一 定义
Role Based Access Control (RBAC) ,是用于 Microsoft Exchange Server 2013 的权限模型。
角色分为两种类型:
管理角色:可以管理 Exchange 组织的用户或组。
最终用户角色:可以管理其自己的邮箱及其拥有的通讯组的用户。
角色组,使用角色组可以向管理角色授予权限。
角色分配策略,为角色提供不同级别的权限。
作用域,是对角色分配产生影响的作用域。
二 关系图
若想更形象的理解Exchange各组件之间的关系,可以参考下图。
2.1 用户、角色组和角色之间的关系
角色组包含了:Exchange角色(定义权限)和AD成员(AD内的通用组或者AD内的用户)
应用与成员的角色,定义了角色组的管理范围,管理员只可以管理此范围内的Exchange资源(包括用户、Exchange数据库、Exchange服务器、Exchange功能等)
三 权限细则
3.1 内置角色组
内置的角色组已经定义了管理功能和范围,基础的权限管理需求可以通过将AD对象添加到组中来实现权限划分。
| 管理角色 | 描述 | ||
|---|---|---|---|
| Organization Management | 组织管理 角色组成员的管理员具有对整个 Exchange 2013 组织的管理访问权限,并且几乎可以对任意 Exchange 2013 对象执行任何任务,某些情况除外,例如 Discovery Management 角色。
|
||
| View-Only Organization Management | 属于 仅查看组织管理 角色组成员的管理员可以查看 Exchange 组织中任何对象的属性。 | ||
| Recipient Management | 属于 收件人管理 角色组成员的管理员拥有在 Exchange 2013 组织中创建或修改 Exchange 2013 收件人的管理访问权限。 | ||
| UM Management | 如果管理员是“UM 管理”角色组中的成员,则他可以管理 Exchange 组织中的功能,例如统一消息 (UM) 服务配置、邮箱上的 UM 属性、UM 提示和 UM 自动助理配置。 | ||
| Discovery Management | 默认情况下,帮助中心角色组允许成员查看和修改组织中任何用户的 Microsoft Office Outlook Web App 选项。这些选项可能包括修改用户的显示名称、地址、电话号码。它们不包括 Outlook Web App 选项中不可用的选项,例如,修改邮箱大小或配置邮箱所在的邮箱数据库。 | ||
| Records Management | 作为清洁管理角色组成员的管理员可以配置 Exchange 2013 的防病毒和反垃圾邮件功能。与 Exchange 2013 集成的第三方程序可以将服务帐户添加到此角色组中,这样这些程序就可以访问检索和配置 Exchange 配置所需的 cmdlet。 | ||
| Server Management | 属于 记录管理 角色组成员的用户可以配置遵从性功能(如保留策略标记、邮件分类和传输规则)。 | ||
| Help Desk | 作为 发现管理 角色组成员的管理员或用户可以在 Exchange 组织中的邮箱中搜索满足特定条件的数据,还可以在邮箱上配置合法保留。 | ||
| Hygiene Management | 属于公用文件夹管理角色组成员的管理员可以管理运行 Exchange 2013 的服务器上的公用文件夹。 | ||
| Compliance Management | 属于“服务器管理”角色组成员的管理员可以配置诸如数据库副本、证书、传输队列和发送连接器、虚拟目录和客户端访问协议这样的传输、统一消息、客户端访问和邮箱功能的特定于服务器的配置。 | ||
| Public Folder Management | 作为“委派安装”角色组成员的管理员可以部署正在运行 Exchange 2013 且以前由 组织管理 角色组成员设置的服务器。 | ||
| Delegated Setup | 属于合规管理角色组的用户可根据其组织策略配置和管理 Exchange 合规性设置。 |
3.2 内置管理角色
Exchange内置的管理角色已经关联了相应的角色管理策略,每种管理角色都包含一定的管理功能。
| 内置管理角色 | 描述 | 组织/服务器 | ||
|---|---|---|---|---|
| Active Directory Permissions | 与此角色类型相关联的角色使管理员能够配置组织中的 Active Directory 权限。使用 Active Directory 权限或访问控制列表 (ACL) 的部分功能包括传输“接收”和“发送”连接器以及邮箱的“代理发送”和“代表发送”权限。
|
组织 | ||
| Address Lists | 与此角色类型相关联的角色类型使管理员能够管理组织中的地址列表、全局地址列表 (GAL) 和脱机地址列表。 | 组织 | ||
| Application Impersonation | 与此角色类型相关联的角色类型使应用程序能够模拟组织中的用户来代表用户执行任务。 | 组织 | ||
| Archive Application | 与此角色类型相关联的角色使合作伙伴应用程序能够将项目存档到组织的用户邮箱中。 | 组织 | ||
| Audit Logs | 与此角色类型相关联的角色使管理员能够管理组织中的管理员审核日志记录配置。 | 组织 | ||
| Cmdlet Extension Agents | 与此角色类型相关联的角色使管理员能够管理组织中的 cmdlet 扩展代理。 | 组织 | ||
| DataLoss Prevention | 与此角色类型相关联的角色可以在组织中创建和管理数据丢失预防 (DLP) 策略以及这些策略内的规则。 | 组织 | ||
| Database Availability Groups | 与此角色类型相关联的角色使管理员能够管理组织中的数据库可用性组 (DAG)。直接或间接被分配此角色的管理员是负责组织中高可用性配置的最高级别管理员。 | 组织 | ||
| Database Copies | 与此角色类型相关联的角色使管理员能够在单台服务器上管理数据库副本。 | 服务器 | ||
| Databases | 与此角色类型相关联的角色使管理员能够在各个服务器上创建、管理、装载和卸除邮箱数据库。 | 服务器 | ||
| Disaster Recovery | 与此角色类型相关联的角色使管理员能够在组织中还原邮箱和邮箱数据库、创建邮箱数据库以及执行数据库可用性组的数据中心来回切换。 | 组织 | ||
| Distribution Groups | 与此角色类型相关联的角色使管理员能够在组织中创建和管理通讯组和通讯组成员。 | 组织 | ||
| Edge Subscriptions | 与此角色类型相关联的角色使管理员能够管理组织中 Exchange 2010 边缘传输服务器与 Exchange 2013 邮箱服务器之间的边缘同步和订阅配置。 | 组织 | ||
| Email Address Policies | 与此角色类型相关联的角色使管理员能够管理组织中的电子邮件地址策略。 | 组织 | ||
| Exchange Connectors | 与此角色类型相关联的角色使管理员能够创建、修改、查看并删除路由组连接器和传递代理连接器。 | 组织 | ||
| Exchange Server Certificates | 与此角色类型相关联的角色使管理员能够在单台服务器上创建、导入、导出和管理 Exchange 服务器证书。 | 服务器 | ||
| Exchange Servers | 与此角色类型相关联的角色使管理员能够在单台服务器上管理 Exchange 服务器配置。 | 服务器 | ||
| Exchange Virtual Directories | 与此角色类型相关联的角色使管理员能够在各个服务器上管理 Outlook Web App、Microsoft ActiveSync、脱机通讯簿 (OAB)、自动发现、Windows PowerShell 和 Exchange 管理中心虚拟目录。 | 服务器 | ||
| Federated Sharing | 与此角色类型相关联的角色使管理员能够管理组织中的跨林和跨组织共享。 | 组织 | ||
| Information Rights Management | 与此角色类型相关联的角色使管理员能够管理组织中 Exchange 的信息权限管理 (IRM) 功能。 | 组织 | ||
| Journaling | 与此角色类型相关联的角色使管理员能够管理组织中的日记配置。 | 组织 | ||
| Legal Hold | 与此角色类型相关联的角色使管理员能够配置邮箱中的数据是否应保留用于组织的诉讼目的。 | 组织 | ||
| Mailbox Import Export | 与此角色类型相关联的角色使管理员能够导入和导出邮箱内容,以及清除邮箱中不需要的内容。 | 组织 | ||
| Mailbox Search | 与此角色类型相关联的角色使管理员能够在组织中搜索一个或多个邮箱的内容。 | 组织 | ||
| Mailbox Search Application | 与此角色类型相关联的角色使合作伙伴应用程序能够在组织中设置和查看邮箱的合法保留状态。 | 组织 | ||
| Mail Enabled Public Folders | 与此角色类型相关联的角色使管理员能够将组织中的各个公用文件夹配置为是启用还是禁用邮件功能。 使用此角色类型只能管理公用文件夹的电子邮件属性。它不允许您管理不属于电子邮件属性的公用文件夹属性。要管理不属于电子邮件属性的公用文件夹属性,需要分配与 Public Folders 角色类型相关联的角色。 |
组织 | ||
| Mail Recipient Creation | 与此角色类型相关联的角色使管理员能够在组织中创建邮箱、邮件用户、邮件联系人、通讯组和动态通讯组。可以将与此角色类型相关联的角色与 Mail Recipients 类型结合使用,以便能够创建和管理收件人。 此角色类型不允许针对公用文件夹启用邮件功能。若要针对公用文件夹启用邮件功能,必须获得与 Mail Enabled Public Folders 角色类型相关联的角色。 如果在贵组织维护的拆分权限模型中,创建收件人的组不同于管理收件人的组,请将 Mail Recipient Creation 角色分配给创建收件人的组,并将 Mail Recipients 角色分配给管理收件人的组。 |
组织 | ||
| Mail Recipients | 与此角色类型相关联的角色使管理员能够管理组织中现有邮箱、邮件用户和邮件联系人、通讯组和动态通讯组。与此角色类型相关联的角色无法创建这些收件人,但可以将此角色同那些与 Mail Recipient Creation 角色类型相关联的角色结合使用,以创建和管理收件人。 无法使用此类角色管理启用了邮件功能的公用文件夹或通讯组。若要管理已启用邮件功能的公用文件夹,必须获得与 Mail Enabled Public Folders 角色类型相关联的角色。若要管理通讯组,必须获得与 Distribution Groups 角色类型相关联的角色。 如果在贵组织维护的拆分权限模型中,创建收件人的组不同于管理收件人的组,请将 Mail Recipient Creation 角色分配给创建收件人的组,并将 Mail Recipients 角色分配给管理收件人的组。 |
组织 | ||
| MailTips | 与此角色类型相关联的角色使管理员能够管理组织中的邮件提示。 | 组织 | ||
| Message Tracking | 与此角色类型相关联的角色使管理员能够跟踪组织中的邮件。 | 组织 | ||
| Migration | 与此角色类型相关联的角色使管理员能够将邮箱和邮箱内容迁入或迁出服务器。 | 服务器 | ||
| Monitoring | 与此角色类型相关联的角色使管理员能够监视组织中的 Microsoft Exchange 服务和组件可用性。除了管理员,与此角色类型相关联的角色还可以与监视应用程序所使用的服务帐户结合使用来收集有关 Exchange 服务器状态的信息。 | 组织 | ||
| Move Mailboxes | 与此角色类型相关联的角色使管理员能够在组织中的服务器之间以及本地组织和其他组织之间的服务器之间移动邮箱。 | 组织 | ||
| Office Extension Application | 与此角色类型相关联的角色使 Microsoft Office 扩展应用程序能够访问组织中的用户邮箱。 | 组织 | ||
| Org Custom Apps | 与此角色类型相关联的角色使管理员能够在组织中查看和修改其组织的自定义应用。 | 组织 | ||
| Org Marketplace Apps | 与此角色类型相关联的角色使管理员能够在组织中查看和修改其组织的商城应用。 | 组织 | ||
| Organization Client Access | 与此角色类型相关联的角色使管理员能够管理组织中的客户端访问服务器设置。 | 组织 | ||
| Organization Configuration | 与此角色类型相关联的角色使管理员能够管理组织中组织范围的设置。可以通过该角色类型控制的组织配置包括(但不限于)以下配置: 是否为组织启用或禁用邮件提示。 托管文件夹主页的 URL。 Microsoft Exchange 收件人 SMTP 地址和备选电子邮件地址。 资源邮箱属性架构配置。 Exchange 管理中心和 Outlook Web App 的帮助 URL。 此角色类型不包括 Organization Client Access 或 Organization Transport Settings 角色类型中所包含的权限。 |
组织 | ||
| Organization Transport Settings | 与此角色类型相关联的角色使管理员能够管理组织范围的传输设置,如组织中的系统消息、Active Directory 站点配置和其他组织范围内的传输设置。 使用此角色无法创建或管理传输接收或发送连接器、队列、安全机制、代理、远程和接受域或规则。若要创建或管理每个传输功能,必须获得与以下角色类型相关联的角色: 接收连接器:Receive Connectors 发送连接器:Send Connectors 传输队列:Transport Queues 传输安全机制:Transport Hygiene 传输代理:Transport Agents 远程域和接受域:Remote And Accepted Domains 传输规则:Transport Rules |
组织 | ||
| POP3AndIMAP4Protocols | 与此角色类型相关联的角色使管理员能够在单台服务器上管理 POP3 和 IMAP4 配置,如身份验证和连接设置。 | 服务器 | ||
| Public Folders | 与此角色类型相关联的角色使管理员能够管理组织中的公用文件夹。 此角色类型不允许管理公用文件夹是否已启用邮件。若要针对公用文件夹启用或禁用邮件功能,必须获得与 Mail Enabled Public Folders 角色类型相关联的角色。 |
组织 | ||
| Receive Connectors | 与此角色类型相关联的角色使管理员能够管理传输接收连接器配置,如对单台服务器的大小限制。 | 服务器 | ||
| Recipient Policies | 与此角色类型相关联的角色使管理员能够管理组织中的收件人策略,如设置和移动设备策略。 | 组织 | ||
| Remote And Accepted Domains | 与此角色类型相关联的角色使管理员能够管理组织中的远程域和接受域。 | 组织 | ||
| Reset Password | 与此角色类型相关联的角色使组织中的用户能够重置各自的密码,使管理员能够重置用户的密码。 | 组织 | ||
| Retention Management | 与此角色类型相关联的角色使管理员能够管理组织中的保留策略。 | 组织 | ||
| Role Management | 与此角色类型相关联的角色使管理员能够管理组织中的管理角色组、角色分配策略、管理角色、角色条目、角色分配和作用域。 获得与此角色类型相关联角色的用户可以覆盖 role group managed by、配置任何角色组,并可在任何角色组中添加或删除成员。 |
组织 | ||
| Security Group Creation And Membership | 与此角色类型相关联的角色使管理员能够创建和管理组织中的 USG 及其成员身份。 如果在贵组织维护的拆分权限模型中,创建和管理 USG 的组不同于管理 Exchange 服务器的组,请将与此角色类型相关联的角色分配给该组。 |
组织 | ||
| Send Connectors | 与此角色类型相关联的角色使管理员能够管理组织中的传输发送连接器。 | 组织 | ||
| Support Diagnostics | 与此角色类型相关联的角色使管理员能够在 Microsoft 支持服务人员的指导下在组织中执行高级诊断。
|
组织 | ||
| Team Mailboxes | 与此角色类型相关联的角色使管理员能够在组织中定义一个或多个站点邮箱设置策略和管理站点邮箱。分配了与此角色类型相关联的角色的管理员可以管理不属于自己的站点邮箱。 | 组织 | ||
| Team Mailbox Lifecycle Application | 与此角色类型相关联的角色使合作伙伴应用程序能够更新组织中的站点邮箱生命周期状态。 | 组织 | ||
| Transport Agents | 与此角色类型相关联的角色使管理员能够管理组织中的传输代理。 | 组织 | ||
| Transport Hygiene | 与此角色类型相关联的角色使管理员能够管理组织中的反垃圾邮件和防恶意软件功能。 | 组织 | ||
| Transport Queues | 与此角色类型相关联的角色使管理员能够管理单台服务器上的传输队列。 | 服务器 | ||
| Transport Rules | 与此角色类型相关联的角色使管理员能够管理组织中的传输规则。 | 组织 | ||
| UM Mailboxes | 与此角色类型相关联的角色使管理员能够管理组织中邮箱和其他收件人的统一消息 (UM) 配置。 | 组织 | ||
| UM Prompts | 与此角色类型相关联的角色使管理员能够在组织中创建和管理自定义的 UM 语音提示。 | 组织 | ||
| Unified Messaging | 与此角色类型相关联的角色使管理员能够管理组织中的统一消息服务。 使用此角色无法管理 UM 专用邮箱配置或 UM 提示语。若要管理特定于 UM 的邮箱配置,请使用与 UM Mailboxes 角色类型相关联的角色。若要管理 UM 提示语,请使用与 UM Prompts 角色类型相关联的角色。 |
组织 | ||
| Un Scoped Role Management | 与此角色类型相关联的角色使管理员能够在组织中创建和管理未区分范围的顶级管理角色。 | 组织 | ||
| User Options | 与此角色类型相关联的角色使管理员能够查看组织中用户的 Outlook Web App 选项。可以使用与此角色类型相关联的角色来帮助用户诊断其配置问题。 | 组织 | ||
