РазрешенияPermissions

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Microsoft Exchange Server 2013 включает большой набор предопределенных разрешений, основанный на модели разрешений управления доступом на основе ролей (RBAC), которые можно использовать для простого предоставления разрешений администраторам и пользователям.Microsoft Exchange Server 2013 includes a large set of predefined permissions, based on the Role Based Access Control (RBAC) permissions model, which you can use right away to easily grant permissions to your administrators and users. Вы можете использовать функции разрешений в Exchange 2013, чтобы вы могли быстро приступить к работе с новой организацией.You can use the permissions features in Exchange 2013 so that you can get your new organization up and running quickly.

Примечание

Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Understanding Role Based Access Control.Several RBAC features and concepts aren't discussed in this topic because they're advanced features. If the functionality discussed in this topic doesn't meet your needs, and you want to further customize your permissions model, see Understanding Role Based Access Control.

Разрешения на основе ролейRole-based permissions

В Exchange 2013 разрешения, которые предоставляются администраторам и пользователям, основаны на ролях управления.In Exchange 2013, the permissions that you grant to administrators and users are based on management roles. Роль определяет набор задач, которые может выполнять администратор или пользователь.A role defines the set of tasks that an administrator or user can perform. Например, роль управления Mail Recipients определяет задачи, которые кто-то может выполнить для набора почтовых ящиков, контактов и групп рассылки.For example, a management role called Mail Recipients defines the tasks that someone can perform on a set of mailboxes, contacts, and distribution groups. Когда роль назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.When a role is assigned to an administrator or user, that person is granted the permissions provided by the role.

Существует два типа ролей — административные роли и роли конечных пользователей.There are two types of roles, administrative roles and end-user roles:

  • Административные роли: эти роли содержат разрешения, которые можно назначить администраторам или специалистам специалистов с помощью групп ролей, управляющих частью организации Exchange, например получателями, серверами или базами данных.Administrative roles: These roles contain permissions that can be assigned to administrators or specialist users using role groups that manage a part of the Exchange organization, such as recipients, servers, or databases.

  • Роли конечных пользователей: эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять различными своими почтовыми ящиками и группами рассылки, которыми они владеют.End-user roles: These roles, assigned using role assignment policies, enable users to manage aspects of their own mailbox and distribution groups that they own. Роли конечных пользователей начинаются с префикса My.End-user roles begin with the prefix My.

Роли дают разрешения администраторам и пользователям на выполнение задач, предоставляя доступ к командлетам лицам с назначенными ролями.Roles give permissions to perform tasks to administrators and users by making cmdlets available to those who are assigned the roles. Так как центр администрирования Exchange и Командная консоль Exchange используют командлеты для управления Exchange, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение этой задачи в каждом интерфейсе управления Exchange.Because the Exchange admin center (EAC) and Exchange Management Shell use cmdlets to manage Exchange, granting access to a cmdlet gives the administrator or user permission to perform the task in each of the Exchange management interfaces.

Exchange 2013 содержит около 86 ролей, которые можно использовать для предоставления разрешений.Exchange 2013 includes approximately 86 roles that you can use to grant permissions. Список ролей, включенных в Exchange 2013, можно найти в статье встроенные роли управления.For a list of roles included with Exchange 2013, see Built-in management roles.

Группы ролей и политики назначения ролейRole groups and role assignment policies

Роли предоставляют разрешения на выполнение задач в Exchange 2013, но вам необходим простой способ их назначения администраторам и пользователям.Roles grant permissions to perform tasks in Exchange 2013, but you need an easy way to assign them to administrators and users. В Exchange 2013 представлены следующие сведения.Exchange 2013 provides you with the following to help you do that:

  • Группы ролей: группы ролей позволяют предоставлять разрешения администраторам и пользователям специалистов.Role groups: Role groups enable you to grant permissions to administrators and specialist users.

  • Политики назначения ролей: политики назначения ролей позволяют предоставить пользователям разрешения на изменение параметров собственных почтовых ящиков или групп рассылки, которыми они владеют.Role assignment policies: Role assignment policies enable you to grant permissions to end users to change settings on their own mailbox or distribution groups that they own.

Дополнительные сведения о группах ролей и политиках назначения ролей см. в следующих разделах:For more information about role groups and role assignment policies, see the following sections.

