Função ApplicationImpersonation
Tópico modificado em: 2009-10-12
A função de gerenciamento ApplicationImpersonation
permite que applicativos se passem por um usuário em uma organização para executar tarefas em nome do usuário.
A função de gerenciamento é uma das várias funções internas no modelo de permissões do Controle de Acesso Baseado na Função (RBAC) no Microsoft Exchange Server 2010. As funções de gerenciamento, que são atribuídas a um ou mais grupos de função de gerenciamento, diretivas de atribuição de função de gerenciamento, usuários ou grupos de segurança universal (USG), agem como um agrupamento lógico de cmdlets ou scripts que são combinados para permitir acesso para ver ou modificar a configuração de componentes do Exchange 2010, como caixas de correio, regras de transporte e destinatários. Se um cmdlet ou um script e seus parâmetros, chamados em conjunto de entrada de função de gerenciamento, estiverem incluídos em uma função, o cmdlet ou o script e seus parâmetros podem ser executados por aqueles a quem a função foi atribuída. Para mais informações sobre as funções de gerenciamento e entradas de função de gerenciamento, consulte Entendendo as Funções de Gerenciamento.
Para mais informações sobre funções de gerenciamento, grupos de funções e outros componentes do RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Atribuições de Função de Gerenciamento
Para essa função conceder permissões, ela deve ser atribuída a um destinatário de função, que pode ser um grupo de funções, usuário ou grupo de segurança universal (USG). Esta atribuição é feita usando atribuições de função de gerenciamento. Atribuições de função vinculam destinatários de função e funções juntos. Se mais de uma função for atribuída a um destinatário de função, a ele será concedida a combinação de todas as permissões concedidas por todas as funções atribuídas.
Além de vincular destinatários de função a funções, as atribuições de função podem também aplicar escopos de gerenciamento internos ou personalizados. Os escopos de gerenciamento controlam quais destinatários e objetos de servidor podem ser modificados pelos destinatários de função. Se a função for atribuída a um destinatário de função, mas um escopo de gerenciamento permitir que o destinatário de função gerencie somente alguns objetos, com base em um escopo definido, o destinatário de função poderá usar somente as permissões concedidas por essa função nos objetos específicos. As permissões fornecidas pela função não podem ser aplicadas aos objetos fora do escopo definido na atribuição de funções. Para mais informações sobre atribuições de função e escopos, consulte os seguintes tópicos:
- Entendendo as Atribuições de Função de Gerenciamento
- Noções Básicas Sobre Escopos da Função de Gerenciamento
Esta função é atribuída a um ou mais grupos de função, por padrão. Para mais informações, consulte a seção "Atribuições de Função de Gerenciamento Padrão".
Se você quiser exibir uma lista de grupos de funções, usuários ou USGs atribuídos a essa função, use o comando abaixo.
Get-ManagementRoleAssignment -Role "Active Directory Permissions"
Atribuições de Função Comuns e de Delegação
Essa função pode ser atribuída aos destinatários de função usando-se atribuições de função regular ou de delegação. As atribuições regulares de função concedem as permissões fornecidas pela função ao destinatário da função. As atribuições de função de delegação concedem a um destinatário de função a capacidade de atribuir a função a outros destinatários de função. Para mais informações sobre as atribuições de função de delegação, consulte Entendendo as Atribuições de Função de Gerenciamento.
Adicionando ou Removendo Atribuições de Função
Você pode alterar a quais destinatários será atribuída essa função. Alterando a qual destinatário a função é atribuída, você altera quem recebe suas permissões. Você pode atribuir essa função a outros grupos de função internos ou pode criar grupos de função e atribuir essa função a eles. Você também pode atribuir esta função a usuários ou USGs. Entretanto, recomendamos que você limite a atribuição de funções a usuários e USGs, pois essas atribuições podem aumentar muito a complexidade do seu modelo de permissões.
Para atribuir essa função aos destinatários, a função deve ser atribuída a um grupo de função do qual você seja membro, ou diretamente a você ou a um USG do qual você seja membro, usando uma atribuição de função de delegação. Para mais informações sobre delegar as atribuições de função, consulte a seção "Atribuições de Funções Regulares e de Delegação".
Você também pode remover essa função de grupos de função internos, grupos de função que você criar, usuários e USGs. Entretanto, deve sempre haver pelo menos uma atribuição de função de delegação entre essa função e um grupo de função ou USG. Não é possível excluir a última atribuição de função de delegação. Essa limitação ajuda a impedir que você mesmo bloqueie a sua entrada no sistema.
Importante
Deve haver pelo menos uma atribuição de função de delegação entre essa função e um grupo de função ou USG. Você não pode remover a última atribuição de função de delegação associada a essa função, se a última atribuição tiver sido a um usuário.
Para mais informações sobre como adicionar ou remover atribuições entre essa função e grupos, usuários e USGs da função, consulte estes tópicos:
- Adicionar uma Função a um Grupo de Função
- Remover uma Função de um Grupo de Função
- Adicionar uma Função a um Usuário ou USG
- Remover uma Função de um Usuário ou USG
Alterando os Escopos de Gerenciamento para Atribuições de Função
Você também pode alterar os escopos de gerenciamento em atribuições de função existentes entre essa função e os destinatários da função. Alterando os escopos nas atribuições de função, você controla que objetos podem ser gerenciados usando-se as permissões fornecidas por essa função. Você tem várias opções ao alterar o escopo de uma atribuição de função. Você pode selecionar uma destas opções:
- Adicione um novo escopo personalizado usando o cmdlet Set-ManagementRoleAssignment. Para mais informações, consulte os seguintes tópicos:
- Adicionar ou alterar um escopo de unidade organizacional usando o cmdlet Set-ManagementRoleAssignment. Para mais informações, consulte Alterar uma Atribuição de Função.
- Adicionar ou alterar um escopo predefinido usando o cmdlet Set-ManagementRoleAssignment. Para mais informações, consulte Alterar uma Atribuição de Função.
- Alterar os filtros de escopo de destinatário ou servidor ou uma lista de servidores em um escopo personalizado associado a uma atribuição de função usando o cmdlet Set-ManagementScope. Para mais informações, consulte Alterar uma Função de Escopo.
Habilitando ou Desabilitando Atribuições de Função
Habilitando ou desabilitando uma atribuição de função, você contra se a atribuição de função deve ser efetiva. Se a atribuição de função estiver desabilitada, as atribuições concedidas pela função associada não serão aplicadas ao destinatário da função. Isso é conveniente, se você quer remover permissões temporariamente sem delegar uma atribuição de função. Para mais informações, consulte Alterar uma Atribuição de Função.
Atribuições de Função de Gerenciamento Padrão
Essa função tem atribuições de função para um ou mais destinatários de função. A tabela a seguir indica se a atribuição de função é regular ou de delegação e também indica os escopos de gerenciamento aplicados a cada atribuição. A lista a seguir descreve cada coluna:
- Atribuição regular As atribuições regulares de função habilitam o destinatário da função a acessar as permissões fornecidas pelas entradas da função de gerenciamento na função.
- Atribuição de delegação As atribuições de delegação de função habilitam o destinatário da função a atribuir a função a grupos, usuários ou USGs de função.
- Escopo de leitura do destinatário O escopo de leitura do destinatário determina quais objetos de destinatário o destinatário terá permissão para ler do Active Directory.
- Escopo de gravação do destinatário O escopo de gravação do destinatário determina quais objetos de destinatário o destinatário terá permissão para modificar no Active Directory.
- Escopo de leitura da configuração O escopo de leitura da configuração determina quais configurações e objetos de servidor o destinatário terá permissão para ler do Active Directory.
- Escopo de gravação da configuração O escopo de gravação da configuração determina quais objetos de servidor e organizacionais o destinatário terá permissão para modificar no Active Directory.
Atribuições de função de gerenciamento padrão desta função
Grupo de função | Atribuição comum | Atribuição de delegação | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
---|---|---|---|---|---|---|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
Personalização de Função de Gerenciamento
Essa função foi configurada para oferecer, a um destinatário de função, todos os cmdlets necessários e seus parâmetros, para gerenciar os recursos e componentes listados no início deste tópico. Outras funções também foram fornecidas para habilitar o gerenciamento de outros recursos. Adicionando e removendo funções de e para grupos de funções, você pode criar um modelo de permissões personalizadas sem a necessidade de personalizar funções de gerenciamento individual. Para uma lista completa de funções, consulte Funções de Gerenciamento Integradas. Para mais informações sobre personalizar grupos de funções, consulte os seguintes tópicos:
Se você precisar criar uma versão personalizada desta função, você deverá criar uma função como uma filha daquela função e personalizar essa nova função.
Aviso
As informações a seguir permitem que você execute o gerenciamento avançado de permissões. Personalizar funções de gerenciamento pode aumentar significativamente a complexidade do seu modelo de permissões. Você pode fazer com que determinados recursos parem de funcionar, se você substituir uma função de gerenciamento interna por uma função personalizada configurada incorretamente.
Estas são as etapas mais comuns para se criar uma função personalizada e atribuí-la a um destinatário de função:
- Criar uma cópia dessa função usando o cmdlet New-ManagementRole. Para mais informações, consulte Criar uma Função.
- Alterar ou remover as entradas de função na nova função, usando os cmdlets Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Você não pode adicionar entradas de função à nova função porque ela só pode conter as entradas internas da função-mãe. Para mais informações, consulte os seguintes tópicos:
- Se você quiser substituir a função interna por essa nova função personalizada, remova quaisquer atribuições de função associadas à função interna, usando o cmdlet Remove-ManagementRoleAssignment. Para mais informações, consulte os seguintes tópicos:
- Adicionar a nova função personalizada aos destinatários de função necessários, usando o cmdlet New-ManagementRoleAssignment. Para mais informações, consulte os seguintes tópicos:
Adicionar uma Função a um Usuário ou USG
Importante
Se você quiser que outros usuários, além daquele que criou a função, possa atribuir a nova função personalizada, certifique-se de adicionar uma atribuição de função de delegação para um destinatário de função, pelo menos. Para mais informações, consulte Atribuições de Função de Representação.