Общие сведения о назначениях ролей управленияUnderstanding management role assignments

Применимо к: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Назначения роли управления, которая является частью модели разрешений управления на основе Access ролей (RBAC) в Microsoft Exchange Server 2013 — это связь между ролью управления и получателю роли. Получателю роли является группу ролей, политики назначения ролей, пользователя или универсальной группе безопасности (USG). Уполномоченному роли для него вступили в силу, необходимо назначить роль. Дополнительные сведения о RBAC Управления доступом на основе ролей Общие сведения осм.A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. A role assignee is a role group, role assignment policy, user, or universal security group (USG). A role must be assigned to a role assignee for it to take effect. For more information about RBAC, see Understanding Role Based Access Control.

Примечание

В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Этот раздел содержит сведения о назначении ролей группам ролей, о политиках назначения ролей, а также о прямом назначении ролей пользователям и универсальным группам безопасности. В этом разделе не рассматривается назначение групп ролей или политик назначения ролей пользователям. Дополнительные сведения о группах ролей и политиках назначения ролей, о рекомендуемых способах назначения разрешений пользователям см. в следующих разделах.This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

Можно создавать следующие типы назначений ролей, которые будут подробно рассмотрены далее в этом разделе.You can create the following types of role assignments, which are explained in detail later in this topic:

  • Назначения обычных ролей и ролей делегированияRegular and delegating role assignments

  • Назначения исключительных ролейExclusive role assignments

Управление назначениями ролейManaging role assignments

При изменении назначений ролей вносимые изменения могут быть распределены между группами ролей и политиками назначения ролей. При добавлении, удалении или изменении назначений ролей для этих уполномоченных ролей можно управлять разрешениями, назначаемыми администраторам и пользователям, включая и отключая управление связанными функциями.When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

Также можно назначить роли непосредственно пользователям или универсальным группам безопасности. Это более сложная задача, позволяющая на настраиваемом уровне определить разрешения, назначаемые пользователям. При этом обеспечивается гибкость, но сложность модели разрешений также возрастает. Например, если пользователь изменяет задания, может потребоваться вручную повторно определить роли, назначенные этому пользователю, другому пользователю. Поэтому для назначения ролей пользователям рекомендуется использовать группы ролей и политики назначения ролей. Можно назначить роли группе ролей или политике назначения ролей, а затем добавить или удалить участников группы ролей или изменить политики назначения ролей при необходимости.You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

Можно добавлять, удалять и включать назначения ролей, изменять область управления существующего назначения роли и перемещать назначения ролей на других уполномоченных ролей. Процесс назначения ролей группам ролей, политикам назначения ролей, пользователям и универсальным группам безопасности практически идентичен для каждого уполномоченного роли. Единственными исключениями являются следующие правила.You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • Политики назначения ролей могут быть назначены только ролям управления конечного пользователя.Role assignment policies can only be assigned end-user management roles.

  • Невозможно назначить политики назначения ролей назначениям ролей делегирования.Role assignment policies can't be assigned delegating role assignments.

  • Невозможно указать область управления при создании назначения роли для политик назначения ролей.You can't specify a management scope when creating a role assignment to role assignment policies.

Дополнительные сведения об управлении назначениями ролей см. в следующих разделах.For more information about managing role assignments, see the following topics:

Назначения обычных ролей и ролей делегированияRegular and delegating role assignments

Благодаря назначению обычных ролей уполномоченный роли может получить доступ к записям роли управления, предоставляемым связанной ролью управления. Если уполномоченному роли назначается несколько ролей управления, происходит объединение и применение записей ролей управления из каждой роли управления. Это значит, что при назначении уполномоченному роли правил транспорта и ролей ведения журнала роли объединяются, а уполномоченному роли назначаются все связанные записи роли управления. Если уполномоченный роли является группой ролей или политикой назначения ролей, разрешения, предоставляемые ролями, задаются пользователям, назначенным группе ролей или политике назначения ролей. Дополнительные сведения о ролях управления и записях ролей см. в разделе Общие сведения о ролях управления.Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. For more information about management roles and role entries, see Understanding management roles.

Назначения ролей делегирования не обеспечивают доступ к управлению функциями. Назначения ролей делегирования позволяют уполномоченному роли назначать определенную роль другим уполномоченным роли. Если уполномоченный роли является группой ролей, любой участник группы ролей может назначить роль другому уполномоченному роли. По умолчанию только группа ролей управления организацией позволяет назначать роли другим уполномоченным роли. По умолчанию только пользователь, установивший Exchange 2013, является участником группы ролей управления организацией. Тем не менее, при необходимости в эту группу ролей можно добавить других пользователей. Также можно создать другие группы ролей и задать им назначения ролей делегирования.Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

Примечание

Назначения ролей делегирования позволяют уполномоченным роли делегировать роли управления другим уполномоченным роли. Но при этом пользователи не могут делегировать группы ролей. Дополнительные сведения о делегировании групп ролей см. в разделе Общие сведения о группах ролей управления.Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

Чтобы пользователь мог управлять функцией и назначать роль, которая предоставляет разрешения на использование этой функции, другим пользователям, необходимо выполнить следующие назначения.If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. Назначение обычной роли для каждой роли управления, предоставляющей доступ к функциям, которыми необходимо управлять.A regular role assignment for each management role that grants access to the features that need to be managed.

