Condividi tramite


Informazioni sui ruoli di gestione

Si applica a: Exchange Server 2013

I ruoli di gestione fanno parte del modello di autorizzazioni relativo al controllo dell'accesso basato sui ruoli (RBAC) utilizzato in Microsoft Exchange Server 2013. I ruoli funzionano come un raggruppamento logico di cmdlet, combinati per consentire l'accesso alla configurazione dei componenti di Exchange 2013, quali cassette postali, regole di trasporto e destinatari, per la visualizzazione o la modifica. I ruoli di gestione possono essere ulteriormente combinati in grandi raggruppamenti chiamati gruppi di ruoli di gestione e criteri di assegnazione dei ruoli di gestione, che permettono la gestione delle aree di funzionalità e della configurazione dei destinatari. I gruppi di ruoli e i criteri di assegnazione dei ruoli assegnano le autorizzazioni, rispettivamente, agli amministratori e agli utenti finali. Per ulteriori informazioni sulla gestione dei gruppi di ruoli e dei criteri di assegnazione dei ruoli, vedere Controllo di accesso basato sui ruoli.

Nota

Questo argomento è incentrato sulla funzionalità RBAC avanzata. Per gestire le autorizzazioni di base di Exchange 2013, ad esempio l'uso dell'interfaccia di amministrazione di Exchange (EAC) per aggiungere e rimuovere membri da e verso gruppi di ruoli, creare e modificare gruppi di ruoli o creare e modificare i criteri di assegnazione dei ruoli, vedere Autorizzazioni.

Gli ambiti del ruolo di gestione e le assegnazioni dei ruoli di gestione sono componenti importanti per il funzionamento dei ruoli di gestione. Per ulteriori informazioni su tali componenti, vedere i seguenti argomenti:

Per informazioni sulle attività di gestione correlate ai ruoli di gestione, vedere vedere Autorizzazioni.

Ruoli di gestione incorporati

Exchange 2013 fornisce molti ruoli di gestione incorporati che possono essere utilizzati per amministrare l'organizzazione. Ciascun ruolo include i cmdlet e i parametri necessari agli utenti per la gestione di determinati componenti di Exchange. Di seguito, sono riportati alcuni esempi di alcuni ruoli di gestione incorporati:

  • Destinatari posta: consente agli amministratori di gestire cassette postali, contatti e utenti di posta elettronica.
  • Regole di trasporto: consente agli amministratori o agli utenti specializzati assegnati al ruolo di gestire la funzionalità delle regole di trasporto.
  • Gruppi di distribuzione: consente agli amministratori o agli utenti specializzati assegnati al ruolo di gestire i gruppi di distribuzione e i membri del gruppo di distribuzione.
  • MyPersonalInformation: consente agli utenti finali di modificare il proprio numero di telefono di casa e l'indirizzo del sito Web.

Per un elenco completo dei ruoli di gestione inclusi con Exchange 2013, vedere Ruoli di gestione predefiniti.

È possibile prendere i ruoli incorporati forniti con Exchange 2013 e combinarli in qualsiasi modo per creare un modello di autorizzazioni valido per la propria azienda. Ad esempio, se si desidera che i membri di un gruppo di ruoli gestiscano i destinatari e le cartelle pubbliche, assegnare al gruppo entrambi i ruoli Destinatari di posta e Cartelle pubbliche. Spesso, vengono assegnati i ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, inoltre, possibile assegnare ruoli di gestione direttamente agli utenti se si desidera controllare le autorizzazioni a livello capillare. Si consiglia di utilizzare gruppi di ruoli e criteri di assegnazione dei ruoli piuttosto che un'assegnazione diretta dei ruoli agli utenti per semplificare il modello delle autorizzazioni.

Nota

È possibile assegnare ai criteri di assegnazione dei ruoli solo ruoli di gestione degli utenti finali.

I ruoli di gestione incorporati non possono essere modificati. Tuttavia, è possibile creare ruoli di gestione basati sui ruoli di gestione incorporati e, quindi, assegnare questi nuovi ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, quindi, possibile modificare i nuovi ruoli di gestione in base alle proprie esigenze. Si tratta di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.

Per altre informazioni sulla creazione di ruoli personalizzati basati sui ruoli predefiniti di Exchange, vedere Ruoli di gestione personalizzati più avanti in questo argomento.

Affinché diventino effettivi, i ruoli di gestione devono essere assegnati. Spesso, vengono assegnati ruoli di gestione ai gruppi di ruoli e ai criteri di assegnazione dei ruoli. In determinate circostanze, potrebbe anche essere possibile assegnare ruoli direttamente agli utenti, sebbene si tratti di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.

Per ulteriori informazioni sull'assegnazione dei ruoli di gestione, vedere i seguenti argomenti:

Per ulteriori informazioni sulle assegnazioni dei ruoli di gestione, vedere Informazioni sulle assegnazioni dei ruoli di gestione.

Ruoli di gestione di primo livello senza ambito

I ruoli di gestione di primo livello senza ambito sono uno speciale tipo di ruolo di gestione che consente di concedere agli utenti l'accesso ai cmdlet non Exchange e agli script personalizzati tramite RBAC. I ruoli di gestione regolari consentono l'accesso solo ai cmdlet di Exchange. Qualora fosse necessario fornire l'accesso a cmdlet non di Exchange in esecuzione su un server di Exchange o pubblicare uno script che possa essere eseguito dagli utenti, è necessario aggiungerli a un ruolo senza ambito. Sono denominati ruoli di primo livello in quanto, se viene creato un ruolo senza ambito che non deriva da un ruolo padre, questo non ha un elemento padre ed è un peer dei ruoli di gestione incorporati forniti con Exchange 2013. Per indicare che si vuole creare una voce di ruolo di primo livello senza ambito, è necessario usare l'opzione UnscopedTopLevel con il cmdlet New-ManagementRole .

I ruoli senza ambito vengono così denominati in quanto, a differenza dei ruoli di gestione regolari, non possono essere legati a una determinata destinazione. I ruoli senza ambito sono sempre a livello di organizzazione. Ciò significa che gli utenti a cui è assegnato a un ruolo senza ambito possono modificare qualsiasi oggetto all'interno dell'organizzazione Exchange 2013. Per questo motivo, è fondamentale accertarsi che gli script e i cmdlet resi disponibili tramite un ruolo senza ambito siano stati verificati accuratamente in modo che sia chiaro cosa andranno a modificare; è inoltre fondamentale prestare particolare attenzione all'assegnazione dei ruoli senza ambito.

I ruoli senza ambito possono essere assegnati agli assegnatari di ruoli, quali gruppi di ruoli, ruoli di gestione, utenti e gruppi di sicurezza universale. Non possono essere assegnati ai criteri di assegnazione dei ruoli di gestione.

Sebbene i cmdlet di Exchange non possano essere aggiunti come una voce di ruolo di gestione su un ruolo senza ambito, questi possono essere inclusi in script aggiunti come voci di ruolo. Ciò consente di creare script personalizzati che eseguono attività di Exchange che possono poi essere assegnate agli utenti. Uno scenario utile è quello in cui un utente deve eseguire un'attività altamente privilegiata che, normalmente, non rientra nel suo livello amministrativo e in cui la definizione di un nuovo ruolo di gestione o gruppo di ruoli potrebbe risultare problematica. È possibile creare uno script in grado di eseguire questa funzione specifica, aggiungerlo a un ruolo senza ambito e, quindi, assegnare il ruolo senza ambito all'utente. L'utente può, quindi, eseguire solo la funzione specifica fornita dallo script.

Le voci di ruolo aggiunte a un ruolo senza ambito devono anche essere designate come voci di ruolo di primo livello senza ambito. Per altre informazioni sulle voci di ruolo di primo livello senza ambito, vedere Voci di ruolo Top-Level senza ambito più avanti in questo argomento.

Per impostazione predefinita, il gruppo di ruoli Gestione organizzazione non dispone delle autorizzazioni per creare o gestire gruppi di ruoli senza ambito. Ciò consente di evitare che i gruppi di ruoli senza ambito vengano creati o modificati erroneamente. Il gruppo di ruoli Gestione organizzazione può delegare il ruolo Di gestione ruoli senza ambito a se stesso e ad altri assegnatari di ruolo. Per altre informazioni su come creare un ruolo di gestione di primo livello senza ambito, vedere Creare un ruolo senza ambito.

Ruoli di gestione personalizzati

È possibile creare ruoli di gestione personalizzati che si basano sui ruoli di Exchange incorporati quando i ruoli di gestione incorporati non soddisfano le esigenze dei propri utenti. Quando si crea un ruolo di gestione personalizzato, il nuovo ruolo figlio eredita tutte le voci di ruolo di gestione del ruolo padre. È, quindi, possibile scegliere quali voci di ruolo di gestione si desidera mantenere nel ruolo di gestione personalizzato e rimuovere tutte le voci indesiderate.

I ruoli personalizzati diventano figli del ruolo utilizzato per creare il nuovo ruolo. È possibile utilizzare nel nuovo ruolo figlio solo le voci di ruolo di gestione presenti nel ruolo padre. Per ulteriori informazioni, vedere le seguenti sezioni riportate più avanti in questo argomento:

  • Management Role Hierarchy
  • Management Role Entries

La creazione di ruoli di gestione personalizzati richiede più passi e rappresenta un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere. Prima di creare un ruolo di gestione personalizzato, accertarsi che uno dei ruoli di gestione incorporati non fornisca le autorizzazioni necessarie. Per ulteriori informazioni sui ruoli di gestione incorporati o se si desidera creare ruoli di gestione personalizzati, vedere i seguenti argomenti:

Per ulteriori informazioni sulla creazione di un ruolo di gestione, vedere Creare un ruolo.

Gerarchia dei ruoli di gestione

I ruoli di gestione coesistono in una gerarchia padre e figlio. In cima alla gerarchia ci sono i ruoli di gestione incorporati forniti in Exchange 2013 per impostazione predefinita. Quando si crea un ruolo, in realtà si esegue una copia di un ruolo padre. Il nuovo ruolo è un elemento figlio del ruolo da cui è stato copiato. È, quindi, possibile personalizzare il nuovo ruolo per soddisfare le esigenze degli amministratori o degli utenti a cui si desidera assegnare il ruolo.

