組織管理
適用於:Exchange Server 2013
組織管理管理角色群組是 2013 年 Microsoft Exchange Server 中組成角色型存取控制 (RBAC) 許可權模型的數個內建角色群組之一。 角色群組會有一或多個管理角色指派,其中包含指定工作集所需的權限。 角色群組的成員擁有指派給該角色群組的管理角色存取權。 如需角色群組的詳細資訊,請參閱了解管理角色群組。
屬於 組織管理 角色群組之成員的系統管理員擁有整個 Exchange 2013 組織的管理存取權,並幾乎可對任何 Exchange 2013 物件執行任何工作,只有少部分例外。 根據預設,此角色群組成員無法執行信箱搜尋和未限定範圍的頂層管理角色的管理。 如需詳細資訊,請參閱本主題稍後的「只委派角色指派」一節。
重要事項
組織管理 角色群組是功能非常強大的角色,因此只有執行可能影響整個 Exchange 組織之組織層級管理工作的使用者或萬用安全性群組 (USG) 才應該是這個角色群組的成員。
這個角色群組相當於 Exchange Server 2007 中的 Exchange 組織系統管理員角色。
如需有關 RBAC 的詳細資訊,請參閱了解角色型存取控制。
角色群組成員資格
用於將 Exchange 2013 安裝在組織中的帳戶預設會新增為 組織管理 角色群組的成員。 然後此帳戶便可視需要,將其他成員新增至此角色群組。
如果您要新增或移除此角色群組中的成員,請參閱管理角色群組成員。
根據預設,只有組織管理角色群組的成員可以新增或移除此角色群組中的成員。 如需如何新增其他角色群組委派的詳細資訊,請參閱 管理角色群組 中的「新增或移除角色群組委派」一節。
您可以使用下列命令來檢視屬於此角色群組成員之使用者或 USG 的清單。
Get-RoleGroupMember "Organization Management"
如需角色群組之成員的詳細資訊,請參閱管理角色群組。
角色群組自訂
此角色群組預設會獲派管理角色。 <指派給此角色群組的管理角色>一節中會列出包含的角色。 您可以在新增或移除此角色群組的角色指派,以符合組織的需要。
Exchange 2013 所提供的角色群組旨在於符合更細微的工作。 將角色指派給角色群組,即可讓該角色群組的成員執行與角色關聯的工作。 例如,[日誌] 角色會啟用日誌代理程式的管理功能和日誌規則。 如需如何將角色指派給角色群組的詳細資訊,請參閱了解管理角色指派。
指派給此角色群組的角色會擁有預設的管理範圍。 管理範圍決定角色群組的成員可以檢視或修改的 Exchange 物件。 您可以變更角色和角色群組之間與指派相關聯的範圍。 例如,如果您只想讓角色群組的成員變更特定組織單位下或是特定位置的收件者,則可執行這項操作。 如需管理範圍的詳細資訊,請參閱了解管理角色範圍。
如需如何自訂此角色群組的詳細資訊,請參閱下列主題:
如果您要建立角色群組並且將指派給此角色群組的部分角色指派給新角色群組,請參閱 管理角色群組 中的<建立角色群組>一節。
下列是您可以自訂此角色的一些方法:
- 許可權擁有者:如果您組織中的許可權是由 Exchange 系統管理員以外的特定群組所控制,您可以建立角色群組,並將角色管理角色的一般和委派角色指派移至新的角色群組。 這樣做可防止 組織管理 角色群組的成員管理任何 RBAC 權限。
- Active Directory 分割許可權:如果在組織中建立安全性主體,例如使用者帳戶,是由 Exchange 系統管理員以外的特定群組所控制,您可以建立角色群組,並將郵件收件者建立角色和安全性群組建立和成員資格角色的一般和委派角色指派移至新的角色群組。 這樣做可以防止 組織管理 角色群組的成員建立 Active Directory 物件。 不過,他們可以繼續啟用新 Active Directory 物件的郵件功能。 如需分割權限的詳細資訊,請參閱了解分割權限。
自訂限制
任何角色都可新增至此角色群組或從此角色群組移除,但有下列限制:
- 在委派角色指派可以從此角色群組移除之前,每個角色都必須至少有ㄧ個角色群組或 USG 的委派角色指派。
- 在可以從此角色群組移除一般角色指派之前,「角色管理」角色必須至少有一個角色群組或 USG 的一般角色指派。
這些限制是為了防止您不小心將自己鎖在系統之外。 透過在每個角色與一或多個角色群組或 USG 之間至少需要存在一個委派角色指派,您就永遠可以指派角色給角色受託人。 透過在「角色管理」角色與一或多個角色群組或 USG 之間至少需要存在一個一般角色指派,您就永遠可以設定角色群組和角色指派。
重要事項
這些限制需要角色群組或 USG 是委派和一般角色指派的目標。 如果最後一個指派是指派給使用者,您就無法移除「角色管理」角色的委派角色指派或一般指派。
只委派角色指派
組織管理 角色群組和管理角色之間的某些角色指派 (例如「信箱搜尋」和「未限定範圍的角色管理」) 僅委派角色指派。 這些角色可讓您存取敏感或個人資訊 (例如信箱的內容),或讓您建立功能強大的未限定範圍管理角色。
僅委派角色指派可讓 組織管理 角色群組的成員只能將關聯的角色指派給其他角色群組、管理角色指派原則、使用者或 USG。 組織管理 角色群組的成員預設不會取得角色所提供的任何權限。 這有助於避免意外曝露個人資訊,或造成權限意外提高。
但是,組織管理 角色群組的成員可為自己指定任何角色,藉以讓自己可執行任何工作。 例如,組織管理 角色群組的成員可將信箱搜尋指定至 組織管理 角色群組。 進行此角色指派之後,組織管理 角色群組的成員可以執行由「信箱搜尋」角色啟用的工作。
如需有關委派角色指派的詳細資訊,請參閱了解管理角色指派。
其他使用權限
授與 組織管理 角色群組之成員的權限主要是由指派給角色群組的管理角色決定。 不過,管理角色並未涵蓋您需要執行的所有工作。 某些工作是在 Exchange 管理工具外部進行,因此不適用 RBAC 權限模式。 對於這些工作,權限是透過將 組織管理 角色群組新增到某些 Active Directory 物件的存取控制清單 (ACL) 來提供。
下列工作的權限是透過 Active Directory 物件上的 ACL 的方式授與,而不是透過指派給 組織管理 角色群組的管理角色授與:
- 使用 Setup.exe 執行 DomainPrep 及 ForestPrep
- 在組織中部署其他伺服器
指派給此角色群組的管理角色
根據預設,只有組織管理角色群組的成員可以新增或移除此角色群組中的成員。如需如何新增其他角色群組委派的詳細資訊,請參閱 Manage Role Groups 中的「新增或移除角色群組委派」一節。
- 下表列出指派給此角色群組的所有管理角色,以及每個角色指派的下列屬性:
- 一般指派:可讓角色群組的成員存取相關管理角色提供的管理角色項目。
- 收件者讀取範圍:決定角色群組的成員可以從 Active Directory 讀取的收件者物件。
- 收件者寫入範圍:決定在 Active Directory 中允許角色群組成員修改的收件者物件。
- 組態讀取範圍:決定角色群組的成員可以從 Active Directory 讀取的組態和伺服器物件。
- 設定寫入範圍:決定在 Active Directory 中允許角色群組成員修改的組織和伺服器物件。
組態寫入範圍:決定角色群組的成員可以在 exADNoMk 修改的組態和伺服器物件。
| 管理角色 | 一般指派 | 委派指派 | 收件者讀取範圍 | 收件者寫入範圍 | 組態讀取範圍 | 組態寫入範圍 |
|---|---|---|---|---|---|---|
| Active Directory 權限角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 地址清單角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| ApplicationImpersonation 角色 | X | Organization |
Organization |
None |
None |
|
| ArchiveApplication 角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 稽核記錄 」 角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Cmdlet 延伸代理程式角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 資料外洩防護角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 資料庫可用性群組角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 資料庫副本的角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 資料庫角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 嚴重損壞復原角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 通訊群組角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Edge 訂閱角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 電子郵件地址原則角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Exchange 連接器角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Exchange Server 憑證角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Exchange 伺服器角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Exchange 虛擬目錄角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 同盟的共用的角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 資訊版權管理角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 日誌記錄角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 法律保留角色 | X | X | Organization |