  2. Назначение роли делегирования для каждой роли управления, которую разрешено назначать другим уполномоченным роли.A delegating role assignment for each management role that you allow to be assigned to other role assignees.

Назначения обычных ролей и ролей делегирования для уполномоченного роли могут различаться. Например, пользователь является участником группы ролей, которой назначена роль правил транспорта с помощью назначения обычной роли. Это позволяет пользователю управлять функцией правил транспорта. Тем не менее, пользователю не задается назначение роли делегирования для роли правил транспорта, поэтому пользователь не может назначить эту роль другим пользователям. Например, пользователь является участником группы ролей, которой назначена роль управления ведением журнала с помощью назначения роли делегирования. Группа ролей, участником которой является пользователь, не имеет назначения обычной роли для роли ведения журнала, но так как она имеет назначение роли делегирования, пользователь может назначить эту роль другим уполномоченным роли.The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

Области управленияManagement scopes

При создании назначений обычных ролей или ролей управления делегированием можно создать назначение с областью управления, чтобы ограничить объекты, которыми пользователь может управлять. Можно создать области получателей или области конфигурации. Области получателей позволяют контролировать, кто может управлять почтовыми ящиками, почтовыми пользователями, группами рассылки и т. д. Области конфигурации позволяют контролировать, кто может управлять серверами и базами данных.When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

С помощью областей получателей и конфигурации можно распределять управление серверами, базами данных и получателями в организации. Например, область получателей можно добавить в назначение роли таким образом, чтобы администраторы в Ванкувере могли управлять только получателями в одном офисе. Область конфигурации сервера можно добавить в другое назначение роли таким образом, чтобы администраторы в Сиднее могли управлять только серверами на своем сайте Active Directory.Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

Благодаря областям разрешения можно назначать группам пользователей и указывать для администраторов область выполнения администрирования. Это позволяет создать модель разрешений, сопоставимую с географическими и организационными границами.Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

Можно создать назначение с предварительно определенной областью, а также добавить настраиваемую область этому назначению. Предварительно определенные области, например области, ограничивающие пользователя возможностью использования только собственных почтового ящика или групп рассылки, можно применить с помощью параметров, доступных в самом назначении. Также можно создать настраиваемую область получателей или конфигурации и затем добавить ее в назначение роли. Настраиваемые области обеспечивают большую детализацию объектов, включаемых в область.You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

Невозможно указывать предварительно определенные и настраиваемые области в одном назначении. Также в одном назначении невозможно одновременно определять исключительные и обычные области.You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

Каждое назначение роли может иметь только по одной области получателей и конфигурации. Если для одной роли управления получателя роли необходимо назначить несколько областей получателей или конфигурации, следует создать несколько назначений ролей.Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

Назначения ролей, независимо от наличия настраиваемой или предварительно определенной области, ограничиваются областями получателей или конфигурации, определенными в самой роли. Эти области называются неявными областями. Каждое назначение роли, не имеющее предварительно определенной или настраиваемой области, наследует области из роли, с которой оно связано.With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

Дополнительные сведения об областях см. в разделе Общие сведения об областях ролей управления.For more information about scopes, see Understanding management role scopes.

Назначения исключительных ролейExclusive role assignments

Назначения исключительных ролей создаются при связывании исключительной области с назначением роли. Исключительные области используются так же, как и обычные области, и позволяют уполномоченным роли управлять получателями, которые соответствуют исключительной области. Тем не менее, в отличие от обычных областей всем другим уполномоченным роли запрещено управлять получателем, даже если получатель соответствует областям, применяемым к назначениям ролей. Это может быть полезно, если необходимо ограничить управление получателем несколькими администраторами. Только указанные администраторы могут управлять получателем, а всем другим администраторам доступ будет запрещен.Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

Рассмотрим следующий пример.For example, consider the following:

  • Юрий является руководителем в компании Contoso. Его почтовый ящик соответствует исключительной области с именем "Пользователи VIP" и связана с исключительным назначением, ограниченным пользователями VIP.John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • Почтовый ящик Юрия также включен в обычную область с именем "Пользователи Redmond" и связана со стандартным назначением администрирования Redmond.John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Борис является администратором, связанным с исключительным назначением, ограниченным пользователями VIP.Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Кирилл является администратором, связанным со стандартным назначением администрирования Redmond.Chris is an administrator who is associated with the Redmond Administration regular assignment.

Так как почтовый ящик Юрия соответствует исключительной области "Пользователи VIP", только Борис может управлять его почтовым ящиком. Несмотря на то что почтовый ящик Юрия также соответствует обычной области "Пользователи Redmond", Кирилл не связан с исключительным назначением, ограниченным пользователями VIP. Поэтому в Exchange Кириллу запрещено управлять почтовым ящиком Юрия. Чтобы разрешить Кириллу управлять почтовым ящиком Юрия, ему необходимо задать исключительное назначение, имеющее исключительную область, которая соответствует почтовому ящику Юрия.Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Therefore, Exchange denies Chris the ability to manage John's mailbox. For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

Дополнительные сведения см. в разделе Общие сведения об исключительных областях.For more information, see Understanding exclusive scopes.