瞭解應用角色的存取控制
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2011-04-28
Role Based Access Control (RBAC) 是 Microsoft Exchange Server 2010 中新的權限模型。使用 RBAC,您不需要修改和管理 Exchange Server 2007 中已完成的存取控制清單 (ACL)。在 Exchange 2007 中使用 ACL 需要解決諸多問題,例如,修改 ACL 時不會造成意外後果、透過升級保留 ACL 修改,以及疑難排解因非標準方式使用 ACL 而衍生的問題等等。
RBAC 可讓您在廣泛且細緻的層級上,控制系統管理員和一般使用者可執行的工作。RBAC 還可以讓您在組織中,嚴密地調整指派給使用者和系統管理員所持有的實際角色。在 Exchange 2007 中,伺服器權限模型只套用到管理 Exchange 2007 基礎結構的系統管理員。在 Exchange 2010 中,RBAC 現在控制可執行的系統管理工作,以及現在可管理其信箱和通訊群組的使用者。
RBAC 有兩種主要的方式,將權限指派給您組織中的使用者,視使用者是系統管理員或專家使用者,還是一般使用者而定:管理角色群組,及管理角色指派原則。每種方法會將使用者與他們執行工作所需的權限相關聯。第三種是更進階的方法,也可以使用直接使用者角色指派。本主題的以下各節說明 RBAC 並提供其用法的實例。
.gif "注意事項") 附註: |
|---|
| 本主題著重於進階 RBAC 功能。如果您要管理基本 Exchange 2010 權限,例如使用 Exchange 控制台 (ECP) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱了解權限。 |
目錄
管理角色群組
管理角色指派原則
直接使用者角色指派
摘要和範例
相關資訊
管理角色群組
*「管理角色群組」*將管理角色與系統管理員群組或專家使用者產生關聯。系統管理員管理更廣泛的 Exchange 組織或收件者組態。專家使用者管理 Exchange 的特定功能,例如法規遵循。或者他們具有有限的管理能力,例如服務台成員,但沒有給定更高的系統管理權限。角色群組通常與啟用系統管理員和專家使用者的系統管理角色產生關聯,以便管理其組織和收件者的組態。例如,系統管理員是否可管理收件者或使用信箱探索功能,是使用角色群組來控制。
將使用者新增至角色群組,或從角色群組移除使用者,是您最常對系統管理員或專家使用者指派權限的方式。如需相關資訊,請參閱了解管理角色群組。
角色群組由下列元件組成,這些元件定義系統管理員和專家使用者可執行的工作內容。
管理角色群組 *「管理角色群組」*是萬用安全性群組 (USG),包含信箱、使用者、USG 和角色群組內的其他角色群組。這是您新增及移除成員的位置,管理角色也會被指派到此處。角色群組中所有角色的組合,定義了新增到角色群組的使用者可以在 Exchange 組織中管理的一切。
管理角色 *「管理角色」是一組管理角色項目的容器。角色用於定義可由被指派該角色之角色群組成員執行的特定工作。「管理角色項目」*是可允許要執行的角色中每個特定工作的 Cmdlet、指令碼或特殊權限。如需相關資訊,請參閱了解管理角色。
管理角色指派 *「管理角色指派」*會連結角色和角色群組。將角色指派到角色群組,會授與角色群組成員使用角色中所定義之 Cmdlet 和參數的能力。角色指派可以使用管理範圍來控制可使用指派的位置。如需相關資訊,請參閱了解管理角色指派。
管理角色範圍 *「管理角色範圍」*是對角色指派的影響範圍。使用範圍將角色指派到角色群組時,管理範圍會以允許該指派管理的物件為具體目標。然後會將該指派及其範圍提供給角色群組的成員,以限制這些成員可以管理的項目。範圍可以是由伺服器或資料庫、組織單位 (OU) 或伺服器、或是資料庫或收件者物件上的篩選器組成的清單。如需相關資訊,請參閱瞭解管理角色範圍。
當您將使用者新增至角色群組,該使用者會被給定指派給角色群組的所有角色。如果範圍套用到角色群組和角色之間的任何角色指派,這些範圍控制使用者可管理的伺服器組態或收件者。
如果您要變更指派給角色群組的角色,必須變更連結角色群組至角色的角色指派。除非指派佈建至 Exchange 2010,否則不要隨意變更,您無需變更這些指派。如需相關資訊,請參閱了解管理角色指派。
如需有關角色群組的相關資訊,請參閱了解管理角色群組。
回到頁首
管理角色指派原則