Группы ролейRole groups

Каждому администратору, управляющему Exchange 2013, необходимо назначить по крайней мере одну роль.Every administrator that manages Exchange 2013 must be assigned at least one or more roles. Администраторы могут иметь несколько ролей, так как они могут выполнять функции заданий, охватывающие несколько областей в Exchange.Administrators might have more than one role because they may perform job functions that span multiple areas in Exchange. Например, один администратор может управлять как получателями, так и серверами Exchange Server.For example, one administrator might manage both recipients and Exchange servers. В этом случае администратору могут быть назначены роли Mail Recipients и. Exchange ServersIn this case, that administrator might be assigned both the Mail Recipients and Exchange Servers roles.

Чтобы упростить назначение нескольким ролям администратору, Exchange 2013 содержит группы ролей.To make it easier to assign multiple roles to an administrator, Exchange 2013 includes role groups. Группы ролей — это специальные универсальные группы безопасности (универсальные группы безопасности), используемые Exchange 2013, которые могут содержать пользователей Active Directory, универсальные группы безопасности и другие группы ролей.Role groups are special universal security groups (USGs) used by Exchange 2013 that can contain Active Directory users, USGs, and other role groups. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы.When a role is assigned to a role group, the permissions granted by the role are granted to all the members of the role group. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей.This enables you to assign many roles to many role group members at once. Группы ролей обычно охватывают более широкие области управления, например управление получателями.Role groups typically encompass broader management areas, such as recipient management. Они используются только вместе с административными ролями, но не с ролями конечных пользователей.They're used only with administrative roles, and not end-user roles.

Примечание

Можно назначить роль непосредственно пользователю или группе USG, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.It's possible to assign a role directly to a user or USG without using a role group. However, that method of role assignment is an advanced procedure and isn't covered in this topic. We recommend that you use role groups to manage permissions.

На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.The following figure shows the relationship between users, role groups, and roles.

Роли, группы ролей и участники групп ролейRoles, role groups, and role group members

![Связь роли, группы ролей и участника] (images/Dd351175.3fb0b47d-333a-4953-ae38-d710d327bde0(EXCHG.150).gif "Связь роли, группы ролей и участника")Role, role group and member relationship

Exchange 2013 содержит несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange 2013.Exchange 2013 includes several built-in role groups, each one providing permissions to manage specific areas in Exchange 2013. Некоторые группы ролей могут перекрываться с другими.Some role groups may overlap with others. В приведенной ниже таблице перечислены группы ролей с описанием их использования.The following table lists each role group with a description of its use. Чтобы увидеть роли, назначенные каждой группе ролей, щелкните имя группы ролей в столбце "Группа ролей" и затем откройте раздел "Роли управления, назначенные этой группе ролей".If you want to see the roles assigned to each role group, click the name of the role group in the "Role group" column, and then open the "Management Roles Assigned to This Role Group" section.

Встроенные группы ролейBuilt-in role groups

Группа ролейRole group ОписаниеDescription

Управление организациейOrganization Management

Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любые задачи с любым объектом Exchange 2013, с некоторыми исключениями, такими как Discovery Management роль.Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions, such as the Discovery Management role.

Важно!

Так как группа ролей Управление организацией является мощной ролью, только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне Организации, которые могут оказать влияние на всю организацию Exchange, должны быть членами этой группы ролей.Because the Organization Management role group is a powerful role, only users or USGs that perform organizational-level administrative tasks that can potentially impact the entire Exchange organization should be members of this role group.

Управление организацией только с правом на просмотрView-only Organization Management

Администраторы, являющиеся участниками группы ролей Управление организацией только для просмотра, могут просматривать свойства любого объекта в организации Exchange.Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

Управление получателямиRecipient Management

Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2013 в организации Exchange 2013.Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

Управление единой системой обмена сообщениямиUM Management

Администраторы, которые являются членами группы ролей Управление единой системой обмена сообщениями, могут управлять функциями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями.Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

Служба поддержкиHelp Desk

Группа ролей службы поддержки по умолчанию позволяет участникам просматривать и изменять параметры Microsoft Office Outlook Web App для любого пользователя в Организации.The Help Desk role group, by default, enables members to view and modify the Microsoft Office Outlook Web App options of any user in the organization. В число изменяемых параметров пользователя могут входить отображаемое имя, адрес и номер телефона.These options might include modifying the user's display name, address, and phone number. К ним не относятся параметры, недоступные в параметрах Outlook Web App, такие как изменение размера почтового ящика или настройка базы данных почтовых ящиков, в которой находится почтовый ящик.They don't include options that aren't available in Outlook Web App options, such as modifying the size of a mailbox or configuring the mailbox database on which a mailbox is located.

