Поделиться через


Общие сведения о группах ролей управления

Область применения: Exchange Server 2013 г.

Группа ролей управления — это универсальная группа безопасности (USG), используемая в модели разрешений на основе ролей контроль доступа (RBAC) в Microsoft Exchange Server 2013 г. Группа ролей управления упрощает назначение ролей управления группе пользователей. Для всех участников группы ролей назначается идентичный набор ролей. Для групп ролей назначаются роли специалиста и администратора, определяющие большинство административных задач в Exchange 2013, например управление организацией, управление получателями и другие задачи. Группы ролей упрощают назначение более широкого набора разрешений группе администраторов или специалистов.

Примечание.

В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Если вы хотите управлять базовыми разрешениями Exchange 2013, например с помощью Центра администрирования Exchange (EAC) для добавления и удаления участников групп ролей, создания и изменения групп ролей или создания и изменения политик назначения ролей, см. раздел Разрешения.

Сведения о назначении пользователям разрешения управлять собственными почтовыми ящиками или группами рассылки см. в разделе Общие сведения о политиках назначения ролей управления.

Уровни группы ролей

Ниже перечислены уровни, составляющие модель группы ролей.

  • Член группы ролей. Участник группы ролей — это почтовый ящик, универсальная группа безопасности (USG) или другая группа ролей, которую можно добавить в качестве члена группы ролей. При добавлении почтового ящика, USG или другой группы ролей как участника группы ролей назначения, выполненные в отношении ролей управления и группы ролей, будут применены к новому участнику. Для данного участника будут предоставлены разрешения, предусмотренные ролями управления.

  • Группа ролей управления. Группа ролей управления — это специальная группа ролей, которая содержит почтовые ящики, группы безопасности и другие группы ролей, которые являются членами группы ролей. Здесь добавляются и удаляются члены, а также назначаются роли управления. Сочетание всех ролей в группе ролей определяет все, что участники, добавленные в группу ролей, могут управлять в организации Exchange.

  • Назначение роли управления. Назначение роли управления связывает роль управления и группу ролей. Назначение роли управления группе ролей позволяет участникам группы ролей использовать командлеты и параметры, определенные в роли управления. Области управления в назначениях ролей позволяют управлять областями, в которых будет использоваться назначение. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

  • Область роли управления. Область роли управления — это область влияния или влияния на назначение роли. При назначении роли с областью группе ролей область управления определяет, какими объектами может управлять это назначение. Затем назначение и его область предоставляются участникам группы ролей, что ограничивает элементы, которыми могут управлять эти участники. Область могут составлять серверы или базы данных, подразделения или фильтры на объектах сервера, базы данных или получателя. Дополнительные сведения см. в разделе Общие сведения об областях ролей управления.

  • Роль управления. Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые могут выполнять участники группы ролей, для которых назначена роль. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

  • Записи ролей управления. Записи роли управления — это отдельные записи роли управления, которые предоставляют доступ к командлетам, сценариям и другим специальным разрешениям, позволяющим получить доступ для выполнения определенной задачи. В большинстве случаев запись роли включает в себя один командлет или скрипт и параметры, к которым можно получить доступ с помощью роли управления, а также группу ролей, которой назначена роль.

На следующем рисунке изображены все вышеперечисленные уровни группы ролей и взаимосвязи этих уровней.

Уровни групп ролей управления.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Управление группой ролей

При создании группы ролей создается универсальная группа безопасности, включающая в себя участников группы ролей, и назначения между группой ролей и указанными ролями управления. Можно также указать область управления применительно к назначениям роли и добавить почтовые ящики в качестве участников новой группы ролей.

После создания группы ролей каждый ее уровень становится независимым объектом. Группа ролей останется центральной точкой, объединяющей все уровни группы, но каждый уровень будет управляться по отдельности. Например, чтобы изменить область управления, примененную к группе ролей при ее создании, необходимо изменить область каждого отдельного назначения роли после создания группы ролей. Управление моделью группы ролей выполняется с помощью командлетов для управления отдельными уровнями модели группы ролей.

В следующей таблице перечислены уровни группы ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.

Разделы управления группой ролей

Уровень модели группы ролей Раздел управления
Участник группы ролей Управление участниками группы ролей
Группа ролей Управление группами ролей
Роли управления и их назначения Управление группами ролей
Записи ролей управления Добавьте запись роли в роли

Изменение записи роли

Удаление записи роли из роли

Примечание. Изменение записей роли управления в ролях управления в группе ролей является сложной задачей и обычно не требуется в большинстве случаев. Вместо этого можно использовать уже существующую роль управления, которая удовлетворяет вашим требованиям. Дополнительные сведения см. в разделе Встроенные группы ролей.

Встроенные группы ролей

Встроенные группы ролей — это роли, входящие в комплект поставки Exchange 2013. Такие группы содержат набор групп ролей, позволяющих предоставлять группам пользователей различные уровни прав администрирования. Во встроенных группах ролей можно добавлять и удалять пользователей. В большинстве групп ролей можно также добавлять и удалять назначения ролей. Единственными исключениями являются следующие правила.

