Общие сведения об исключительных областяхUnderstanding exclusive scopes

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Исключительных областей представляют собой особый тип области явного управления, который может быть связано с назначениями ролей управления. Исключительных областей предназначены для включения ситуациях, когда у вас есть группу очень важным объектов, таких как почтовый ящик CEO, и хотите жестко контролировать, кто имеет доступ к управлению этих объектов.Exclusive scopes are a special type of explicit management scope that can be associated with management role assignments. Exclusive scopes are designed to enable situations where you have a group of highly valuable objects, such as a CEO mailbox, and you want to tightly control who has access to manage those objects.

Назначение ролей, которое имеет монопольной областью называется назначения исключительной роли.A role assignment that has an exclusive scope is called an exclusive role assignment.

При создании монопольной области изменять объекты, соответствующие этой области, смогут только те пользователи, которым была назначена монопольная область или эквивалентная монопольная область. Пользователи ролей, не получивших назначения монопольной области или эквивалентной области, не смогут изменять объекты, соответствующие этой области, даже если их собственные роли содержат области, которые включали бы такие объекты. Монопольные области имеют приоритет над другими стандартными областями, которые не являются монопольными. Это поведение аналогично записи управления доступом "Запретить" в функциях списка управления доступом Active Directory.When you create an exclusive scope, only those who are assigned that exclusive scope, or an equivalent exclusive scope, can modify the objects that match the scope. Role assignees who aren't assigned that exclusive scope, or an equivalent, can't modify the objects that match the scope, even if their own roles have scopes that would otherwise include the objects. Exclusive scopes override any other regular scope that isn't exclusive. This behavior is similar to how a deny access control entry (ACE) on an Active Directory access control list (ACL) functions.

Эквивалентная монопольная область означает другую монопольную область, которой соответствуют некоторые из объектов, входящую в первую монопольную область. Области не должны иметь полностью совпадающий набор объектов. Однако области могут изменить некоторые или все соответствующие им объекты.An equivalent exclusive scope refers to another exclusive scope that matches some of the same objects as another exclusive scope. The scopes don't have to match the same complete set of objects. Both scopes may be able to modify some, or all, of the objects that match them.

Создание монопольных областейCreating exclusive scopes

Монопольные области могут быть созданы так же, как и любые другие явные области. Можно указать предварительно заданную относительную область; фильтр получателей, баз данных или серверов; либо список баз данных или серверов. В отличие от стандартных областей, которые не вступают в силу до сопоставления этой области назначению роли управления, запрещение для монопольной области вступает в силу незамедлительно. Это означает, что как только монопольная область будет создана, содержащиеся в этой области объекты тут же станут недоступными тем пользователям, для которых не создано назначение соответствующей роли.Exclusive scopes can be created like any other explicit scope. You can specify a prebuilt relative scope; a recipient, database, or server filter; or a database or server list. Unlike regular scopes, which don't take effect until you associate a scope to a management role assignment, the deny aspect of an exclusive scope takes effect immediately. This means that as soon as an exclusive scope is created, the objects contained within that scope are immediately no longer accessible by any user until the role assignment has been created.

После создания назначения доступ к монопольной области будет предоставлен тем пользователям, которые входят в роль и область управления. Если другая эквивалентная монопольная область соответствует тем же объектам, назначение роли, связанное с этой монопольной областью, будет предоставлять доступ к этим объектам.After the assignment has been created, the exclusive scope provides access to those assigned the management role and scope. If another equivalent exclusive scope matches the same objects, the role assignment associated with that exclusive scope is still able to access the objects.

Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах области ролей управления.For more information about management scope filters, see Understanding management role scope filters.

Важно!

При изменении любых компонентов ролей управления, включая монопольные области, следует учитывать время репликации Active Directory.Active Directory replication times should be taken into account when making changes to any management role components, including exclusive scopes.

