了解權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
Microsoft Exchange Server 2010 包含一組大型的預先定義權限集合,這個集合以角色存取控制 (RBAC) 權限模型為基礎,可供您立即使用,以輕鬆授與權限給系統管理員和使用者。您可以使用 Exchange 2010 中的權限功能,快速地讓新組織正常運作。
RBAC 會授與用來管理 Mailbox、Hub Transport、Client Access 和 Unified Messaging server role 的權限。如需 Edge Transport server role 權限的相關資訊,請參閱本主題稍後的Edge Transport Permissions。
.gif "注意事項") 附註: |
|---|
| 有幾項 RBAC 功能和概念屬於進階功能,因此不在本主題討論之列。如果本主題所討論的功能不符合您的需求,而且您想進一步自訂權限模型,請參閱瞭解應用角色的存取控制。 |
要尋找與權限相關的管理工作嗎?請參閱管理權限。
以角色為基礎的權限
在 Exchange 2010 中,您授與給系統管理員和使用者的權限都是以管理角色為基礎。角色定義了系統管理員或使用者所能執行的一組工作。例如,名為 Mail Recipients 的管理角色定義某個人可以對一組信箱、連絡人和通訊群組執行的工作。將角色指派給系統管理員或使用者後,該名人員便會獲得此角色所提供的權限。
角色可分成系統管理角色和使用者角色兩種類型:
系統管理角色 您可以使用負責管理 Exchange 組織某個部分 (例如收件者、伺服器或資料庫) 的角色群組,將這些角色包含的權限指派給系統管理員或專家使用者。
使用者角色 這些角色是利用角色指派原則來指派,可以讓使用者管理其專屬信箱與擁有之通訊群組的各個層面。使用者角色是以前置詞
My作為開頭。
角色是透過讓角色指派對象能夠使用指令程式的方式,授與系統管理員和使用者執行工作的權限。由於 Exchange 管理主控台 (EMC)、Exchange 控制台 (ECP) 和 Exchange 管理命令介面會使用指令程式來管理 Exchange,因此授與對指令程式的存取權,即可授與系統管理員或使用者在每個 Exchange 管理介面中執行工作的權限。
Exchange 2010 包含大約 60 種可用來授與權限的角色。如需 Exchange 2010 隨附角色的清單,請參閱內建管理角色。
角色群組和指派原則
角色可授與在 Exchange 2010 中執行工作的權限,但是您還需要一種可將角色指派給系統管理員和使用者的簡易方式。Exchange 2010 提供下列項目來協助您執行這項作業:
角色群組 角色群組可讓您授與權限給系統管理員和專家使用者。
角色指派原則 角色指派原則可讓您授與使用者在其專屬信箱或所擁有之通訊群組上變更設定的權限。
如需角色群組和角色指派原則的詳細資訊,請參閱下列各節。
角色群組
您必須為負責管理 Exchange 2010 的每個系統管理員指派至少一個或更多個角色。系統管理員可以具有多個角色,因為他們可以在 Exchange 中執行跨越多個領域的職責。例如,某個系統管理員可能同時負責管理收件者和 Exchange 伺服器。在這種情況下,您可能會為這個系統管理員指派 Mail Recipients 和 Exchange Servers 兩種角色。
Exchange 2010 中包含角色群組,讓您更輕鬆地將多種角色指派給系統管理員。角色群組是 Exchange 2010 使用的特殊萬用安全性群組 (USG),可以包含 Active Directory 使用者、USG 和其他角色群組。將角色指派至角色群組後,此角色群組的所有成員便會獲得由該角色所授與的權限。這可讓您同時將多個角色指派給多位角色群組成員。角色群組通常包含範圍較大的管理領域,例如收件者管理。此外,角色群組只能與系統管理員角色搭配使用,不能用於使用者角色。
