了解管理角色分配策略
适用于:Exchange Server 2013
管理角色分配策略是一个或多个最终用户管理角色的集合,使最终用户能够管理自己的Microsoft Exchange Server 2013 邮箱和通讯组配置。 角色分配策略是 Exchange 2013 中基于角色访问控制 (RBAC) 权限模型的一部分,可用于控制最终用户可以修改的特定邮箱和通讯组配置设置。 不同的用户组可以具有专用于他们的角色分配策略。
注意
本主题重点讲述高级 RBAC 功能。 如果要管理基本的 Exchange 2013 权限(例如,使用 Exchange 管理中心 (EAC) 向角色组中添加成员或从角色组中删除成员,创建和修改角色组,或创建和修改角色分配策略),请参阅权限。
有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
角色分配策略层
以下列表描述组成角色分配策略模型的各个层:
邮箱:为邮箱分配单个角色分配策略。 为邮箱分配角色分配策略时,管理角色和角色分配策略之间的分配将应用于邮箱。 这会向邮箱授予管理角色提供的所有权限。
管理角色分配策略: 管理角色分配策略 是 Exchange 2013 中的一个特殊对象。 创建邮箱或更改邮箱上的角色分配策略时,用户与角色分配策略相关联。 这也是您将最终用户管理角色分配到的对象。 角色分配策略上的所有角色的组合定义用户可在其邮箱或通讯组上管理的所有事情。
管理角色分配: 管理角色分配 是管理角色与角色分配策略之间的链接。 将管理角色分配给角色分配策略授予使用管理角色中定义的 cmdlet 和参数的能力。 在角色分配策略和管理角色之间创建角色分配时,无法指定任何范围。 分配应用的范围基于管理角色,为
Self或MyGAL。 有关详细信息,请参阅了解管理角色分配。管理角色: 管理角色 是管理角色条目分组的容器。 这些角色用于定义用户可使用其邮箱或通讯组来执行的特定任务。 管理角色条目是 cmdlet、脚本或特殊权限,允许执行管理角色中的每个特定任务。 只能将最终用户管理角色与角色分配策略结合使用。 有关详细信息,请参阅了解管理角色。
管理角色条目:管理角色条目是管理角色上的单个条目,用于确定哪些 cmdlet 和参数可用于管理角色和角色组。 每个角色条目都包含一个 cmdlet 和可由管理角色访问的参数。
下图显示了前面列表中的每个角色分配策略层以及每个层如何与其他层相关。
.jpg "角色分配模型关系")
有关管理角色、角色分配和作用域的详细信息,请参阅了解基于角色的访问控制。
默认角色分配策略和显式角色分配策略
以下各节介绍了 Exchange 2013 中的这两种类型的角色分配策略。
默认角色分配策略
默认角色分配策略是在邮箱创建或移动到运行 Exchange 2013 的服务器时分配给邮箱的,并且未使用 New-Mailbox 或 Enable-Mailbox cmdlet 上的 RoleAssignmentPolicy 参数提供角色分配策略。
Exchange 2013 包括默认角色分配策略,该策略为最终用户提供最常用的权限。 可以通过向默认角色分配策略添加或删除管理角色来更改默认权限。
如果要将内置默认角色分配策略替换为自己的默认角色分配策略,可以使用 Set-RoleAssignmentPolicy cmdlet 选择新的默认值。 执行此操作时,如果未显式指定角色分配策略,则会为任何新邮箱分配默认指定的角色分配策略。
更改默认角色分配策略时,不会自动为分配默认角色分配策略的邮箱分配新的默认角色分配策略。 如果要更新以前创建的邮箱以使用已设置为默认的角色分配策略,则必须使用 Set-Mailbox cmdlet 执行此操作。
显式角色分配策略
显式角色分配策略是使用 New-Mailbox、Set-Mailbox 或 Enable-Mailbox cmdlet 上的 RoleAssignmentPolicy 参数手动分配给邮箱的策略。 分配显式角色分配策略时,新策略将立即生效,并替换以前分配的显式角色分配策略。
使用角色分配策略
通过角色分配策略,可以根据用户需要配置的业务需要定制权限。 如果默认角色分配策略满足你的需求,则无需执行任何自定义。 但是,如果你有许多不同的用户组具有特殊需求,则可以为每个用户组创建角色分配策略。
使用的默认角色分配策略应包含适用于最广泛的用户集的权限。 然后,为每个专用用户组创建角色分配策略,并定制这些角色分配策略,以向其授予更多或更少的限制性权限。 以这种方式组织角色分配策略时,只需向专用用户显式分配角色分配策略,而大多数用户则会收到默认角色分配策略提供的更常见权限,从而降低复杂性。
一个邮箱只能拥有一个角色分配策略。 将为所有用户(包括管理员和专家用户)分配一个角色分配策略。 如果希望用户拥有不同的权限集,则必须对该用户的邮箱分配另一个拥有所需权限的角色分配策略。
角色分配策略管理
若要添加新的角色分配策略,请先创建一个并决定是否应为默认角色分配策略。 创建角色分配策略后,将管理角色分配给角色分配策略,然后将角色分配策略分配给邮箱。 之后便可选择添加或删除管理角色,或者选择不同的角色分配策略作为默认设置。
下表列出了角色分配策略层以及可用于管理每个层的过程主题。
角色分配策略管理主题
| 角色分配策略模型层 | 管理主题 |
|---|---|
| 邮箱 | 管理用户邮箱 更改邮箱的分配策略 |
| 角色分配策略 | 管理角色分配策略 |
| 管理角色和分配 | 管理角色分配策略 |
| 管理角色条目 | 向角色添加角色 更改角色条目 从角色中删除一个角色条目 注意:在角色分配策略中更改管理角色中的管理角色条目是一项高级任务,在大多数情况下通常不需要。 相反,你可以使用预先存在的管理角色来满足你的要求。 有关详细信息,请参阅内置的角色组。 |