Общие сведения о политиках назначения ролей управленияUnderstanding management role assignment policies

Применимо к: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Политики назначения ролей управления состоит из одного или нескольких роли управления конечного пользователя, который позволяет конечным пользователям управлять конфигурацией группы рассылки и почтовых ящиков свои собственные Microsoft Exchange Server 2013. Политики назначения ролей, которые входят в состав элемента управления на основе Access ролей (RBAC) модели разрешений в Exchange 2013, позволяют контролировать, какие определенного почтового ящика и параметры конфигурации группы рассылки можно изменить конечных пользователей. Различных групп пользователей может иметь назначение роли, которое политик специализированные им.A management role assignment policy is a collection of one or more end-user management roles that enables end users to manage their own Microsoft Exchange Server 2013 mailbox and distribution group configuration. Role assignment policies, which are part of the Role Based Access Control (RBAC) permissions model in Exchange 2013, enable you to control what specific mailbox and distribution group configuration settings your end users can modify. Different groups of users can have role assignment policies specialized to them.

Примечание

В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.For more information about RBAC, see Understanding Role Based Access Control.

СодержаниеContents

Уровни политики назначения ролейRole assignment policy layers

Политики назначения явных ролей и ролей по умолчаниюDefault and explicit role assignment policies

Использование политик назначения ролейUsing role assignment policies

Управление политикой назначения ролейRole assignment policy management

Уровни политики назначения ролейRole assignment policy layers

Ниже перечислены различные уровни, составляющие модель политики назначения ролей.The following list describes the layers that make up the role assignment policy model:

  • Почтовый ящик Почтовый ящик назначается политика назначения одна роль. При назначении политики назначения роли почтового ящика назначения между политики назначения ролей и ролей для управления, применяются к почтовому ящику. Это дает почтового ящика, все разрешения, предоставленные роли управления.Mailbox Mailboxes are assigned a single role assignment policy. When a mailbox is assigned a role assignment policy, the assignments between management roles and a role assignment policy are applied to the mailbox. This grants the mailbox all of the permissions provided by the management roles.

  • Политики назначения ролей управления Политики назначения ролей управления — это специальные объект в Exchange 2013. Пользователи связаны с политики назначения ролей, при создании их почтовые ящики или изменение политики назначения ролей для почтового ящика. Это также назначения роли управления конечного пользователя. Комбинация всех ролей политики назначения ролей определяет все, что пользователь может управлять на свой почтовый ящик и групп рассылки.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with a role assignment policy when their mailboxes are created, or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Назначения роли управления Назначения роли управления — это связь между ролью управления и политики назначения ролей. Назначения роли управления политики назначения ролей предоставляет возможность использования командлетов и параметров, определенных в роль управления. При создании назначение ролей между политики назначения ролей и ролей управления, нельзя будет указать любой области. Область, примененное назначения основано на роль управления и соответствует любому из Self или MyGAL. Для получения дополнительных сведений см понимание назначения ролей управления.Management role assignment A management role assignment is the link between a management role and a role assignment policy. Assigning a management role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the management role. When you create a role assignment between a role assignment policy and a management role, you can't specify any scope. The scope applied by the assignment is based on the management role and is either Self or MyGAL. For more information, see Understanding management role assignments.

  • Роль управления Роль управления является контейнером для группировки записей роли управления. Роли используются для определения конкретных задач, которые пользователь может выполнять с помощью свой почтовый ящик и групп рассылки. Записи роли управления — это командлет, сценария или особых разрешений, которая позволяет каждой определенной задачи в роли управления нужно выполнить. Роли управления конечного пользователя можно использовать только с политиками назначения ролей. Для получения дополнительных сведений см.: Общие сведения о роли управления.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script, or special permission that enables each specific task in a management role to be performed. You can only use end-user management roles with role assignment policies. For more information, see Understanding management roles.

  • Запись роли управления   Записи роли управления — это отдельные записи в роли управления, определяющие командлеты и параметры, доступные для роли управления и группы ролей. Каждая запись роли включает в себя один командлет и параметры, доступ к которым можно получить с помощью роли управления.Management role entry Management role entries are the individual entries on a management role that determine what cmdlets and parameters are available to the management role and the role group. Each role entry consists of a single cmdlet and the parameters that can be accessed by the management role.

