Роль TeamMailboxLifecycleApplicationTeamMailboxLifecycleApplication role

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

TeamMailboxLifecycleApplication Роль управления позволяет партнерским приложениям изменять состояния жизненного цикла почтовых ящиков сайта.The TeamMailboxLifecycleApplication management role enables partner applications to update site mailbox lifecycle states.

Эта роль управления — одна из встроенных ролей в модели разрешений управления доступом на основе ролей (RBAC) в Microsoft Exchange Server 2013. Роли управления, которые назначаются одной или нескольким группам ролей управления, политикам назначения ролей управления, пользователям или универсальным группам безопасности (USG), работают как средство логического группирования командлетов или скриптов, которые объединяются для предоставления доступа на просмотр и изменение конфигурации компонентов Exchange 2013, например баз данных почтовых ящиков, правил транспорта и получателей. Если командлет или скрипт и его параметры (вместе они называются записью роли управления) включены в роль, этот командлет или скрипт и его параметры могут запускаться участниками роли. Дополнительные сведения о ролях управления и записях ролей управления см. в разделе Общие сведения о ролях управления.This management role is one of several built-in roles in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Management roles, which are assigned to one or more management role groups, management role assignment policies, users, or universal security groups (USG), act as a logical grouping of cmdlets or scripts that are combined to provide access to view or modify the configuration of Exchange 2013 components, such as mailbox databases, transport rules, and recipients. If a cmdlet or script and its parameters, together called a management role entry, are included on a role, that cmdlet or script and its parameters can be run by those assigned the role. For more information about management roles and management role entries, see Understanding management roles.

Дополнительные сведения о ролях управления, группах ролей управления и других компонентах RBAC см. в разделе Общие сведения об управлении доступом на основе ролей.For more information about management roles, management role groups, and other RBAC components, see Understanding Role Based Access Control.

Назначения ролей управленияManagement role assignments

Чтобы предоставить роли разрешения, ее необходимо назначить уполномоченному роли, который может быть группой ролей, пользователем или универсальной группой безопасности. Это назначение осуществляется с помощью назначений ролей управления. Назначение роли связывает роль и получателя роли. Если получателю ролей назначено несколько ролей, он получает совокупность всех разрешений, предоставляемых всеми назначенными ролями.For this role to grant permissions, it must be assigned to a role assignee, which can be a role group, user, or universal security group (USG). This assignment is done using management role assignments. Role assignments link role assignees and roles together. If more than one role is assigned to a role assignee, the role assignee is granted the combination of all the permissions granted by all the assigned roles.

Помимо связывания уполномоченных ролей с ролями, назначения ролей также позволяют применять настраиваемые или встроенные области управления. Области управления отвечают за то, какие объекты получателей, серверов и баз данных могут изменять члены роли. Если данная роль назначена уполномоченному роли, но область управления позволяет ему осуществлять управление только определенными объектами на основе определенной области, уполномоченный может использовать только разрешения, предоставленные этой роли для указанных объектов. Разрешения, предоставленные этой ролью, не могут применяться к объектам, находящимся за пределами области, определенной в назначении роли. Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:In addition to linking role assignees to roles, role assignments can also apply custom or built-in management scopes. Management scopes control which recipient, server and database objects can be modified by role assignees. If this role is assigned to a role assignee, but a management scope allows the role assignee only to manage certain objects based on a defined scope, the role assignee can only use the permissions granted by this role on those specific objects. The permissions provided by this role can't be applied to objects outside the scope defined on the role assignment. For more information about role assignments and scopes, see the following topics:

По умолчанию эта роль назначается одной или нескольким группам ролей. Дополнительные сведения см. в подразделе "Назначения ролей управления по умолчанию" данного раздела.This role is assigned to one or more role groups by default. For more information, see the "Default Management Role Assignments" section later in this topic.

Для просмотра списка групп ролей, пользователей, универсальных групп безопасности, назначенных этой роли, используйте указанную ниже команду.If you want to view a list of role groups, users, or USGs assigned to this role, use the following command.

Get-ManagementRoleAssignment -Role "<role name>"

Назначения обычных ролей и ролей делегированияRegular and delegating role assignments

Эту роль можно назначать получателем ролей с помощью назначений обычных ролей или ролей делегирования. Назначения обычных ролей предоставляют получателю роли разрешения, предоставляемые ролью. Назначения ролей делегирования предоставляют получателю роли возможность назначать определенную роль другим получателям. Дополнительные сведения о назначении обычных ролей и ролей делегирования см. в разделе Общие сведения о назначениях ролей управленияОбщие сведения о назначениях ролей управления.This role can be assigned to role assignees using either regular or delegating role assignments. Regular role assignments grant the permissions provided by the role to the role assignee. Delegating role assignments grant the role assignee the ability to assign the role to other role assignees. For more information about regular and delegating role assignments, see Understanding management role assignments.

