组织管理

 

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2015-03-09

组织管理 管理角色组是组成 Microsoft Exchange Server 2010 中的基于角色的访问控制 (RBAC) 权限模型的多个内置角色组之一。角色组将分配给一个或多个管理角色，这些管理角色包含执行一组给定任务所需的权限。将为角色组的成员授予访问分配给角色组的管理角色的权限。有关角色组的详细信息，请参阅了解管理角色组。

组织管理 角色组成员的管理员具有对整个 Microsoft Exchange Server 2010 组织的管理访问权限，并且几乎可以对任意 Exchange 2010 对象执行任何任务（某些情况除外）。默认情况下，此角色组的成员无法执行邮箱搜索以及对无作用域的顶级管理角色的管理。有关详细信息，请参阅本主题后面的“仅委派角色分配”部分。

重要说明：
组织管理 角色组本身是非常强大的角色，只有执行组织级别管理任务（可能影响整个 Exchange 组织）的用户或通用安全组 (USG) 才可以是此角色组的成员。

该角色组等同于 Exchange Server 2007 中的 Exchange 组织管理员角色。

有关 RBAC 的详细信息，请参阅了解基于角色的访问控制。

角色组成员身份

默认情况下，将用于在组织中安装 Exchange 2010 的帐户添加为 组织管理 角色组的成员。然后，此帐户可以根据需要将其他成员添加到角色组。

如果要向此角色组中添加或从中删除成员，请参阅下列主题：

• 向角色组添加成员

• 从角色组删除成员

默认情况下，只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。有关如何添加其他角色组委派的详细信息，请参阅添加或删除角色组委派。

可以使用以下命令查看作为此角色组成员的用户或 USG 的列表。

Get-RoleGroupMember "Organization Management"

有关角色组的成员的详细信息，请参阅查看角色组的成员。

角色组自定义

此角色组默认分配管理角色。“分配给此角色组的管理角色”一节列出了所包括的角色。您可以向此该角色组中添加或从中删除角色分配，以满足您组织的需要。

Exchange 2010 附带的角色组旨在匹配更精细的任务。通过将角色分配到角色组，就可以使该角色组的成员能够执行与该角色相关联的任务。例如，Journaling 角色可以管理日记代理和日记规则。有关如何将角色分配到角色组的详细信息，请参阅了解管理角色分配。

分配给此角色组的角色拥有默认管理作用域。管理作用域确定可以由角色组成员查看或修改的 Exchange 对象。可以更改与角色和角色组之间的分配相关联的作用域。例如，如果仅希望角色组的成员能够更改特定组织单位下或特定位置中的收件人，则可能要执行此操作。有关管理作用域的详细信息，请参阅了解管理角色作用域。

有关如何自定义该角色组的详细信息，请参阅下列主题：

• 向角色组添加角色

• 从角色组中删除角色

• 向角色组添加成员

• 从角色组删除成员

• 更改角色组中角色分配的作用域

如果要创建角色组并将部分已分配到该角色组的角色分配到新的角色组，请参阅“创建角色组”。

以下是自定义此角色时可能需要的一些方法：

• **权限所有者：**如果组织中的权限由除 Exchange 管理员之外的特定组控制，则可以创建角色组，并将“角色管理”角色的常规角色分配和委派角色分配移到新角色组。这样做将阻止 组织管理 角色组的成员管理任何 RBAC 权限。

• **Active Directory 拆分权限：**如果组织中的安全主体（如用户帐户）的创建，由除 Exchange 管理员之外的特定组控制，则可以创建角色组，并将“邮件收件人创建”角色以及“安全组创建和成员身份”角色的常规和委派角色分配移到新角色组。这样做会阻止 组织管理 角色组的成员创建 Active Directory 对象。但是，这些成员可以继续使新的 Active Directory 对象具有邮件功能。有关拆分权限的详细信息，请参阅了解拆分权限。

自定义限制

可在此角色组中添加或删除的任何角色，都具有以下限制：

• 每个角色都必须拥有至少一个某角色组或 USG 的委派角色分配，才可以从该角色组中删除委派角色分配。

• “角色管理”角色必须拥有至少一个某角色组或 USG 的常规角色分配，才可以从该角色组中删除常规角色分配。

这些限制旨在帮助防止无意中锁定系统。通过要求每个角色和一个或多个角色组或 USG 之间至少存在一个委派角色分配，将始终可以对角色受理人分配角色。通过要求“角色管理”角色和一个或多个角色组或 USG 之间至少存在一个常规角色分配，将始终可以配置角色组和角色分配。

重要说明：
这些限制要求角色组或 USG 作为委派和常规角色分配的目标。如果最后一个分配是对用户进行的，则无法删除“角色管理”角色的委派角色分配或常规分配。

仅委派角色分配

组织管理 角色组和管理角色之间的某些角色分配（如邮箱搜索和无作用域的角色管理）仅委派角色分配。这些角色允许访问敏感信息或个人信息（如邮箱内容），或允许创建强大的无作用域的管理角色。

仅委派角色分配使 组织管理 角色组的成员仅能将相关角色分配到其他角色组、管理角色分配策略、用户或 USG。默认情况下，不会给予 组织管理 角色组的成员任何由角色提供的权限。这样有助于避免意外泄漏个人信息或意外的权限提升。

但是，组织管理 角色组的成员可以给其自身分配任何角色，使其能够有效执行任何任务。例如，组织管理 角色组的成员可以将“邮箱搜索”角色分配到 组织管理 角色组。进行了此角色分配之后，组织管理 角色组的成员可以执行由“邮箱搜索”角色启用的任务。

有关委派角色分配的详细信息，请参阅了解管理角色分配。

其他权限

授予 组织管理 角色组成员的权限主要由分配到此角色组的管理角色确定。但是，管理角色并未涵盖您需要执行的所有任务。由于某些任务发生在 Exchange 管理工具之外，因此 RBAC 权限模型不适用。对于这些任务，可通过将 组织管理 角色组添加到某些 Active Directory 对象的访问控制列表 (ACL) 来为其提供权限。

通过 Active Directory 对象上的 ACL（而不是通过分配到 组织管理 角色组的管理角色），对以下任务授予权限：

• 使用 Setup.exe 运行 DomainPrep 和 ForestPrep

• 在组织中部署其他服务器

• 使用委派的安装程序设置服务器

• 创建、管理和删除顶级公用文件夹

• 管理顶级公用文件夹的权限

若要查看通过 ACL 向 组织管理 角色组授予的所有权限，请参阅 Exchange 2010 部署权限参考。

分配给此角色组的管理角色

下表列出了分配给此角色组的所有管理角色，以及每个角色分配的下列属性：

• **常规分配：**使角色组成员能够访问由关联管理角色提供的管理角色条目。

• **委派分配：**使角色组成员能够将指定角色分配给其他角色组、角色分配策略、用户或 USG。

• **收件人读取作用域：**确定角色组成员允许从 Active Directory 读取的收件人对象。

• **收件人写入作用域：**确定角色组成员允许在 Active Directory 中修改的收件人对象。

• **配置读取作用域：**确定角色组成员允许从 Active Directory 读取的配置和服务器对象。

• **配置写入作用域：**确定角色组成员允许在 Active Directory 中修改的组织对象和服务器对象。

有关角色分配和管理作用域的详细信息，请参阅下列主题：

• 了解管理角色分配

• 了解管理角色作用域

分配给此角色组的管理角色

管理角色	常规分配	委派分配	收件人读取作用域	收件人写入作用域	配置读取作用域	配置写入作用域
Active Directory 权限角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
地址列表角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
ApplicationImpersonation 角色		X	Organization	Organization	None	None
审核日志角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Cmdlet 扩展代理角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
数据库可用性组角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
数据库副本角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
数据库角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
灾难恢复角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
通讯组角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
边缘订阅角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
电子邮件地址策略角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Exchange 连接器角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Exchange Server 证书角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Exchange 服务器角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
Exchange 虚拟目录角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
联合共享角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
信息权限管理角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
日记角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
合法保留角色	X	X	Organization	Organization	OrganizationConfig	None
启用了邮件功能的公用文件夹角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
邮件收件人创建角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
邮件收件人角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
邮件提示角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
邮箱导入导出用户		X	Organization	Organization	OrganizationConfig	OrganizationConfig
邮箱搜索角色		X	Organization	Organization	None	None
邮件跟踪角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
迁移角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
监视角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
移动邮箱角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
组织客户端访问角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
组织配置角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
组织传输设置角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
POP3 和 IMAP4 协议角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
公用文件夹复制角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
公用文件夹角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
接收连接器角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
收件人策略角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
远程域和接受域角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
保留管理角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
角色管理角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
安全组创建和成员身份角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
发送连接器角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
支持诊断角色		X	Organization	Organization	OrganizationConfig	OrganizationConfig
传输代理角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
传输清洁角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
传输队列角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
传输规则角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
UM 邮箱角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
UM 提示语角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
无作用域的角色管理角色		X	Organization	Organization	OrganizationConfig	OrganizationConfig
统一消息角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
用户选项角色	X	X	Organization	Organization	OrganizationConfig	OrganizationConfig
仅查看审核日志角色	X	X	Organization	None	OrganizationConfig	None
仅查看配置角色	X	X	Organization	None	OrganizationConfig	None
仅查看收件人角色	X	X	Organization	None	OrganizationConfig	None
MyBaseOptions 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyContactInformation 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyDiagnostics 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyDistributionGroupMembership 角色		X	MyGAL	MyGAL	None	None
MyDistributionGroups 角色		X	MyGAL	MyDistributionGroups	OrganizationConfig	None
MyProfileInformation 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyRetentionPolicies 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyTextMessaging 角色		X	Self	Self	OrganizationConfig	OrganizationConfig
MyVoiceMail 角色		X	Self	Self	OrganizationConfig	OrganizationConfig

 © 2010 Microsoft Corporation。保留所有权利。