Общие сведения об областях ролей управленияUnderstanding management role scopes

Применимо к: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Области роли управления позволяют определять определенной области воздействия или воздействие роли управления при создании назначения роли управления. При применении области роль получателю роли можно изменять только объекты, содержащиеся в этой области. Может быть получателю роли, группы ролей управления, роль управления, политики назначения ролей управления, пользователя или универсальной группе безопасности (USG). Дополнительные сведения о ролях управления Управления доступом на основе ролей общее представление осм.Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). For more information about management roles, see Understanding Role Based Access Control.

Примечание

В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Каждая роль управления, встроенная или настраиваемая, имеет области управления. Области управления делятся на следующие.Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • Регулярные Стандартную область не является уникальным. Определяет, где, в службе каталогов Active Directory, объекты можно просматривать или изменять, пользователи, которым назначены роли управления. В общем случае роль управления указывает, что вы можете создать или изменить, и область роли управления указывает, где можно создавать и изменять. Регулярные областей может быть либо неявных или явных областях, которые обсуждаются далее в этом разделе.Regular A regular scope isn't exclusive. It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • Исключительных Исключительной областью , аналогично почти стандартную область. Основные различия — это позволяет запрещать пользователям доступ к объектам, содержащихся в исключительной областью, если эти пользователи не назначены роли, связанной с исключительной областью. Все исключительных областей, явные областях, которые рассматриваются в этом разделе.Exclusive An exclusive scope behaves almost the same as a regular scope. The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. All exclusive scopes are explicit scopes, which are discussed later in this topic.

    Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.For more information about exclusive scopes, see Understanding exclusive scopes.

Области можно наследуется от роли управления, как предварительно заданных относительное области на назначение ролей управления или созданы с помощью настраиваемых фильтров и добавляются назначения роли управления. Области, наследуется от роли управления, называются неявных областей во время предопределенных и настраиваемых областей называются явные областей. В следующих разделах каждый тип области:Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • Неявные областейImplicit Scopes

  • Явные областейExplicit Scopes

  • Предварительно определенные относительный областейPredefined Relative Scopes

  • Настраиваемые областиCustom Scopes

    • Области фильтра получателяRecipient Filter Scopes

    • Настройка областейConfiguration Scopes

Каждая роль может иметь следующие типы областей.Each role can have the following types of scopes:

  • Область чтения получателей Неявные получателя чтения область определяет объекты получателей, назначенным на роль управления пользователь для чтения из Active Directory.Recipient read scope The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • Область записи получателей Область неявные записи получателей определяет объекты получателей, назначенным на роль управления пользователя можно изменять в Active Directory.Recipient write scope The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • Область чтения конфигурации Неявные конфигурации чтения область определяет, какие настройки объектов, назначенным на роль управления пользователь для чтения из Active Directory.Configuration read scope The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • Область записи конфигурации Область записи конфигурации неявных определяет, какие организационные, базы данных и объекты серверов можно изменять в Active Directory пользователя, назначенным на роль управления.Configuration write scope The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

К объектам получателей относятся почтовые ящики, группы рассылки, пользователи с включенной поддержкой почты и другие объекты. К объектам конфигурации относятся серверы под управлением Microsoft Exchange Server 2013 и базы данных, размещенные на серверах под управлением Exchange. Каждый тип области может быть явной или неявной областью.Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

Неявные областиImplicit scopes

Неявные области — это области по умолчанию, которые применяются к типу роли управления. Поскольку неявные области сопоставлены с типом роли управления, все родительские и дочерние роли управления с одним типом роли также имеют неявные области. Неявные области применяются как к встроенным ролям управления, так и к настраиваемым. Дополнительные сведения о ролях управления и типах ролей управления см. в разделе Общие сведения о ролях управления.Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

В следующих таблицах приведены все неявные области, которые могут определяться в ролях управления.The following tables list all of the implicit scopes that can be defined on management roles.

Неявные области, определенные в ролях управленияImplicit scopes defined on management roles

Неявные областиImplicit scopes ОписаниеDescription

Organization

Если Organization присутствует в роли получателей записи области действия, роль можно создавать и изменять объекты получателей в организации Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Если Organization присутствует в роли область чтения получателей, роли могут просматривать все объектов получателей в организации Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

MyGAL

Если MyGAL присутствует в роли получателей записи области действия, роль можно просматривать свойства любого получателя в пределах текущего пользователя глобального списка адресов (GAL).If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

Если MyGAL присутствует в роли область чтения получателей, роль можно просматривать свойства любого получателя в пределах текущего глобального списка адресов.If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

Эта область используется только с областями чтения получателей.This scope is used only with recipient read scopes.

Self

Если Self присутствует в роли получателей записи области действия, роль можно изменить только свойства текущего пользователя почтового ящика.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Если Self присутствует в роли область чтения получателей, роль можно просмотреть только свойства текущего пользователя почтового ящика.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Если MyDistributionGroups присутствует в роли получателей записи области действия, роль можно создавать и изменять объекты списка рассылки, принадлежащие текущего пользователя.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Если MyDistributionGroups присутствует в роли область чтения получателей, роль можно просматривать объекты списка рассылки, принадлежащие текущего пользователя.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

OrganizationConfig

Если OrganizationConfig указаны в конфигурации ролей записи области действия, роль можно создавать и изменять любой объект конфигурации серверов или баз данных в организации Exchange.If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

Если OrganizationConfig присутствует в роли область чтения конфигурации, роль можно просмотреть объект конфигурации серверов или баз данных в организации Exchange.If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

Эта область используется только с областями чтения и записи конфигурации.This scope is used only with configuration read and write scopes.

None

Если None — в заданную область этой области недоступен для роли. Например, роли с None в записи получателей область нельзя изменять объекты получателей в организации Exchange.If None is in a scope, that scope isn't available to the role. For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

Если уполномоченному роли назначена роль с незаданными предварительно определенными или настраиваемыми областями, то для управления объектами получателей или организации, которые пользователь может просматривать или изменять, используются неявные области, определенные в роли.If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

Неявная область записи роли всегда равна или меньше неявной области чтения. Это означает, что роль не может изменять объекты, не входящие в область.The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

Изменить неявные области, определенные в ролях управления, невозможно. Однако неявные область записи и область конфигурации в роли управления можно переопределить. Если в назначении роли используется предварительно определенная относительная область или настраиваемая область, неявная область записи в роли переопределяется, и приоритет имеет новая область. Неявная область чтения в роли применяется постоянно и ее невозможно переопределить. Дополнительные сведения см. в разделах Predefined Relative Scopes и Custom Scopes.You can't change the implicit scopes defined on management roles. You can, however, override the implicit write scope and configuration scope on a management role. When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. The implicit read scope of a role can't be overridden and always applies. For more information, see Predefined Relative Scopes and Custom Scopes.

В следующей таблице приведен список встроенных ролей управления и их неявных областей. Дополнительные сведения о каждой из встроенных ролей см. в разделе Встроенные роли управления.Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

Неявные области встроенных ролей управленияBuilt-in management role implicit scopes

Роль управленияManagement role Область чтения получателейRecipient read scope Область записи получателейRecipient write scope Область чтения конфигурацииConfiguration read scope Область записи конфигурацииConfiguration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

Явные областиExplicit scopes

Явные области — это области, которые пользователь устанавливает самостоятельно для управления объектами, которые может изменять роль управления. Несмотря на то что неявные области определяются в роли управления, явные области определяются в назначении роли управления. Это позволяет применять неявные области равномерно для всех ролей управления, пока они не будут переопределены явной областью. Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

Явные области переопределяют неявные области записи и конфигурации в роли управления. Однако они не переопределяют неявную область чтения в роли управления. Неявная область чтения продолжает определять, какие объекты может просматривать роль управления.Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

Явные областей полезны, если область неявные записи роли управления не соответствуют требованиям бизнеса. Вы можете добавить явные область будет включать почти все, что требуется до тех пор, пока новой области не должна превышать границы неявных область чтения. Командлеты, которые являются частью роли управления должен быть способен для чтения сведений о объектов или контейнеров, которые содержат объекты для командлетов для создания или изменения объектов. Например, если неявное область чтения на роль управления задано значение Self, не удается добавить область явной записи из Organization из-за область явной записи превышает границы неявное область чтения.Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

Дополнительные сведения см. в следующих разделах.For more information, see the following sections:

  • Предварительно определенные относительный областейPredefined Relative Scopes

  • Настраиваемые областиCustom Scopes

Предварительно определенные относительные областиPredefined relative scopes

Exchange 2013 предоставляет ряд предопределенных относительно записи областями, которые можно использовать для изменения области роль управления. Предварительно определенные относительно области используются простого способа наиболее точно соответствующие потребности бизнеса без необходимости создавать настраиваемые области вручную. Так как они относительно получателю роли, которому назначена назначение связанных ролей они называются относительный областей. Например Self предварительно заданных относительно области ограничивает область этой записи только для текущего пользователя. MyDistributionGroups Предварительно заданных относительно области ограничивает область записи в группу рассылки, текущий пользователь является владельцем только. Предварительно определенные относительный областей можно использовать только для определения области объектов получателей. Предварительно определенные относительно области не может использоваться для объектов конфигурации области. Ниже перечислены предварительно определенные относительный областей, которые можно использовать.Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. For example, the Self predefined relative scope restricts that write scope to the current user only. The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. Predefined relative scopes can only be used to scope recipient objects. Predefined relative scopes can't be used to scope configuration objects. The following table lists the predefined relative scopes that you can use.

Предварительно определенные относительные областиPredefined relative scopes

Неявные областиImplicit scopes ОписаниеDescription

Organization

Если Organization присутствует в роли получателей записи области действия, роль можно создавать и изменять объекты получателей в организации Exchange.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Если Organization присутствует в роли область чтения получателей, роли могут просматривать все объектов получателей в организации Exchange.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

Self

Если Self присутствует в роли получателей записи области действия, роль можно изменить только свойства текущего пользователя почтового ящика.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Если Self присутствует в роли область чтения получателей, роль можно просмотреть только свойства текущего пользователя почтового ящика.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Если MyDistributionGroups присутствует в роли получателей записи области действия, роль можно создавать и изменять объекты списка рассылки, принадлежащие текущего пользователя.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Если MyDistributionGroups присутствует в роли область чтения получателей, роль можно просматривать объекты списка рассылки, принадлежащие текущего пользователя.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Эта область используется только с областями чтения и записи получателей.This scope is used only with recipient read and write scopes.

Предварительно определенные относительный областей, применяются при создании нового назначения роли управления. Во время создания назначения ролей, с помощью командлета New-ManagementRoleAssignment можно указать предварительно заданных относительно область, с помощью параметра RecipientRelativeWriteScope . При создании нового назначения роли новые предварительно определенные роли переопределяет область неявные записи роли управления. При создании назначения ролей с предварительно заданных относительно области нельзя указать настраиваемые области получателей. Тем не менее, можно задать область настраиваемой конфигурации, при необходимости.Predefined relative scopes are applied when you create a new management role assignment. During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. You can, however, specify a custom configuration scope if needed.

Дополнительные сведения о добавлении назначения роли управления с предварительно определенной относительной областью см. в разделе Добавление роли для пользователя или универсальной группы безопасности.For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

Настраиваемые областиCustom scopes

Настраиваемые области используются, когда ни неявная область записи, ни предварительно определенные относительные области не отвечают требованиям предприятия. Настраиваемые области позволяют определить на более детальном уровне область, к которой будет применяться роль управления. Например, она может применяться к определенному подразделению, определенному типу получателей или к тому и другому. Или можно разрешить группе администраторов управлять определенным набором баз данных почтовых ящиков.Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

Настраиваемые области, так же как и предварительно определенные относительные области, переопределяют неявные области записи и конфигурации организации, определенные для ролей управления. При этом неявная область чтения ролей управления продолжает применяться, и полученная настраиваемая область не должна выходить за границы неявной области чтения. Можно создать настраиваемые области трех типов.As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • Область Подразделения Подразделение область, в которой используется простой настраиваемые области, создается с помощью параметра RecipientOrganizationalUnitScope с параметрами командлета New-ManagementRoleAssignment . Указав область Подразделения при назначении роли, получателю роли, назначенным на роль, можно изменить только объектов получателей в пределах этого Подразделения. Дополнительные сведения о добавлении назначения роли управления с областью Подразделения в разделе Add роли для пользователя или универсальной группы безопасности.OU scope An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • Области фильтра получателя Области фильтра получателей используйте фильтры для создания решений на основе типа получателя или других получателей свойств, таких как отдела, менеджер, расположение и несколько получателей. Дополнительные сведения см в разделе области фильтра получателя.Recipient filter scope Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. For more information, see the Recipient Filter Scopes section.

  • Область конфигурации Настройка областей с помощью фильтров или списков для конкретных серверов конечного на основе списков серверов или фильтруемые свойства, которые могут быть определены на серверах, например на сайт Active Directory или роль сервера. Настройка областей можно также использовать областей баз данных для конкретных баз данных на основе списков базы данных или свойства фильтруемые базы данных. Дополнительные сведения см в разделе области конфигурации.Configuration scope Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. For more information, see the Configuration Scopes section.

Простые, более сложные и детальные настраиваемые области получателей и конфигурации создаются с помощью командлета New-ManagementScope. При создании области получателей или конфигурации возвращаются только объекты получателей, серверов или баз данных, которые соответствуют своим областям. Когда для применения этих областей к назначению роли используется командлет New-ManagementRoleAssignment или Set-ManagementRoleAssignment, уполномоченный роли может изменять только те объекты, которые соответствуют этим областям. После создания настраиваемой области изменить тип области невозможно. Область получателей всегда будет областью получателей, а область конфигурации всегда будет областью конфигурации.Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

По умолчанию настраиваемая область предоставляет уполномоченному роли доступ к набору объектов, которые соответствуют заданным областям. Однако они не закрывают доступ другим уполномоченным роли, которым не назначена эта же или эквивалентная область. Любая настраиваемая область может иметь доступ к тем же объектам, если списки или фильтры этих областей соответствуют этим же объектам. Однако такое поведение может быть неприемлемым для некоторых объектов, например для руководства компании. Для этих объектов можно определить монопольные области. В монопольных областях фильтры или списки применяются так же, как и в обычных областях. Однако в отличие от обычных областей, монопольные области запрещают доступ к объектам, включенным в область, всем пользователям, которые не входят в эту же или равнозначную монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Области фильтра получателейRecipient filter scopes

Области фильтра получателя включать контроль того, какие роли assignees объектов получателей можно управлять путем оценки один или несколько свойств объекта получателя со значением, указанным в операторе фильтра. Получатели, включенные в области получателей, почтовые ящики, пользователей с включенной поддержкой почты, группы рассылки и почтовые контакты. Получателей, которые соответствуют фильтру указываемые может осуществляться с assignees роли, назначенные назначения ролей. Оператор фильтра, например { Name -Eq "David" } где имя является свойство объекта получателя, которое было определено и Дэвид — это значение необходимо оценить со свойством. Оператор сравнения - Eq указывает, что значение, хранящееся в свойстве должны быть равны значениям, который был указан для фильтра, который должен иметь значение true. Если фильтр имеет значение true, что получатель включен в область.Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. If the filter is true, that recipient is included in scope.

Области фильтра получателя создаются путем указания фильтра получателя для использования совместно с параметром RecipientRestrictionFilter с параметрами командлета New-ManagementScope . По умолчанию командлет New-ManagementScope создает регулярные областей. Если вы хотите создать монопольной областью, включить переключатель Exclusive вместе с помощью параметра RecipientRestrictionFilter .Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. By default, the New-ManagementScope cmdlet creates regular scopes. If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

При создании фильтр ограничения получателей Exchange применяет фильтр, заданное по умолчанию для всех объектов получателей в организации. Если необходимо ограничить список получателей, которые оценивает области действия, можно использовать параметр RecipientRoot , а также параметр RecipientRestrictionFilter . Параметр RecipientRoot принимает Подразделения. При использовании параметра RecipientRoot Exchange оценивает только получателей, включаемых в указанном Подразделении с фильтром, указанного пользователем.When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. The RecipientRoot parameter accepts an OU. When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

При добавлении области фильтра получателя для назначения ролей, укажите имя область получателей с помощью параметра CustomRecipientWriteScope на New-ManagementRoleAssignment при создании нового назначения роли или ** SET-ManagementRoleAssignment** используется при обновлении существующего назначения ролей. Каждого назначения роли могут иметь одного получателя области, включая предварительно определенные относительный областей. Можно добавить одну область конфигурации для данного назначения ролей, добавленную область получателей для.When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can have one recipient scope, including predefined relative scopes. You can add one configuration scope to the same role assignment you added a recipient scope to.

Дополнительные сведения о синтаксисе фильтра и полный список фильтруемых свойств получателей см. в разделе Общие сведения о фильтрах области ролей управления.For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

Области конфигурацииConfiguration scopes

В системе Exchange 2013 представлено два типа областей конфигурации.The following are the two types of configuration scopes offered in Exchange 2013:

  • Областей сервера Существует два типа областей сервера, областей фильтр сервера и сервера список областей. Если объект server включен в области сервера можно управлять конфигурация сервера, включая соединители приема, транспортные очереди, сертификаты сервера, виртуальные каталоги и т. д.Server scopes There are two types of server scopes, server filter scopes and server list scopes. Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • Фильтр областей сервера Фильтр областей сервера позволяет управлять которого assignees роли сервера объектов можно управлять путем оценки одно или несколько свойств объекта server со значением, указанным в операторе фильтра. Для создания области фильтра сервера, используйте параметр ServerRestrictionFilter командлет New-ManagementScope .Server filter scopes Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Список областей сервера Список областей сервера позволяет управлять которого assignees роли сервера объектов можно управлять путем определения списка серверов, которые получателю роли можно получить доступ. Чтобы создать области списка серверов, используйте параметр ServerList с параметрами командлета New-ManagementScope .Server list scopes Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • Области баз данных Существует два типа областей баз данных, области фильтра баз данных и области списка баз данных. Базы данных конфигурации, который можно управлять, если объект базы данных включается в области базы данных включают ограничения квот для баз данных, обслуживание баз данных, репликации общих папок, ли подключена база данных и т. д. Кроме базы данных конфигурации областей баз данных можно использовать для элемента управления, который получатели баз данных может быть создано в. Если в вашей организации есть серверы до Exchange 2010 с пакетом обновления 1, видеть области базы данных и предыдущих версий Exchange раздел данного раздела.Database scopes There are two types of database scopes, database filter scopes and database list scopes. Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • Области фильтра баз данных Области фильтра баз данных, чтобы включить элемент управления, который assignees роль объекты базы данных можно управлять путем оценки одно или несколько свойств для объекта базы данных со значением, указанным в операторе фильтра. Для создания области фильтра баз данных, используйте параметр DatabaseRestrictionFilter командлет New-ManagementScope .Database filter scopes Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Области списка баз данных Области списка баз данных позволяет управлять которого assignees роль объекты базы данных можно управлять путем определения списка баз данных, которые получателю роли можно получить доступ. Чтобы создать области списка баз данных, используйте параметр DatabaseList с параметрами командлета New-ManagementScope .Database list scopes Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

Дополнительные сведения о синтаксисе фильтра и полный список фильтруемых свойств серверов и баз данных см. в разделе Общие сведения о фильтрах области ролей управления.For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

Списки серверов и баз данных можно задать путем указания всех серверов и баз данных, которые необходимо включить в их соответствующие области. Чтобы указать в областях несколько серверов или баз данных, необходимо разделить их имена запятой.Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

Если область конфигурации серверов или баз данных добавляется в назначение роли, необходимо указать имя этой области в параметре CustomConfigWriteScope в командлете New-ManagementRoleAssignment, чтобы создать новое назначение роли, или в командлете Set-ManagementRoleAssignment, чтобы обновить существующее назначение роли. Каждое назначение роли может иметь только одну область конфигурации.When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can only have one configuration scope.

Области баз данных позволяют контролировать не только, какими базами данных могут управлять уполномоченные роли, но и в каких базах данных уполномоченные роли могут создавать почтовые ящики. Эта функция отличается от функции управления получателями, которыми может управлять уполномоченный роли. Если уполномоченный роли имеет разрешения создавать почтовые ящики, включать поддержку почты для существующих пользователей или перемещать почтовые ящики, эти разрешения можно уточнить с помощью областей баз данных, чтобы контролировать, в какой базе данных создается почтовый ящик или в какую базу данных он перемещается. Чтобы контролировать, какими получателями может управлять уполномоченный роли, необходимо указать область получателей в параметре CustomRecipientWriteScope командлета New-ManagementRoleAssignment или командлета Set-ManagementRoleAssignment. Чтобы контролировать, в каких базах данных может создаваться почтовый ящик или в какие базы данных он может перемещаться, необходимо указать область баз данных в параметре CustomConfigurationWriteScope тех же командлетов.In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. This is separate from controlling which recipients a role assignee can manage. If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

Примечание

Автоматическим распределением почтовых ящиков можно управлять с помощью областей баз данных.Automatic mailbox distribution can be controlled using database scopes.

Для функций Exchange может требоваться управление областями серверов, областями баз данных или обоими типами областей. Если для функции требуется управление обеими областями серверов и баз данных, необходимо создать два назначения роли и назначить их уполномоченному роли, который должен иметь права доступа к этой функции для управления. Одно назначение роли должно быть связано с областью серверов, а другое — с областью баз данных.Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

Некоторые командлеты могут использовать области конфигурации, которые не являются очевидными. В следующей таблице приведен список командлетов и областей конфигурации, с помощью которых можно управлять их использованием. При использовании командлетов, включенных в функциональную область получателей, области конфигурации позволяют контролировать базами данных, в которых можно создавать получателей. Они не определяют, какими получателями можно управлять. Столбец Требуемые области может содержать следующие данные.Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • Базы данных Для запуска командлета, получателю роли необходимо назначить назначение ролей с области баз данных, который включает в себя базу данных для управления или область записи конфигурации неявных роль должны включать базы данных для управления.Database To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • Сервер Для запуска командлета, получателю роли необходимо назначить назначение ролей с сервера область, которая включает в себя сервер может управлять или область записи конфигурации неявных роли необходимо включить сервер может управлять.Server To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • Серверов или баз данных Для запуска командлета, получателю роли необходимо назначить назначения ролей, которых области баз данных включает в себя базу данных, управляемых или области сервера включает в себя сервер, где находится база данных. Или область записи конфигурации неявных роли должно содержать база данных управляемых или содержать сервера, где находится база данных и назначения ролей не могут иметь область настраиваемые записи.Server or database To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • Сервер и база данных   Чтобы выполнить этот командлет, уполномоченному роли необходимо назначить два назначения роли. Первое назначение роли должно включать в себя область баз данных, содержащую базу данных для управления. Второе назначение роли должно включать в себя область серверов, содержащую сервер, на котором размещена база данных. Назначения роли могут иметь заданные настраиваемые области конфигурации, или они могут наследовать неявные области записи конфигурации из роли. Чтобы наследовать неявную область записи из роли, назначение роли не должно иметь настраиваемую область записи.Server and database To run this cmdlet, the role assignee must be assigned two role assignments. The first role assignment must include a database scope that includes the database to be managed. The second role assignment must include a server scope that includes the server where the database is located. The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

Функциональные области и применяемые области баз данных и серверовFeature areas and applicable database and server scopes

Функциональная областьFeature area КомандлетCmdlet Требуемые областиRequired scopes

Базы данныхDatabases

Dismount-DatabaseDismount-Database

DatabaseDatabase

Базы данныхDatabases

Mount-DatabaseMount-Database

DatabaseDatabase

Базы данныхDatabases

Move-DatabasePathMove-DatabasePath

Сервер и база данныхServer and database

Базы данныхDatabases

Remove-MailboxDatabaseRemove-MailboxDatabase

Сервер или база данныхServer or database

Базы данныхDatabases

SET-MailboxDatabaseSet-MailboxDatabase

DatabaseDatabase

Высокая доступностьHigh availability

Добавление DatabaseAvailabilityGroupServerAdd-DatabaseAvailabilityGroupServer

СерверServer

Высокая доступностьHigh availability

Добавление MailboxDatabaseCopyAdd-MailboxDatabaseCopy

СерверServer

Высокая доступностьHigh availability

Move-ActiveMailboxDatabaseMove-ActiveMailboxDatabase

СерверServer

Высокая доступностьHigh availability

Remove-DatabaseAvailabilityGroupServerRemove-DatabaseAvailabilityGroupServer

СерверServer

Высокая доступностьHigh availability

Remove-MailboxDatabaseCopyRemove-MailboxDatabaseCopy

Сервер или база данныхServer or database

Высокая доступностьHigh availability

Resume-MailboxDatabaseCopyResume-MailboxDatabaseCopy

Сервер или база данныхServer or database

Высокая доступностьHigh availability

SET-MailboxDatabaseCopySet-MailboxDatabaseCopy

Сервер или база данныхServer or database

Высокая доступностьHigh availability

Приостановить MailboxDatabaseCopySuspend-MailboxDatabaseCopy

Сервер или база данныхServer or database

Высокая доступностьHigh availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

Сервер или база данныхServer or database

ПолучателиRecipients

Connect-MailboxConnect-Mailbox

DatabaseDatabase

ПолучателиRecipients

Enable-MailboxEnable-Mailbox

DatabaseDatabase

ПолучателиRecipients

New-MailboxNew-Mailbox

DatabaseDatabase

ПолучателиRecipients

Новый MoveRequestNew-MoveRequest

DatabaseDatabase

Устранение неполадокTroubleshooting

Test-MapiConnectivityTest-MapiConnectivity

DatabaseDatabase

Области баз данных и предыдущие версии ExchangeDatabase scopes and previous versions of Exchange

Впервые области баз данных были представлены в Microsoft Exchange 2010 с пакетом обновления 1 (SP1). Их поддержка продолжается в Exchange 2013. Версии Exchange до Exchange 2010 с пакетом обновления 1 (SP1) поддерживают только области получателей и области конфигураций серверов. При создании области баз данных в Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии появится следующее предупреждение:Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

При создании области баз данных она применяется только к пользователям, подключающимся к серверам с Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии. Пользователям, подключающимся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), не будут назначены роли, связанные с областями баз данных. Это значит, что пользователи, подключающиеся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), не получат разрешения, предоставляемые вместе с этими назначениями ролей. На серверах версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), невозможно создавать, удалять, изменять или просматривать области баз данных.When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

Область баз данных может содержать любую базу данных в организации Exchange. К ним относятся серверы Exchange Server 2007, Exchange 2010 и Exchange 2013. Это позволяет определять, какими базами данных, независимо от версии Exchange, могут управлять пользователи. Как и в случае с другими областями баз данных, назначения ролей, связанные с областями баз данных, которые содержат базы данных Exchange 2007 и Exchange 2010, применяются только к пользователям, подключающимся к серверу Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии.A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Пользователи, подключающиеся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), могут просматривать и изменять назначения ролей, связанные с областями баз данных. Также пользователи могут изменять область конфигурации на область серверов в существующем назначении роли, если оно в данный момент связано с областью баз данных. Но если область конфигурации в назначении роли меняется на область сервера и пользователь в дальнейшем хочет изменить ее снова на область баз данных или если пользователь хочет изменить область конфигурации на другую область баз данных, пользователь должен внести изменения во время подключения к серверу Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версией. Если пользователи подключены к серверу версии, предшествующей Exchange 2010 с пакетом обновления 1 (SP1), то при изменении области конфигурации в назначении роли они могут указывать только области серверов.Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.