На следующем рисунке изображены все вышеперечисленные уровни политики назначения ролей и взаимосвязи этих уровней.The following figure shows each of the role assignment policy layers in the preceding list and how each of the layers relates to the other.

Модель политики назначения ролей управленияManagement role assignment policy model

![Связи модели назначения роли] (images/Dd638100.7f7c11ca-0d61-464d-98a3-a9991ec811b5(EXCHG.150).jpg "Связи модели назначения роли")Role Assignment Model Relationships

Дополнительные сведения о ролях управления, назначениях ролей и областях см. в разделе Общие сведения об управлении доступом на основе ролей.For more information about management roles, role assignments, and scopes, see Understanding Role Based Access Control.

Политики назначения явных ролей и ролей по умолчаниюDefault and explicit role assignment policies

В следующих разделах описаны два типа политик назначения ролей в Exchange 2013.The following sections describe the two types of role assignment policies in Exchange 2013.

Политика назначения ролей по умолчаниюDefault role assignment policy

Политики назначения ролей по умолчанию — это один назначенных почтовому ящику при создании почтового ящика или перемещены на сервере под управлением Exchange 2013 и политики назначения ролей не был предоставленных с помощью параметра RoleAssignmentPolicy на странице New-Mailbox или ** Enable-Mailbox** командлетов.A default role assignment policy is one assigned to a mailbox when the mailbox is created or moved to a server running Exchange 2013, and a role assignment policy wasn't provided using the RoleAssignmentPolicy parameter on the New-Mailbox or Enable-Mailbox cmdlets.

Exchange 2013 включает в себя политику назначения ролей по умолчанию, которая предоставляет конечным пользователям наиболее распространенные разрешения. Разрешения по умолчанию можно изменить в политике назначения ролей по умолчанию. Для этого необходимо добавить или удалить роли управления в политике назначения ролей.Exchange 2013 includes a default role assignment policy that provides end users with the permissions most commonly used. You can change the default permissions on the default role assignment policy by adding or removing management roles to or from it.

Чтобы заменить встроенную политику назначения ролей по умолчанию на собственную политику, можно использовать командлет Set-RoleAssignmentPolicy для выбора новой политики назначения ролей по умолчанию. После этого политике назначения ролей будут назначены новые указанные по умолчанию почтовые ящики, если политика назначения ролей не была указана явно.If you want to replace the built-in default role assignment policy with your own default role assignment policy, you can use the Set-RoleAssignmentPolicy cmdlet to select a new default. When you do this, any new mailboxes are assigned the role assignment policy you specified by default if you don't explicitly specify a role assignment policy.

При изменении политики назначения ролей по умолчанию почтовые ящики, назначенные для политики назначения ролей по умолчанию, не назначаются автоматически новой политике назначения ролей по умолчанию. Чтобы обновить предварительно созданные почтовые ящики для использования установленной по умолчанию политикой назначения ролей, необходимо использовать командлет Set-Mailbox.When you change the default role assignment policy, mailboxes assigned the default role assignment policy aren't automatically assigned the new default role assignment policy. If you want to update previously created mailboxes to use the role assignment policy you've set as default, you must use the Set-Mailbox cmdlet to do so.

Политика назначения явных ролейExplicit Role Assignment Policy

Политика назначения явных ролей — это политика, назначенная пользователем почтовому ящику вручную с помощью параметра RoleAssignmentPolicy для командлетов New-Mailbox, Set-Mailbox или Enable-Mailbox. При назначении политики назначения явных ролей новая политика применяется немедленно и заменяет ранее назначенную политику назначения явных ролей.An explicit role assignment policy is a policy that you assign to a mailbox manually using the RoleAssignmentPolicy parameter on the New-Mailbox, Set-Mailbox, or Enable-Mailbox cmdlets. When you assign an explicit role assignment policy, the new policy takes effect immediately and replaces the previously assigned explicit role assignment policy.

