Role Based Access Control (RBAC) ,是用于 Microsoft Exchange Server 2013 的權限模型。
角色分為兩種類型:
管理角色:可以管理 Exchange 組織的使用者或組。
最終使用者角色:可以管理其自己的郵箱及其擁有的通訊組的使用者。
角色組,使用角色組可以向管理角色授予權限。
角色配置設定政策,為角色提供不同級别的權限。
作用域,是對角色配置設定産生影響的作用域。
若想更形象的了解Exchange各元件之間的關系,可以參考下圖。
角色組包含了:Exchange角色(定義權限)和AD成員(AD内的通用組或者AD内的使用者)
應用與成員的角色,定義了角色組的管理範圍,管理者隻可以管理此範圍内的Exchange資源(包括使用者、Exchange資料庫、Exchange伺服器、Exchange功能等)
内置的角色組已經定義了管理功能和範圍,基礎的權限管理需求可以通過将AD對象添加到組中來實作權限劃分。
管理角色
描述
Organization Management
組織管理 角色組成員的管理者具有對整個 Exchange 2013 組織的管理通路權限,并且幾乎可以對任意 Exchange 2013 對象執行任何任務,某些情況除外,例如 Discovery Management 角色。
重要提示:
由于 組織管理 角色組是一個強大的角色,是以隻有執行可能影響整個 Exchange 組織的組織級别管理任務的使用者或 USG 才可以是此角色組的成員。
View-Only Organization Management
屬于 僅檢視組織管理 角色組成員的管理者可以檢視 Exchange 組織中任何對象的屬性。
Recipient Management
屬于 收件人管理 角色組成員的管理者擁有在 Exchange 2013 組織中建立或修改 Exchange 2013 收件人的管理通路權限。
UM Management
如果管理者是“UM 管理”角色組中的成員,則他可以管理 Exchange 組織中的功能,例如統一消息 (UM) 服務配置、郵箱上的 UM 屬性、UM 提示和 UM 自動助理配置。
Discovery Management
預設情況下,幫助中心角色組允許成員檢視和修改組織中任何使用者的 Microsoft Office Outlook Web App 選項。這些選項可能包括修改使用者的顯示名稱、位址、電話号碼。它們不包括 Outlook Web App 選項中不可用的選項,例如,修改郵箱大小或配置郵箱所在的郵箱資料庫。
Records Management
作為清潔管理角色組成員的管理者可以配置 Exchange 2013 的防病毒和反垃圾郵件功能。與 Exchange 2013 內建的第三方程式可以将服務帳戶添加到此角色組中,這樣這些程式就可以通路檢索和配置 Exchange 配置所需的 cmdlet。
Server Management
屬于 記錄管理 角色組成員的使用者可以配置遵從性功能(如保留政策标記、郵件分類和傳輸規則)。
Help Desk
作為 發現管理 角色組成員的管理者或使用者可以在 Exchange 組織中的郵箱中搜尋滿足特定條件的資料,還可以在郵箱上配置合法保留。
Hygiene Management
屬于公用檔案夾管理角色組成員的管理者可以管理運作 Exchange 2013 的伺服器上的公用檔案夾。
Compliance Management
屬于“伺服器管理”角色組成員的管理者可以配置諸如資料庫副本、證書、傳輸隊列和發送連接配接器、虛拟目錄和用戶端通路協定這樣的傳輸、統一消息、用戶端通路和郵箱功能的特定于伺服器的配置。
Public Folder Management
作為“委派安裝”角色組成員的管理者可以部署正在運作 Exchange 2013 且以前由 組織管理 角色組成員設定的伺服器。
Delegated Setup
屬于合規管理角色組的使用者可根據其組織政策配置和管理 Exchange 合規性設定。
Exchange内置的管理角色已經關聯了相應的角色管理政策,每種管理角色都包含一定的管理功能。
内置管理角色
組織/伺服器
Active Directory Permissions
與此角色類型相關聯的角色使管理者能夠配置組織中的 Active Directory 權限。使用 Active Directory 權限或通路控制清單 (ACL) 的部分功能包括傳輸“接收”和“發送”連接配接器以及郵箱的“代理發送”和“代表發送”權限。
注意:
直接在 Active Directory 對象上設定的權限不能通過 RBAC 強制應用。
組織
Address Lists
與此角色類型相關聯的角色類型使管理者能夠管理組織中的位址清單、全局位址清單 (GAL) 和脫機位址清單。
Application Impersonation
與此角色類型相關聯的角色類型使應用程式能夠模拟組織中的使用者來代表使用者執行任務。
Archive Application
與此角色類型相關聯的角色使合作夥伴應用程式能夠将項目存檔到組織的使用者郵箱中。
Audit Logs
與此角色類型相關聯的角色使管理者能夠管理組織中的管理者稽核日志記錄配置。
Cmdlet Extension Agents
與此角色類型相關聯的角色使管理者能夠管理組織中的 cmdlet 擴充代理。
DataLoss Prevention
與此角色類型相關聯的角色可以在組織中建立和管理資料丢失預防 (DLP) 政策以及這些政策内的規則。
Database Availability Groups
與此角色類型相關聯的角色使管理者能夠管理組織中的資料庫可用性組 (DAG)。直接或間接被配置設定此角色的管理者是負責組織中高可用性配置的最進階别管理者。
Database Copies
與此角色類型相關聯的角色使管理者能夠在單台伺服器上管理資料庫副本。
伺服器
Databases
與此角色類型相關聯的角色使管理者能夠在各個伺服器上建立、管理、裝載和卸除郵箱資料庫。
Disaster Recovery
與此角色類型相關聯的角色使管理者能夠在組織中還原郵箱和郵箱資料庫、建立郵箱資料庫以及執行資料庫可用性組的資料中心來回切換。
Distribution Groups
與此角色類型相關聯的角色使管理者能夠在組織中建立和管理通訊組和通訊組成員。
Edge Subscriptions
與此角色類型相關聯的角色使管理者能夠管理組織中 Exchange 2010 邊緣傳輸伺服器與 Exchange 2013 郵箱伺服器之間的邊緣同步和訂閱配置。
Email Address Policies
與此角色類型相關聯的角色使管理者能夠管理組織中的電子郵件位址政策。
Exchange Connectors
與此角色類型相關聯的角色使管理者能夠建立、修改、檢視并删除路由組連接配接器和傳遞代理連接配接器。
Exchange Server Certificates
與此角色類型相關聯的角色使管理者能夠在單台伺服器上建立、導入、導出和管理 Exchange 伺服器證書。
Exchange Servers
與此角色類型相關聯的角色使管理者能夠在單台伺服器上管理 Exchange 伺服器配置。
Exchange Virtual Directories
與此角色類型相關聯的角色使管理者能夠在各個伺服器上管理 Outlook Web App、Microsoft ActiveSync、脫機通訊簿 (OAB)、自動發現、Windows PowerShell 和 Exchange 管理中心虛拟目錄。
Federated Sharing
與此角色類型相關聯的角色使管理者能夠管理組織中的跨林和跨組織共享。
Information Rights Management
與此角色類型相關聯的角色使管理者能夠管理組織中 Exchange 的資訊權限管理 (IRM) 功能。
Journaling
與此角色類型相關聯的角色使管理者能夠管理組織中的日記配置。
Legal Hold
與此角色類型相關聯的角色使管理者能夠配置郵箱中的資料是否應保留用于組織的訴訟目的。
Mailbox Import Export
與此角色類型相關聯的角色使管理者能夠導入和導出郵箱内容,以及清除郵箱中不需要的内容。
Mailbox Search
與此角色類型相關聯的角色使管理者能夠在組織中搜尋一個或多個郵箱的内容。
Mailbox Search Application
與此角色類型相關聯的角色使合作夥伴應用程式能夠在組織中設定和檢視郵箱的合法保留狀态。
Mail Enabled Public Folders
與此角色類型相關聯的角色使管理者能夠将組織中的各個公用檔案夾配置為是啟用還是禁用郵件功能。
使用此角色類型隻能管理公用檔案夾的電子郵件屬性。它不允許您管理不屬于電子郵件屬性的公用檔案夾屬性。要管理不屬于電子郵件屬性的公用檔案夾屬性,需要配置設定與 Public Folders 角色類型相關聯的角色。
Mail Recipient Creation
與此角色類型相關聯的角色使管理者能夠在組織中建立郵箱、郵件使用者、郵件聯系人、通訊組和動态通訊組。可以将與此角色類型相關聯的角色與 Mail Recipients 類型結合使用,以便能夠建立和管理收件人。
此角色類型不允許針對公用檔案夾啟用郵件功能。若要針對公用檔案夾啟用郵件功能,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。
如果在貴組織維護的拆分權限模型中,建立收件人的組不同于管理收件人的組,請将 Mail Recipient Creation 角色配置設定給建立收件人的組,并将 Mail Recipients 角色配置設定給管理收件人的組。
Mail Recipients
與此角色類型相關聯的角色使管理者能夠管理組織中現有郵箱、郵件使用者和郵件聯系人、通訊組和動态通訊組。與此角色類型相關聯的角色無法建立這些收件人,但可以将此角色同那些與 Mail Recipient Creation 角色類型相關聯的角色結合使用,以建立和管理收件人。
無法使用此類角色管理啟用了郵件功能的公用檔案夾或通訊組。若要管理已啟用郵件功能的公用檔案夾,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。若要管理通訊組,必須獲得與 Distribution Groups 角色類型相關聯的角色。
MailTips
與此角色類型相關聯的角色使管理者能夠管理組織中的郵件提示。
Message Tracking
與此角色類型相關聯的角色使管理者能夠跟蹤組織中的郵件。
Migration
與此角色類型相關聯的角色使管理者能夠将郵箱和郵箱内容遷入或遷出伺服器。
Monitoring
與此角色類型相關聯的角色使管理者能夠監視組織中的 Microsoft Exchange 服務群組件可用性。除了管理者,與此角色類型相關聯的角色還可以與監視應用程式所使用的服務帳戶結合使用來收集有關 Exchange 伺服器狀态的資訊。
Move Mailboxes
與此角色類型相關聯的角色使管理者能夠在組織中的伺服器之間以及本地組織和其他組織之間的伺服器之間移動郵箱。
Office Extension Application
與此角色類型相關聯的角色使 Microsoft Office 擴充應用程式能夠通路組織中的使用者郵箱。
Org Custom Apps
與此角色類型相關聯的角色使管理者能夠在組織中檢視和修改其組織的自定義應用。
Org Marketplace Apps
與此角色類型相關聯的角色使管理者能夠在組織中檢視和修改其組織的商城應用。
Organization Client Access
與此角色類型相關聯的角色使管理者能夠管理組織中的用戶端通路伺服器設定。
Organization Configuration
與此角色類型相關聯的角色使管理者能夠管理組織中組織範圍的設定。可以通過該角色類型控制的組織配置包括(但不限于)以下配置:
是否為組織啟用或禁用郵件提示。
托管檔案夾首頁的 URL。
Microsoft Exchange 收件人 SMTP 位址和備選電子郵件位址。
資源郵箱屬性架構配置。
Exchange 管理中心和 Outlook Web App 的幫助 URL。
此角色類型不包括 Organization Client Access 或 Organization Transport Settings 角色類型中所包含的權限。
Organization Transport Settings
與此角色類型相關聯的角色使管理者能夠管理組織範圍的傳輸設定,如組織中的系統消息、Active Directory 站點配置和其他組織範圍内的傳輸設定。
使用此角色無法建立或管理傳輸接收或發送連接配接器、隊列、安全機制、代理、遠端和接受域或規則。若要建立或管理每個傳輸功能,必須獲得與以下角色類型相關聯的角色:
接收連接配接器:Receive Connectors
發送連接配接器:Send Connectors
傳輸隊列:Transport Queues
傳輸安全機制:Transport Hygiene
傳輸代理:Transport Agents
遠端域和接受域:Remote And Accepted Domains
傳輸規則:Transport Rules
POP3AndIMAP4Protocols