Управление санациейHygiene Management

Администраторы, являющиеся участниками группы ролей управления санацией, могут настраивать функции защиты от вирусов и нежелательной почты в Exchange 2013.Administrators who are members of the Hygiene Management role group can configure the antivirus and anti-spam features of Exchange 2013. Сторонние программы, интегрированные с Exchange 2013, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange.Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

Управление записямиRecords Management

Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие функции обеспечения соответствия требованиям, как теги политики хранения, классификации сообщений и правила транспорта.Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, and transport rules.

Discovery ManagementDiscovery Management

Администраторы или пользователи, являющиеся участниками группы ролей Управление обнаружением, могут выполнять поиск данных, которые соответствуют определенным критериям, в почтовых ящиках в организации Exchange, а также настраивать юридические удержания в почтовых ящиках.Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure legal holds on mailboxes.

Управление общими папкамиPublic Folder Management

Администраторы, которые являются членами группы ролей управления общедоступными папками, могут управлять общедоступными папками на серверах Exchange 2013.Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

Управление серверомServer Management

Администраторы, которые являются участниками группы ролей управления сервером, могут выполнять настройку серверной конфигурации транспорта, единой системы обмена сообщениями, клиентского доступа и компонентов почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа.Administrators who are members of the Server Management role group can configure server-specific configuration of transport, Unified Messaging, client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

Делегированная установкаDelegated Setup

Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange 2013, подготовленные членом группы ролей Управление организацией.Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

Управление соответствием требованиямCompliance Management

Пользователи, являющиеся участниками группы управления соответствием требованиям, могут настраивать параметры соответствия требованиям Exchange и управлять ими согласно политике организации.Users who are members of the Compliance Management role group can configure and manage Exchange compliance settings in accordance with their organization's policy.

В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться.If you work in a small organization that has only a few administrators, you might need to add those administrators to the Organization Management role group only, and you may never need to use the other role groups. Если вы работаете в крупной организации, у вас могут быть администраторы, выполняющие определенные задачи для администрирования Exchange, такие как "получатель" или "Управление сервером".If you work in a larger organization, you might have administrators who perform specific tasks administering Exchange, such as recipient or server management. В таких случаях можно добавить одного администратора в группу ролей "Управление получателями" и другого администратора в группу ролей "Управление сервером".In those cases, you might add one administrator to the Recipient Management role group, and another administrator to the Server Management role group. Эти администраторы смогут управлять своими областями Exchange 2013, но не будут иметь разрешений на управление областями, за которые они не отвечают.Those administrators can then manage their specific areas of Exchange 2013 but won't have permissions to manage areas they're not responsible for.

Если встроенные группы ролей в Exchange 2013 не совпадают с должностными функциями администраторов, вы можете создавать группы ролей и добавлять к ним роли.If the built-in role groups in Exchange 2013 don't match the job function of your administrators, you can create role groups and add roles to them. Дополнительные сведения см. в разделе Работа с группами ролей далее в этой статье.For more information, see Work with Role Groups later in this topic.

Политики назначения ролейRole assignment policies

В Exchange 2013 предусмотрены политики назначения ролей, позволяющие контролировать, какие параметры пользователи могут настраивать для своих почтовых ящиков, а также для групп рассылки, которыми они владеют.Exchange 2013 provides role assignment policies so that you can control what settings your users can configure on their own mailboxes and on distribution groups they own. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.These settings include their display name, contact information, voice mail settings, and distribution group membership.

Организация Exchange 2013 может иметь несколько политик назначения ролей, которые обеспечивают различные уровни разрешений для различных типов пользователей в Организации.Your Exchange 2013 organization can have multiple role assignment policies that provide different levels of permissions for the different types of users in your organizations. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками.Some users can be allowed to change their address or create distribution groups, while others can't, depending on the role assignment policy associated with their mailbox. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.Role assignment policies are added directly to mailboxes, and each mailbox can only be associated with one role assignment policy at a time.

Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.Of the role assignment policies in your organization, one is marked as default. The default role assignment policy is associated with new mailboxes that aren't explicitly assigned a specific role assignment policy when they're created. The default role assignment policy should contain the permissions that should be applied to the majority of your mailboxes.

Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей.Permissions are added to role assignment policies using end-user roles. Роли конечных пользователей начинаются с My и предоставляют пользователям разрешения на управление только своими почтовыми ящиками или группами рассылки, которыми они владеют.End-user roles begin with My and grant permissions for users to manage only their mailbox or distribution groups they own. Они не могут использоваться для управления любыми другими почтовыми ящиками.They can't be used to manage any other mailbox. Политикам назначения ролей могут быть назначены только роли конечных пользователей.Only end-user roles can be assigned to role assignment policies.

Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.When an end-user role is assigned to a role assignment policy, all of the mailboxes associated with that role assignment policy receive the permissions granted by the role. This enables you to add or remove permissions to sets of users without having to configure individual mailboxes. The following figure shows:

  • Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей.End-user roles are assigned to role assignment policies. Role assignment policies can share the same end-user roles.

  • Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.Role assignment policies are associated with mailboxes. Each mailbox can only be associated with one role assignment policy.

  • После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.After a mailbox is associated with a role assignment policy, the end-user roles are applied to that mailbox. The permissions granted by the roles are granted to the user of the mailbox.

Роли, политики назначения ролей и почтовые ящикиRoles, role assignment policies, and mailboxes

![Роль, политика назначения ролей, связь] почтовых ящиков (images/Dd351175.82e07b3d-da59-465b-b349-e0bfde369ace(EXCHG.150).gif "Роль, политика назначения ролей, связь") почтовых ящиковRole, role assignment policy, mailbox relationship

Политика назначения ролей политики назначения ролей по умолчанию включена в Exchange 2013.The Default Role Assignment Policy role assignment policy is included with Exchange 2013. Как и предполагает название, это политика назначения ролей по умолчанию.As the name implies, it's the default role assignment policy. Сведения о том, как изменить разрешения, предусмотренные этой политикой назначения ролей, и как создавать политики назначения ролей, см. в подразделе Work with Role Assignment Policies ниже в данном разделе.If you want to change the permissions provided by this role assignment policy, or if you want to create role assignment policies, see Work with Role Assignment Policies later in this topic.

Работа с группами ролейWork with role groups

Для управления разрешениями с помощью групп ролей в Exchange 2013 мы рекомендуем использовать центр администрирования Exchange.To manage your permissions using role groups in Exchange 2013, we recommend that you use the Exchange admin center. Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши.When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна (например, Создание группы ролей), показанные на рисунке ниже.The EAC provides simple dialog boxes, such as the new role group dialog box, shown in the following figure, to perform these tasks.

Диалоговое окно создания группы ролей в Центре администрирования ExchangeNew role group dialog box in the EAC

![Диалоговое окно "Создание группы ролей" в] центре администрирования Exchange (images/Dd351175.e0577090-73e6-4671-ae98-78a8064fde87(EXCHG.150).jpg "Диалоговое окно "Создание группы ролей" в") центре администрирования ExchangeNew role group dialog box in the EAC

Exchange 2013 включает несколько групп ролей, которые разделяют разрешения на определенные административные области.Exchange 2013 includes several role groups that separate permissions into specific administrative areas. Если эти группы ролей предоставляют разрешения, необходимые администраторам для управления организацией Exchange 2013, необходимо добавить администраторов в качестве членов соответствующих групп ролей.If these existing role groups provide the permissions your administrators need to manage your Exchange 2013 organization, you need only add your administrators as members of the appropriate role groups. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей.After you add administrators to a role group, they can administer the features that relate to that role group. Чтобы добавить или удалить участников группы ролей, откройте группу ролей в Центре администрирования Exchange и добавьте или удалите участников из списка.To add or remove members to or from a role group, open the role group in the EAC, and then add or remove members from the membership list. Список встроенных групп ролей представлен в разделе встроенные группы ролей.For a list of built-in role groups, see Built-in role groups.

Важно!

Если администратор входит в несколько групп ролей, Exchange 2013 предоставляет администратору все разрешения, предоставляемые группами ролей, участником которых он является.If an administrator is a member of more than one role group, Exchange 2013 grants the administrator all of the permissions provided by the role groups he or she is a member of.