Если объекты содержатся в нескольких монопольных областях, доступ к объектам будет предоставляться любой из этих монопольных областей. Дополнительные сведения см. в подразделе Взаимодействие исключительной и стандартной областей далее в этом разделе.If you have objects contained within more than one exclusive scope, being assigned to any one of the exclusive scopes provides access to the objects. For more information, see Exclusive and regular scope interaction later in this topic.

Монопольные области управляют только областями записи получателей или конфигураций, относящихся к назначению ролей. Также будет применяться неявная область чтения получателей или конфигураций, относящаяся к роли, назначенной пользователю или группе. Это означает, что будут выполняться следующие условия.Exclusive scopes control only the explicit recipient or configuration write scope of a role assignment. The implicit recipient or configuration read scope of the role assigned to a user or group still applies. This means that the following applies:

  • Пользователи и группы, для которых была назначена роль, продолжают видеть объекты, которые соответствуют неявной области чтения этой роли.Those assigned a role continue to see objects that match the role's implicit read scope.

  • Пользователи и группы, для которых были назначены другие роли, могут видеть объекты, содержащиеся в монопольной области, если области чтения, относящиеся к другим ролям, содержат эти же объекты. Однако объекты могут быть изменены только теми, кому была назначена роль, связанная с монопольной областью.Those assigned other roles may be able to see objects contained within an exclusive scope, if the read scopes of the other roles include the objects. However, the objects can only be modified by those who are assigned a role associated with the exclusive scope.

Монопольные области могут использоваться только вместе с административными ролями или ролями специалистов и не могут использоваться с пользовательскими ролями. Дополнительные сведения о ролях см. в разделе Общие сведения о ролях управления.Exclusive scopes can only be used with administrative or specialist roles and can't be used with end-user roles. For more information about roles, see Understanding management roles.

Взаимодействие исключительной и стандартной областейExclusive and regular scope interaction

На рисунке в конце этого раздела показано, как монопольные области взаимодействуют друг с другом и со стандартными областями. На этом рисунке все пользователи имеют следующие атрибуты.The figure at the end of this section illustrates how exclusive scopes interact with each other, and with regular scopes. The users in the figure all have the following attributes associated with them.

ПользовательUser ГородCity ДолжностьTitle ОтделDepartment

TerryTerry

ВанкуверVancouver

БухгалтерAccountant

БухгалтерияAccounting

DavidDavid

ВанкуверVancouver

ПисательWriter

МаркетингMarketing

WalterWalter

ВанкуверVancouver

РуководительManager

МаркетингMarketing

BobBob

ВанкуверVancouver

Исполнительный директорCEO

СоветBoard

ChristineChristine

ВанкуверVancouver

ПрезидентPresident

СоветBoard

FredFred

ВанкуверVancouver

Финансовый директорCFO

Руководители организацииExecutives

MartinMartin

ВанкуверVancouver

Директор по информационным технологиямCIO

Руководители организацииExecutives

KimKim

ВанкуверVancouver

Вице-президент по операциямVice President, Operations

Руководители организацииExecutives

JenniferJennifer

ВанкуверVancouver

Вице-президент по технологиямVice President, Technology

Руководители организацииExecutives

Следующие три назначения ролей управления управляют пользователями, приведенными в предыдущей таблице. Каждое назначение имеет соответствующую область, некоторые из которых являются монопольными.The following three management role assignments in the figure manage the users in the preceding table. Each has an associated scope, some of which are exclusive scopes.

