組織管理
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
組織管理 管理角色群組是組成 Microsoft Exchange Server 2010 中角色型存取控制 (RBAC) 權限模型的其中一個內建角色群組。角色群組會有一個或多個管理角色指派,其中包含執行指定工作集所需的權限。角色群組的成員擁有指派給該角色群組的管理角色存取權。如需角色群組的詳細資訊,請參閱了解管理角色群組。
屬於 組織管理 角色群組之成員的系統管理員擁有整個 Microsoft Exchange Server 2010 組織的管理存取權,並幾乎可對任何 Exchange 2010 物件執行任何工作,只有少部分例外。根據預設,此角色群組成員無法執行信箱搜尋和未限定範圍的頂層管理角色的管理。如需詳細資訊,請參閱本主題稍後的「只委派角色指派」一節。
重要事項: |
---|
組織管理 角色群組是功能非常強大的角色,因此只有執行可能影響整個 Exchange 組織之組織層級管理工作的使用者或萬用安全性群組 (USG) 才應該是這個角色群組的成員。 |
這個角色群組相當於 Exchange Server 2007 中的 Exchange 組織系統管理員角色。
如需有關 RBAC 的詳細資訊,請參閱瞭解應用角色的存取控制。
角色群組成員資格
用於將 Exchange 2010 安裝在組織中的帳戶預設會新增為 組織管理 角色群組的成員。然後此帳戶便可視需要,將其他成員新增至此角色群組。
如果您要新增或移除此角色群組中的成員,請參閱下列主題:
根據預設,只有組織管理角色群組的成員可以新增或移除此角色群組中的成員。如需如何新增其他角色群組委派的詳細資訊,請參閱新增或移除角色群組委派。
您可以使用下列命令來檢視屬於此角色群組成員之使用者或 USG 的清單。
Get-RoleGroupMember "Organization Management"
如需角色群組之成員的詳細資訊,請參閱檢視角色群組的成員。
角色群組自訂
此角色群組預設會獲得管理角色指派。<指派給此角色群組的管理角色>一節中會列出包含的角色。您可以在此角色群組中新增或移除角色指派,以相符組織的需要。
Exchange 2010 所提供的角色群組,其設計在於符合更細微的工作。透過將角色指派給角色群組,即可讓該角色群組的成員執行與角色關聯的工作。例如,[日誌] 角色會啟用日誌代理程式的管理和日誌規則。如需如何將角色指派給角色群組的詳細資訊,請參閱了解管理角色指派。
指派給此角色群組的角色會擁有預設的管理範圍。管理範圍決定角色群組的成員可以檢視或修改的 Exchange 物件。您可以變更與角色和角色群組之間的指派相關聯的範圍。例如,如果您只想讓角色群組的成員變更特定組織單位下或是特定位置的收件者,則可執行這項操作。如需管理範圍的詳細資訊,請參閱瞭解管理角色範圍。
如需如何自訂此角色群組的詳細資訊,請參閱下列主題:
如果您要建立角色群組並且將指派給此角色群組的部分角色指派給新角色群組,請參閱建立角色群組。
下列是您可以自訂此角色的一些方法:
權限擁有者 如果您組織中的權限是由 Exchange 管理員之外的特定群組所控制,您可以建立角色群組,然後將角色管理角色的一般及委派管理角色指派移至新的角色群組。這樣做可防止 組織管理 角色群組的成員管理任何 RBAC 權限。
Active Directory 分割權限 如果組織中安全性主體 (例如使用者帳戶) 的建立是由 Exchange 系統管理員以外的特定群組所控制,您可以建立一個角色群組,然後將「郵件收件者建立」角色與「安全性群組建立及成員資格」角色的一般和委派角色指派移至新的角色群組。這樣做可以防止 組織管理 角色群組的成員建立 Active Directory 物件。不過,他們可以繼續啟用新 Active Directory 物件的郵件功能。如需分割權限的詳細資訊,請參閱瞭解分割權限。