Если ни одна из групп ролей, включенных в Exchange 2013, не обладает необходимыми разрешениями, вы можете использовать центр администрирования Exchange для создания группы ролей и добавления ролей с нужными разрешениями.If none of the role groups included with Exchange 2013 have the permissions you need, you can use the EAC to create a role group and add the roles that have the permissions you need. Для создания новой группы ролей выполните следующие действия.For your new role group, you will:

  1. Выберите имя для группы ролей.Choose a name for your role group.

  2. Выберите роли, которые необходимо добавить в группу ролей.Select the roles you want to add to the role group.

  3. Добавьте участников в группу ролей.Add members to the role group.

  4. Сохраните группу ролей.Save the role group.

Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.After you create the role group, you manage it like any other role group.

Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, можно скопировать ее и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.If there's an existing role group that has some, but not all of the permissions you need, you can copy it and then make changes to create a role group. You can copy an existing role group and make changes to it, without affecting the original role group. As part of copying the role group, you can add a new name and description, add and remove roles to and from the new role group, and add new members. When you create or copy a role group, you use the same dialog box that's shown in the preceding figure.

Существующие группы ролей можно также изменять.Existing role groups can also be modified. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке.You can add and remove roles from existing role groups, and add and remove members from it at the same time, using an EAC dialog box similar to the one in the preceding figure. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы.By adding and removing roles to and from role groups, you turn on and off administrative features for members of that role group. Список ролей, которые можно добавить в группу ролей, приведен в разделе встроенные роли управления.For a list of roles you can add to a role group, see Built-in management roles.

Примечание

Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников.Although you can change which roles are assigned to built-in role groups, we recommend that you copy built-in role groups, modify the role group copy, and then add members to the role group copy.

Работа с политиками назначения ролейWork with role assignment policies

Для управления разрешениями, которые вы предоставляете конечным пользователям для управления собственным почтовым ящиком в Exchange 2013, мы рекомендуем использовать центр администрирования Exchange.To manage the permissions that you grant end users to manage their own mailbox in Exchange 2013, we recommend that you use the EAC. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши.When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.The EAC provides simple dialog boxes, such as the role assignment policy dialog box, shown in the following figure, to perform these tasks.

Диалоговое окно политики назначения ролей в Центре администрирования ExchangeRole assignment policy dialog box in the EAC

![Диалоговое окно политики назначения ролей в] центре администрирования Exchange (images/Dd351175.ecdf3cd4-d50e-4014-95f8-1bd5dafacaff(EXCHG.150).jpg "Диалоговое окно политики назначения ролей в") центре администрирования ExchangeRole assignment policy dialog box in the EAC

Exchange 2013 включает политику назначения ролей по умолчанию с именем "политика назначения ролей по умолчанию".Exchange 2013 includes a role assignment policy named Default Role Assignment Policy. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.This role assignment policy enables users whose mailboxes are associated with it to do the following:

  • Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.Join or leave distribution groups that allow members to manage their own membership.

  • Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.View and modify basic mailbox settings on their own mailbox, such as Inbox rules, spelling behavior, junk mail settings, and Microsoft ActiveSync devices.

  • Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.Modify their contact information, such as work address and phone number, mobile phone number, and pager number.

  • Создавать, изменять и просматривать параметры текстовых сообщений.Create, modify, or view text message settings.

  • Просматривать и изменять параметры голосовой почты.View or modify voice mail settings.

  • Просматривать и изменять свои программы в marketplace.View and modify their marketplace apps.

  • Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.Create team mailboxes and connect them to Microsoft SharePoint lists.

Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей в Центре администрирования Exchange, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.If you want to add or remove permissions from the Default Role Assignment Policy or any other role assignment policy, you can use the EAC. The dialog box you use is similar to the one in the preceding figure. When you open the role assignment policy in the EAC, select the check box next to the roles you want to assign to it or clear the check box next to the roles you want to remove. The change you make to the role assignment policy is applied to every mailbox associated with it.

Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.If you want to assign different end-user permissions to the various types of users in your organization, you can create role assignment policies. When you create a role assignment policy, you see a dialog box similar to the one in the preceding figure. You can specify a new name for the role assignment policy, and then select the roles you want to assign to the role assignment policy. After you create a role assignment policy, you can associate it with mailboxes using the EAC.

Чтобы переопределить политику назначения ролей по умолчанию, необходимо использовать командную консоль. При переопределении политики назначения ролей по умолчанию все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.If you want to change which role assignment policy is the default, you must use the Shell. When you change the default role assignment policy, any mailboxes that are created will be associated with the new default role assignment policy if one wasn't explicitly specified. The role assignment policy associated with existing mailboxes doesn't change when you select a new default role assignment policy.

Примечание

Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются.If you select a check box for a role that has child roles, the check boxes for the child roles are also selected. If you clear the check box for a role with child roles, the check boxes for the child roles are also cleared.
Подробные сведения о создании политики назначения ролей, а также о внесении изменений в существующие политики назначения ролей см. в следующих разделах:For detailed steps about how to create role assignment policies or make changes to existing role assignment policies, see the following topics:

Документация по разрешениямPermissions documentation

В следующей таблице приведены ссылки на разделы, которые помогут узнать о разрешениях в Exchange 2013 и управлять ими.The following table contains links to topics that will help you learn about and manage permissions in Exchange 2013.

СтатьяTopic ОписаниеDescription

Understanding Role Based Access ControlUnderstanding Role Based Access Control

Сведения о каждом из компонентов RBAC и о том, как создать расширенные модели разрешений, когда групп ролей и ролей управления недостаточно.Learn about each of the components that make up RBAC and how you can create advanced permissions models if role groups and management roles aren't enough.

Общие сведения о разрешениях для нескольких лесовUnderstanding multiple-forest permissions

Сведения о внедрении разрешений RBAC в организациях с помощью лесов учетных записей и ресурсов.Learn about implementing RBAC permissions in organizations with account and resource forests.

Общие сведения о разделенных разрешенияхUnderstanding split permissions

Сведения о разделении управления Exchange и субъектов безопасности с помощью разделенных разрешений RBAC и Active Directory.Learn about splitting Exchange and security principal management using RBAC and Active Directory split permissions.

Сведения о сосуществовании разрешений в Exchange 2007 и Exchange 2010Understanding permissions coexistence with Exchange 2007 and Exchange 2010

Настройка разрешений для включения администрирования Exchange 2013 в существующих организациях Exchange 2007 и Exchange 2010.Configure permissions to enable administration of Exchange 2013 in existing Exchange 2007 and Exchange 2010 organizations.

Управление группами ролейManage role groups

Настройка разрешений для администраторов Exchange и пользователей специалистов, использующих группы ролей.Configure permissions for Exchange administrators and specialist users using role groups.

Управление участниками группы ролейManage role group members

Добавление и удаление участников в группах ролей.Add members to and from role groups. Добавляя и удаляя участников в группах ролей и из них, вы настраиваете, кто имеет право на администрирование функций Exchange.By adding and removing members to and from role groups, you configure who's able to administer Exchange features.

Управление группами связанных ролейManage linked role groups

Настройка разрешений для администраторов Exchange и пользователей специалистов в развертывании Exchange с несколькими лесами.Configure permissions for Exchange administrators and specialist users in multi-forest Exchange deployments.

Управление политиками назначения ролейManage role assignment policies

Настройте, какие функции конечные пользователи имеют доступ к своим почтовым ящикам, используя политики назначения ролей.Configure which features end-users have access to on their mailboxes using role assignment policies.

Изменение политики назначения для почтового ящикаChange the assignment policy on a mailbox

Настройка применения политик назначения ролей к одному или нескольким почтовым ящикам.Configure which role assignment policy is applied to one or more mailboxes.

Создание группы связанных ролей, которые зеркально встроенные группы ролейCreate linked role groups that mirror built-in role groups

Повторно создайте встроенные группы ролей в качестве связанных групп ролей в развертываниях Exchange с несколькими лесами.Re-create the built-in role groups as linked role groups in multi-forest Exchange deployments.

Просмотр эффективных разрешенийView effective permissions

Просмотр, у которого есть разрешения на администрирование функций Exchange.View who has permissions to administer Exchange features.

Разрешения на функцииFeature permissions

Узнайте больше о разрешениях, необходимых для управления функциями и службами Exchange.Learn more about the permissions required to manage Exchange features and services.

Дополнительные разрешенияAdvanced permissions

Используйте расширенные функции RBAC для создания строго настраиваемых моделей разрешений в соответствии с потребностями любой организации.Use advanced RBAC features to create highly customized permission models to fit the needs of any organization.