È possibile utilizzare i ruoli personalizzati per creare nuovi ruoli. Quando si crea un ruolo da un ruolo personalizzato esistente, quest'ultimo rimane un elemento figlio del relativo ruolo padre, ma diviene anche l'elemento genitore per il nuovo ruolo. Ogni volta che si copia un ruolo, il nuovo ruolo figlio può contenere solo le voci di ruolo presenti nel ruolo padre immediato.

A ciascun ruolo di gestione viene assegnato un tipo di ruolo non modificabile. Il tipo di ruolo definisce il contesto di utilizzo base per il ruolo. Il tipo di ruolo viene copiato dal ruolo padre quando viene creato il ruolo figlio.

Diagramma gerarchico del ruolo di gestione del controllo degli accessi in base al ruolo.

Nella figura precedente, viene illustrata la relazione gerarchica dei diversi ruoli di gestione. I ruoli Destinatari di posta e Assistenza tecnica sono ruoli incorporati. Tutti i ruoli figlio derivati da questi ruoli ereditano il tipo di ruolo di ciascun ruolo incorporato. Ad esempio, tutti i ruoli figlio derivati direttamente o indirettamente dal ruolo Destinatari di posta elettronica ereditano il MailRecipients tipo di ruolo.

Il ruolo personalizzato Amministratori destinatari Seattle è un elemento figlio del ruolo incorporato Destinatari di posta, ma anche l'elemento padre dei ruoli personalizzati Amministratori destinatari ufficio 1 Seattle e Amministratori destinatari ufficio 2 Seattle. Il ruolo personalizzato Amministratori destinatari Seattle contiene solo un sottoinsieme di cmdlet disponibili nel ruolo Destinatari di posta. I ruoli figlio del ruolo personalizzato Amministratori destinatari Seattle possono contenere solo cmdlet presenti anche in quel ruolo. Ad esempio, se un cmdlet è presente nel ruolo Destinatari di posta, ma non nel ruolo personalizzato Amministratori destinatari Seattle, non è possibile aggiungere il cmdlet al ruolo personalizzato Amministratori destinatari ufficio 1 Seattle.

Tutti i ruoli personalizzati seguono lo stesso modello dei ruoli trattati in precedenza. Per altre informazioni sul controllo dell'accesso ai cmdlet sui ruoli di gestione, vedere Voci del ruolo di gestione più avanti in questo argomento.

Voci del ruolo di gestione

Ogni ruolo di gestione, sia che si tratti di un ruolo di Exchange personalizzato o di un ruolo senza ambito, deve disporre di almeno una voce di ruolo di gestione. Una voce consiste in un singolo cmdlet e nei relativi parametri, uno script o un'autorizzazione speciale che si desidera rendere disponibile. Se un cmdlet o o uno script non appare come una voce in un ruolo di gestione, non sarà possibile accedere a tale cmdlet o script tramite quel ruolo. In modo analogo, se un parametro non è presente in una voce, non sarà possibile accedere al parametro su quel cmdlet o script tramite quel ruolo.

Exchange 2013 consente di gestire le voci di ruolo basate sui ruoli di gestione di primo livello di Exchange incorporati e le voci di ruolo basate sui ruoli di gestione di primo livello senza ambito. I ruoli basati sui ruoli di primo livello di Exchange incorporati possono contenere solo le voci di ruolo corrispondenti a cmdlet di Exchange 2013. Per aggiungere script o cmdlet non Exchange personalizzati in modo che gli utenti possano utilizzarli, è necessario aggiungerli come voci di ruolo senza ambito a un ruolo di primo livello senza ambito. Per altre informazioni sulle voci di ruolo senza ambito, vedere Voci di ruolo senza ambito Top-Level più avanti in questo argomento.

Tutte le voci di ruolo, indipendentemente dal fatto che la voce di ruolo sia un ruolo basato su cmdlet di Exchange o una voce di ruolo senza ambito, rispettano gli stessi principi illustrati nelle sezioni seguenti.

Per ulteriori informazioni sulle voci di ruolo di gestione, vedere Ruoli di gestione e voci di ruolo.

Relazioni tra i ruoli di gestione padre e figlio

Come indicato in precedenza, una voce di ruolo di gestione, inclusi il cmdlet e i relativi parametri, deve essere presente nel ruolo padre immediato affinché possa essere aggiunta al ruolo figlio. Ad esempio, se il ruolo padre non dispone di una voce per New-Mailbox, non sarà possibile assegnare il ruolo figlio a quel cmdlet. Inoltre, se Set-Mailbox è nel ruolo padre ma il parametro Database è stato rimosso dalla voce, il parametro Database nel cmdlet Set-Mailbox non può essere aggiunto alla voce nel ruolo figlio.

Poiché non è possibile aggiungere le voci di ruolo di gestione ai ruoli figlio se queste non appaiono nei ruoli padre e poiché il ruolo si basa su un tipo di ruolo specifico, è necessario scegliere attentamente il ruolo padre da copiare quando si desidera creare un ruolo personalizzato.

