Управление доступом на основе ролей

Существует два вида ролей.

• Роли пользователя   Эти роли служат для назначения пользователям базовых возможностей. Например, существуют роли, которые позволяют пользователям изменять контактные данные в общей адресной книге, а также создавать общие группы.
  
• Роли администратора.   Эти роли служат для назначения административных возможностей системным администраторам и другим специалистам, таким как сотрудники службы поддержки или сотрудники, отвечающие за соответствие нормативным требованиям. Например, существуют роли, которые позволяют пользователям создавать, изменять и удалять почтовые ящики, почтовые контакты, пользователей электронной почты, а также сбрасывать пароли пользователей.
  

Роли назначаются пользователям посредством назначения ролей. Существуют различные способы назначения ролей для пользователей.

• Роли пользователя, назначенные политике назначения ролей   Как правило, именно этим способом пользователям назначаются роли пользователя. Необходимо удалить роль из политики назначения ролей и повлиять на всех пользователей, для которых назначена эта политика? Просто удалите роль из политики назначения ролей. Можно также создать новую политику назначения ролей и назначить ее большому числу пользователей, которым необходимы большие или меньшие возможности.
  Примечание   Политике назначения ролей могут быть назначены только роли пользователя. Кроме того, в организациях Live@edu политика назначения ролей назначается плану почтового ящика. Политики назначения ролей невозможно создать или присвоить непосредственно пользователям. Вместо этого происходит назначение планов почтового ящика пользователям.
  
• Роли, назначенные группе ролей   Группа ролей — это универсальная группа безопасности с назначенными административными правами. Как правило, так административные роли назначаются администраторам и ИТ-специалистам. Просто добавьте пользователей в соответствующую группу ролей или удалите пользователей из группы ролей. Назначение роли для группы ролей или удаление роли или назначения роли из группы ролей влияет на всех членов группы ролей.
  Также можно создать новую группу ролей и добавить в нее пользователей. Это позволяет наиболее точно настроить все параметры. Если встроенная группа ролей назначается различным ролям, которые предоставят определенному пользователю слишком много полномочий в организации, можно создать новую группу ролей, назначить этой группе необходимые роли, а затем добавить в группу пользователей.
  
• Роли, назначаемые пользователю напрямую   Рекомендуется не назначать роли непосредственно пользователям, так как назначение и отслеживание назначенных ролей может представлять определенные сложности. Вместо этого создайте новую группу ролей, назначьте для этой группы роли, затем добавьте в нее пользователей.
  

Да, но делать это необязательно. По умолчанию существует около 30 ролей администратора и 14 ролей пользователя. Некоторые роли имеют особые функции, которые не содержатся в других ролях. Если определенная группа ролей или политика назначения ролей предоставляет пользователям слишком широкие полномочия, можно удалить определенные назначения ролей без настройки самих ролей. Примеры см. в следующих разделах:

• Запрещение изменения отображаемых имен пользователями
  
• Предоставление пользователям права изменения отображаемых имен в Live@edu
  

При назначении роли пользователю последний сможет получить доступ к дополнительным функциональным возможностям.

• Панель управления Exchange   Пользователи могут просматривать только те вкладки и параметры, которые разрешены в назначенных ролях. Например, вкладка «Обнаружение» отображается только после того как пользователь будет добавлен в группу ролей «Управление обнаружением».
  
• Windows PowerShell   Если пользователь использует WinRM для подключения Windows PowerShell к облачной службе, он может использовать только те командлеты и параметры, которые разрешены ролями, назначенными для этого пользователя.