| User Application | 与此角色类型相关联的角色使合作伙伴应用程序能够在组织中代表最终用户操作。 | 组织 | ||
| View Only Audit Logs | 与此角色类型相关联的角色使管理员能够搜索组织中的管理员审核日志。 | 组织 | ||
| View Only Configuration | 与此角色类型相关联的角色使管理员能够查看组织中所有的非收件人 Exchange 配置设置。可查看的配置示例为服务器配置、传输配置、数据库配置和整个组织配置。 可以将与此角色类型相关联的角色同那些与 View Only Recipients 角色类型相关联的角色结合使用,以创建可以查看组织中每个对象的角色。 |
组织 | ||
| View Only Recipients | 与此角色类型相关联的角色使管理员能够查看收件人的配置,如邮箱、邮件用户、邮件联系人、通讯组和动态通讯组。 可以将与此角色类型相关联的角色同那些与 View Only Configuration 角色类型相关联的角色结合使用,以创建可以查看组织中每个对象的角色。 |
组织 | ||
| Workload Management | 与此角色类型相关联的角色使管理员能够管理组织中的工作负荷管理策略。管理员可配置资源健康定义、工作负载分类并启用或禁用工作负载管理。 | 组织 |
3.3 自定义作用域
OU 作用域
OU 作用域是最简单的自定义作用域,使用 New-ManagementRoleAssignment cmdlet 的 RecipientOrganizationalUnitScope 参数来创建。通过在分配角色时指定 OU 作用域,分配了该角色的角色受理人仅可以修改此 OU 内的收件人对象。
收件人筛选作用域
收件人筛选作用域按收件人类型或其他收件人属性(如部门、管理员、位置等),使用筛选器将特定的收件人作为目标。
配置作用域
配置作用域按服务器列表或可以在服务器上定义的可筛选属性(如 Active Directory 站点或服务器角色),使用筛选器或列表将特定的服务器作为目标。配置作用域还可以按数据库列表或可筛选数据库属性,使用数据库作用域将特定的数据库作为目标。
有关更多地详细内容可以参考微软官方帮助文档:
http://technet.microsoft.com/en-us /library/dd335146(v=exchg.150).aspx
四 如何进行权限定义和管理
Exchange 2013的权限管理,就是将“AD用户“ > ”Exchange管理组“ > ”Exchange管理角色“ > ”Exchange管理作用域”进行关联的过程。
基本思路如下:
示例:希望,用户A可以管理“MY”OU下所有用户的 “Exchange邮箱”
-
创建组:首先创建一个Exchange自定义管理组“MY Manager“
-
分配权限:为管理组分配邮箱管理权限
-
关联作用域:将管理组的作用域定义为“MY”OU
-
添加用户:向管理组添加用户A
管理权限分配,可以通过Exchange管理控制界面(EAC)或者Exchange Powershell命令行工具来实现。
可以为每个Exchange自定义管理组分配多个Exchange管理角色,以实现企业邮件管理员的权限划分。
4.1 如何为用户配置自定义权限
4.1.1使用 EAC 创建角色组,分配作用域,选择用户
在 Exchange 管理中心 (EAC) 中,导航到“权限”>“管理员角色”,然后单击“添加” 。
在“新建角色组”窗口中,提供新角色组的名称。
您可以现在选择要分配给角色组的角色以及要添加到角色组的成员,也可以另选时间执行此操作。
选择要应用于新角色组的写入作用域。
单击“保存”创建角色组。
4.1.2使用命令行管理程序创建角色组,分配作用域,选择用户
可以通过New-RoleGroup命令来进行角色组创建。
示例:
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members Kim, Martin – RecipientOrganizationalUnitScope contoso.com/Engineering/User
本示例将创建一个自定义角色组Limited Recipient Management(创建组)。将向该角色组分配 Mail Recipients 和 Mail Enabled Public Folders 角色(分配权限),并会将用户 Kim 和 Martin 添加为成员(分配用户),并配置作用域限制为 contoso.com/Engineering/Users OU(关联作用域),Kim 和 Martin 可以为Users OU中的任何用户管理任何收件人和重置密码。
本文转自 烟台小崔 51CTO博客,原文链接:http://blog.51cto.com/seawind/1931723