| 附註: |
|---|
| 您可以直接將角色指派給使用者或 USG,不需使用角色群組。不過,這種角色指派方式屬於進階程序,不在本主題討論之列。建議您使用角色群組來管理權限。 |
下圖顯示使用者、角色群組和角色之間的關係。
角色、角色群組和角色群組成員
.gif "角色、角色群組和成員關係")
Exchange 2010 包含幾個內建角色群組,分別提供管理 Exchange 2010 中特定領域的權限。某些角色群組可能會與其他角色群組重疊。下表列出每個角色群組,並描述其用法。如果要查看指派給各個角色群組的角色,請在表格中按一下角色群組的名稱,然後開啟<指派給此角色群組的管理角色>一節。
內建角色群組
| 角色群組 | 描述 | ||
|---|---|---|---|
屬於 組織管理 角色群組之成員的系統管理員擁有整個 Exchange 2010 組織的管理存取權,並幾乎可對任何 Exchange 2010 物件執行任何工作,只有少部分例外,例如
|
|||
屬於 僅限檢視組織管理 角色群組之成員的系統管理員可在 Exchange 組織中檢視任何物件的內容。 |
|||
屬於 收件者管理 角色群組之成員的系統管理員,擁有在 Exchange 2010 組織內建立或修改 Exchange 2010 收件者的系統管理存取權。 |
|||
屬於 UM Management 角色群組成員的系統管理員可以管理 Exchange 組織中的功能,例如整合通訊 (UM) 伺服器組態、信箱上的 UM 內容、UM 提示及 UM 自動語音應答組態。 |
|||
依預設,「服務台」角色群組的成員可以檢視及修改組織中任何使用者的 Microsoft Office Outlook Web App 選項。這些選項可以包括修改使用者的顯示名稱、地址和電話號碼,但不包括 Outlook Web App 選項中沒有提供的選項,例如修改信箱的大小或設定信箱所在的信箱資料庫。 |
|||
身為檢疫管理角色群組成員的管理员可以設定 Exchange 2010 的防毒與反垃圾郵件功能。與 Exchange 2010 整合的協力廠商程式可以新增服務帳戶至此角色群組,以授與那些程式擷取和設定 Exchange 組態所需之指令程式的存取權。 |
|||
屬於 記錄管理 角色群組成員的使用者可以設定符合性功能,例如保留原則標記、訊息分類和傳輸規則。 |
|||
隸屬 探索管理 角色群組的系統管理員或使用者,可以在 Exchange 組織的信箱裡搜尋符合特定準則的資料,也可以設定信箱的合法持有。如需相關資訊,請參閱多信箱搜尋與了解訴訟保留。 |
|||
屬於「公用資料夾管理」角色群組之成員的系統管理員可以在執行 Exchange 2010 的伺服器上管理公用資料夾及資料庫。 |
|||
屬於 Server Management 角色群組之成員的系統管理員可以設定伺服器特定的傳輸組態、整合通訊、用戶端存取以及信箱功能,例如資料庫複本、憑證、傳輸佇列及傳送連接器、虛擬目錄以及用戶端存取通訊協定。 |
|||
身為「委派安裝」角色群組成員的系統管理員,可部署先前已由 組織管理 角色群組的成員提供的 Exchange 2010 伺服器。如需委派安裝的詳細資訊,請參閱佈建 Exchange 2010 Server 及委派設定。 |
如果您任職於只有幾個系統管理員的小型組織,可能只需要將這些系統管理員新增到 組織管理 角色群組,而且可能永遠不需要使用其他角色群組。如果您是在大型組織工作,則可能會有系統管理員負責執行管理 Exchange 的特定工作,例如收件者管理或伺服器管理。在這種情況下,您可以將某個系統管理員新增到 收件者管理 角色群組,然後再將另一個系統管理員新增到「伺服器管理」角色群組。如此這些系統管理員就可以管理其特定 Exchange 2010 領域,但是沒有權限可以管理不屬於他們所負責的領域。
如果 Exchange 2010 中的內建角色群組與您的系統管理員職責不符,您可以建立角色群組並新增角色到這些群組。如需詳細資訊,請參閱本主題稍後的Work with Role Groups。
角色指派原則
Exchange 2010 提供角色指派原則,使您能夠控制使用者可對他們的專屬信箱和擁有的通訊群組進行哪些設定。這些設定包括使用者的顯示名稱、連絡資訊、語音信箱設定,以及通訊群組成員資格。
您的 Exchange 2010 組織可以有多個角色指派原則,以針對組織中不同的使用者類型,提供不同等級的權限。依據使用者信箱相關聯的角色指派原則而定,有些使用者可以變更其地址或建立通訊群組,但有些使用者卻不行。角色指派原則會直接新增至信箱,而且每個信箱一次只能與一個角色指派原則相關聯。
在組織的角色指派原則中,有一個會被標示為預設的原則。如果在建立新信箱時沒有明確指派特定的角色指派原則,這些新信箱就會與預設的角色指派原則產生關聯。預設的角色指派原則應該包含多數信箱所應套用的權限。
權限是透過使用者角色來新增到角色指派原則。使用者角色以 My 開頭,而且它們授與給使用者的權限,只能讓他們管理自己的信箱或他們所擁有的通訊群組;使用者角色不能用來管理其他任何信箱。此外,您只能將使用者角色指派到角色指派原則。
將使用者角色指派到角色指派原則後,與該角色指派原則相關聯的所有信箱都會取得該角色所授與的權限。因此,您不需要設定個別的信箱,就可以對多組使用者新增或移除權限。下圖顯示:
使用者角色會指派至角色指派原則。角色指派原則可以共用相同的使用者角色。
角色指派原則會與信箱產生關聯。每個信箱只能與一個角色指派原則相關聯。
在信箱與角色指派原則產生關聯後,使用者角色會套用到該信箱。信箱使用者會獲得角色所授與的權限。
角色、角色指派原則和信箱
.gif "角色、角色指派原則關係、信箱關係")
Exchange 2010 中包含名為「預設角色指派原則」的角色指派原則。顧名思義,它就是預設的角色指派原則。如果您要變更這個角色指派原則所提供的權限,或是想建立角色指派原則,請參閱本主題稍後的Work with Role Assignment Policies。
使用角色群組
若要在 Exchange 2010 Service Pack 1 (SP1) 中使用角色群組來管理您的權限,我們建議您使用 ECP。使用 ECP 管理角色群組時,只要按幾下滑鼠,您就可以新增及移除角色和成員、建立角色群組,以及複製角色群組。ECP 提供了可用來執行這些工作的簡單對話方塊,例如下圖所示的 [新增角色群組] 對話方塊。
ECP 中新增的 [角色群組] 對話方塊
.gif "ECP 中新增角色群組對話方塊")
如本主題前面所述,Exchange 2010 包含幾個角色群組,可以將權限劃分到特定的系統管理領域。如果這些現有的角色群組提供了系統管理員在管理您的 Exchange 2010 組織時所需要的權限,您只需要將系統管理員新增為適當角色群組的成員。在您將系統管理員新增至角色群組之後,他們就可以管理與該角色群組相關的功能。若要新增或移除角色群組的成員,請在 ECP 中開啟角色群組,然後再於成員資格清單中新增或移除成員。如需內建角色群組的清單,請參閱內建角色群組。
.gif "重要事項") 重要事項: |
|---|
| 如果系統管理員是多個角色群組的成員,Exchange 2010 會將系統管理員所屬角色群組提供的所有權限,授與給系統管理員。 |
如果 Exchange 2010 隨附的角色群組沒有任何一個具有您需要的權限,您可以使用 ECP 來建立角色群組,並新增擁有您所需權限的角色。針對新的角色群組,您會:
選擇角色群組的名稱。
選取要新增到角色群組的角色。
在角色群組中新增成員。
儲存角色群組。
建立角色群組之後,您可以比照其他任何角色群組來管理它。
如果現有的角色群組具有您需要的部分權限 (而非所有權限),您可以複製該群組,然後透過變更的方式來建立角色群組。您可以複製現有的角色群組並進行變更,而不會影響原始的角色群組。在複製角色群組的過程中,您可以加入新的名稱和描述、在新的角色群組中新增及移除角色,並新增成員。建立或複製角色群組時,您會使用上圖中所顯示的同一個對話方塊。
您也可以修改現有的角色群組。您可以使用與上圖所示對話方塊類似的 ECP 對話方塊,從現有的角色群組新增與移除角色,並同時從該群組新增及移除成員。透過在角色群組中新增及移除角色,您便可開啟與關閉該角色群組成員的系統管理功能。如需可新增至角色群組的成員清單,請參閱內建管理角色。
| 附註: |
|---|
| 雖然您可以變更指派至內建角色群組的角色,我們還是建議您複製內建角色群組、修改角色群組複本,然後再新增成員到角色群組複本。 |
如需如何建立或複製角色群組,或是變更現有角色群組角色和成員資格的詳細步驟,請參閱下列主題:
使用角色指派原則
若要在 Exchange 2010 SP1 中管理您授與給使用者用來管理其專屬信箱的權限,我們建議您使用 ECP。使用 ECP 管理使用者權限時,只要按幾下滑鼠,您就可以新增角色、移除角色,以及建立角色指派原則。ECP 提供了可用來執行這些工作的簡單對話方塊,例如下圖所示的 [角色指派原則] 對話方塊。若要將角色指派原則套用到信箱,您可以使用 EMC 或 ECP。
ECP 中的 [角色指派原則] 對話方塊
.gif "ECP 中的角色指派原則對話方塊")
Exchange 2010 包含一個名為「預設角色指派原則」的角色指派原則。這個角色指派原則可以讓其相關聯信箱的使用者執行下列動作:
加入或離開可讓成員自行管理成員資格的通訊群組。
在自己的信箱上檢視並修改基本的信箱設定,例如收件匣規則、拼字檢查行為和 Microsoft ActiveSync 裝置。
修改他們的連絡資訊,例如地址和電話號碼。
建立、修改或檢視簡訊設定。
檢視或修改語音信箱設定。
如果要從「預設角色指派原則」或其他任何角色指派原則新增或移除權限,您可以使用 ECP。使用的對話方塊與上圖所示的對話方塊類似。當您在 ECP 中開啟角色指派原則時,請選取要指派至該原則之角色旁的核取方塊,或是清除想要移除之角色旁的核取方塊。您對角色指派原則所做的變更將會套用到與它相關聯的每一個信箱。
如果要指派不同的使用者權限給組織中各種類型的使用者,您可以建立角色指派原則。建立角色指派原則時,您會看到與上圖類似的對話方塊。您可以為角色指派原則指定新名稱,然後再選取要指派至角色指派原則的角色。建立角色指派原則後,您可以使用 EMC 或 ECP 讓它與信箱產生關聯。
如果想要變更預設的角色指派原則,您必須使用命令介面。在您變更預設的角色指派原則之後,如果沒有為建立的任何信箱明確指定角色指派原則,這些信箱都會與新的預設角色指派原則產生關聯。當您選取新的預設角色指派原則時,與現有信箱關聯的角色指派原則將維持不變。
| 附註: |
|---|
| 如果選取含有子角色之角色的核取方塊,也會選取子角色的核取方塊。如果取消選取含有子角色之角色的核取方塊,也會取消選取子角色的核取方塊。 |
如需如何建立角色指派原則或變更現有角色指派原則的詳細步驟,請參閱下列主題:
邊際傳輸權限
Edge Transport server role 部署在組織的周邊網路 (亦稱為界限網路或遮蔽式子網路) 中。可以将边缘传输服务器作为独立服务器进行部署,也可以将其作为外围 Active Directory 域成员进行部署。
在 Edge Transport Server 上,RBAC 不是用來控制權限。本機 Administrators 群組可用來控制哪些人,可以在本機伺服器上設定 Exchange 功能。如果有多部 Edge Transport Server,您必須將想要管理伺服器的使用者新增到每一部伺服器上的本機 Administrators 群組中。
如需 Edge Transport Server 權限的詳細資訊,請參閱設定 Edge Transport server role 的系統管理員權限。
詳細資訊
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。