Общие сведения о разрешениях при гибридном развертывании в Exchange 2010 с пакетом обновления 3 (SP3)

 

Применимо к: Exchange Server 2010 SP3

Последнее изменение раздела: 2016-05-19

Служба Exchange Online в организации Microsoft Office 365 основана на использовании системы Exchange 2010 и, подобно локальным организациям, в ней для контроля разрешений применяется управление доступом на основе ролей (RBAC). Администраторам разрешения предоставляются с помощью групп ролей управления, в то время как пользователи наделяются разрешениями на основе политик назначения ролей управления. Кроме того, необходимо тщательно спланировать перенос почтовых ящиков, в которых настроены отношения делегат/делегирующий.

Дополнительные сведения о модели RBAC см. в разделе: Общие сведения о разрешениях

Перекрестные разрешения для почтовых ящиков

Если вы разрешаете одним пользователям доступ к почтовым ящикам других (например, доступ помощника к календарю руководителя), прежде чем перемещать любой из этих почтовых ящиков в Office 365, необходимо тщательно обдумать следующее.

• Перенос разрешений почтовых ящиков  Разрешения локальных почтовых ящиков, такие как "Отправить как", "Получить как" и "Полный доступ", которые явно применяются к почтовому ящику, переносятся в UNRESOLVED_TOKEN_VAL(exExchangeOnline). Наследованные (неявные) разрешения почтового ящика и все другие разрешения для объектов, не связанных с почтовым ящиком, такие как списки рассылки или пользователь с включенной поддержкой почты, не переносятся. Поэтому необходимо запланировать настройку этих разрешений в Office 365, если это применимо к вашей организации. Например, можно использовать командлеты Windows PowerShell Add-RecipientPermission и Add-MailboxPermission для настройки разрешений в Office 365.

• Поддержка перекрестных разрешений для почтовых ящиков. При гибридных развертываниях Exchange поддерживается использование разрешения Полный доступ для почтовых ящиков как в локальной организации Exchange, так и в Office 365. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение Полный доступ для доступа к почтовому ящику Office 365, и наоборот. Например, почтовому ящику Office 365 можно предоставить разрешение Полный доступ для доступа к общему почтовому ящику на локальном сервере.

  Примечание.
  При этом пользователи могут получить дополнительные запросы на ввод учетных данных, когда будут впервые входить в почтовый ящик из другой организации и добавлять его в профиль Outlook.

  Но в гибридных средах не поддерживается использование разрешений Send-As, Receive-As и Send on behalf of для почтовых ящиков в разных организациях (локальной организации Exchange и организации Office 365). Эти разрешения доступны, только если оба почтовых ящика (предоставляющий разрешение и получающий его) принадлежат одной и той же организации. Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно. Кроме этих разрешений, также не поддерживается функция автоматического сопоставления для почтовых ящиков из разных организаций (локальной организации Exchange и организации Office 365).

Разрешения администратора

По умолчанию пользователь, через которого создавалась служба Office 365, становится участником группы ролей "Управление организацией" в организации Exchange Online. Этот пользователь может управлять всей организацией Office 365, в том числе конфигурацией параметров на уровне организации и получателями Exchange Online.

Вы можете добавить дополнительных администраторов в организацию Office 365, в зависимости от управленческих потребностей. Допускается добавление дополнительных администраторов организации и администраторов получателей, включение пользователей-специалистов для выполнения задач на соответствие требованиям, таких как обнаружение, настройка настраиваемых разрешений и других. Управление всеми разрешениями для администраторов Office 365 должно выполняться в организации Exchange Online с помощью панели управления Exchange (ECP) или удаленной среды PowerShell.

Тем не менее, нужно заметить, что передавать разрешения между локальной организаций и организацией Office 365 невозможно. Любые разрешения, определенные в локальной организации, должны повторно создаваться в организации Office 365.

Дополнительные сведения см. в следующих статьях:

• Создание группы ролей

• Добавление роли в группу ролей

• Удаление роли из группы ролей

• Копирование группы ролей

• Добавление участников в группу роли

• Удаление участников из группы ролей

Разрешения конечных пользователей

Как и в случае с разрешениями администратора, конечным пользователям Exchange Online могут предоставляться разрешения. По умолчанию они предоставляются пользователям через политику назначения ролей по умолчанию. Эта политика применяется к каждому почтовому ящику в организации Exchange Online. Если предоставляемых по умолчанию разрешений оказывается достаточно, то ничего менять не нужно.

Если все же необходимо настроить разрешения для пользователей, можно изменить существующую политику назначения ролей по умолчанию или создать новые политики назначения. При создании нескольких политик назначения можно назначать различные политики для различных групп почтовых ящиков, что позволяет управлять разрешениями, предоставленными каждой группе, в зависимости от их требований. Управление всеми разрешениями для конечных пользователей в облаке должно выполняться в организации Exchange Online с помощью панели управления Exchange (ECP) или удаленной среды PowerShell.

Аналогично разрешениям администратора, разрешения конечных пользователей не передаются между локальной организацией и организацией Exchange Online. Любые разрешения, определенные в локальной организации, должны повторно создаваться в организации Exchange Online.

В следующей таблице перечисляются разрешения, предоставляемые политиками назначения ролей по умолчанию в организации Exchange Online.

Политика назначения ролей по умолчанию

Роль управления	Описание
MyBaseOptions	Для просмотра и изменения базовой конфигурации почтового ящика и связанных параметров можно использовать роль управления MyBaseOptions.
MyContactInformation	Роль управления MyContactInformation позволяет отдельным пользователям изменять их контактную информацию, в том числе адрес и номера телефонов.
MyDistributionGroupMembership	Роль управления MyDistributionGroupMembership позволяет отдельным пользователям отображать и изменять членство в группах рассылки в организации, при условии что эти группы рассылки позволяют производить действия с членством в группе.
MyDistributionGroups	Роль управления MyDistributionGroups позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов в принадлежащие им группы рассылки.
MyMailSubscription	Роль MyMailSubscription позволяет пользователям просматривать и изменять параметры подписки на рассылку электронной почты, такие как формат сообщений и протоколы по умолчанию.
MyProfileInformation	Роль управления MyProfileInformation позволяет отдельным пользователям изменять свои имена.
MyRetentionPolicies	Роль управления MyRetentionPolicies позволяет отдельным пользователям просматривать свои теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию.
MyTextMessaging	Эта роль управления MyTextMessaging позволяет пользователям создавать, просматривать и изменять собственные параметры обмена текстовыми сообщениями.
MyVoiceMail	Пользователи могут использовать роль управления MyVoiceMail для просмотра и изменения параметров голосовой почты.

Дополнительные сведения см. в следующих статьях:

• Добавление политики назначения

• Удаление политики назначения

• Добавление роли к политике назначения

• Удаление роли из политики назначения

• Изменение политики назначения для почтового ящика

• Изменение политики назначения по умолчанию

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.