Добавление или удаление назначений ролейAdding or removing role assignments

Получателей конкретной роли можно изменить. При изменении получателя роли изменяется лицо, получающее соответствующие разрешения. Можно назначить эту роль другим встроенным группам ролей или создать группы ролей и назначить им эту роль. Эту роль можно также назначить пользователям или универсальным группам безопасности. Однако рекомендуется ограничить назначение ролей пользователям и универсальным группам безопасности, так как назначения значительно повышают сложность модели разрешений.You can change which role assignees are assigned this role. By changing which role assignee is assigned this role, you change who is granted its permissions. You can assign this role to other built-in role groups, or you can create role groups and assign this role to them. You can also assign this role to users or USGs. However, we recommend that you limit assignment of roles to users and USGs because such assignments can greatly increase the complexity of your permissions model.

Чтобы назначить роль получателям роли, ее необходимо назначить группе ролей, участником которой вы являетесь, непосредственно себе или универсальной группе безопасности, участником которой вы являетесь, с помощью назначения роли делегирования. Дополнительные сведения о назначениях ролей делегирования см. в разделе "Назначения обычных ролей и ролей делегирования".To assign this role to role assignees, the role must be assigned to a role group you're a member of, directly to you, or to a USG you're a member of, using a delegating role assignment. For more information about delegating role assignments, see the "Regular and Delegating Role Assignments" section.

Эту роль можно также удалять из встроенных групп ролей, созданных групп ролей, пользователей и универсальных групп безопасности. Однако всегда должно быть по крайней мере одно назначение роли делегирования между этой ролью и группой ролей или универсальной группой безопасности. Удалить последнее назначение роли делегирования невозможно. Это ограничение позволяет предотвратить блокировку своей учетной записи.You can also remove this role from built-in role groups, role groups you create, users, and USGs. However, there must always be at least one delegating role assignment between this role and a role group or USG. You can't delete the last delegating role assignment. This limitation helps prevent you from locking yourself out of the system.

Важно!

Между этой ролью и группой ролей или универсальной группой безопасности должно быть по крайней мере одно назначение роли делегирования. Удалить последнее назначение роли делегирования, связанное с этой ролью, невозможно, если последнее назначение установлено пользователю.There must be at least one delegating role assignment between this role and a role group or USG. You can't remove the last delegating role assignment associated with this role if the last assignment is to a user.

Дополнительные сведения о добавлении и удалении назначений между этой ролью и группами ролей, пользователями и универсальными группами безопасности см. в следующих разделах:For more information about how to add or remove assignments between this role and role groups, users, and USGs, see the following topics:

Изменение областей управления в назначениях ролейChanging the management scopes on role assignments

Также можно менять области управления для существующих назначений между данной ролью и уполномоченными роли. Изменение областей для назначений ролей позволяет контролировать, какими объектами можно управлять с помощью разрешений, предоставленных этой ролью. При изменении области для назначения роли доступно несколько вариантов. Можно выполнить одно из перечисленных ниже действий.You can also change the management scopes on existing role assignments between this role and role assignees. By changing the scopes on role assignments, you control what objects can be managed using the permissions provided by this role. You have several choices when changing the scope on a role assignment. You can do one of the following:

Включение или отключение назначений ролейEnabling or disabling role assignments

Включая или отключая назначения ролей, можно управлять их применением. Если назначение роли отключено, разрешения, предоставленные связанной ролью, не применяются к ее получателю. Это удобно для временного удаления разрешений без удаления назначения роли. Дополнительные сведения см. в разделе Изменение назначения ролейИзменение назначения роли.By enabling or disabling a role assignment, you control whether that role assignment should be in effect. If a role assignment is disabled, the permissions granted by the associated role aren't applied to the role assignee. This is convenient if you want to temporarily remove permissions without deleting a role assignment. For more information, see Change a role assignment.

Назначения ролей управления по умолчаниюDefault management role assignments

Эта роль назначена одному или нескольким получателям ролей. В следующей таблице указано, является ли назначение роли обычным или делегированным, а также показаны области управления, примененные к каждому назначению. В следующем списке приведено описание каждого столбца.This role has role assignments to one or more role assignees. The following table indicates whether the role assignment is regular or delegating, and also indicates the management scopes applied to each assignment. The following list describes each column:

  • Обычное назначение Назначения стандартных ролей позволяют получателю роли для доступа к разрешениям, предоставленным этой роли записями роли управления.Regular assignment Regular role assignments enable the role assignee to access the permissions provided by the management role entries on this role.