Organization |
OrganizationConfig |
None |
| LegalHoldApplication 角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 郵件建立收件者角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 郵件建立收件者角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 郵件追蹤角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 郵件提示角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 信箱匯入匯出角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 信箱搜尋角色 | X | Organization |
Organization |
None |
None |
|
| MailboxSearchApplication 角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 移轉角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 移動信箱角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 監視角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 收件者原則角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| OfficeExtensionApplication 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| 組織用戶端存取角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 組織設定角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 組織傳輸設定角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| POP3 與 IMAP4 通訊協定的角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 公用資料夾角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 接收連接器角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 小組信箱角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 遠端和公認的網域角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 重設密碼角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 保留管理角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 角色管理角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 安全群組建立與成員資格的角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 傳送連接器角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 支援診斷角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| TeamMailboxLifecycleApplication 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| 傳輸代理程式角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 傳輸檢疫角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 傳輸佇列角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 傳輸規則角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| UM 信箱角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| UM 提示角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 未限定範圍的角色管理角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 整合的通訊角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| UserApplication 角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| 使用者選項角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 僅檢視稽核記錄 」 角色 | X | X | Organization |
None |
OrganizationConfig |
None |
| 僅檢視設定角色 | X | X | Organization |
None |
OrganizationConfig |
None |
| 僅檢視收件者角色 | X | X | Organization |
None |
OrganizationConfig |
None |
| WorkloadManagement 角色 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| 我自訂應用程式的角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| 我市集應用程式的角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyBaseOptions 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyContactInformation 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyDiagnostics 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyDistributionGroupMembership 角色 | X | MyGAL |
MyGAL |
None |
None |
|
| MyDistributionGroups 角色 | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
| MyProfileInformation 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyRetentionPolicies 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyTeamMailboxes 角色 | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| MyTextMessaging 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| MyVoiceMail 角色 | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |