了解管理角色指派

適用版本： Exchange Server 2010

上次修改主題的時間： 2009-10-14

屬於 Microsoft Exchange Server 2010 中應用角色的存取控制 (RBAC) 權限模型一部分的*「管理角色指派」，是管理角色和角色受託人之間的連結。「角色受託人」*是角色群組、角色指派原則、使用者或萬用安全性群組 (USG)。您必須將角色指派給角色受託人才能使其生效。如需有關 RBAC 的詳細資訊，請參閱瞭解應用角色的存取控制。

本主題討論將角色指派給角色群組和角色指派原則，以及將角色直接指派給使用者和 USG。它並未討論將角色群組或角色指派原則指派給使用者。如需角色群組和角色指派原則 (也就是將權限指派給使用者的建議方法) 的詳細資訊，請參閱下列主題：

• 了解管理角色群組
• 了解管理角色指派原則

您可以建立下列類型的角色指派，這些指派會在本主題稍後的內容中詳細說明：

• 一般和委派角色指派
• 獨佔角色指派

管理角色指派

當您變更角色指派時，您所做的變更可能介於角色群組和角色指派原則之間。您可以透過新增、移除或修改這些角色受託人的角色指派，來控制授與系統管理員和使用者的權限，以便實際開啟及關閉相關功能的管理。

您也可以直接將角色指派給使用者或 USG。這是一項更進階的工作，可讓您在細微層次定義授與使用者的權限。雖然這可為您提供彈性，但也會增加權限模型的複雜度。例如，如果使用者變更工作，您可能需要將指派給該使用者的角色手動重新指派給另一個使用者。這就是爲什麽我們建議您使用角色群組和角色指派原則，將權限授與您的使用者。您可以將角色指派給角色群組或角色指派原則，然後只要視需要新增或移除角色群組成員，或變更角色指派原則即可。

您可以新增、移除和啟用角色指派，也可以針對現有的角色指派修改管理範圍，以及將角色指派移至其他角色受託人。將角色指派給角色群組、角色指派原則、使用者和 USG 的程序，對每個角色受託人大多相同。以下是唯一的例外狀況：

• 角色指派原則只能被指派給使用者管理角色。
• 角色指派原則無法被指派委派角色指派。
• 建立角色指派原則的角色指派時，無法指定管理範圍。

如需管理角色指派的詳細資訊，請參閱下列主題：

• 角色群組：
  • 將角色新增至角色群組
  • 移除角色群組中的角色
  • 變更角色指派
  • 變更角色群組中角色指派的範圍
  • 委派角色指派
• 角色指派原則：
  • 將角色新增至指派原則
  • 移除指派原則中的角色
  • 變更角色指派
• 使用者及 USG：
  • 將角色新增至使用者或 USG
  • 移除使用者或 USG 的角色
  • 變更角色指派
  • 變更角色範圍
  • 委派角色指派

一般和委派角色指派

一般角色指派可讓角色受託人存取由關聯的管理角色提供的管理角色項目。如果將多個管理角色指派給角色受託人，則會彙總並套用來自每個管理角色的管理角色項目。這表示如果角色受託人被指派傳輸規則和日誌角色，則會合併這些角色，並將所有關聯的管理角色項目授與角色受託人。如果角色受託人是角色群組或角色指派原則，則會將角色所提供的權限授與指派給角色群組或角色指派原則的使用者。如需管理角色和角色項目的詳細資訊，請參閱了解管理角色。

委派角色指派並不會授與管理功能的存取權。委派角色指派可讓角色受託人將指定角色指派給其他角色受託人。如果角色受託人是角色群組，則角色群組的任何成員都可將角色指派給另一個角色受託人。根據預設，只有組織管理角色群組才能將角色指派給其他角色受託人。根據預設，只有安裝 Exchange 2010 的使用者是組織管理角色群組的成員。不過，您可以視需要將其他使用者新增至此角色群組，或建立其他角色群組並為這些群組指派委派角色指派。

注意

委派角色指派可讓角色受託人將管理角色委派給其他角色受託人。這不會讓使用者委派角色群組。如需角色群組委派的詳細資訊，請參閱了解管理角色群組。

如果您希望使用者可以管理功能，並將授與使用該功能之權限的角色指派給其他使用者，請進行下列指派：

1. 為每個管理角色進行一般角色指派，以授與需要管理之功能的存取權。
2. 為每個您允許指派給其他角色受託人的管理角色，進行委派角色指派。

為不需要相同的角色受託人進行一般和委派角色指派。例如，使用者是使用一般角色指派來指派傳輸規則角色之角色群組的成員。這可讓使用者管理傳輸規則功能。但是，使用者未獲指派傳輸規則角色的委派角色指派，因此該使用者無法將此角色指派給其他使用者。不過，使用者是使用委派角色指派來指派日誌管理角色之角色群組的成員。使用者所屬的角色群組沒有日誌角色的一般角色指派，但由於它有委派角色指派，因此使用者可以將角色指派給其他角色受託人。

管理範圍

當您建立一般或委派管理角色指派時，可以選擇建立具有管理範圍的指派，以限制使用者可以操作的物件。這表示您可以在組織中分割伺服器或收件者物件的管理。例如，位於溫哥華的系統管理員只能管理相同辦公室中的收件者，或者位於雪梨的系統管理員只能管理其 Active Directory 站台中的伺服器。範圍可允許以額外的精細度將權限指派給使用者群組，以指示這些系統管理員可以執行其管理的範圍。這可讓您建立對應至地理或組織界限的權限模型。

您可以使用預先定義的範圍建立指派，或將自訂範圍新增至指派。您可以使用指派本身的可用選項來套用預先定義的範圍，例如限制使用者只能到其信箱或通訊群組。或者，您可以建立自訂範圍，然後將該範圍新增至角色指派。如果您指定自訂範圍，便可針對範圍中所含的物件獲得更高層次的精細度。您無法在相同的指派上指定預先定義的範圍及自訂範圍。您也不能在相同的指派上混合獨佔範圍和一般範圍。如果自訂或預先定義的範圍都不存在，則角色指派僅限於獲指派之角色的隱含範圍。如需範圍的詳細資訊，請參閱瞭解管理角色範圍。

獨佔角色指派

將獨佔範圍與角色指派產生關聯時，便會建立獨佔角色指派。獨佔範圍的作用類似一般範圍，可讓角色受託人管理符合獨佔範圍的收件者。但是，與一般範圍不同的是，其他所有角色受託人都無法管理收件者，即使收件者符合套用至其角色指派的範圍也一樣。當您想要限制只有少數系統管理員可以管理收件者時，這會非常有用。只有這些特定系統管理員可以管理收件者，其他所有系統管理員都會遭到拒絕存取。

例如，假設下列情況：

• John 是 Contoso 公司的高層主管。他的信箱符合名為 VIP Users 的獨佔範圍，該範圍與 VIP Restricted 獨佔指派相關聯。
• John 的信箱還包含在名爲 Redmond Users 的一般範圍中，該範圍與 Redmond Administration 一般指派相關聯。
• Bill 是與 VIP Restricted 獨佔指派關聯的系統管理員。
• Chris 是與 Redmond Administration 一般指派關聯的系統管理員。

由於 John 的信箱符合 VIP Users 獨佔範圍，所以只有 Bill 可以管理他的信箱。雖然 John 的信箱也符合 Redmond Users 一般範圍，但 Chris 並未與 VIP Restricted 獨佔指派關聯。因此，Exchange 拒絕讓 Chris 管理 John 的信箱。若要讓 Chris 管理 John 的信箱，Chris 需要被指派具有符合 John 信箱之獨佔範圍的獨佔指派。

如需詳細資訊，請參閱瞭解管理角色範圍。