自訂限制
任何角色都可新增至此角色群組或從此角色群組移除,但有下列限制:
在委派角色指派可以從此角色群組移除之前,每個角色都必須至少有ㄧ個角色群組或 USG 的委派角色指派。
在可以從此角色群組移除一般角色指派之前,「角色管理」角色必須至少有一個角色群組或 USG 的一般角色指派。
這些限制是為了防止您不小心將自己鎖在系統之外。透過在每個角色與一或多個角色群組或 USG 之間至少需要存在一個委派角色指派,您就永遠可以指派角色給角色受託人。透過在「角色管理」角色與一或多個角色群組或 USG 之間至少需要存在一個一般角色指派,您就永遠可以設定角色群組和角色指派。
重要事項: |
---|
這些限制需要角色群組或 USG 是委派和一般角色指派的目標。如果最後一個指派是指派給使用者,您就無法移除「角色管理」角色的委派角色指派或一般指派。 |
只委派角色指派
組織管理 角色群組和管理角色之間的某些角色指派 (例如「信箱搜尋」和「未限定範圍的角色管理」) 僅委派角色指派。這些角色可讓您存取敏感或個人資訊 (例如信箱的內容),或讓您建立功能強大的未限定範圍管理角色。
僅委派角色指派可讓 組織管理 角色群組的成員只能將關聯的角色指派給其他角色群組、管理角色指派原則、使用者或 USG。組織管理 角色群組的成員預設不會取得角色所提供的任何權限。這有助於避免意外曝露個人資訊,或造成權限意外提高。
不過,組織管理 角色群組的成員可以為自己指派任何角色,有助於讓他們能夠執行任何工作。例如,組織管理 角色群組的成員可以將「信箱搜尋」角色指派給 組織管理 角色群組。進行此角色指派之後,組織管理 角色群組的成員可以執行由「信箱搜尋」角色啟用的工作。
如需有關委派角色指派的詳細資訊,請參閱了解管理角色指派。
其他權限
授與 組織管理 角色群組之成員的權限主要是由指派給角色群組的管理角色決定。不過,管理角色並未涵蓋您需要執行的所有工作。某些工作是在 Exchange 管理工具外部進行,因此不適用 RBAC 權限模式。對於這些工作,權限是透過將 組織管理 角色群組新增到某些 Active Directory 物件的存取控制清單 (ACL) 來提供。
下列工作的權限是透過 Active Directory 物件上的 ACL 的方式授與,而不是透過指派給 組織管理 角色群組的管理角色授與:
使用 Setup.exe 執行 DomainPrep 及 ForestPrep
在組織中部署其他伺服器
使用委派安裝佈建伺服器
建立、管理及刪除頂層公用資料夾
管理頂層公用資料夾的權限
若要查看所有透過 ACL 方式授與給 組織管理 角色群組的權限,請參閱 Exchange 2010 部署權限參考。
指派給此角色群組的管理角色
下表列出指派給此角色群組的所有管理角色,以及每個角色指派的下列屬性:
一般指派 可讓角色群組的成員存取相關管管理角色提供的管理角色項目。
委派指派 給予角色群組的成員將指定角色指派給其他角色群組、角色指派原則、使用者或 USG 的能力。
收件者讀取範圍 決定角色群組的成員可以從 Active Directory 讀取的收件者物件。
收件者寫入範圍 決定角色群組的成員可以在 Active Directory 修改的收件者物件。
組態讀取範圍 決定角色群組的成員可以從 Active Directory 讀取的組態和伺服器物件。
組態寫入範圍 決定角色群組的成員可以在 Active Directory 修改的組織和伺服器物件。
如需角色指派和管理範圍的詳細資訊,請參閱下列主題:
指派給此角色群組的管理角色
管理角色 | 一般指派 | 委派指派 | 收件者讀取範圍 | 收件者寫入範圍 | 組態讀取範圍 | 組態寫入範圍 |
---|---|---|---|---|---|---|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。