Использование политик назначения ролейUsing role assignment policies

Политики назначения ролей позволяют настроить разрешения для пользователей, исходя из потребностей предприятия, которые необходимо настроить пользователям. Если политика назначения ролей по умолчанию соответствует требованиям предприятия, не требуется выполнять настройку. Тем не менее, при наличии различных групп пользователей с особыми потребностями можно создать политику назначения ролей для каждой их них.Role assignment policies enable you to tailor permissions based on what business needs your users need to be able to configure. If the default role assignment policy meets your needs, you don't need to do any customization. However, if you have many different user groups with specialized needs, you can create role assignment policies for each of them.

Используемая политика назначения ролей по умолчанию должна содержать разрешения, применяемые для максимально широкого круга пользователей. Затем создайте политики назначения ролей для каждой из указанных групп пользователей, настройте эти политики назначения ролей и получите для них более или менее ограниченные разрешения. При такой организации политик назначения ролей упрощение достигается с помощью явного назначения политик указанным пользователям. При этом большинству пользователей присваиваются наиболее распространенные разрешения, предоставляемые политикой назначения ролей по умолчанию.The default role assignment policy you use should contain the permissions that apply to your broadest set of users. Then, create role assignment policies for each of your specialized user groups and tailor those role assignment policies to grant more or less restrictive permissions to them. When you organize your role assignment policies this way, you reduce complexity by only explicitly assigning role assignment policies to your specialized users while the majority of your users receive the more common permissions provided by the default role assignment policy.

Почтовый ящик может иметь только одну политику назначения ролей. Все пользователи, включая администраторов и специалистов, получают по одной политике назначения ролей. Чтобы присвоить пользователю другой набор разрешений, для почтового ящика этого пользователя необходимо назначить другую политику назначения ролей, содержащую необходимые разрешения.A mailbox can have only one role assignment policy. All users, including administrators and specialist users, are assigned one role assignment policy. If you want a user to have a different set of permissions, you must assign that user's mailbox another role assignment policy with the required permissions.

Управление политикой назначения ролейRole assignment policy management

Чтобы добавить новую политику назначения ролей, ее необходимо создать и определить, будет ли она являться политикой назначения ролей по умолчанию. После создания политики назначения ролей необходимо назначить роли управления этой политике, а затем назначить политику назначения ролей почтовым ящикам. Затем можно добавлять или удалять роли управления, а также выбрать другую политику назначения ролей политикой по умолчанию.To add a new role assignment policy, you first create one and decide whether it should be the default role assignment policy. After you create a role assignment policy, you assign management roles to the role assignment policy, and then assign the role assignment policy to mailboxes. You can later choose to add or remove management roles or choose a different role assignment policy to be the default.

В следующей таблице перечислены уровни политики назначения ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.The following table lists the role assignment policy layer and the procedural topics that you can use to manage each layer.

Разделы по управлению политикой назначения ролейRole assignment policy management topics

Уровень модели политики назначения ролейRole assignment policy model layer Разделы по управлениюManagement topics

Почтовый ящикMailbox

Управление почтовыми ящиками пользователейManage user mailboxes

Изменение политики назначения для почтового ящикаChange the assignment policy on a mailbox

Политика назначения ролейRole assignment policy

Управление политиками назначения ролейManage role assignment policies

Роли управления и их назначенияManagement roles and assignments

Управление политиками назначения ролейManage role assignment policies

Записи ролей управленияManagement role entries

Добавьте запись роли в ролиAdd a role entry to a role

Изменение записи ролиChange a role entry

Удаление записи роли из ролиRemove a role entry from a role

Примечание

Изменение записей роли управления в роли управления в политике назначения ролей — сложная задача и обычно не требуется в большинстве случаев. Вместо этого можно использовать уже имеющихся роль управления, соответствующий вашим требованиям. Для получения дополнительных сведений см встроенные группы ролей.Changing the management role entries in management roles in a role assignment policy is an advanced task and is generally not required in most cases. You may, instead, be able to use a preexisting management role that suits your requirements. For more information, see Built-in role groups.