Назначение ролейRole assignment Область фильтраScope filter Монопольная или стандартнаяExclusive or regular

Администраторы получателейRecipient Administrators

Город = ВанкуверCity = Vancouver

СтандартнаяRegular

Администраторы VIPVIP Administrators

Должность = исполнительный директор или финансовый директор, или директор по информационным технологиям, или президентTitle = CEO or CFO or CIO or President

МонопольныйExclusive

Администраторы руководителейExecutive Administrators

Отдел = руководителиDepartment = Executives

МонопольныйExclusive

Назначение роли "Администраторы получателей" имеет область, которая соответствует всем пользователям, так как каждый пользователь находится в Ванкувере. Отсутствие монопольных областей будет означать то, что пользователи с назначением роли "Администраторы получателей" смогут управлять всеми пользователями. Однако в организации созданы две монопольных области: Администраторы VIP и администраторы руководителей. Эти монопольные области ограничивают круг администраторов, которые могут управлять пользователями, находящихся в соответствующих областях. Назначение роли "Администраторы VIP" содержит фильтр области, который соответствует любому пользователю, должность которого указана как "Исполнительный директор", "Финансовый директор", "Директор по информационным технологиям" или "Президент". Назначение роли "Администраторы руководителей" содержит фильтр области, который соответствует любому пользователю, который состоит в отделе "Руководители".The Recipient Administrators role assignment has a scope that matches all of the users because every user is located in Vancouver. Without any exclusive scopes, this would mean that the Recipient Administrators role assignment could manage any of the users. However, this organization has created two exclusive scopes: VIP Administrators and Executive Administrators. These exclusive scopes restrict who can manage the users that match their respective scope filters. The VIP Administrators role assignment has a scope filter that matches any user who has a title of CEO, CFO, CIO, or President. The Executive Administrators role assignment has a scope filter that matches any user who is in the Executives department.

При оценке стандартных и монопольных областей делаются следующие выводы:When the regular and exclusive scopes are evaluated, the following is the result:

  • Назначение роли "Администраторы получателей" позволяет управлять пользователями Terry, David и Walter. Это назначение роли не позволяет управлять другими пользователями, потому что другие пользователи соответствуют фильтрам монопольных областей, относящихся к назначению ролей "Администраторы VIP" и "Администраторы руководителей".The Recipient Administrators role assignment can manage the users Terry, David, and Walter. This role assignment can't manage any of the other users because they match the exclusive scope filters of the VIP Administrators and Executive Administrators role assignments.

  • Назначение роли "Администраторы VIP" позволяет управлять пользователями Bob, Christine, Fred и Martin. Это связано с тем, что фильтр монопольной области, связанный с этим назначением роли, соответствует атрибутам этих объектов. Это назначение роли не позволяет управлять пользователями Kim и Jennifer, так как их атрибуты не соответствуют этой монопольной области.The VIP Administrators role assignment can manage the users Bob, Christine, Fred, and Martin. This is because the exclusive scope filter associated with this role assignment matches the attributes on these objects. This role assignment can't manage the users Kim and Jennifer because their attributes don't match this exclusive scope.

  • Назначение роли "Администраторы руководителей" позволяет управлять пользователями Kim, Jennifer, Fred и Martin. Это связано с тем, что фильтр монопольной области, связанный с этим назначением роли, соответствует атрибутам этих объектов. Это назначение роли не позволяет управлять пользователями Bob и Christine, так как их атрибуты не соответствуют этой монопольной области.The Executive Administrators role assignment can manage the users Kim, Jennifer, Fred, and Martin. This is because the exclusive scope filter associated with this role assignment matches the attributes on these objects. This role assignment can't manage the users Bob and Christine because their attributes don't match this exclusive scope.

Обратите внимание, что Fred и Martin доступны обеим монопольным областям. Это происходит потому, что атрибуты этих пользователей соответствуют фильтрам обеих монопольных областей.Notice that Fred and Martin are accessible by both exclusive scopes. This is because the attributes on these users match the filters of both exclusive scopes.

Взаимодействие между монопольными и стандартными областямиInteraction between exclusive scopes and regular scopes

![Взаимодействие исключительной и стандартной областей] (images/Dd638110.0aa26d1d-1fa6-44d8-802d-83d75cd2624c(EXCHG.150).jpg "Взаимодействие исключительной и стандартной областей")Exclusive and regular scope interaction

Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.For more information about management scopes, see Understanding management role scopes.