了解管理角色群組
適用於:Exchange Server 2013
管理角色群組是通用安全性群組, (2013 年 Microsoft Exchange Server RBAC 存取控制 () 許可權模型中所使用的 USG) 。 管理角色群組可簡化管理角色指派給使用者群組的作業。 角色群組的所有成員都會被指派同一組角色。 角色群組是指派的系統管理員和專家角色,可定義 Exchange 2013 中的主要系統管理工作,例如組織管理、收件者管理和其他工作。 角色群組可讓您更輕鬆地將一組更廣泛的許可權指派給系統管理員或專家使用者群組。
注意事項
本主題著重于進階 RBAC 功能。 如果您想要管理基本的 Exchange 2013 許可權,例如使用 Exchange 系統管理中心 (EAC) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱 許可權。
如果您要將權限指派給使用者,讓他們管理其自己的信箱或通訊群組,請參閱了解管理角色指派原則。
角色群組層
以下是構成角色群組模型的各個層:
角色群組成員: 角色群組成員 是信箱、通用安全性群組 (USG) ,或其他可以新增為角色群組成員的角色群組。 當信箱、USG 或其他角色群組新增為角色群組的成員時,已在管理角色與角色群組之間進行的指派會套用至新成員。 這會授與新成員管理角色所提供的擁有權限。
管理角色群組: 管理角色群組 是特殊的 USG,其中包含信箱、USG,以及屬於角色群組成員的其他角色群組。 這是您新增和移除成員的位置,這也是指派管理角色的位置。 角色群組上所有角色的組合會定義新增至角色群組的成員可以在 Exchange 組織中管理的所有專案。
管理角色指派: 管理角色指派 會連結管理角色和角色群組。 將管理角色指派給角色群組,會授與角色群組成員使用管理角色中定義之 Cmdlet 和參數的能力。 角色指派可以使用管理範圍來控制可使用指派的位置。 如需詳細資訊,請 參閱瞭解管理角色指派。
管理角色範圍: 管理角色範圍 是影響角色指派或影響的範圍。 將具有範圍的角色指派給角色群組時,管理範圍會特別以允許指派管理的物件為目標。 接著,指派及其範圍會提供給角色群組的成員,這會限制這些成員可以管理的專案。 範圍可以由伺服器或資料庫、組織單位或伺服器、資料庫或收件者物件上的篩選器清單所組成。 如需相關資訊,請參閱了解管理角色範圍。
管理角色: 管理角色 是管理角色專案群組的容器。 角色可用來定義指派角色之角色群組成員可執行檔特定工作。 如需詳細資訊,請 參閱瞭解管理角色。
管理角色專案: 管理角色專案 是管理角色上的個別專案,可提供 Cmdlet、腳本和其他特殊許可權的存取權,讓存取權能夠執行特定工作。 角色專案通常是由單一 Cmdlet 或腳本以及管理角色可以存取的參數所組成,因此也是指派角色的角色群組。
下圖顯示上述清單中的每個角色群組層,以及每個層如何與其他層相關。
.gif "管理角色群組層")
如需有關 RBAC 的相關資訊,請參閱了解角色型存取控制。
角色群組管理
當您建立角色群組時,您會建立保留角色群組成員的 USG,然後在角色群組與您指定的管理角色之間建立指派。 您也可以選擇性地指定要套用至角色指派的管理範圍,也可以新增您想要成為新角色群組成員的任何信箱。
建立角色群組之後,每一層都會成為獨立的物件。 角色群組會繼續是將所有層聯結在一起的中心點,不過,每一層都會個別管理。 例如,若要修改您在建立角色群組時套用至角色群組的管理範圍,您必須在建立角色群組之後變更每個個別角色指派的範圍。 角色群組模型的管理是使用管理角色群組模型個別層級的 Cmdlet 來執行。
下表列出角色群組層以及您可用於管理每一層的程序主題。
角色群組管理主題
| 角色群組模型層 | 管理主題 |
|---|---|
| 角色群組成員 | 管理角色群組成員 |
| 角色群組 | 管理角色群組 |
| 管理角色及指派 | 管理角色群組 |
| 管理角色項目 |
將角色項目新增至角色 變更的角色項目 從角色移除角色項目 注意:變更角色群組中管理角色中的管理角色專案是一項進階工作,在大部分情況下通常不需要。 相反地,您可以使用符合您需求的既有管理角色。 如需詳細資訊,請參閱 內建角色群組。 |
內建角色群組
內建角色群組是隨附于 Exchange 2013 的角色。 它們為您提供一組角色群組,可用來為使用者群組提供不同層級的系統管理許可權。 您可以在任何內建角色群組中新增或移除使用者。 您也可以在大部分的角色群組中新增或移除角色指派。 唯一的例外狀況如下:
