MailboxSearchApplication 角色
适用于:Exchange Server 2013
管理 MailboxSearchApplication
角色使合作伙伴应用程序能够搜索邮箱。
此管理角色是 Microsoft Exchange Server 2013 中基于角色的访问控制 (RBAC) 权限模型中的多个内置角色之一。 管理角色分配到一个或多个管理角色组、管理角色分配策略、用户或通用安全组 (USG),充当 cmdlet 或脚本的逻辑分组,这些 cmdlet 或脚本的组合可用于查看或修改 Exchange 2013 组件的配置,如邮箱数据库、传输规则和收件人。 如果 cmdlet 或脚本及其参数(统称为管理角色条目)包含在某个角色上,则该 cmdlet 或脚本及其参数可由该角色的分配人运行。 有关管理角色和管理角色条目的详细信息,请参阅了解管理角色。
有关管理角色、管理角色组和其他 RBAC 组件的详细信息,请参阅了解基于角色的访问控制。
管理角色分配
为了给此角色授予权限,必须将其分配给角色受理人,这里的角色受理人可以是角色组、用户或通用安全组 (USG)。 此分配通过使用管理角色分配完成。 角色分配将角色受理人和角色链接在一起。 如果一个角色受理人分配了多个角色,则该角色受理人将获得所有已分配角色所授予的所有权限组合。
除了将角色受理人链接到角色之外,角色分配还可以应用自定义或内置管理作用域。 管理作用域控制可以由角色受理人修改的收件人、服务器和数据库对象。 如果该角色分配到某个角色受理人,但管理作用域仅允许该角色受理人基于已定义的作用域管理特定对象,则该角色受理人仅可以对这些特定对象使用该角色所授予的权限。 该角色所提供的权限无法应用于角色分配所定义的作用域以外的对象。 有关角色分配和作用域的详细信息,请参阅下列主题:
默认情况下,此角色分配给一个或多个角色组。 有关详细信息,请参阅本主题后面的"默认管理角色分配"一节。
默认情况下,此角色分配给一个或多个角色组。有关详细信息,请参阅本主题后面的“默认管理角色分配”一节。
Get-ManagementRoleAssignment -Role "<role name>"
Regular and delegating role assignments
可以使用常规角色分配或委派角色分配,将此角色分配给角色受理人。 常规角色分配会将此角色提供的权限授予角色受理人。 委派角色分配会授予角色受理人,将此角色分配给其他角色受理人的权限。 有关常规角色分配和委派角色分配的详细信息,请参阅了解管理角色分配。
添加或删除角色分配
可以更改获得此角色的角色受理人。 通过更改获得此角色的角色受理人,可以更改获得该角色权限的受理人。 可将此角色分配到其他内置角色组,也可以创建角色组并向他们分配此角色。 还可以向用户或 USG 分配此角色。 但是,建议您限制对用户和 USG 的角色分配,因为这些分配可能大大增加权限模型的复杂性。
要将此角色分配给角色受理人,则必须使用委派角色分配将此角色分配到您所在的角色组、直接分配给您或分配到您所在的 USG。 有关委派角色分配的详细信息,请参阅"常规和委派角色分配"一节。
另外,还可以从内置角色组、创建的角色组、用户和 USG 中删除此角色。 但是,在该角色与角色组或 USG 之间必须始终至少有一个委派角色分配。 不能删除最后一个委派角色分配。 此限制有助于避免您将自己锁定在系统之外。
重要
在该角色与角色组或 USG 之间必须至少有一个委派角色分配。 如果最后一个分配面向用户,则不能删除与此角色相关联的最后一个委派角色分配。
有关如何在此角色与角色组、用户和 USG 之间添加或删除分配的详细信息,请参阅下列主题:
更改角色分配的管理作用域
也可以更改此角色和角色受理人之间的现有角色分配上的管理作用域。 通过更改角色分配上的作用域,可以控制能够使用该角色所提供的权限进行管理的对象。 有多种方法可以更改角色分配上的作用域。 可以执行下列操作之一:
使用 Set-ManagementRoleAssignment cmdlet 添加新的自定义作用域。 有关详细信息,请参阅下列主题:
使用 Set-ManagementRoleAssignment cmdlet 添加或更改组织单位作用域。 有关详细信息,请参阅 更改角色分配。
使用 Set-ManagementRoleAssignment cmdlet 添加或更改预定义作用域。 有关详细信息,请参阅 更改角色分配。
使用 Set-ManagementScope cmdlet 可以更改与角色分配相关的自定义作用域上的收件人、服务器或数据库作用域。 有关详细信息,请参阅 更改角色范围。
启用或禁用角色分配
通过启用或禁用角色分配,您可以控制角色分配是否生效。 如果您禁用角色分配,则相关角色所授予的权限不会应用于角色受理人。 这在需要暂时删除权限而不删除角色分配时会很方便。 有关详细信息,请参阅更改角色分配。