  • Невозможно удалить любое назначение роли делегирования из группы ролей Управление организацией.

  • Невозможно удалить роль управления ролью из группы ролей Управление организацией.

В следующей таблице перечислены все встроенные группы ролей, включенные в Exchange 2013. Дополнительные сведения о встроенных группах ролей см. в разделе Built-in role groups.

Группа ролей Описание
Управление организацией Администраторы, являющиеся членами группы ролей "Управление организацией", имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любую задачу с любым объектом Exchange 2013, за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью.
Управление организацией только с правом на просмотр Администраторы, являющиеся участниками группы ролей "Управление организацией" только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange.
Управление получателями Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2013 в организации Exchange 2013.
Управление единой системой обмена сообщениями Администраторы, которые являются членами группы ролей Управление единой системой обмена сообщениями, могут управлять функциями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями.
Discovery Management Администраторы или пользователи, являющиеся членами группы ролей "Управление обнаружением", могут выполнять поиск данных в почтовых ящиках в организации Exchange, которые соответствуют определенным критериям, а также могут настроить удержание в судебных разбирательствах для почтовых ящиков.
Управление записями Пользователи, являющиеся членами группы ролей "Управление записями", могут настраивать функции соответствия требованиям, такие как теги политики хранения, классификации сообщений, правила транспорта и многое другое.
Управление сервером Администраторы, которые являются участниками этой группы ролей, могут выполнять настройку серверной конфигурации транспорта, клиентского доступа и функций почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа.
Служба поддержки Пользователи, являющиеся участниками группы ролей службы поддержки, могут выполнять ограниченное число задач управления получателями Exchange 2013.
Управление санацией Пользователи, которые являются участниками группы ролей "Управление санацией", могут настраивать функции защиты от нежелательной почты и вредоносных программ в Exchange 2013. Сторонние программы, интегрированные с Exchange 2013, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange.
Управление соответствием требованиям Пользователи-участники группы ролей управления соответствием могут настраивать и управлять конфигурацией соответствия Exchange в соответствии со своими политиками.
Управление общими папками Администраторы, которые являются членами группы ролей управления общедоступными папками, могут управлять общедоступными папками на серверах Exchange 2013.
Делегированная установка Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange 2013, подготовленные членом группы ролей Управление организацией.

Связанные группы ролей

Связанные группы ролей используются в организациях, в которых серверы Exchange 2013 установлены в выделенном лесу ресурсов, а пользователи размещены в других внешних доверенных лесах. Связанные группы ролей позволяют создавать связь между группой ролей в лесу Exchange и универсальной группой безопасности во внешнем лесу. Это полезно, если учетные записи администраторов доменных служб Active Directory, которым необходимо назначить управление Exchange, не расположены в том же лесу ресурсов, что и Exchange. Связанные группы ролей можно связать только с одной внешней универсальной группой безопасности. Также отсутствует необходимость создавать двустороннее отношение доверия между лесом Exchange и внешним лесом. Лес Exchange должен доверять внешнему лесу, но внешний лес может не доверять лесу Exchange.

Дополнительные сведения о разрешениях в топологиях с несколькими лесами см. в разделе Общие сведения о разрешениях для нескольких лесов.

Связанная группа ролей состоит из двух частей.

  • Связанная группа ролей. Связанная группа ролей — это объект контейнера, который связывает внешний usG с назначениями ролей управления, назначенными группе ролей.
  • Заграничный usg. Иностранное usG содержит участников, которым должны быть предоставлены разрешения, предоставляемые связанной группой ролей.

При создании связанной группы ролей необходимо предоставить контроллер домена во внешнем лесу, содержащем пользователей, которым необходимо назначить управление лесом Exchange, а также универсальную группу безопасности, которая содержит этих пользователей как участников, имя внешней универсальной группы безопасности и учетные данные, необходимые для получения доступа к внешнему лесу. Exchange добавляет идентификатор безопасности внешней универсальной группы безопасности в связанную группу ролей. Так как идентификатор безопасности (SID) является единственным идентификатором внешней универсальной группы безопасности, рекомендуется указывать внешний лес в имени группы ролей при наличии нескольких внешних лесов.

Связанная группа ролей не содержит участников. Управление всеми участниками этой группы ролей выполняется с помощью внешней универсальной группы безопасности. Поэтому невозможно использовать командлеты Update-RoleGroupMember, Add-RoleGroupMember или Remove-RoleGroupMember для добавления или удаления участников группы ролей. При добавлении участников во внешнюю универсальную группу безопасности им назначаются разрешения, предоставленные связанной группой ролей.

Невозможно изменить стандартную группу ролей, содержащую собственных участников, на связанную группу ролей и наоборот. Чтобы заменить стандартную группу ролей на связанную группу ролей, необходимо создать новую связанную группу ролей и выполнить репликацию назначений ролей управления, содержащихся в стандартной группе ролей, в связанную группу ролей. Эта схема замены также применяется к встроенным группам ролей, так как они являются стандартными группами ролей. Чтобы выполнять все задачи управления лесом Exchange из внешнего леса, необходимо создать новые связанные группы ролей и добавить роли управления, существующие во встроенных группах ролей, в новые связанные группы ролей. Дополнительные сведения о том, как это сделать, приведены в разделе Создание группы связанных ролей, которые зеркально встроенные группы ролей.

Делегирование группы ролей

По умолчанию участники группы ролей Управление организацией могут добавлять и удалять участников в группах ролей. Тем не менее, можно разрешить пользователям, которые не являются участниками группы ролей Управление организацией, добавлять и удалять участников групп ролей. В этом случае можно использовать делегирование группы ролей.

Управление делегированием группы ролей выполняется с помощью свойства ManagedBy для каждой группы ролей. Свойство ManagedBy содержит список пользователей, которые могут добавлять и удалять участников определенной группы ролей или изменять конфигурацию группы ролей. Пользователям можно назначать разрешения, предоставляемые группой ролей, только если эти пользователи являются участниками группы ролей.

Если для группы ролей установлено свойство ManagedBy, только те пользователи, которые указаны в этом свойстве как руководители группы ролей, могут изменять группу ролей или членство в группе ролей по умолчанию. Тем не менее, дополнительный параметр командлетов, используемых для изменения групп ролей или членства в группе ролей, позволяет переопределить это ограничение. Параметр BypassSecurityGroupManagerCheck может использоваться пользователями, которые являются членами роли "Управление организацией" или которым прямо или косвенно назначается роль управления "Управление ролями". При использовании этого параметра свойство ManagedBy пропускается и пользователь может изменять группу ролей или членство в группе ролей.

Если для группы ролей свойство ManagedBy не установлено, изменять группу ролей или членство в группе ролей могут только те пользователи, которые являются участниками роли Управление организацией или для которых прямо или косвенно назначена роль управления ролями.

Примечание.

Роли группы ролей можно назначить с помощью назначений ролей делегирования. С помощью назначений ролей делегирования участники группы ролей, для которой назначена роль делегирования, могут назначать эту роль другой группе ролей, политике назначения, пользователю или универсальной группе безопасности. Участники группы ролей могут назначать только роль делегирования и только после того, как будут добавлены в свойство ManagedBy. Дополнительные сведения о делегированных назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Дополнительные сведения об управлении делегированием группы ролей см. в разделе Управление группами ролей.

Членство в группе ролей

Когда пользователь становится участником группы ролей, роли управления, назначенные этой группе ролей, назначаются этому пользователю. Если пользователь является участником нескольких групп ролей, роли управления каждой группы ролей объединяются и назначаются этому пользователю. Участниками групп ролей могут быть пользователи, универсальные группы безопасности и другие группы ролей.

Только те пользователи, которые являются участниками групп ролей Управление организацией или управления ролями, а также те, которым делегировано разрешение добавлять или удалять пользователей в группах ролей, могут управлять членством в группе ролей.

Дополнительные сведения об управлении членством в группах ролей см. в разделе Управление участниками группы ролей.

Рабочий процесс создания группы ролей

Как упоминалось ранее, группа ролей включает в себя несколько уровней. Чтобы понять, что происходит при создании группы ролей, см. следующий пример создания новой группы ролей.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

При выполнении предыдущей команды происходит следующее.

  1. В подразделении групп безопасности Microsoft Exchange в корневом домене леса создается новый объект группы ролей, представляющий собой специальное подразделение USG с именем Seattle Recipient Management.

  2. В качестве участников группы ролей добавляются почтовые ящики Ивана, Владимира, Марии, Григория, Елены, Светланы, Ирины, Бориса, Дарьи, Виталия и Валентины. Эти пользователи получают разрешения, предоставляемые этой группой ролей.

  3. Пользователи Виктор и Владимир добавляются в свойство ManagedBy группы ролей. Эти пользователи могут добавлять и удалять участников в группе ролей, но им не будут назначены разрешения, предоставляемые группой ролей, так как они не являются участниками этой группы. Валентина также добавлена в свойство ManagedBy группы ролей. Поскольку она добавлена в свойство ManagedBy и является участником группы ролей, она может добавлять и удалять участников в группе ролей и получает разрешения, предоставляемые группой ролей.

  4. Создаются следующие назначения ролей управления. Назначения ролей позволяют назначать группе ролей каждую роль управления, указанную в команде. Область управления "Пользователи в Сиэтле" добавлена для каждого назначения роли. Имя каждого назначения роли — это сочетание назначаемой роли управления и имени группы ролей.

    • Mail Recipients_Seattle Recipient Management
    • Distribution Groups_Seattle Recipient Management
    • Move Mailboxes_Seattle Recipient Management
    • UM Mailboxes_Seattle Recipient Management

При сравнении результатов этой команды с рисунком уровней группы ролей управления, приведенным выше в этом разделе, можно увидеть, в каких пунктах каждый шаг соответствует уровням группы ролей. Также см. сведения об управлении каждым уровнем группы ролей в разделах управления группой ролей управления, включенных в приведенный выше раздел "Управление группами ролей".