您無法從 組織管理 角色群組移除任何委派角色指派。
您無法從 組織管理 角色群組移除角色管理角色。
下表列出 Exchange 2013 隨附的所有內建角色群組。 如需內建角色群組的詳細資訊,請參閱 內建角色群組。
| 角色群組 | 描述 |
|---|---|
| 組織管理 | 屬於組織管理角色群組成員的系統管理員具有整個 Exchange 2013 組織的系統管理存取權,而且幾乎可以針對任何 Exchange 2013 物件執行任何工作,但有些例外。 根據預設,此角色群組成員無法執行信箱搜尋和未限定範圍的頂層管理角色的管理。 |
| 僅限檢視組織管理 | 屬於「僅檢視組織管理」角色群組成員的系統管理員可以檢視 Exchange 組織中任何物件的屬性。 |
| 收件者管理 | 身為收件者管理角色群組成員的系統管理員,具有在 Exchange 2013 組織內建立或修改 Exchange 2013 收件者的系統管理存取權。 |
| UM 管理 | 屬於 UM 管理 角色群組成員的系統管理員可以管理 Exchange 組織中的功能,例如整合通訊 (UM) 服務組態、信箱上的 UM 內容、UM 提示及 UM 自動語音應答組態。 |
| 探索管理 | 身為探索管理角色群組成員的系統管理員或使用者,可以針對 Exchange 組織中符合特定準則的資料執行信箱搜尋,也可以在信箱上設定訴訟保留。 |
| 記錄管理 | 身為記錄管理角色群組成員的使用者可以設定合規性功能,例如保留原則標籤、訊息分類、傳輸規則等等。 |
| 伺服器管理 | 屬於此角色群組之成員的系統管理員可以設定伺服器特定的傳輸組態、用戶端存取以及信箱功能,例如資料庫複本、憑證、傳輸佇列及傳送連接器、虛擬目錄以及用戶端存取通訊協定。 |
| 服務台 | 屬於服務台角色群組成員的使用者可以執行 Exchange 2013 收件者之受限的收件者管理。 |
| 檢疫管理 | 身為「隔離管理」角色群組成員的使用者可以設定 Exchange 2013 的反垃圾郵件和反惡意程式碼功能。 與 Exchange 2013 整合的協力廠商程式可以將服務帳戶新增至此角色群組,以授與這些程式存取擷取和設定 Exchange 設定所需的 Cmdlet。 |
| 規範管理 | 身為相符性管理角色群組成員的使用者可以根據其原則,設定及管理 Exchange 相符性組態。 |
| 公用資料夾管理 | 屬於「公用資料夾管理」角色群組成員的系統管理員可以在執行 Exchange 2013 的伺服器上管理公用資料夾。 |
| 委派安裝 | 身為「委派安裝」角色群組成員的系統管理員,可部署先前已由 Exchange 2013 角色群組的成員提供的 組織管理 伺服器。 |
連結的角色群組
連結的角色群組用於在專用資源樹系中安裝 Exchange 2013,並將使用者放在其他受信任外部樹系的組織中。 如名稱所示,連結的角色群組會在 Exchange 樹系中的角色群組與外部樹系中的 USG 之間建立連結。 當 Active Directory 網域服務 (AD DS) 您想要管理 Exchange 的系統管理員使用者帳戶不位於與 Exchange 相同的資源樹系時,這會很有用。 連結的角色群組只能與一個外部 USG 相關聯。 此外,您不需要在 Exchange 樹系與外部樹系之間建立雙向信任。 Exchange 樹系需要信任外部樹系,但外部樹系不需要信任 Exchange 樹系。
如需多重樹系拓撲中權限的詳細資訊,請參閱了解多重樹系權限。
連結的角色群組是由兩個部分所組成:
- 連結的角色群組:連結的角色群組是一個容器物件,可將外部 USG 與指派給角色群組的管理角色指派產生關聯。
- 外部 USG:外部 USG 包含應授與連結角色群組所提供許可權的成員。
當您建立連結的角色群組時,您會在外部樹系中提供網域控制站,其中包含您想要管理 Exchange 樹系的使用者,以及包含這些使用者作為成員的 USG、外部 USG 名稱,以及存取外部樹系所需的認證。 Exchange 會將外部 USG (SID) 的安全識別碼新增至連結的角色群組。 由於 USG SID 是外部 USG 的唯一識別,因此如果您有多個外部樹系,強烈建議您在角色群組的名稱中指定外部樹系。
連結的角色群組不包含任何成員。 該角色群組的所有成員都是使用外部 USG 來管理。 這表示您無法使用 Update-RoleGroupMember、 Add-RoleGroupMember或 Remove-RoleGroupMember Cmdlet 來新增或移除角色群組成員。 當您將成員新增至外部 USG 時,系統會將連結角色群組所提供的許可權授與這些成員。
