Exchange Server权限

Microsoft Exchange Server基于基于角色的访问控制 (RBAC) 权限模型,其中包含大量预定义的权限,您可以使用这组权限轻松向管理员和用户授予权限。 您可以使用 Exchange Server 中的权限功能,以便快速启动并运行新组织。

基于角色的权限

在Exchange Server中,授予管理员和用户的权限基于管理角色。 角色定义了管理员或用户可以执行的任务集。 例如,名为 的管理角色 Mail Recipients 定义某人可以在一组邮箱、联系人和通讯组上执行的任务。 为管理员或用户分配角色的同时,也会授予此人该角色所提供的权限。

角色分为两种类型,即管理角色和最终用户角色:

  • 管理 角色:这些角色包含的权限可以使用管理 Exchange 组织的一部分(如收件人、服务器或数据库)的角色组分配给管理员或专家用户。

  • 最终用户角色:这些角色使用角色分配分配,使用户能够管理其自己的邮箱及其拥有通讯组的各个方面。 最终用户角色以前缀 开头 My

角色通过向已分配角色的用户提供 cmdlet 来授予管理员和用户执行任务的权限。 由于 Exchange 管理中心 (EAC) 和 Exchange 命令行管理程序使用 cmdlet 管理 Exchange,因此授予对 cmdlet 的访问权限将给予管理员或用户在每个 Exchange 管理界面中执行任务的权限。

角色组和角色分配策略

角色授予在角色Exchange Server权限,但您需要一种简便的方法将其分配给管理员和用户。 Exchange Server提供了以下内容来帮助你实现此要求:

  • 角色 组:角色组使您能够向管理员和专家用户授予权限。

  • 角色分配策略:通过角色分配策略,您可以向最终用户授予更改其自己的邮箱或他们拥有通讯组的设置的权限。

有关角色组和角色分配策略的详细信息,请参阅以下各部分。

角色组

需要为每个管理Exchange Server管理员分配至少一个或多个角色。 管理员可能有多个角色,因为他们可能会执行跨多个区域的工作Exchange。 例如,一个管理员可能同时管理收件人和Exchange服务器。 在这种情况下,可能会同时向该管理员分配 和 Mail Recipients Exchange Servers 角色。

若要更轻松地向管理员分配多个角色,Exchange Server角色组。 角色组是特殊通用安全 (USG) ,Exchange Server Active Directory 用户、USG 和其他角色组使用。 将一个角色分配给角色组时,会将该角色授予的权限授予该角色组的所有成员。 这使您可以一次将许多角色分配给许多角色组成员。 角色组通常覆盖更广泛的管理区域,如收件人管理。 角色组只能与管理角色一起使用,而不能与最终用户角色一起使用。

备注

可以在不使用角色组的情况下将角色直接分配给用户或 USG。但是,这种角色分配方法是一个高级过程,本主题将不做介绍。建议你使用角色组来管理权限。

下图显示了用户、角色组和角色之间的关系。

角色、角色组和角色组成员

角色、角色组和成员关系。

Exchange Server多个内置角色组,每个角色组都提供管理特定角色Exchange Server。 某些角色组可能与其他角色组重叠。 下表列出了每个角色组及其使用说明。 如果要查看分配给每个角色组的角色,请单击“角色组”列的角色组名称,然后打开“分配给此角色组的管理角色”部分。

重要

如果管理员是多个角色组的成员,则Exchange Server向管理员授予其是其中成员的角色组提供的所有权限。

内置的角色组

角色组 说明
组织管理 组织管理角色组的成员的管理员具有对整个 Exchange Server 组织的管理访问权限,并且几乎可以针对任何 Exchange Server Discovery Management 对象执行任何任务,但角色等情况除外。
重要 提示:由于组织管理角色组是一个强大的角色,因此只有执行组织级别管理任务(可能会影响整个 Exchange 组织的用户或 USG)才应是此角色组的成员。
View-Only Organization Management 属于 仅查看组织管理 角色组成员的管理员可以查看 Exchange 组织中任何对象的属性。
收件人管理 属于"收件人管理"角色组的管理员具有管理权限,可以创建或修改Exchange Server组织内部Exchange Server收件人。
UM 管理 属于 UM 管理 角色组成员的管理员可以管理 Exchange 组织中的功能,例如统一消息 (UM) 服务配置、邮箱上的 UM 属性、UM 提示和 UM 自动助理配置。 (注意:UM 在 Exchange 2019.)
帮助中心 默认情况下,技术支持角色组允许成员查看和修改Outlook 网页版 (以前称为Outlook Web App) 组织中任何用户的默认选项。 这些选项可能包括修改用户的显示名称、地址和电话号码。 它们不包括在 Outlook 网页版选项中不可用的选项,例如修改邮箱大小或配置邮箱所在的邮箱数据库。
清洁管理 作为清洁管理角色组的成员的管理员可以配置安全机制的防病毒和Exchange Server。 与 Exchange Server 集成的第三方程序可以将服务帐户添加到此角色组,以授予这些程序对检索和配置 Exchange 配置所需的 cmdlet 的访问权限。
记录管理 记录管理角色组的成员用户可以配置遵从性功能,如保留策略标记、邮件分类和邮件流规则 (传输规则) 。
发现管理 作为发现管理角色组的成员的管理员或用户可以在 Exchange 组织中搜索满足特定条件的数据,还可以对邮箱配置合法保留。
公用文件夹管理 作为公用文件夹管理角色组的成员的管理员可以管理运行公用文件夹Exchange Server。
服务器管理 属于“服务器管理”角色组成员的管理员可以配置诸如数据库副本、证书、传输队列和发送连接器、虚拟目录和客户端访问协议这样的传输、统一消息、客户端访问和邮箱功能的特定于服务器的配置。 (注意:UM 在 Exchange 2019.)
委派安装 作为"委派安装"角色组的成员的管理员可以部署运行Exchange Server之前由组织管理角色组的成员预配的服务器。
遵从性管理 属于合规管理角色组的用户可根据其组织策略配置和管理 Exchange 合规性设置。

如果你在只有少数几个管理员的小型组织工作,那么可能只会使用“组织管理”角色组,并且不会使用其他角色组。 如果您在大型组织中工作,则您可能具有执行特定任务的管理员来管理Exchange,如收件人或服务器管理。 在这种情况下,可以将一个管理员添加到收件人管理角色组,将另一个管理员添加到服务器管理角色组。 然后,这些管理员可以管理其特定的Exchange Server,但无权管理他们不负责的区域。

如果找不到与管理员需要执行的作业适合的内置角色组,则可以创建角色组并向其中添加角色。 有关详细信息,请参阅本主题后面的使用角色组

角色分配策略

Exchange Server提供了角色分配策略,以便您可以控制用户可以在其自己的邮箱及其拥有通讯组上配置哪些设置。 这些设置包括其显示名称、联系人信息、语音邮件设置和通讯组成员身份。

您的组织Exchange Server可以有多个角色分配策略,这些策略为组织中不同类型的用户提供不同级别的权限。 可以允许某些用户更改其地址或创建通讯组,而不允许其他用户更改通讯组。 这一切都取决于角色分配邮箱关联的策略。 角色分配策略直接添加到邮箱,且每个邮箱一次只能与一个角色分配策略相关联。

对于组织中的角色分配策略,其中一个将被标记为默认策略。默认角色分配策略将与创建时未明确分配特定角色分配策略的新邮箱相关联。默认角色分配策略应包含适用于大多数邮箱的权限。

使用最终用户角色将权限添加到角色分配策略。 最终用户角色以 开头 My ,并授予用户仅管理其邮箱或他们拥有通讯组的权限。 不能使用其管理其他任何邮箱。 只有最终用户角色可以分配给角色分配策略。

将最终用户角色分配给角色分配策略后,与该角色分配策略相关联的所有邮箱都将获得该角色授予的权限。这使您可以在不配置各个邮箱的情况下添加或删除用户组的权限。下图显示了:

  • 将最终用户角色分配给角色分配策略。角色分配策略可以共享相同的最终用户角色。

  • 角色分配策略与邮箱相关联。每个邮箱只能与一个角色分配策略相关联。

  • 邮箱与角色分配策略相关联之后,最终用户角色会应用于该邮箱。将向该邮箱的用户授予此类角色授予的权限。

角色、角色分配策略和邮箱

角色、角色分配策略、邮箱关系。

默认角色分配策略角色分配策略包含在Exchange Server。 顾名思义,它是默认角色分配策略。 如果要更改该角色分配策略提供的权限或创建角色分配策略,请参阅本主题后面的使用角色分配策略

使用角色组

若要使用 EAC Exchange Server 中的角色组管理Exchange管理 (EAC) 。 When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. EAC 提供了简单的对话框来执行这些任务,如下图所示的“新建角色组”对话框。

EAC 中的“新建角色组”对话框

EAC 中的"新建角色组"对话框。

如果角色组中包含的任何角色Exchange Server您所需的权限,您可以使用 EAC 创建角色组并添加具有您所需的权限的角色。 对于新建的角色组,需执行以下操作:

  1. 为角色组选择名称。

  2. 选择要添加到角色组的角色。

  3. 向角色组中添加成员。

  4. 保存角色组。

创建角色组后,可以像管理其他任何角色组一样对其进行管理。

如果某个现有角色组具有部分你需要的权限但并非全部,则可以复制该角色组,然后对其进行更改以创建一个角色组。复制现有角色组可让你对其进行更改,而不影响原始角色组。复制角色组过程中,可以添加新的名称和说明,向新角色组中添加角色和删除新角色组中的角色,以及添加新成员。创建或复制角色组时,使用上图所示的同一对话框。

也可以修改现有角色组。使用与上图类似的 EAC 对话框,可以同时向现有角色组中添加角色和成员,以及从其中删除角色和成员。通过向角色组中添加角色和从其中删除角色,可以为该角色组的成员启用和禁用管理功能。

备注

尽管可以更改分配给内置角色组的角色,但建议您复制内置角色组、修改角色组副本,然后将成员添加到角色组副本。

使用角色分配策略

若要管理授予最终用户管理自己邮箱的权限,Exchange Server EAC。 When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. EAC 提供了简单的对话框来执行这些任务,如下图所示的“角色分配策略”对话框。

EAC 中的“角色分配策略”对话框

EAC 中的角色分配策略对话框。

Exchange Server包含一角色分配默认角色分配策略"的策略。 通过该角色分配策略,与其关联的邮箱用户可以执行下列操作:

  • 加入或退出允许成员管理其自己的成员身份的通讯组。

  • 查看并修改自己邮箱中的基本邮箱设置,如收件箱规则、拼写检查行为、垃圾邮件设置和 Microsoft ActiveSync 设备。

  • 修改他们的联系信息,例如工作地址和电话号码、手机号码和寻呼机号码。

  • 创建、修改或查看文本邮件设置。

  • 查看或修改语音邮件设置。

  • 查看和修改其市场应用程序。

  • 创建团队邮箱,并且将它们连接到 Microsoft SharePoint 列表。

如果要向“默认角色分配策略”或其他任何角色分配策略中添加权限或删除其中的权限,可以使用 EAC。在 EAC 中打开角色分配策略后,选中要为其分配的角色旁边的复选框或清除要删除的角色旁边的复选框。对角色分配策略所做的更改将应用到与其关联的每个邮箱。

如果要为组织中各种类型的用户分配不同的最终用户权限,可以创建角色分配策略。可以为角色分配策略指定新的名称,然后选择要分配给该角色分配策略的角色。创建角色分配策略后,可以使用 EAC 将其与邮箱相关联。

如果要更改默认策略角色分配,您需要使用命令行管理程序Exchange命令行管理程序。 在更改默认角色分配策略时,任何创建时未明确指定角色分配策略的新建邮箱都将与新的默认角色分配策略相关联。 选择新的默认角色分配策略时,与现有邮箱关联的角色分配策略不会发生变化。

注意

  • 如果选中具有子角色的角色对应的复选框,则同时还会选中其子角色对应的复选框。如果清除具有子角色的角色对应的复选框,则同时还会清除其子角色对应的复选框。

  • 有关如何创建角色分配策略或更改现有角色分配策略的详细步骤,请参阅下列主题: