policies, users, or USGs. Members of the Organization Management role group aren't given, by default, any permissions that the roles provide. This helps avoid accidental exposure to personal information or accidental elevation of privileges.

Участники группы ролей Управление организацией могут назначать себя в любую роль, фактически позволяя себе выполнять любые задачи. Например, член группы ролей Управление организацией может назначить роль поиска в почтовых ящиках в группу ролей Управление организацией. После назначения этой роли участники группы ролей Управление организацией могут выполнять задачи, которые поддерживаются ролью поиска в почтовых ящиках.Members of the Organization Management role group can, however, assign themselves any role, in effect enabling them to perform any task. For example, a member of the Organization Management role group can assign the Mailbox Search role to the Organization Management role group. After this role assignment is made, members of the Organization Management role group can perform tasks enabled by the Mailbox Search role.

Дополнительные сведения о назначениях ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.For more information about delegating role assignments, see Understanding management role assignments.

Дополнительные разрешенияAdditional permissions

Разрешения, предоставляемые участникам группы ролей Управление организацией, в основном определяются ролями управления, назначенными этой группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Некоторые задачи выполняются за пределами средств управления Exchange, которые не позволяют применить модель разрешений RBAC. Для таких задач разрешения предоставляются путем добавления группы ролей Управление организацией в списки управления доступом (ACL) определенных объектов Active Directory.The permissions granted to members of the Organization Management role group are primarily determined by the management roles assigned to the role group. However, not all tasks that you need to perform are covered by management roles. Some tasks occur outside of the Exchange management tools, and therefore the RBAC permissions model doesn't apply. For these tasks, permissions are provided by adding the Organization Management role group to the access control lists (ACLs) of certain Active Directory objects.

Для следующих задач разрешения были получены с помощью списков управления доступом объектов Active Directory, а не с помощью назначения роли управления группе ролей Управление организацией.The following tasks are granted permissions by way of ACLs on Active Directory objects and not by management roles assigned to the Organization Management role group:

  • Запуск DomainPrep и ForestPrep с помощью Setup.exeRunning DomainPrep and ForestPrep using Setup.exe

  • Развертывание дополнительных серверов в организацииDeploying additional servers in the organization

Роли управления, назначенные этой группе ролейManagement roles assigned to this role group

В следующей таблице перечислены все роли управления, назначенные этой группе ролей, и следующие атрибуты каждого назначения роли:The following table lists all the management roles that are assigned to this role group and the following attributes of each role assignment:

  • Обычное назначение Позволяет членам группы ролей для доступа к записям ролей управления, предоставляемым связанной ролью управления.Regular assignment Enables members of the role group to access the management role entries made available by the associated management role.

  • Делегирование назначения Предоставляет члены группы ролей возможность назначать определенную роль другим группы ролей, политики назначения ролей, пользователям или универсальным группам безопасности.Delegating assignment Gives members of the role group the ability to assign the specified role to other role groups, role assignment policies, users, or USGs.

  • Область чтения получателей Определяет, какие объекты получателей членов группы ролей могут читать из Active Directory.Recipient read scope Determines what recipient objects members of the role group are allowed to read from Active Directory.

  • Область записи получателей Определяет, какие объекты получателей членов группы ролей могут изменять в Active Directory.Recipient write scope Determines what recipient objects members of the role group are allowed to modify in Active Directory.

  • Область чтения конфигурации Определяет, какие конфигурации и server объекты, которые участники группы ролей могут читать из Active Directory.Configuration read scope Determines what configuration and server objects members of the role group are allowed to read from Active Directory.

  • Область записи конфигурации Определяет, что организации и объекты сервера, которые участники группы ролей могут изменять в Active Directory.Configuration write scope Determines what organizational and server objects members of the role group are allowed to modify in Active Directory.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:For more information about role assignments and management scopes, see the following topics:

Роли управления, назначенные этой группе ролейManagement roles assigned to this role group

Роль управленияManagement role Стандартное назначениеRegular assignment Делегированное назначениеDelegating assignment Область чтения получателейRecipient read scope Область записи получателейRecipient write scope Область чтения конфигурацииConfiguration read scope Область записи конфигурацииConfiguration write scope

Роль разрешений Active DirectoryActive Directory Permissions role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль списков адресовAddress Lists role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль ApplicationImpersonationApplicationImpersonation role

