瞭解應用角色的存取控制
適用於:Exchange Server 2013
角色型存取控制 ( RBAC) 是 2013 Microsoft Exchange Server中使用的許可權模型。 使用 RBAC 時,您不需要修改和管理存取控制清單 (ACL) ,這是在 2007 Exchange Server完成。 ACL 在 Exchange 2007 中建立了數個挑戰,例如修改 ACL 而不造成非預期的結果、透過升級維護 ACL 修改,以及以非標準方式使用 ACL 所發生的問題進行疑難排解。
RBAC 可讓您在廣泛且細微的層級上控制系統管理員和使用者可以執行的動作。 RBAC 也可讓您更緊密地將指派給使用者和系統管理員的角色,與他們在組織內擔任的實際角色保持一致。 在 Exchange 2007 中,伺服器許可權模型只套用至管理 Exchange 2007 基礎結構的系統管理員。 在 Exchange 2013 中,RBAC 現在可控制可執行檔系統管理工作,以及使用者現在可以管理自己的信箱和通訊群組的範圍。
RBAC 有兩種主要的方式,將權限指派給您組織中的使用者,視使用者是系統管理員或專家使用者,還是一般使用者而定:管理角色群組及管理角色指派原則。 每種方法會將使用者與他們執行工作所需的權限相關聯。 您也可以使用第三個更進階的方法,即直接使用者角色指派。 本主題中的下列各節說明 RBAC,並提供其使用範例。
注意事項
本主題著重于進階 RBAC 功能。 如果您想要管理基本的 Exchange 2013 許可權,例如使用 Exchange 系統管理中心 (EAC) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱 許可權。
管理角色群組
「管理角色群組」將管理角色與系統管理員群組或專家使用者產生關聯。 系統管理員管理更廣泛的 Exchange 組織或收件者設定。 專家使用者管理 Exchange 的特定功能,例如合規性。 或者,其管理能力可能有限,例如技術支援中心成員,但未獲得廣泛的系統管理許可權。 角色群組通常與啟用系統管理員和專家使用者的系統管理角色產生關聯,以便管理其組織和收件者的組態。 例如,系統管理員是否可以管理收件者或使用信箱探索功能,都是使用角色群組來控制。
新增或移除角色群組使用者,是您最常對系統管理員或專家使用者指派權限的方式。 如需詳細資訊,請 參閱瞭解管理角色群組。
角色群組由下列元件組成,其定義系統管理員和專家使用者可執行的工作:
管理角色群組: 管理角色群組 是特殊的萬用安全性群組 (USG) ,其中包含信箱、使用者、USG,以及屬於角色群組成員的其他角色群組。 這是您新增和移除成員的位置,這也是指派管理角色的位置。 角色群組上所有角色的組合會定義新增至角色群組的使用者可以在 Exchange 組織中管理的一切。
管理角色: 管理角色 是管理角色專案群組的容器。 角色可用來定義指派角色之角色群組成員可執行檔特定工作。 管理角色專案是 Cmdlet、腳本或特殊許可權,可讓角色中的每個特定工作執行。 如需詳細資訊,請 參閱瞭解管理角色。
管理角色指派: 管理角色指派 會連結角色和角色群組。 將角色指派到角色群組,會授與角色群組成員使用角色中所定義之 Cmdlet 和參數的能力。 角色指派可以使用管理範圍來控制可使用指派的位置。 如需詳細資訊,請 參閱瞭解管理角色指派。
管理角色範圍: 管理角色範圍 是影響角色指派或影響的範圍。 將具有範圍的角色指派給角色群組時,管理範圍會特別以允許指派管理的物件為目標。 接著,指派及其範圍會提供給角色群組的成員,並限制這些成員可以管理的內容。 範圍可以包含伺服器或資料庫清單、組織單位 (OU) ,或伺服器、資料庫或收件者物件上的篩選。 如需相關資訊,請參閱了解管理角色範圍。
當您將使用者新增至角色群組時,會將指派給角色群組的所有角色提供給使用者。 如果範圍套用到角色群組和角色之間的任何角色指派,這些範圍會控制使用者可管理的伺服器設定或收件者。
如果您要變更指派給角色群組的角色,必須變更連結角色群組至角色的角色指派。 除非 Exchange 2013 內建的指派不符合您的需求,否則您不需要變更這些指派。 如需詳細資訊,請 參閱瞭解管理角色指派。
如需角色群組的詳細資訊,請參閱了解管理角色群組。
管理角色指派原則
管理角色指派原則會建立一般使用者管理角色和使用者的關聯。 角色指派原則是由控制使用者可以使用信箱或通訊群組執行之動作的角色所組成。 這些角色不能管理與使用者沒有直接關聯的功能。 當您建立角色指派原則,您便定義使用者可以使用其信箱執行的每一件工作。 例如,角色指派原則可能會允許使用者設定顯示名稱、設定語音信箱,以及設定收件匣規則。 其他角色指派原則,可讓使用者變更地址、使用文字郵件和設定通訊群組。 每個具有 Exchange 2013 信箱的使用者,包括系統管理員,預設都會獲得角色指派原則。 您可以決定預設應指派的角色指派原則、選擇預設角色指派原則應包含的內容、覆寫特定信箱的預設值,或完全不預設指派角色指派原則。
將使用者指派給指派原則是您最常管理許可權,讓使用者管理自己的信箱和通訊群組選項。 如需詳細資訊,請 參閱瞭解管理角色指派原則。
角色指派原則包含下列元件,可定義使用者可以使用自己的信箱執行哪些動作。 請注意,某些相同的元件也適用于角色群組。 搭配角色指派原則使用時,這些元件僅限於讓使用者只管理自己的信箱:
管理角色指派原則: 管理角色指派原則 是 Exchange 2013 中的特殊物件。 使用者會在建立信箱時或您變更信箱上的角色指派原則時,與角色指派原則相關聯。 這也是您指派使用者管理角色的用途。 角色指派原則上所有角色的組合會定義使用者可在信箱或通訊群組上管理的所有專案。
管理角色: 管理角色 是管理角色專案群組的容器。 角色可用來定義使用者可以使用信箱或通訊群組執行的特定工作。 管理角色專案是 Cmdlet、腳本或特殊許可權,可讓管理角色中的每個特定工作執行。 您只能搭配角色指派原則使用使用者角色。 如需詳細資訊,請 參閱瞭解管理角色。
管理角色指派: 管理角色指派 是角色與角色指派原則之間的連結。 將角色指派給角色指派原則會授與使用角色中所定義 Cmdlet 和參數的能力。 當您在角色指派原則和角色之間建立角色指派時,無法指定任何範圍。 指派所套用的範圍為 或
Self
MyGAL
。 所有角色指派的範圍都限於使用者的信箱或通訊群組。 如需詳細資訊,請 參閱瞭解管理角色指派。
如果您想要變更指派給角色指派原則的角色,您必須變更將角色指派原則連結至角色的角色指派。 除非 Exchange 2013 內建的指派不符合您的需求,否則您不需要變更這些指派。 如需詳細資訊,請 參閱瞭解管理角色指派。
如需詳細資訊,請 參閱瞭解管理角色指派原則。
直接使用者角色指派
直接角色指派 是一種進階方法,可直接將管理角色指派給使用者或 USG,而不需使用角色群組或角色指派原則。 當您需要提供一組細微的許可權給特定使用者,而沒有其他使用者時,直接角色指派會很有用。 不過,使用直接角色指派可能會大幅增加許可權模型的複雜度。 如果使用者變更工作或離職,您必須手動移除工作分派,並將其新增至新員工。 建議您使用角色群組將許可權指派給系統管理員和專家使用者,以及使用角色指派原則將許可權指派給使用者。
如需直接使用者指派的詳細資訊,請參閱 瞭解管理角色指派。
摘要和範例
下圖顯示 RBAC 中的元件,以及它們如何結合在一起:
角色群組:
一或多個系統管理員可以是角色群組的成員。 他們也可以是多個角色群組的成員。
角色群組會獲指派一或多個角色指派。 這些會將角色群組與一或多個系統管理角色連結,以定義可以執行哪些工作。
角色指派可以包含管理範圍,定義角色群組的使用者可以執行動作的位置。 範圍會決定角色群組的使用者可以修改組態的位置。
角色指派原則:
一或多個使用者可以與角色指派原則相關聯。
角色指派原則會指派一或多個角色指派。 這些會將角色指派原則與一或多個使用者角色連結。 使用者角色會定義使用者可以在信箱上設定的專案。
角色指派原則和角色之間的角色指派具有內建範圍,可將指派範圍限制為使用者自己的信箱或通訊群組。
直接角色指派 (進階) :
您可以直接在使用者或 USG 與一或多個角色之間建立角色指派。 角色會定義使用者或 USG 可以執行的工作。
角色指派可以包含管理範圍,定義使用者或 USG 可以執行動作的位置。 範圍會決定使用者或 USG 可以修改組態的位置。
RBAC 概觀
如上圖所示,RBAC 中的許多元件彼此相關。 這是將每個元件放在一起的方式,定義套用至每個系統管理員或使用者的許可權。 下列範例提供一些有關如何在組織中使用角色群組和角色指派原則的其他內容。
Jane 系統管理員
Jane 是中型公司 Contoso 的系統管理員。 她負責管理公司的收件者,並負責管理其[美國]辦公室的收件者。 建立 Contoso 的許可權模型時,Jane 會成為 Recipient Management - 然後自訂角色群組的成員。 收件者管理 - 寄件者自訂角色群組最符合其工作職責,包括建立和移除收件者,例如信箱和連絡人、管理通訊群組成員資格和信箱屬性,以及類似的工作。
除了收件者管理 - Mail Custom Role 群組之外,Jane 也需要角色指派原則來管理自己的信箱組態設定。 組織系統管理員已決定,除了資深管理以外的所有使用者,在管理自己的信箱時,都會收到相同的許可權。 他們可以設定語音信箱、設定保留原則,以及變更其位址資訊。 Exchange 2013 提供的預設角色指派原則現在會反映這些需求。
注意事項
您可能已經注意到,因為 Jane 是 Recipient Management - 然後自訂角色群組的成員,所以應該授與她管理自己信箱的許可權。 這是真的;不過,角色群組不會提供管理其信箱所有功能所需的擁有權限。 管理語音信箱和保留原則設定所需的許可權不會包含在角色群組中。 這些僅由指派給她的預設角色指派原則提供。
若要允許此項,請考慮角色群組,該角色群組會提供 Jane 對在布列中收件者的系統管理許可權:
已建立名為[收件者管理 - 郵件] 的自訂角色群組。 建立時,會發生下列情況:
角色群組已指派所有相同的管理角色,這些角色也會指派給收件者管理內建角色群組。 這可讓新增至[收件者管理 - 郵件] 自訂角色群組的使用者與新增至收件者管理角色群組的使用者具有相同的許可權。 不過,下列步驟會限制他們可以使用這些許可權的位置。
已建立[收件者] 自訂管理範圍,其僅符合位於[密西斯] 的收件者。 這是藉由建立範圍來篩選使用者的城市或其他唯一資訊來完成。
角色群組是使用[收件者] 自訂管理範圍所建立。 這表示,當新增至[收件者管理 -] 的系統管理員自訂角色群組具有完整的收件者管理許可權時,他們只能將這些許可權用於以因特擷取者為基礎的收件者。
如需建立自訂角色群組的詳細資訊,請 參閱管理角色群組。
然後,Jane 會新增為收件者管理 - Windows 自訂角色群組的成員。
如需將成員新增至角色群組的詳細資訊,請 參閱管理角色群組成員。
為了讓 Jane 能夠管理自己的信箱設定,必須使用必要的許可權來設定角色指派原則。 預設角色指派原則是用來為使用者提供設定自己的信箱所需的許可權。 所有使用者角色都會從預設角色指派原則中移除,但: MyBaseOptions
、 MyContactInformation
、 MyVoicemail
和 MyRetentionPolicies
除外。
MyBaseOptions
因為此管理角色提供Outlook Web App中的基本使用者功能,例如收件匣規則、行事曆設定和其他工作,所以會包含在內。
不需要執行任何其他動作,因為 Jane 已獲指派預設角色指派原則。 這表示對該角色指派原則所做的變更會立即套用至其信箱,而任何其他信箱也會指派給預設角色指派原則。
如需自訂預設角色指派原則的詳細資訊,請 參閱管理角色指派原則。
專家 Joe
Joe 任職于 Contoso,這是 Jane 任職的同一家公司。 他負責執行法律探索、設定保留原則,以及為整個組織設定傳輸規則和日誌記錄。 如同 Jane,建立 Contoso 的許可權模型時,Joe 已新增至符合其工作職責的角色群組。 記錄管理角色群組提供 Joe 設定保留原則、日誌記錄和傳輸規則的許可權。 探索管理角色群組可讓他執行信箱搜尋。
和 Jane 一樣,Joe 也需要管理自己信箱的許可權。 他獲得與 Jane 相同的許可權:他可設定語音信箱和保留原則,並變更位址資訊。
為了授與 Joe 執行其工作職責的許可權,Joe 會新增至記錄管理和探索管理角色群組。 角色群組不需要以任何方式變更,因為它們已經提供他所需的許可權,而套用到角色群組的管理範圍包含整個組織。
如需將使用者新增至角色群組的詳細資訊,請參閱 管理角色群組成員。
Joe 的信箱也會被指派套用至 Jane 信箱的相同預設角色指派原則。 這會提供他管理信箱功能所需的擁有權限,以允許他管理這些功能。
副總裁 Isabel
Isabel 是 Contoso 行銷副總裁。 Isabel 是 Contoso 資深領導團隊的一部分,其許可權比一般使用者還多。 這包括她為管理信箱所提供的許可權,但其中一個例外:基於法律合規性理由,不允許 Isabel 管理自己的保留原則。 Isabel 可以設定語音信箱、變更連絡人資訊、變更設定檔資訊、建立及管理自己的通訊群組,以及從其他人所擁有的現有通訊群組中新增或移除自己。
因此,Isabel 會在自己的信箱上獲得不同的許可權。 Contoso 的大部分使用者都會指派給預設的角色指派原則。 不過,資深領導階層會指派給資深領導角色指派原則。 以下是建立自訂角色指派原則的作業:
系統會建立稱為資深領導階層的自訂角色指派原則。 角色指派原則會指派
MyBaseOptions
、MyContactInformation
、MyVoicemail
、MyProfileInformation
、MyDistributionGroupMembership
和MyDistributionGroups
角色。MyBaseOptions
因為此角色提供Outlook Web App中的基本使用者功能,例如收件匣規則、行事曆設定和其他工作,所以會包含在內。然後手動指派 Isabel 資深領導角色指派原則。
Isabel 的信箱現在具有資深領導角色指派原則所提供的許可權。 對此角色指派原則所做的任何變更都會自動套用至其信箱,而任何其他信箱也會指派給相同的角色指派原則。