  • Делегирование назначения Делегирование назначения ролей позволяют получателю роли в этом группам ролей, пользователям или универсальным группам безопасности.Delegating assignment Delegating role assignments give the role assignee the ability to assign this role to role groups, users, or USGs.

  • Область чтения получателей Получатель чтения область определяет объекты получателей, которые получателю роли можно получить из Active Directory.Recipient read scope The recipient read scope determines what recipient objects the role assignee is allowed to read from Active Directory.

  • Область записи получателей Область записи получателей определяет объекты получателей, которые получателю роли можно изменять в Active Directory.Recipient write scope The recipient write scope determines what recipient objects the role assignee is allowed to modify in Active Directory.

  • Область чтения конфигурации Объекты серверов получателю роли можно получить из Active Directory и конфигурации определяет область чтения конфигурации.Configuration read scope The configuration read scope determines what configuration and server objects the role assignee is allowed to read from Active Directory.

  • Область записи конфигурации Область записи конфигурации определяет, что организации и объекты серверов получателю роли можно изменять в Active Directory.Configuration write scope The configuration write scope determines what organizational and server objects the role assignee is allowed to modify in Active Directory.

Назначения ролей управления по умолчанию для этой ролиDefault management role assignments for this role

Группа ролейRole group Стандартное назначениеRegular assignment Делегированное назначениеDelegating assignment Область чтения получателейRecipient read scope Область записи получателейRecipient write scope Область чтения конфигурацииConfiguration read scope Область записи конфигурацииConfiguration write scope

Управление организациейOrganization Management

XX

Self

Self

OrganizationConfig

OrganizationConfig

Настройка роли управленияManagement role customization

Эта роль настроена таким образом, чтобы предоставить получателю роли все необходимые командлеты и их параметры для управления функциями и компонентами, перечисленными в начале этого раздела. Другие роли также предоставлены для управления другими функциями. Путем добавления ролей в группы и удаления их из групп вы можете создавать настраиваемые модели разрешений без необходимости настройки отдельных ролей управления. Полный список ролей см. в разделе Встроенные роли управления. Дополнительные сведения о настройке групп ролей см. в разделе Управление группами ролей.This role has been configured to provide a role assignee with all necessary cmdlets and parameters to manage the features and components listed in the beginning of this topic. Other roles have also been provided to enable management of other features. By adding and removing roles to and from role groups, you can create a customized permissions model without the need to customize individual management roles. For a complete list of roles, see Built-in management roles. For more information about customizing role groups, see Manage role groups.

Для создания настраиваемой версии этой роли необходимо создать дочернюю роль этой роли, а затем настроить новую роль.If you decide that you need to create a customized version of this role, you must create a role as a child of this role, and customize the new role.

Предупреждение

Следующие сведения позволят выполнять дополнительные задачи управления разрешениями. Настройка ролей управления может значительно повысить сложность модели разрешений. Замена встроенной роли управления неправильно настроенной ролью может привести к прекращению работы определенных функций.The following information enables you to perform advanced management of permissions. Customizing management roles can significantly increase the complexity of your permissions model. You could cause certain features to stop functioning if you replace a built-in management role with an incorrectly configured custom role.

Ниже описаны основные шаги по созданию настраиваемой роли и ее назначению получателю роли.The following are the most common steps to create a customized role and assign it to a role assignee:

  1. Создайте копию этой роли. Подробнее: Создание роли.Create a copy of this role. For more information, see Create a role.

  2. С помощью командлетов Set-ManagementRoleEntry и Remove-ManagementRoleEntry измените или удалите записи новой роли. В новую роль нельзя добавлять дополнительные записи, потому что она может содержать только записи встроенной родительской роли. Дополнительные сведения приведены в следующих разделах:Change or remove the role entries on the new role using the Set-ManagementRoleEntry and Remove-ManagementRoleEntry cmdlets. You can't add additional role entries to the new role because it can only contain the role entries on the parent built-in role. For more information, see the following topics:

  3. Чтобы заменить встроенную роль новой настроенной ролью, удалите все назначения ролей, связанные со встроенной ролью. Дополнительные сведения приведены в следующих разделах:If you want to replace the built-in role with this new customized role, remove any role assignments associated with the built-in role. For more information, see the following topics:

  4. Добавьте новую настроенную роль в необходимое назначение ролей. Дополнительные сведения приведены в следующих разделах:Add the new customized role to the required role assignees. For more information, see the following topics: