Общие сведения об управлении доступом на основе ролейUnderstanding Role Based Access Control

Применимо к: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Role Based Access Control (RBAC) — это новая модель разрешений, используемая в Microsoft Exchange Server 2013. При использовании RBAC отпадает необходимость в изменении и поддержании списков управления доступом (ACL), использовавшихся в Exchange Server 2007. Со списками ACL в версии Exchange 2007 было связано несколько проблем: было трудно изменять списки ACL без непредвиденных последствий, сохранять изменения ACL после обновлений и диагностировать проблемы, возникающие из-за нестандартного использования.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

Модель RBAC позволяет контролировать как на широком, так и детальном уровне, какие действия могут совершать администраторы и конечные пользователи. RBAC также позволяет более точно сопоставлять роли, назначенные пользователям и администраторам, с их фактическими ролями в организации. В Exchange 2007 модель разрешений сервера применялась только к администраторам, которые управляли инфраструктурой Exchange 2007. В версии Exchange 2013 модель RBAC позволяет контролировать выполнение задач администрирования и полномочия, предоставляемые пользователям для управления своими почтовыми ящиками и группами рассылки.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

При управлении доступом на основе ролей есть два основных способа назначить разрешения пользователям в организации, зависящих от того, является ли пользователь администратором, специалистом либо конечным пользователем: группы ролей управления и политики назначения ролей управления. Каждый способ связывает пользователей с разрешениями, необходимыми им для выполнения их задач. Можно также использовать третий, более сложный способ — прямое назначение ролей пользователей. Следующие подразделы подробно описывают RBAC и содержат примеры его применения.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Примечание

В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

СодержаниеContents

Группы ролей управленияManagement role groups

Политики назначения ролей управленияManagement role assignment policies

Прямое назначение ролей пользователейDirect user role assignment

Обзор и примерыSummary and examples

Дополнительные сведенияFor more information

Группы ролей управленияManagement role groups

Группы ролей управления связать роли управления группе администраторам или специалистам. Администраторы управляют широкий Exchange организации или получателя конфигурации. Специалистам управлять особенностях Exchange, такие как соответствие требованиям. Или они может ограниченные возможности управления, такие как члены службы поддержки справки, но не указан широкие административные права. Группы ролей обычно связать административного управления ролями, которые позволяют администраторам и специалистам управлять конфигурацией своей организации и получателей. Например Администраторы могут управлять получателей или использовать функции почтового ящика обнаружения осуществляется с помощью групп ролей.Management role groups associate management roles to a group of administrators or specialist users. Administrators manage a broad Exchange organization or recipient configuration. Specialist users manage the specific features of Exchange, such as compliance. Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

Обычно разрешения назначаются администраторам и пользователям-специалистам путем добавления и удаления соответствующих пользователей в группах ролей. Дополнительные сведения см. в статье Общие сведения о группах ролей управления.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Группы ролей состоят из следующих компонентов, определяющих доступные администраторам и пользователям-специалистам возможности:Role groups consist of the following components that define what administrators and specialist users can do:

  • Группы ролей управления Группы ролей управления — специальные универсальной группы безопасности (USG), который содержит почтовые ящики, пользователей, универсальным группам безопасности и других групп ролей, которые являются участниками группы ролей. Это можно добавлять и удалять элементы, куда это также что назначаются роли управления. Комбинация всех ролей в группе ролей определяет все, что могут управлять пользователи, добавленные в группу ролей в организации Exchange.Management role group The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. This is where you add and remove members, and it's also what management roles are assigned to. The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Роль управления Роль управления является контейнером для группировки записей роли управления. Роли используются для определения конкретных задач, которые могут выполняться с участниками группы ролей, которой предоставлена роль. Записи роли управления — это командлет, сценария или специальные разрешения, которая позволяет каждой определенной задачи в роли нужно выполнить. Для получения дополнительных сведений см.: Общие сведения о роли управления.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. For more information, see Understanding management roles.

  • Назначения роли управления Назначения роли управления связывает роли и группы ролей. Назначение роли в группу ролей предоставляет членов группы ролей возможность использования командлетов и параметров, определенных в роли. Назначения ролей можно использовать области управления для контроля использования назначения. Для получения дополнительных сведений см понимание назначения ролей управления.Management role assignment A management role assignment links a role and a role group. Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Role assignments can use management scopes to control where the assignment can be used. For more information, see Understanding management role assignments.

  • Область роли управления Область роли управления — это область влияния или влияние на назначения ролей. При назначении роли с областью действия в группу ролей области управления предназначен специально объекты, что назначения разрешено управлять. Назначения и его области назначается для членов группы ролей и ограничить эти элементы управления. Область может состоять из списка серверов или баз данных, подразделения (OU) или фильтры на объекты сервера, базы данных или получателя. Для получения дополнительных сведений см Общие сведения об области роли управления.Management role scope A management role scope is the scope of influence or impact on a role assignment. When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. For more information, see Understanding management role scopes.

При добавлении пользователя в группу ролей пользователю присваиваются все роли, назначенные в эту группу ролей. Если к какому-либо из назначений ролей между группой ролей и отдельными ролями применяются области, то именно они будут определять, какими серверами и получателями может управлять пользователь.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

Если необходимо изменить распределение ролей в группах ролей, следует изменить назначения ролей, связывающие роли с группами ролей. Если назначения, встроенные в Exchange 2013, отвечают потребностям организации, изменять их не требуется. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.For more information about role groups, see Understanding management role groups.

Политики назначения ролей управленияManagement role assignment policies

Политики назначения ролей управления связывают роли управления, предназначенные для пользователей, с пользователями. Политики назначения ролей состоят из ролей, определяющих, что пользователь может делать со своими почтовыми ящиками или группами рассылки. Эти роли не позволяют управлять компонентами, не связанными с пользователем напрямую. При создании политики назначения ролей определяются все действия, которые пользователь может выполнять над своим почтовым ящиком. Например, политика назначения ролей может позволять пользователю задавать отображаемое имя, а также настраивать голосовую почту и правила для папки "Входящие". Другая политика назначения ролей может позволять пользователю менять адрес, использовать текстовые сообщения и настраивать группы рассылки. Каждому пользователю почтового ящика Exchange 2013, в том числе администраторам, по умолчанию предоставляется политика назначения ролей. Можно выбрать политику назначения ролей, которая будет предоставляться по умолчанию, указать, какие элементы должны в нее входить, переопределить политику по умолчанию для отдельных почтовых ящиков или полностью отменить предоставление политик назначения ролей по умолчанию.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

Обычно управление разрешениями на управление почтовыми ящиками и группами рассылки, предоставляемыми пользователям, осуществляется путем присваивания им политики назначения. Дополнительные сведения см. в статье Общие сведения о политиках назначения ролей управления.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Политики назначения ролей состоят из следующих компонентов, определяющих допустимые действия пользователей над собственными почтовыми ящиками. Обратите внимание, что некоторые компоненты также применяются к группам ролей. При использовании с политиками назначения ролей эти компоненты ограничиваются, предоставляя пользователям возможность управления только для принадлежащих им почтовых ящиков:Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Политики назначения ролей управления Политики назначения ролей управления — это специальные объект в Exchange 2013. Пользователи связаны с политики назначения ролей, при их почтовые ящики, или чтобы изменить политики назначения ролей для почтового ящика. Это также назначения роли управления конечного пользователя. Комбинация всех ролей политики назначения ролей определяет все, что пользователь может управлять на свой почтовый ящик и групп рассылки.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Роль управления Роль управления является контейнером для группировки записей роли управления. Роли используются для определения конкретных задач, которые пользователь может выполнять с помощью свой почтовый ящик и групп рассылки. Записи роли управления — это командлет, сценария или особых разрешений, которая позволяет каждой определенной задачи в роли управления нужно выполнить. Роли конечных пользователей можно использовать только с политиками назначения ролей. Для получения дополнительных сведений см.: Общие сведения о роли управления.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. You can only use end-user roles with role assignment policies. For more information, see Understanding management roles.

  • Назначения роли управления Назначения роли управления — это связь между роли и политики назначения ролей. Назначение роли политики назначения ролей предоставляет возможность использования командлетов и параметров, определенных в роли. При создании назначение ролей между политики назначения ролей и ролей, нельзя указать любой области. Соответствует любому из области действия обеспечена на основе назначения Self или MyGAL. Все назначения ролей распространяются почтового ящика пользователя или группы рассылки. Для получения дополнительных сведений см понимание назначения ролей управления.Management role assignment A management role assignment is the link between a role and a role assignment policy. Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. When you create a role assignment between a role assignment policy and a role, you can't specify any scope. The scope applied by the assignment is either Self or MyGAL. All role assignments are scoped to the user's mailbox or distribution groups. For more information, see Understanding management role assignments.

Если необходимо изменить распределение ролей в политиках назначения ролей, следует изменить назначения ролей, связывающие роли с политиками назначения ролей. Если назначения, встроенные в Exchange 2013, отвечают потребностям организации, изменять их не требуется. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Дополнительные сведения см. в статье Общие сведения о политиках назначения ролей управления.For more information, see Understanding management role assignment policies.

Прямое назначение ролей пользователейDirect user role assignment

Прямое назначение ролей — это усовершенствованный метод назначения ролей управления, позволяющий присваивать их пользователям и универсальным группам безопасности без использования групп ролей и политик назначения ролей. Прямое назначение ролей может быть полезно в случае, если требуется предоставить детализированный набор разрешений конкретному пользователю. Тем не менее прямое назначение ролей может значительно повысить сложность модели разрешений. Если пользователь переходит на другую должность или увольняется, может потребоваться вручную удалить назначение и перенести его на нового сотрудника. Для назначения разрешений администраторам и пользователям-специалистам рекомендуется использовать группы ролей, а для назначения разрешений пользователям рекомендуется использовать политики назначения ролей.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Дополнительные сведения о прямом назначении ролей см. в статье Общие сведения о назначениях ролей управления.For more information about direct user assignment, see Understanding management role assignments.

Обзор и примерыSummary and examples

На следующей иллюстрации приведены компоненты RBAC и описано их взаимодействие:The following figure shows the components in RBAC and how they fit together:

  • Группы ролей:Role groups:

    • Членом группы ролей может быть один администратор или несколько. Они также могут быть членами нескольких групп ролей. One or more administrators can be members of a role group. They can also be members of more than one role group.

    • Группе ролей назначается одно или несколько назначений ролей. Они связывают группу ролей с соответствующими ролями администрирования, определяющими доступные для выполнения задачи. The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Назначения ролей могут включать области управления, определяющие масштаб применимости действий для пользователей из группы ролей. Области определяют, в каких пределах пользователи из группы ролей могут менять конфигурацию. The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Политики назначения ролей:Role assignment policies:

    • С политикой назначения ролей может быть связан один пользователь или несколько.One or more users can be associated with a role assignment policy.

    • Политике назначения ролей назначается одно или несколько назначений ролей. Они связывают политику назначения ролей с одной или несколькими ролями пользователей. Роли пользователей определяют, что именно пользователь может настраивать в своем почтовом ящике.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Назначения ролей между политиками назначения ролей и ролями располагают встроенными областями, ограничивающими область действия назначений собственным почтовым ящиком и группами рассылки пользователя. The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Прямое назначение ролей (дополнительный метод):Direct role assignment (advanced):

    • Можно напрямую создать назначение роли между пользователем или универсальной группой безопасности и одной или несколькими ролями. Роль определяет, какие задачи может выполнять пользователь или универсальная группа безопасности.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Назначения ролей могут включать области управления, определяющие масштаб применимости действий для пользователей и универсальных групп безопасности. Области действия определяют, где пользователь или универсальная группа безопасности может изменять конфигурацию.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Обзор RBACRBAC overview

![Связи компонентов RBAC] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "Связи компонентов RBAC")RBAC component relationships

Как показано на иллюстрации выше, многие компоненты RBAC взаимосвязаны. Разрешения, предоставляемые администраторам и пользователям, определяются комбинацией компонентов. В следующих примерах приводится дополнительная информация о том, как группы ролей и политики назначения ролей могут использоваться в организации. As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Администратор ОльгаJane the Administrator

Ольга является администратором в Contoso, компании среднего размера. Она отвечает за управление получателями компании в офисе, расположенном в Ванкувере. При создании модели разрешений Contoso Ольга вошла в группу "Управление получателями — Ванкувер" — настраиваемую группу ролей для Ванкувера. Роль "Управление получателями — Ванкувер" наиболее точно отвечает ее рабочим обязанностям, к которым относятся создание и удаление получателей (например, почтовых ящиков и контактов), управление членством в группах рассылки и свойствами почтовых ящиков, а также другие аналогичные задачи.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

Помимо настраиваемой группы ролей "Управление получателями — Ванкувер", пользователю Jane также необходима политика назначения ролей для управления параметрами конфигурации собственного почтового ящика. Администраторы организации приняли решение о том, что все пользователи, кроме высшего руководства, получают одни и те же разрешения для управления своими почтовыми ящиками. Они могут настраивать свою голосовую почту, задавать политики хранения и вносить изменения в данные адреса. Политика назначения ролей по умолчанию, предоставляемая вместе с Exchange 2013, отвечает этим требованиям.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Примечание

Так как пользователь Jane является членом настраиваемой группы ролей "Управление получателями — Ванкувер", ей предоставляются разрешения на управление собственным почтовым ящиком. Несмотря на это, группа ролей не предоставляет ей все разрешения, необходимые для управления всеми аспектами работы почтового ящика. Разрешения, необходимые для управления параметрами голосовой почты и политик хранения, не входят в ее группу ролей. Они предоставляются только присвоенной ей политикой назначения ролей по умолчанию.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Чтобы обеспечить эту возможность, рассмотрим группу ролей, предоставляющей Ольге административные разрешения над получателями в Ванкувере:To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Создана настраиваемая группа ролей "Управление получателями — Ванкувер". При ее создании произошло следующее:A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. Группе ролей были назначены все роли управления, также назначенные встроенной группе ролей Управление получателями. Это предоставляет пользователям, добавленным в настраиваемую группу ролей "Управление получателями — Ванкувер", те же разрешения, которые предоставляются членам группы ролей Управление получателями. Тем не менее следующие этапы ограничивают пределы использования этих разрешений.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Создана настраиваемая область управления "Получатели — Ванкувер", в которую входят только получатели из Ванкувера. Это было сделано путем создания области с фильтрацией по городу пользователя или другим уникальным данным.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. Группа ролей была создана с использованием настраиваемой области управления "Получатели — Ванкувер". Это значит, что администраторы, добавленные в группу ролей "Управление получателями — Ванкувер", получают полные права на управление получателями, но могут применять их только к получателям из Ванкувера.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Дополнительные сведения о создании настраиваемой группы ролей см. в статье Управление группами ролей.For more information about creating a custom role group, see Manage role groups.

  2. Ольга добавляется в качестве члена настраиваемой группы ролей "Управление получателями — Ванкувер".Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Дополнительные сведения о добавлении участников в группу ролей см. в статье Управление участниками группы ролей.For more information about adding members to a role group, see Manage role group members.