Nomi delle voci dei ruoli di gestione

I nomi delle voci di ruolo di gestione sono una combinazione del ruolo di gestione a cui sono associate e il nome del cmdlet o dello script. Il nome del ruolo e il cmdlet o lo script sono separati da un carattere barra rovesciata (\). Ad esempio, il nome della voce di ruolo per il cmdlet Set-Mailbox nel ruolo Destinatari posta elettronica è Mail Recipients\Set-Mailbox. Se il nome di una voce di ruolo contiene spazi, racchiudere l'intero nome tra virgolette (").

Il carattere jolly (*) può essere utilizzato nel nome della voce di ruolo al fine di restituire tutte le voci di ruolo corrispondenti all'input fornito. Il carattere jolly può essere utilizzato su entrambi i lati del carattere barra rovesciata. La seguente tabella contiene alcune variazioni sulle varie possibilità di utilizzo del carattere jolly in un nome della voce di ruolo.

Esempio Descrizione
*\* Restituisce un elenco di tutte le voci di ruolo per tutti i ruoli.
*\Set-Mailbox Restituisce un elenco di tutte le voci di ruolo contenenti il cmdlet Set-Mailbox.
Mail Recipients\* Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta.
Mail Recipients\*Mailbox Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta che contengono cmdlet che terminano con la parola Mailbox.
My*\*Group* Restituisce un elenco di tutte le voci di ruolo contenenti la stringa Group nel nome del cmdlet per tutti i ruoli che iniziano con My.

Voci di ruolo di primo livello senza ambito

Le voci di ruolo di primo livello senza ambito vengono utilizzate con i ruoli di gestione di primo livello senza ambito per creare ruoli basati su cmdlet non Exchange o script personalizzati. Ciascuna voce di ruolo senza ambito è associata a un singolo cmdlet non di Exchange o script personalizzato. Per indicare che si vuole creare una voce di ruolo senza ambito in un ruolo senza ambito, è necessario specificare il parametro UnscopedTopLevel nel cmdlet Add-ManagementRoleEntry .

Quando si aggiunge la voce di ruolo senza ambito, è necessario specificare tutti i parametri che possono essere utilizzati con lo script o con il cmdlet non di Exchange. Exchange tenta di verificare i parametri forniti quando si aggiunge la voce di ruolo. Gli utenti assegnati al ruolo senza ambito potranno usufruire solo dei parametri aggiunti alla voce di ruolo al momento della creazione. Se si aggiungono parametri allo script o al cmdlet non di Exchange o se viene rinominato un parametro, è necessario aggiornare la voce di ruolo manualmente. Exchange non verifica se sono state apportate modifiche ai parametri esistenti in una voce di ruolo senza ambito. Se un parametro in una voce di ruolo viene modificato in uno script e si tenta di utilizzare quel parametro, il comando non verrà eseguito.

Gli script aggiunti a una voce di ruolo senza ambito devono trovarsi nella directory degli script di Exchange 2013 su ogni server a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Exchange Management Shell. Se si tenta di aggiungere una voce di ruolo senza ambito basata su uno script non presente nella directory degli script di Exchange 2013 sul server utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Il percorso di installazione predefinito della directory degli script di Exchange 2013 è C:\Programmi\Microsoft\Exchange Server\V15\RemoteScripts o %ExchangeInstallPath%RemoteScripts.

I cmdlet non di Exchange aggiunti a una voce di ruolo senza ambito devono essere installati su ciascun server di Exchange 2013 a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Shell e su cui desiderano utilizzare i cmdlet. Se si tenta di aggiungere una voce di ruolo senza ambito basata su un cmdlet non di Exchange non installato sul server di Exchange 2013 utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Quando si aggiunge un cmdlet non Exchange, è necessario specificare il nome dello snap-in di Windows PowerShell contenente il cmdlet non Exchange.

Per ulteriori informazioni su come aggiungere una voce di ruolo di gestione senza ambito, vedere Aggiungere una voce di ruolo a un ruolo.

Tipi di ruoli di gestione

I tipi di ruolo di gestione sono alla base di tutti i ruoli di gestione. I tipi stabiliscono gli ambiti impliciti definiti in tutti i ruoli di gestione di un determinato tipo di ruolo e agiscono anche come un raggruppamento logico di ruoli correlati. Tutti i ruoli di gestione derivati dal ruolo di gestione padre incorporato presentano lo stesso tipo di ruolo. Fare riferimento alla figura relativa alla gerarchia dei ruoli di gestione riportata precedentemente in questo argomento per un'illustrazione della relazione. I tipi di ruolo di gestione rappresentano il numero massimo di cmdlet e relativi parametri che è possibile aggiungere a un ruolo associato a uno specifico tipo di ruolo.

I tipi di ruolo di gestione sono suddivisi nelle seguenti categorie:

  • Amministrativo o specializzato: i ruoli associati a un tipo di ruolo amministrativo o specialistico hanno un ambito di impatto più ampio nell'organizzazione di Exchange. I ruoli di questo tipo di ruolo consentono attività, quali gestione del server o dei destinatari, configurazione dell'organizzazione, amministrazione della conformità, controllo e altro ancora.