管理角色指派原則會建立一般使用者管理角色和使用者的關聯。角色指派原則由控制使用者可以使用其信箱或通訊群組,執行哪些工作的角色所組成。這些角色不能管理與使用者沒有直接關聯的功能。當您建立角色指派原則,您便定義使用者可以使用其信箱執行的每一件工作。例如,角色指派原則可讓使用者設定顯示名稱、設定語音信箱和設定收件匣規則。其他角色指派原則,可讓使用者變更地址、使用文字郵件和設定通訊群組。包含系統管理員在內的每一位使用者都有一個 Exchange 2010 信箱,預設會指定角色指派原則。您可以決定預設應指派哪一個角色指派原則、選擇應包含哪一個預設角色指派原則、覆寫某些信箱的預設值,或完全不指派預設的角色指派原則。
將使用者指派至指派原則,是您對使用者最常用的管理權限,讓使用者可管理他們自己的信箱和通訊群組選項。如需相關資訊,請參閱了解管理角色指派原則。
角色指派原則由下列元件組成,這些元件定義使用者可使用他們自己的信箱執行的工作內容。請注意,部分相同的元件也適用角色群組。當搭配角色指派原則使用時,只有部分元件可讓使用者管理他們自己的信箱:
管理角色指派原則 *「管理角色指派原則」*是 Exchange 2010 中的特殊物件。當建立使用者的信箱時,或者如果您變更信箱的角色指派原則,使用者便會與角色指派原則相關聯。這也是您將使用者管理角色指派到的地方。角色指派原則上所有角色的組合,定義使用者可在其信箱或通訊群組上管理的一切。
管理角色 *「管理角色」*是一組管理角色項目的容器。角色用於定義使用者可使用其信箱或通訊群組執行的特定工作。管理角色項目是可允許執行管理角色中每個特定工作的 Cmdlet、指令碼或特殊權限。您只能將使用者角色與角色指派原則搭配使用。如需相關資訊,請參閱了解管理角色。
管理角色指派 *「管理角色指派」*是角色和角色指派原則之間的連結。將角色指派到角色指派原則,會授與使用角色中所定義之 Cmdlet 和參數的能力。當您在角色指派原則和角色之間建立角色指派時,無法指定任何範圍。工作分派所套用的範圍是
Self或MyGAL。所有角色指派範圍為使用者的信箱或通訊群組。如需相關資訊,請參閱了解管理角色指派。
如果您要變更指派給角色指派原則的角色,您必須變更連結角色指派原則至角色的角色指派。除非指派佈建至 Exchange 2010,否則不要隨意變更,您無需變更這些指派。如需相關資訊,請參閱了解管理角色指派。
如需相關資訊,請參閱了解管理角色指派原則。
回到頁首
直接使用者角色指派
直接角色指派 是直接將管理角色指派給使用者或 USG,而不使用角色群組或角色指派原則的進階方法。當您需要對特定使用者且沒有其他人提供細緻的授權集時,直接角色指派就相當有用。不過,使用直接角色指派會大幅增加授權模型的複雜度。如果使用者變更工作或離職,您必須手動移除指派並將他們新增至新員工。建議您使用角色群組,將授權指派給系統管理員和專家使用者,以及使用角色指派原則,將授權指派給使用者。
如需管理信箱直接使用者指派的相關資訊,請參閱了解管理角色指派。
回到頁首
摘要和範例
下圖列出 RBAC 的元件及其組合方法。
角色群組:
一或多個系統管理員可以是角色群組的成員。他們也可以是多個角色群組的成員。
角色群組會被指派一或多個角色指派。這樣會連結角色群組與一或多個系統管理角色,用於定義可執行哪些工作。
角色指派可包含管理範圍,用於定義角色群組的使用者可執行動作的地點。這些範圍決定角色群組的使用者可修改組態的地點。
角色指派原則:
一或多個使用者可以和角色指派原則相關聯。
角色指派原則會被指派一或多個角色指派。這樣會連結角色指派原則與一或多個一般使用者角色。一般使用者角色定義使用者可在其信箱中設定的內容。
角色指派原則和角色之間的角色指派具有內建範圍,限制了對使用者自己的信箱或通訊群組的指派範圍。
直接角色指派 (進階):
可在使用者或 USG 和一或多個角色之間直接建立角色指派。角色定義使用者或 USG 可執行的工作。
角色指派可包含管理範圍,用於定義使用者或 USG 可執行動作的地點。範圍決定使用者或 USG 可以修改組態的地點。
RBAC 概觀
.jpg "RBAC 元件關係")
如上圖所示,RBAC 中的許多元件彼此都有關聯。它顯示每個元件的放置方法,定義套用到每個系統管理員或使用者的權限。下面的範例提供一些額外內容,說明組織中角色群組和角色指派原則的用法。
Jane 是系統管理員
Jane 是中型公司 Contoso 的系統管理員。她負責管理公司在溫哥華辦公室的收件者。當建立 Contoso 的權限模型,Jane 成為 收件者管理 - 溫哥華自訂角色群組的成員。收件者管理 - 溫哥華自訂角色群組最接近她的工作職責,包括建立和移除收件者,例如信箱和連絡人、管理通訊群組成員資格和信箱內容,以及類似的工作。
除了 收件者管理 - 溫哥華自訂角色群組之外,Jane 還需要角色指派原則,以管理她自己信箱的組態設定。組織的系統管理員已決定除了資深管理階層之外的所有使用者,在管理自己信箱時都取得相同的權限。他們可以設定語音信箱、設定保留原則以及變更地址資訊。搭配 Exchange 2010 提供的預設角色指派原則,現在會反映出這些需求。
| 附註: |
|---|