Чтобы предоставить Jane возможность управления свои собственные параметры почтовых ящиков, политики назначения ролей необходимо настроить с помощью необходимых разрешений. Политики назначения ролей по умолчанию используется для предоставления пользователям разрешения, которые необходимы для настройки своего почтового ящика. Все роли конечных пользователей удаляются из политики назначения ролей по умолчанию, за исключением: MyBaseOptions, MyContactInformation, MyVoicemail, и MyRetentionPolicies. MyBaseOptions включен, поскольку эта роль управления обеспечивает функциональные возможности базовый пользовательский в Outlook Web App, такие как правила папки «Входящие», конфигурация календаря и другие задачи.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Больше ничего делать не требуется, так как Ольге уже присвоена политика назначения ролей по умолчанию. Это значит, что изменения этой политики немедленно применяются к ее почтовому ящику и всем другим почтовым ящикам, также связанным с политикой назначения ролей по умолчанию.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Дополнительные сведения о настройке политики назначения ролей по умолчанию см. в разделе Управление политиками назначения ролей.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Специалист ПавелJoe the Specialist

Павел работает в Contoso — той же компании, где работает Ольга. Он отвечает за выполнение представления, настройку политик хранения, правил транспорта и ведения журнала в масштабах всей организации. Как и в случае Ольги, при создании модели разрешений Contoso Павел был добавлен в группы ролей, отвечающие его рабочим обязанностям. Группа ролей Управление записями предоставляет Павлу разрешения на настройку политик хранения, ведения журнала и правил транспорта. Группа ролей Управление обнаружением предоставляет ему возможность вести поиск в почтовых ящиках.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Как и в случае с Ольгой, Павлу нужны разрешения для управления своим почтовым ящиком. Ему присваиваются те же разрешения, что и Ольге: он может настраивать свою голосовую почту и политики хранения, а также изменять данные адреса.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Чтобы предоставить Павлу разрешения, необходимые для выполнения рабочих обязанностей, его добавили в группы ролей Управление записями и Управление обнаружением. Эти группы ролей не требуется менять, поскольку они уже предоставляют ему необходимые разрешения, а области управления, применяемые к ним, охватывают всю организацию.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Дополнительные сведения о добавлении пользователей в группы ролей см. в статье Управление участниками группы ролей.For more information about adding a user to a role group, see Manage role group members.

Почтовый ящик Павла также связывается с той же политикой назначения ролей по умолчанию, что и почтовый ящик Ольги. Это предоставляет ему все разрешения, необходимые для управления требуемыми функциями почтового ящика.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Вице-президент ЕленаIsabel the Vice President

Елена — вице-президент компании Contoso по маркетингу. Елена относится к высшему руководству Contoso и получает больше разрешений, чем обычный пользователь. Это относится к разрешениям на управление почтовым ящиком за одним исключением: Елене не разрешается управлять политиками сохранения по требованиям соответствия юридическим требованиям. Елена может настраивать свою голосовую почту, изменять контактные данные и данные профиля, создавать собственные группы рассылки и управлять ими, а также добавлять и удалять себя из существующих групп рассылки, принадлежащих другим пользователям.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Итак, Елене присвоены другие разрешения на управление собственным почтовым ящиком. Большинству пользователей в Contoso назначена политика назначения ролей по умолчанию. Высшему руководству, тем не менее, присвоена отдельная политика назначения ролей. Для создания настраиваемой политики назначения ролей были выполнены следующие действия:So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Политики назначения пользовательских ролей, называется старший руководства создается. Назначенные политики назначения ролей MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, иMyDistributionGroups роли. MyBaseOptions включен, поскольку эта роль обеспечивает функциональные возможности базовый пользовательский в Outlook Web App, такие как правила папки «Входящие», конфигурация календаря и другие задачи.A custom role assignment policy called Senior Leadership is created. The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Затем Елене была вручную присвоена политика назначения ролей для высшего руководства.Isabel is then manually assigned the Senior Leadership role assignment policy.

После этого для почтового ящика Елены действуют разрешения, задаваемые политикой назначения ролей для высшего руководства. Изменения этой политики назначения ролей автоматически применяются к ее почтовому ящику и всем другим почтовым ящикам, также связанным с этой политикой назначения ролей.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Дополнительные сведенияFor more information

Управление политиками назначения ролейManage role assignment policies

Изменение политики назначения для почтового ящикаChange the assignment policy on a mailbox