  • Incentrato sull'utente: i ruoli associati a un tipo di ruolo incentrato sull'utente hanno un ambito di impatto strettamente correlato a un singolo utente. I ruoli di questo tipo di ruolo consentono attività, quali configurazione del profilo utente e gestione personale, gestione dei gruppi di distribuzione di proprietà di un utente e altro ancora.

    I nomi dei ruoli associati ai tipi di ruolo orientati all'utente e i nomi dei tipi di ruolo orientati all'utente iniziano con My.

  • Specialità: i ruoli associati ai tipi di ruolo speciali consentono attività che non sono tipi di ruolo amministrativi o incentrati sull'utente. I ruoli di questo tipo di ruolo consentono attività quali la rappresentazione delle applicazioni e l'uso di script e cmdlet non di Exchange.

Nella tabella seguente, sono riportati tutti i tipi di ruolo di gestione amministrativi in Exchange 2013 e viene indicato se la configurazione consentita dal tipo di ruolo viene applicata all'intera organizzazione di Exchange oppure solo a un singolo server. Per ulteriori informazioni su ciascuno dei ruoli di gestione associato a questi tipi di ruolo, inclusa una descrizione di ciascun ruolo, che potrebbe trarre vantaggi dall'assegnazione al ruolo e altre informazioni, vedere Ruoli di gestione predefiniti.

Tipo di ruolo di gestione Ruoli di gestione incorporati Descrizione Organizzazione o server
ActiveDirectoryPermissions Ruolo Autorizzazioni di Active Directory Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di configurare le autorizzazioni di Active Directory in un'organizzazione. Alcune funzionalità che usano le autorizzazioni di Active Directory o un elenco di controllo di accesso (ACL) includono i connettori di ricezione e invio di trasporto e le autorizzazioni Invia come e invia per conto delle cassette postali.

Nota: le autorizzazioni impostate direttamente sugli oggetti Active Directory potrebbero non essere applicate tramite controllo degli accessi in base al ruolo.
Organizzazione
AddressLists Ruolo Elenchi degli indirizzi Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire elenchi di indirizzi, elenchi di indirizzi globali ed elenchi di indirizzi offline in un'organizzazione. Organizzazione
ApplicationImpersonation Ruolo ApplicationImpersonation Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni di impersonare gli utenti in un'organizzazione per eseguire attività per conto di tali utenti. Organizzazione
ArchiveApplication Ruolo ArchiveApplication Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di archiviare gli elementi nelle cassette postali utente in un'organizzazione. Organizzazione
AuditLogs Ruolo Log di audit Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione delle registrazioni di controllo in un'organizzazione. Organizzazione
CmdletExtensionAgents Ruolo Agenti di estensione cmdlet Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di estensione dei cmdlet in un'organizzazione. Organizzazione
DataLossPrevention Ruolo di prevenzione della perdita di dati Questo tipo di ruolo è associato ai ruoli che consentono di creare e gestire i criteri di prevenzione della perdita di dati (DLP) e le regole al loro interno in un'organizzazione. Organizzazione
DatabaseAvailabilityGroups Ruolo Gruppi di disponibilità del database Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di disponibilità del database in un'organizzazione. Gli amministratori assegnati a questo ruolo sono direttamente o indirettamente gli amministratori di livello superiore responsabili per la configurazione a elevata disponibilità in un'organizzazione. Organizzazione
DatabaseCopies Ruolo Copie del database Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le copie del database sui singoli server. Server
Databases Ruolo Database Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, gestire, montare e smontare i database delle cassette postali sui singoli server. Server
DisasterRecovery Ruolo Ripristino di emergenza Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di ripristinare le cassette postali e i database delle cassette postali, creare database delle cassette postali ed eseguire il passaggio e il cambio per compatibilità dei centri dati per i gruppi di disponibilità del database in un'organizzazione. Organizzazione
DistributionGroups Ruolo di gruppi di distribuzione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di distribuzione e membri dei gruppi di distribuzione in un'organizzazione. Organizzazione
EdgeSubscriptions Ruolo Sottoscrizioni Edge Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la sincronizzazione perimetrale e la configurazione della sottoscrizione tra i server Trasporto Edge di Exchange 2010 e i server Cassette postali di Exchange 2013 in un'organizzazione. Organizzazione
EmailAddressPolicies Ruolo Criteri degli indirizzi di posta elettronica Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri degli indirizzi di posta elettronica in un'organizzazione. Organizzazione
ExchangeConnectors Ruolo Connettori di Exchange Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, modificare, visualizzare e rimuovere i connettori degli agenti di recapito. Organizzazione
ExchangeServerCertificates Ruolo Certificati server Exchange Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, importare, esportare e gestire i certificati del server Exchange nei singoli server. Server
ExchangeServers Ruolo Server Exchange Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del server Exchange nei singoli server. Server
ExchangeVirtualDirectories Ruolo Directory virtuali di Exchange Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire Outlook Web App, Microsoft ActiveSync, rubrica offline (OAB), individuazione automatica, Windows PowerShell e directory virtuali dell'interfaccia di amministrazione di Exchange nei singoli server. Server
FederatedSharing Ruolo Condivisione federata Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la condivisione tra foreste e tra organizzazioni in un'organizzazione. Organizzazione
InformationRightsManagement Ruolo Information Rights Management Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le funzionalità di Information Rights Management (IRM) di Exchange in un'organizzazione. Organizzazione
Journaling Ruolo inserimento nel journal Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del journal in un'organizzazione. Organizzazione
LegalHold Ruolo Blocco a fini giudiziari Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di specificare se i dati all'interno di una cassetta postale devono essere conservati per eventuali controversie legali in un'organizzazione. Organizzazione
MailboxImportExport Ruolo di importazione\esportazione delle cassette postali Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di importare ed esportare il contenuto delle cassette postali e di eliminare da queste eventuali contenuti non desiderati. Organizzazione
MailboxSearch Ruolo Ricerca cassette postali Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di cercare il contenuto di una o più cassette postali in un'organizzazione. Organizzazione
MailboxSearchApplication Ruolo MailboxSearchApplication Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di impostare e visualizzare lo stato di conservazione a fini giudiziari di una cassetta postale in un'organizzazione. Organizzazione
MailEnabledPublicFolders Ruolo di cartelle pubbliche abilitate alla posta Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di stabilire se le singole cartelle pubbliche sono abilitate o disabilitate all'utilizzo della posta elettronica in un'organizzazione.