XX

Organization

Organization

None

None

Роль ArchiveApplicationArchiveApplication role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль журналов аудитаAudit Logs role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль агентов расширения командлетовCmdlet Extension Agents role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль предотвращения потери данныхData Loss Prevention role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль групп обеспечения доступности баз данныхDatabase Availability Groups role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль копий баз данныхDatabase Copies role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль баз данныхDatabases role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль аварийного восстановленияDisaster Recovery role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль групп рассылкиDistribution Groups role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль пограничных подписокEdge Subscriptions role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль политик адресов электронной почтыE-Mail Address Policies role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей ExchangeExchange Connectors role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль сертификатов сервера Exchange ServerExchange Server Certificates role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль серверов ExchangeExchange Servers role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль виртуальных каталогов ExchangeExchange Virtual Directories role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль федеративного общего доступаFederated Sharing role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления правами на доступ к даннымInformation Rights Management role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль ведения журналаJournaling role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль хранения для судебного разбирательстваLegal Hold role

XX

XX

Organization

Organization

OrganizationConfig

None

Роль LegalHoldApplicationLegalHoldApplication role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль общедоступных папок с включенной поддержкой почтыMail Enabled Public Folders role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль создания получателя электронной почтыMail Recipient Creation role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль получателей почтыMail Recipients role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль советов по использованию электронной почтыMail Tips role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль импорта и экспорта почтового ящикаMailbox Import Export role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль поиска в почтовом ящикеMailbox Search role

XX

Organization

Organization

None

None

Роль MailboxSearchApplicationMailboxSearchApplication role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль отслеживания сообщенийMessage Tracking role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль переносаMigration role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль мониторингаMonitoring role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль перемещения почтовых ящиковMove Mailboxes role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль OfficeExtensionApplicationOfficeExtensionApplication role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль клиентского доступа организацииOrganization Client Access role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль конфигурации организацииOrganization Configuration role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль параметров транспорта организацииOrganization Transport Settings role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль протоколов POP3 и IMAP4POP3 and IMAP4 Protocols role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль общедоступных папокPublic Folders role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей полученияReceive Connectors role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль политик получателяRecipient Policies role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль удаленных и обслуживаемых доменовRemote and Accepted Domains role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль сброса пароляReset Password role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления хранениемRetention Management role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления ролямиRole Management role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль создания и членства в группе безопасностиSecurity Group Creation and Membership role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей отправкиSend Connectors role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль поддержки диагностикиSupport Diagnostics role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль TeamMailboxLifecycleApplicationTeamMailboxLifecycleApplication role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль агентов транспортаTransport Agents role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль санации транспортаTransport Hygiene role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль очередей транспортаTransport Queues role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль правил транспортаTransport Rules role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль почтовых ящиков единой системы обмена сообщениямиUM Mailboxes role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль запросов единой системы обмена сообщениямиUM Prompts role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления с незаданной областьюUnscoped Role Management role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль единой системы обмена сообщениямиUnified Messaging role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль UserApplicationUserApplication role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль параметров пользователяUser Options role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль только для просмотра журналов аудитаView-Only Audit Logs role

XX

XX

Organization

None

OrganizationConfig

None

Роль конфигурации с правами только на просмотрView-Only Configuration role

XX

XX

Organization

None

OrganizationConfig

None

Роль получателей с правами только на просмотрView-Only Recipients role

XX

XX

Organization

None

OrganizationConfig

None

Роль WorkloadManagementWorkloadManagement role

XX

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль "Мои настраиваемые приложения"My Custom Apps role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль My Marketplace AppsMy Marketplace Apps role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyBaseOptionsMyBaseOptions role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyContactInformationMyContactInformation role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyDiagnosticsMyDiagnostics role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyDistributionGroupMembershipMyDistributionGroupMembership role

XX

MyGAL

MyGAL

None

None

Роль MyDistributionGroupsMyDistributionGroups role

XX

MyGAL

MyDistributionGroups

OrganizationConfig

None

Роль MyProfileInformationMyProfileInformation role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyRetentionPoliciesMyRetentionPolicies role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyTeamMailboxesMyTeamMailboxes role

XX

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль MyTextMessagingMyTextMessaging role

XX

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyVoiceMailMyVoiceMail role

XX

Self

Self

OrganizationConfig

OrganizationConfig