| 您可能已注意到,因為 Jane 是 收件者管理 - 溫哥華自訂角色群組的成員,所以應給予她管理自己信箱的權限。這是千真萬確,但是,角色群組沒有提供她管理其信箱所有功能所需的一切權限。需有權限來管理語音信箱,保留原則設定沒有包含在其角色群組中。只有在角色指派原則預設指派給她時才會提供。 |
為了做到這一點,請考量提供 Jane 在溫哥華收件者上的系統管理權限之角色群組。
建立名為 收件者管理 - 溫哥華的自訂角色群組。建立時發生下列事項:
角色群組被指派所有相同的管理角色,這些管理角色亦同時指派至 收件者管理 內建的角色群組。這讓新增至 收件者管理 - 溫哥華自訂角色群組的使用者,與新增至 收件者管理 角色群組的使用者擁有相同的權限。不過,下列步驟會限制他們可以在其中使用這些權限。
建立「溫哥華收件者」自訂範圍,只有位於溫哥華的收件者符合。其方法是建立篩選使用者的城市或其他唯一資訊的範圍。
以「溫哥華收件者」自訂管理範圍建立角色群組。這表示即使新增至 收件者管理 - 溫哥華自訂角色群組的系統管理員擁有充分的收件者管理權限,他們只能對位於溫哥華的使用者使用這些權限。
Jane 然後新增為 收件者管理 - 溫哥華自訂角色群組的成員。
如需建立自訂群組群組的詳細資訊,請參閱下列主題:
若要讓 Jane 擁有管理其個人信箱設定的能力,需設定含有所需權限的角色指派原則。
預設的角色指派原則可用來提供使用者設定他們個人信箱所需的權限。下列是用來提供這些權限的原則:
- 一般使用者原則已從預設的角色指派原則中移除,但下列例外:
MyBaseOptions、MyContactInformation、MyVoicemail和MyRetentionPolicies。之所以包括MyBaseOptions,是因為此管理角色提供 Microsoft Office Outlook Web App 中的基本使用者功能,例如收件匣規則、行事曆組態和其他工作。
- 一般使用者原則已從預設的角色指派原則中移除,但下列例外:
沒有其他需要執行的工作,因為 Jane 已經指派預設的角色指派原則。這表示對角色指派原則所做的變更會立即套用到她的信箱,同時所有其他信箱也都會指派至預設的角色指派原則。
如需自訂預設角色指派原則的詳細資訊,請參閱變更預設指派原則。
Joe 是專家
Joe 是 Contoso 的員工,與 Jane 在同一家公司上班。他負責執行整個組織的法律蒐證、設定保留原則和設定傳輸規則與日誌。和 Jane 一樣,當建立 Contoso 的權限模型,Joe 被新增至與其職責相符的角色群組。記錄管理 角色群組提供 Joe 設定保留原則、日誌和傳輸規則的權限。探索管理 角色群組提供他執行信箱搜尋的能力。
和 Jane 一樣,Joe 也需要管理他自己信箱的權限。他也被給予和 Jane 相同的權限:他可以設定語音信箱和保留原則,以及變更地址資訊。
為了給予 Joe 執行他工作職責的權限,將 Joe 新增至 記錄管理 和 探索管理 角色群組。不需要以任何方式變更角色群組,因為角色群組已提供他所需的權限,並且套用到角色群組的管理範圍包含了整個組織。
如需將使用者新增到角色群組的詳細資訊,請參閱將成員新增至角色群組。
Joe 的信箱還指派了與套用到 Jane 信箱相同的預設角色指派原則。這提供他所需的所有權限,以便管理他可管理的信箱功能。
Isabel 是副總經理
Isabel 是 Contoso 的行銷副總經理。Isabel 是 Contoso 資深領導團隊的成員,給予的權限比一般使用者多。其中包括提供她管理自己信箱的權限,但有一項例外:Isabel 因法律遵循原因不可以管理她自己的保留原則。Isabel 可以設定語音信箱、變更連絡人資訊、變更設定檔資訊、建立並管理自己的通訊群組,以及從其他人擁有的現有通訊群組中新增或移除她自己。
因此,Isabel 在她自己的信箱上擁有不同的權限。Contoso 的大部分使用者被指派至預設角色指派原則。但資深領導人被指派至「資深領導人」角色指派原則。下列是用來建立自訂角色指派原則:
建立名為「資深領導人」的自訂角色指派原則。角色指派原則被指派
MyBaseOptions、MyContactInformation、MyVoicemail、MyProfileInformation、MyDistributionGroupMembership及MyDistributionGroups角色。之所以包括MyBaseOptions,是因為此角色提供 Outlook Web App 中的基本使用者功能,例如收件匣規則、行事曆組態和其他工作。Isabel 再手動指派「資深領導人」角色指派原則。
Isabel 的信箱現在擁有「資深領導人」角色指派原則所提供的權限。對這個角色指派原則所做的所有變更會自動套用到她的信箱,同時所有其他信箱也會指派至相同的角色指派原則。
回到頁首
相關資訊
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。