您無法將包含其本身成員的標準角色群組變更為連結的角色群組,反之亦然。 如果您想要將角色群組從標準角色群組變更為連結角色群組,您必須建立新的連結角色群組,並複寫連結角色群組上標準角色群組上存在的管理角色指派。 內建角色群組也是這種情況,因為它們是標準角色群組。 如果您想要從外部樹系執行 Exchange 樹系的所有管理,您需要建立新的連結角色群組,並將內建角色群組上存在的管理角色新增至新的連結角色群組。 如需如何完成此作業的詳細資訊,請 參閱建立可鏡像內建角色群組的連結角色群組。
角色群組委派
根據預設,組織管理角色群組的成員可以在角色群組中新增和移除成員。 不過,您可能想要讓非組織管理角色群組成員的使用者新增和移除角色群組成員。 如果是,您可以使用角色群組委派。
角色群組委派是由每個角色群組上的 ManagedBy 屬性所控制。 ManagedBy屬性包含使用者清單,這些使用者可以在該角色群組中新增和移除成員,或變更角色群組的組態。 除非使用者也是角色群組的成員,否則不會被指派角色群組所授與的任何許可權。
如果 ManagedBy 屬性是在角色群組上設定,則根據預設,只有列為該屬性角色群組管理員的使用者可以修改角色群組或角色群組的成員資格。 不過,在修改角色群組或角色群組成員資格的 Cmdlet 上選擇性參數可以覆寫該限制。 BypassSecurityGroupManagerCheck參數可供屬於組織管理角色成員或直接或間接指派角色管理角色的使用者使用。 使用此參數時,會忽略 ManagedBy 屬性,而且使用者可以修改角色群組或角色群組成員資格。
若未在角色群組上設定 ManagedBy 內容,則只有屬於 組織管理 角色成員或是直接或間接被指派角色管理管理角色的使用者,才能修改角色群組或角色群組成員資格。
注意事項
指派給角色群組的角色可以使用委派角色指派來指派。 透過委派角色指派,指派委派角色的角色群組成員可以將該角色指派給另一個角色群組、指派原則、使用者或 USG。 角色群組的成員只能指派該角色,而且無法委派角色群組,除非這些角色群組也已新增至 ManagedBy 屬性。 如需委派角色指派的詳細資訊,請參閱 瞭解管理角色指派。
如需如何管理角色群組委派的詳細資訊,請參閱管理角色群組。
角色群組成員資格
當使用者成為角色群組的成員時,指派給角色群組的管理角色會指派給使用者。 如果使用者是多個角色群組的成員,則會匯總每個角色群組中的管理角色並指派給使用者。 使用者、USG 和其他角色群組可以是角色群組的成員。
只有屬於 組織管理 或角色管理角色群組之成員的使用者,以及已被委派在角色群組中新增及移除使用者之能力的使用者,才能管理角色群組成員資格。
如需如何管理角色群組成員的詳細資訊,請參閱管理角色群組成員。
角色群組建立工作流程
如先前所述,角色群組是由數個層組成。 若要協助您瞭解建立角色群組時會發生什麼情況,請考慮下列範例,這會建立新的角色群組。
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"
執行上述命令時會發生下列情況:
在樹系根域的 Microsoft Exchange 安全性群組 OU 下建立名為「西雅圖收件者管理」的特殊 USG 的新角色群組物件。
Ray、Jenn、Maria、Chris、Maija、者的 Mailboxs、使用者、布建、布建、Sam、Lukas、Isabel 和這個信箱都會新增為角色群組的成員。 這些使用者會收到此角色群組所提供的許可權。
使用者 Brian 和 David 會新增至角色群組的 ManagedBy 屬性。 這些使用者可以在角色群組中新增和移除成員,但不會獲得角色群組所提供的任何許可權,因為他們不是成員。 此角色群組的 ManagedBy 屬性也會新增到該函式。 由於她已新增至 ManagedBy 屬性,且是角色群組的成員,因此她可在角色群組中新增或移除成員,而且她也會收到角色群組所提供的許可權。
系統會建立下列管理角色指派。 角色指派會將命令中指定的每個管理角色指派給角色群組。 管理範圍 Seattle 使用者會新增至每個角色指派。 每個角色指派的名稱是所指派管理角色和角色組名的組合。
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
如果您將此命令的結果與本主題稍早的管理角色群組層級進行比較,您可以查看每個步驟與角色群組層級相互關聯的位置。 然後,您可以參考本主題稍早「角色群組管理」中所示的管理角色群組管理主題,以管理每個角色群組層。