Questo tipo di ruolo consente di gestire le proprietà di posta elettronica delle sole cartelle pubbliche. Non consente di gestire le proprietà delle cartelle pubbliche che non riguardano la posta elettronica. Per gestire le proprietà delle cartelle pubbliche che non sono proprietà di posta elettronica, è necessario assegnare un ruolo associato al PublicFolders tipo di ruolo.
Organizzazione
MailRecipientCreation Ruolo di creazione dei destinatari di posta Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare cassette postali, utenti di posta elettronica, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al MailRecipients tipo di ruolo per consentire la creazione e la gestione dei destinatari.

Questo tipo di ruolo non consente all'utente di abilitare le cartelle pubbliche alla posta. Per abilitare le cartelle pubbliche tramite posta elettronica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo.

Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione del destinatario viene eseguita da un gruppo diverso dal gruppo che esegue la gestione dei destinatari, assegnare il MailRecipientCreation ruolo al gruppo che esegue la creazione del destinatario e il MailRecipients ruolo al gruppo che esegue la gestione dei destinatari.
Organizzazione
MailRecipients Ruolo destinatari di posta elettronica Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica esistenti in un'organizzazione. I ruoli associati a questo tipo di ruolo non possono creare questi destinatari, ma possono essere combinati con i ruoli associati al MailRecipientCreation tipo di ruolo per abilitare la creazione e la gestione dei destinatari.

Questo tipo di ruolo non consente all'utente di gestire le cartelle pubbliche abilitate alla posta o i gruppi di distribuzione. Per gestire le cartelle pubbliche abilitate per la posta elettronica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo. Per gestire i gruppi di distribuzione, è necessario assegnare un ruolo associato al DistributionGroups tipo di ruolo.

Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione del destinatario viene eseguita da un gruppo diverso dal gruppo che esegue la gestione dei destinatari, assegnare il MailRecipientCreation ruolo al gruppo che esegue la creazione del destinatario e il MailRecipients ruolo al gruppo che esegue la gestione dei destinatari.
Organizzazione
MailTips Ruolo Suggerimenti posta elettronica Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i suggerimenti per i messaggi in un'organizzazione. Organizzazione
MessageTracking Ruolo Verifica dei messaggi Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di tenere traccia dei messaggi in un'organizzazione. Organizzazione
Migration Ruolo Migrazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire la migrazione delle cassette postali e del contenuto delle cassette postali da o verso un server. Server
Monitoring Ruolo Monitoraggio Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di monitorare i servizi di Microsoft Exchange e la disponibilità dei componenti in un'organizzazione. Oltre agli amministratori, i ruoli associati a questo tipo di ruolo possono essere usati con l'account del servizio usato dalle applicazioni di monitoraggio per raccogliere informazioni sullo stato dei server Exchange. Organizzazione
MoveMailboxes Ruolo Sposta cassette postali Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di spostare le cassette postali tra i server di un'organizzazione e tra i server nell'organizzazione locale e in un'altra organizzazione. Organizzazione
OfficeExtensionApplication Ruolo OfficeExtensionApplication Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni di estensione di Microsoft Office di accedere alle cassette postali utente in un'organizzazione. Organizzazione
OrgCustomApps Ruolo App personalizzate org Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare e modificare le app personalizzate dell'organizzazione in un'organizzazione. Organizzazione
OrgMarketplaceApps Ruolo App Marketplace dell'org Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare e modificare le app Marketplace dell'organizzazione in un'organizzazione. Organizzazione
OrganizationClientAccess Ruolo Accesso client organizzazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni del server Accesso client in un'organizzazione. Organizzazione
OrganizationConfiguration Ruolo Configurazione organizzazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni a livello di organizzazione in un'organizzazione. I tipi di configurazione dell'organizzazione che possono essere controllati con questo tipo di ruolo includono quanto segue e altro ancora:
  • Se i suggerimenti per i messaggi sono abilitati o disabilitati per l'organizzazione.
  • L'URL della home page della cartella gestita.
  • Indirizzo SMTP del destinatario di Microsoft Exchange e indirizzi di posta elettronica alternativi.
  • La configurazione dello schema delle proprietà della cassetta postale delle risorse.
  • URL della Guida per l'interfaccia di amministrazione di Exchange e Outlook Web App.