與此角色類型相關聯的角色使管理者能夠在單台伺服器上管理 POP3 和 IMAP4 配置,如身份驗證和連接配接設定。
Public Folders
與此角色類型相關聯的角色使管理者能夠管理組織中的公用檔案夾。
此角色類型不允許管理公用檔案夾是否已啟用郵件。若要針對公用檔案夾啟用或禁用郵件功能,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。
Receive Connectors
與此角色類型相關聯的角色使管理者能夠管理傳輸接收連接配接器配置,如對單台伺服器的大小限制。
Recipient Policies
與此角色類型相關聯的角色使管理者能夠管理組織中的收件人政策,如設定和移動裝置政策。
Remote And Accepted Domains
與此角色類型相關聯的角色使管理者能夠管理組織中的遠端域和接受域。
Reset Password
與此角色類型相關聯的角色使組織中的使用者能夠重置各自的密碼,使管理者能夠重置使用者的密碼。
Retention Management
與此角色類型相關聯的角色使管理者能夠管理組織中的保留政策。
Role Management
與此角色類型相關聯的角色使管理者能夠管理組織中的管理角色組、角色配置設定政策、管理角色、角色條目、角色配置設定和作用域。
獲得與此角色類型相關聯角色的使用者可以覆寫 role group managed by、配置任何角色組,并可在任何角色組中添加或删除成員。
Security Group Creation And Membership
與此角色類型相關聯的角色使管理者能夠建立和管理組織中的 USG 及其成員身份。
如果在貴組織維護的拆分權限模型中,建立和管理 USG 的組不同于管理 Exchange 伺服器的組,請将與此角色類型相關聯的角色配置設定給該組。
Send Connectors
與此角色類型相關聯的角色使管理者能夠管理組織中的傳輸發送連接配接器。
Support Diagnostics
與此角色類型相關聯的角色使管理者能夠在 Microsoft 支援服務人員的指導下在組織中執行進階診斷。
警告:
與此角色類型相關聯的角色授予對 cmdlet 和腳本的權限,而且這些 cmdlet 和腳本隻應當在 Microsoft 客戶服務和支援人員的指導下使用。
Team Mailboxes
與此角色類型相關聯的角色使管理者能夠在組織中定義一個或多個站點郵箱設定政策和管理站點郵箱。配置設定了與此角色類型相關聯的角色的管理者可以管理不屬于自己的站點郵箱。
Team Mailbox Lifecycle Application
與此角色類型相關聯的角色使合作夥伴應用程式能夠更新組織中的站點郵箱生命周期狀态。
Transport Agents
與此角色類型相關聯的角色使管理者能夠管理組織中的傳輸代理。
Transport Hygiene
與此角色類型相關聯的角色使管理者能夠管理組織中的反垃圾郵件和防惡意軟體功能。
Transport Queues
與此角色類型相關聯的角色使管理者能夠管理單台伺服器上的傳輸隊列。
Transport Rules
與此角色類型相關聯的角色使管理者能夠管理組織中的傳輸規則。
UM Mailboxes
與此角色類型相關聯的角色使管理者能夠管理組織中郵箱和其他收件人的統一消息 (UM) 配置。
UM Prompts
與此角色類型相關聯的角色使管理者能夠在組織中建立和管理自定義的 UM 語音提示。
Unified Messaging
與此角色類型相關聯的角色使管理者能夠管理組織中的統一消息服務。
使用此角色無法管理 UM 專用郵箱配置或 UM 提示語。若要管理特定于 UM 的郵箱配置,請使用與 UM Mailboxes 角色類型相關聯的角色。若要管理 UM 提示語,請使用與 UM Prompts 角色類型相關聯的角色。
Un Scoped Role Management
與此角色類型相關聯的角色使管理者能夠在組織中建立和管理未區分範圍的頂級管理角色。
User Options
與此角色類型相關聯的角色使管理者能夠檢視組織中使用者的 Outlook Web App 選項。可以使用與此角色類型相關聯的角色來幫助使用者診斷其配置問題。
User Application
與此角色類型相關聯的角色使合作夥伴應用程式能夠在組織中代表最終使用者操作。
View Only Audit Logs
與此角色類型相關聯的角色使管理者能夠搜尋組織中的管理者稽核日志。
View Only Configuration
與此角色類型相關聯的角色使管理者能夠檢視組織中所有的非收件人 Exchange 配置設定。可檢視的配置示例為伺服器配置、傳輸配置、資料庫配置和整個組織配置。
可以将與此角色類型相關聯的角色同那些與 View Only Recipients 角色類型相關聯的角色結合使用,以建立可以檢視組織中每個對象的角色。
View Only Recipients
與此角色類型相關聯的角色使管理者能夠檢視收件人的配置,如郵箱、郵件使用者、郵件聯系人、通訊組和動态通訊組。
可以将與此角色類型相關聯的角色同那些與 View Only Configuration 角色類型相關聯的角色結合使用,以建立可以檢視組織中每個對象的角色。
Workload Management
與此角色類型相關聯的角色使管理者能夠管理組織中的工作負荷管理政策。管理者可配置資源健康定義、工作負載分類并啟用或禁用工作負載管理。
OU 作用域
OU 作用域是最簡單的自定義作用域,使用 New-ManagementRoleAssignment cmdlet 的 RecipientOrganizationalUnitScope 參數來建立。通過在配置設定角色時指定 OU 作用域,配置設定了該角色的角色受理人僅可以修改此 OU 内的收件人對象。
收件人篩選作用域
收件人篩選作用域按收件人類型或其他收件人屬性(如部門、管理者、位置等),使用篩選器将特定的收件人作為目标。
配置作用域
配置作用域按伺服器清單或可以在伺服器上定義的可篩選屬性(如 Active Directory 站點或伺服器角色),使用篩選器或清單将特定的伺服器作為目标。配置作用域還可以按資料庫清單或可篩選資料庫屬性,使用資料庫作用域将特定的資料庫作為目标。
有關更多地詳細内容可以參考微軟官方幫助文檔:
http://technet.microsoft.com/en-us /library/dd335146(v=exchg.150).aspx
Exchange 2013的權限管理,就是将“AD使用者“ > ”Exchange管理組“ > ”Exchange管理角色“ > ”Exchange管理作用域”進行關聯的過程。
基本思路如下:
示例:希望,使用者A可以管理“MY”OU下所有使用者的 “Exchange郵箱”
建立組:首先建立一個Exchange自定義管理組“MY Manager“
配置設定權限:為管理組配置設定郵箱管理權限
關聯作用域:将管理組的作用域定義為“MY”OU
添加使用者:向管理組添加使用者A
管理權限配置設定,可以通過Exchange管理控制界面(EAC)或者Exchange Powershell指令行工具來實作。
可以為每個Exchange自定義管理組配置設定多個Exchange管理角色,以實作企業郵件管理者的權限劃分。
在 Exchange 管理中心 (EAC) 中,導航到“權限”>“管理者角色”,然後單擊“添加” 。
在“建立角色組”視窗中,提供新角色組的名稱。
您可以現在選擇要配置設定給角色組的角色以及要添加到角色組的成員,也可以另選時間執行此操作。
選擇要應用于新角色組的寫入作用域。
單擊“儲存”建立角色組。
可以通過New-RoleGroup指令來進行角色組建立。
示例:
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members Kim, Martin – RecipientOrganizationalUnitScope contoso.com/Engineering/User
本示例将建立一個自定義角色組Limited Recipient Management(建立組)。将向該角色組配置設定 Mail Recipients 和 Mail Enabled Public Folders 角色(配置設定權限),并會将使用者 Kim 和 Martin 添加為成員(配置設定使用者),并配置作用域限制為 contoso.com/Engineering/Users OU(關聯作用域),Kim 和 Martin 可以為Users OU中的任何使用者管理任何收件人和重置密碼。
本文轉自 煙台小崔 51CTO部落格,原文連結:http://blog.51cto.com/seawind/1931723
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)