Questo tipo di ruolo non include le autorizzazioni incluse nei OrganizationClientAccess tipi di ruolo o OrganizationTransportSettings .

Organizzazione
OrganizationTransportSettings Ruolo Impostazioni trasporto organizzazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni di trasporto a livello di organizzazione, quali i messaggi di sistema, la configurazione del sito Active Directory e altre impostazioni di trasporto a livello di organizzazione in un'organizzazione.

Questo ruolo non consente all'utente di creare o gestire connettori di trasporto di invio o di ricezione, code, elementi Hygiene, agenti, domini accettati e remoti o regole. Per creare o gestire tutte le funzionalità di trasporto, è necessario che all'utente siano assegnati i ruoli associati ai seguenti tipi di ruolo:
  • Connettori di ricezione: ReceiveConnectors
  • Connettori di invio: SendConnectors
  • Code di trasporto: TransportQueues
  • Igiene dei trasporti: TransportHygiene
  • Agenti di trasporto: TransportAgents
  • Domini remoti e accettati: RemoteAndAcceptedDomains
  • Regole di trasporto: TransportRules
Organizzazione
POP3AndIMAP4Protocols Ruolo Protocolli POP3 e IMAP4 Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione POP3 e IMAP4, quali l'autenticazione e le impostazioni di connessione, sui singoli server. Server
PublicFolders Ruolo Cartelle pubbliche Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le cartelle pubbliche in un'organizzazione.

Questo tipo di ruolo non consente all'utente di gestire l'abilitazione delle cartelle pubbliche alla posta elettronica. Per abilitare o disabilitare una cartella pubblica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo.
Organizzazione
ReceiveConnectors Ruolo connettori di ricezione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del connettore di ricezione del trasporto, quali i limiti di dimensione su un singolo server. Server
RecipientPolicies Ruolo Criteri destinatario Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri relativi ai destinatari, quali i criteri di provisioning e dei dispositivi mobili, in un'organizzazione. Organizzazione
RemoteAndAcceptedDomains Ruolo di domini accettati e remoti Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i domini accettati e remoti in un'organizzazione. Organizzazione
ResetPassword Ruolo Reimpostazione password Questo tipo di ruolo è associato ai ruoli che consentono agli utenti di reimpostare le proprie password e agli amministratori di reimpostare le password degli utenti in un'organizzazione. Organizzazione
RetentionManagement Ruolo Gestione conservazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri di conservazione in un'organizzazione. Organizzazione
RoleManagement Ruolo Gestione dei ruoli Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di ruoli di gestione, i criteri di assegnazione dei ruoli, i ruoli di gestione, le voci di ruolo, le assegnazioni e gli ambiti in un'organizzazione.

Gli utenti a cui sono stati assegnati i ruoli associati a questo tipo di ruolo possono sovrascrivere il gruppo di ruoli role group managed by, configurare qualsiasi gruppo di ruoli e aggiungere o rimuovere membri da un qualsiasi gruppo di ruoli.
Organizzazione
SecurityGroupCreationAndMembership Creazione gruppo di sicurezza e ruolo di appartenenza Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di protezione universale e le relative appartenenze in un'organizzazione.

Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione e la gestione del gruppo di sicurezza di microsoft azure viene eseguita da un gruppo diverso rispetto al gruppo che gestisce i server Exchange, assegnare i ruoli associati a questo tipo di ruolo a tale gruppo.
Organizzazione
SendConnectors Ruolo connettori di invio Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i connettori di invio del trasporto in un'organizzazione. Organizzazione
SupportDiagnostics Ruolo Diagnostica di supporto Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire una diagnostica avanzata seguendo le istruzioni del Servizio Supporto Tecnico Clienti Microsoft in un'organizzazione.

Nota: i ruoli associati a questo tipo di ruolo concedono le autorizzazioni ai cmdlet e agli script che devono essere usati solo sotto la direzione del servizio clienti e del supporto tecnico Microsoft.
Organizzazione
TeamMailboxes Ruolo Cassette postali team Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di definire uno o più criteri di provisioning delle cassette postali del sito e di gestire le cassette postali del sito in un'organizzazione. Gli amministratori a cui sono assegnati ruoli associati a questo tipo di ruolo possono gestire cassette postali del sito che non sono di loro proprietà. Organizzazione
TeamMailboxLifecycleApplication Ruolo TeamMailboxLifecycleApplication Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di aggiornare gli stati del ciclo di vita delle cassette postali del sito in un'organizzazione. Organizzazione
TransportAgents Ruolo di agenti di trasporto Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di trasporto in un'organizzazione. Organizzazione
TransportHygiene Ruolo igiene di trasporto Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le funzionalità di protezione dalla posta indesiderata e anti-malware in un'organizzazione. Organizzazione
TransportQueues Ruolo delle code di trasporto Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le code di trasporto su un singolo server. Server
TransportRules Ruolo di regole di trasporto Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le regole di trasporto in un'organizzazione. Organizzazione
UMMailboxes Ruolo cassette postali di messaggistica unificata Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione di messaggistica unificata delle cassette postali e altri destinatari in un'organizzazione. Organizzazione
UMPrompts Ruolo di richieste di messaggistica unificata Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire istruzioni vocali di messaggistica unificata personalizzate in un'organizzazione. Organizzazione
UnifiedMessaging Ruolo Messaggistica unificata Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i servizi di messaggistica unificata in un'organizzazione.

Questo ruolo non consente all'utente di gestire la configurazione della cassetta postale specifica di messaggistica unificata o i prompt di messaggistica unificata. Per gestire la configurazione della cassetta postale specifica della messaggistica unificata, usare i ruoli associati al UMMailboxes tipo di ruolo. Per gestire i prompt di messaggistica unificata, usare i ruoli associati al UMPrompts tipo di ruolo.
Organizzazione
UnScopedRoleManagement Ruolo Gestione ruoli senza ambito Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire ruoli di gestione di primo livello senza ambito in un'organizzazione. Organizzazione
UserOptions Ruolo Opzioni utente Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare le opzioni di Outlook Web App di un utente in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere utilizzati per aiutare l'utente a risolvere i problemi di diagnostica riscontrati nella configurazione. Organizzazione
UserApplication Ruolo UserApplication Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di agire per conto degli utenti finali in un'organizzazione. Organizzazione
ViewOnlyAuditLogs Ruolo dei log di controllo con diritti di sola visualizzazione Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire delle ricerche nel registro di controllo in un'organizzazione. Organizzazione
ViewOnlyConfiguration Ruolo Configurazione di sola lettura Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare tutte le impostazioni di configurazione di Exchange non destinatari in un'organizzazione. Esempi di configurazioni visualizzabili sono la configurazione del server, la configurazione di trasporto, la configurazione del database e la configurazione a livello dell'organizzazione.

I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al ViewOnlyRecipients tipo di ruolo per creare un ruolo in grado di visualizzare ogni oggetto in un'organizzazione.
Organizzazione
ViewOnlyRecipients Ruolo Destinatari di sola lettura Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare la configurazione dei destinatari, quali cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica.

I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al ViewOnlyConfiguration tipo di ruolo per creare un ruolo in grado di visualizzare ogni oggetto nell'organizzazione.
Organizzazione
WorkloadManagement Ruolo WorkloadManagement Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri di gestione del carico di lavoro in un'organizzazione. Gli amministratori possono configurare le definizioni di integrità delle risorse e le classificazioni dei carichi di lavoro, nonché abilitare o disabilitare la gestione dei carichi di lavoro. Organizzazione

Nella tabella che segue sono elencati tutti i tipi di ruoli di gestione orientati all'utente e i corrispondenti ruoli di gestione incorporati in Exchange 2013.

Tipo di ruolo di gestione Ruoli orientati all'utente incorporati Descrizione
MyBaseOptions Ruolo MyBaseOptions Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la configurazione di base delle relative cassette postali e impostazioni associate.
MyContactInformation Ruolo MyAddressInformation

Ruolo MyContactInformation

Ruolo MyMobileInformation

Ruolo MyPersonalInformation
Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare le proprie informazioni di contatto. Queste informazioni includono i relativi indirizzi e numeri di telefono.
MyCustomApps Ruolo App personalizzate Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative app personalizzate.
MyDiagnostics Ruolo MyDiagnostics Il tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di eseguire la diagnostica di base sulle cassette postali, ad esempio recuperando le informazioni di diagnostica del calendario.
MyDistributionGroupMembership Ruolo MyDistributionGroupMembership Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la propria appartenenza ai gruppi di distribuzione in un'organizzazione, purché tali gruppi di distribuzione consentano la manipolazione dell'appartenenza al gruppo.
MyDistributionGroups Ruolo MyDistributionGroups Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, modificare e visualizzare i gruppi di distribuzione e di modificare, visualizzare, rimuovere e aggiungere membri ai gruppi di distribuzione di loro proprietà.
MyProfileInformation Ruolo MyDisplayName

Ruolo MyName

Ruolo MyProfileInformation
Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare il proprio nome.
MyMarketplaceApps Ruolo App Marketplace personali Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative app Marketplace.
MyRetentionPolicies Ruolo MyRetentionPolicies Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare i relativi tag di conservazione e di visualizzarne e modificarne le impostazioni e i valori predefiniti.
MyTeamMailboxes Ruolo MyTeamMailbox Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare cassette postali del sito e connetterle ai siti Microsoft SharePoint.
MyTextMessaging Ruolo MyTextMessaging Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, visualizzare e modificare le relative impostazioni per la messaggistica di testo.
MyVoiceMail Ruolo MyVoiceMail Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative impostazioni di posta vocale.

Ulteriori informazioni

New-ManagementRole

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment