Домашняя страница
|
Состояние службы
|
Блог группы
|
Форумы
Найти

Группы ролей администраторов

Применимо к: Office 365 for enterprises, Live@edu

Последнее изменение раздела: 2011-07-13

 

Группы ролей упрощают назначение административных разрешений. Чтобы предоставить пользователю разрешения на выполнение определенных административных задач, его нужно включить в группу ролей, предназначенную для выполнения этих задач. Например, если принят на работу новый сотрудник технической поддержки, можно просто добавить нового сотрудника в группу ролей технической поддержки и тот может начать работу.

Рассмотрим принципы работы групп ролей, и какие группы ролей доступны по умолчанию.

Состав группы ролей

Группа ролей администратора — это универсальная группа безопасности, для которой назначены административные права. Эти административные права определяются встроенными ролями управления, которые являются частью модели разрешения управление доступа на основе ролей (RBAC). Роль управления, также называемая роль RBAC или просто роль, служит для определения ресурсов, к которым у какого-либо пользователя есть право доступа, а также всех действий, которые пользователь может выполнять с этими ресурсами.

Из чего состоит группа ролей?

Группы ролей администратора

Члены группы ролей.   Аналогично общим группам и группам рассылки группы ролей администрирования имеют членов. Роли, назначенные группе ролей, применяются к каждому члену, который добавляется в группу ролей. Это предоставляет каждому пользователю все разрешения, доступные для ролей, содержащихся в определенной группе.

Чтобы просмотреть членов группы ролей, выполните следующие действия:

  • На панели управления Exchange выполните следующие действия.
    1. Последовательно выберите команды «Управление организацией» > «Роли и аудит» > «Роли администратора».
    2. Выберите группу ролей. Члены этой группы будут отображены в области сведений.
  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-RoleGroupMember "<name of role group>"

Группа ролей.   Роли назначаются для группы ролей. Сочетание всех ролей, назначенных группе ролей, служит для определения всех объектов в организации, которыми члены группы ролей могут управлять.

Чтобы просмотреть группы ролей для организации, выполните следующие действия:

  • На панели управления Exchange выполните следующие действия.
    Последовательно выберите команды «Управление организацией» > «Роли и аудит» > «Роли администратора».
  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-RoleGroup

Назначения ролей.   Назначение роли служит для сопоставления роли управления с группой ролей. Назначение роли для группы ролей означает предоставление членам этой группы ролей разрешений на использование командлетов и параметров Windows PowerShell, определенных для этой роли. При назначении ролей также используются области управления. С их помощью можно управлять областями использования этих ролей.

Так как роли могут быть назначены различным группам ролей, назначение роли указывает на определенное назначение, а имя этого назначения является уникальным во всей организации. Например, роль «Параметры пользователей» назначается группе «Управление организацией» и группе ролей службы поддержки, однако используются разные имена назначения, которые уникальным образом определяют назначение для каждой группы: «Параметры пользователей — служба поддержки» и «Параметры пользователей — управление организацией».

Чтобы просмотреть роли, назначенные определенной группе ролей, выполните следующие действия:

  • На панели управления Exchange выполните следующие действия.
    1. Последовательно выберите команды «Управление организацией» > «Роли и аудит» > «Роли администратора».
    2. Выберите группу ролей. Роли, назначенные для группы ролей, будут отображены в области сведений.
      Примечание.   Не все роли, назначенные группе ролей, применимы или доступны в любых облачных организациях.
  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-ManagementRoleAssignment -RoleAssignee "<name of role group>"
    Чтобы просмотреть все назначения ролей в организации, выполните следующую команду:
    Копировать
    Get-ManagementRoleAssignment

Области записи ролей   Область записи определяет административные границы ролей, включенных в группу ролей. Другими словами, область записи определяет, где члены группы ролей могут выполнять изменения. Для встроенных ролей администрирования, позволяющих пользователям изменять объекты, областью записи по умолчанию является вся организация.

Также можно создавать настраиваемые области записи на основе фильтров получателей. Например, «Все пользователи, у которых в атрибуте Department стоит значение "finance"». Если создать новую группу ролей и назначить ей роль «Параметры пользователей» с использованием настраиваемой области записи, то члены этой группы смогут просматривать и изменять параметры учетных записей на странице «Параметры» только в тех почтовых ящиках, у которых «в атрибуте Department стоит значение "finance"». Настраиваемые области записи создаются с помощью командлета New-ManagementScope.

Чтобы просмотреть области записи для каждой роли, назначенной для определенной группы ролей, выполните следующие действия:

  • На панели управления Exchange выполните следующие действия.
    1. Последовательно выберите команды «Управление организацией» > «Роли и аудит» > «Роли администратора».
    2. Выберите группу ролей и нажмите кнопку «Подробности» для просмотра области записи для всех назначенных ролей.
      Примечание.   Если соблюдается одно из следующих условий, нельзя просматривать или изменять область записи, а также добавлять или удалять роли на панели управления Exchange:
      •  Группе ролей назначена роль конечного пользователя.
      •  Одна из ролей назначена группе ролей с использованием области записи, отличной от той, которая использовалась для назначения остальных ролей.
      •  Роли назначены группе ролей с использованием областей монопольной записи. Область монопольной записи используется для изоляции определенных почтовых ящиков, управлять которыми могут только назначенные администраторы. Дополнительные сведения см. в разделе Создание областей монопольной записи.
  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-ManagementRoleAssignment -RoleAssignee "<name of role group>" | Format-List Role,RecipientWriteScope

Роли.   Роль RBAC — это контейнер, предназначенный для группировки записей ролей управления. Роли определяют определенные задачи, которые могут выполняться членами группы ролей, для которой назначена роль.

Чтобы просмотреть роли администрирования для организации, выполните следующие действия:

  • На панели управления Exchange выполните следующие действия.
    1. Последовательно выберите команды «Управление организацией» > «Роли и аудит» > «Роли администратора».
    2. Нажмите кнопку «Создать» или выберите существующую группу, а затем нажмите кнопку «Подробности».
    3. На странице «Группа ролей» в разделе «Роли» нажмите кнопку «Добавить». Обратите внимание, что роли, назначенные группе ролей, не меняются. Вместо этого мы просто просмотрим список ролей администрирования.
    4. На странице «Выбор роли» можно просмотреть имена и описания ролей.
    5. После завершения нажмите кнопку «Отмена» на странице «Выбор роли» и на странице «Группа ролей».
  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-ManagementRole | Where {$_.IsEndUserRole -eq $false}

Записи роли.   Записи роли — это отдельные записи в роли управления. Записи роли предоставляют доступ к командлетам, сценариям, а также другие особые разрешения, которые позволят пользователям выполнять определенные задачи. Как правило, запись роли является отдельным командлетом и параметрами, которые члены группы ролей могут выполнять, если роль назначена группе ролей.

Чтобы просмотреть командлеты и параметры, связанные с ролью, без усечения результатов, выполните следующие действия:

  • Выполните в Windows PowerShell следующую команду:
    Копировать
    Get-ManagementRoleEntry "<name of the role>\*" | ConvertTo-Html > "<file name>.html"
    Откройте полученный HTML-файл в веб-браузере. Сведения находятся в столбцах «Имя» и «Параметры».

В начало

Встроенные группы ролей

По умолчанию доступны следующие встроенные группы ролей. Обратите внимание, что не все роли, назначенные группе ролей, будут применимы или доступны в облачной организации.

Группа ролей Административные задачи, доступные для членов

Управление обнаружением

Используйте поиск в нескольких почтовых ящиках организации электронной почты и других типов сообщений, содержащих определенные ключевые слова.

Служба поддержки

Сбрасывайте пароли пользователей и управляйте параметрами на странице «Параметры» для облачной учетной записи пользователя. Чтобы помочь при устранении неполадок учетных записей пользователей, члены могут просматривать без возможности изменения все почтовые ящики, группы рассылки и внешние контакты организации.

Примечание.   В Office 365 для предприятий можно сбросить пароли с помощью панели управления Exchange или Windows PowerShell. Чтобы разрешить пользователю сбрасывать пароли на портале служб Microsoft Online Services, необходимо назначить пользователю роль администратора паролей Office 365 на портале служб Microsoft Online Services.

Управление организацией

Управляйте всеми аспектами облачной организации. По умолчанию учетная запись, указанная при начальной регистрации в облачной службе, является членом этой группы ролей.

Внимание!   Эта группа ролей обладает очень широкими правами. Только пользователи, выполняющие задачи на уровне всей облачной организации, должны становиться членами этой группы ролей.

Управление получателями

Создавайте почтовые ящики, группы рассылки и внешние контакты и управляйте ими. Члены также могут импортировать новых пользователей, отслеживать сообщения, отправляемые и получаемые пользователями, и управлять параметрами Exchange ActiveSync на уровне всей организации.

Управление записями

Создавайте и управляйте правилами на уровне всей организации, также известными как «правила транспорта». Члены также могут отслеживать сообщения, отправляемые и получаемые пользователями.

Управление единой системой обмена сообщениями

Управляйте конфигурациями сервера единой системы обмена сообщениями, свойствами единой системы обмена сообщениями для почтовых ящиков, запросами системы и конфигурацией автосекретаря единой системы обмена сообщениями.

Примечание.   Эта группа ролей недоступна в организациях Live@edu.

Управление организацией только с правом на просмотр

Просматривайте без возможности изменения все почтовые ящики, группы рассылки и внешние контакты организации. Члены также могут просматривать параметры политик назначения ролей, правила транспорта и параметры, распространяющиеся на всю организацию.

В начало

Связанные разделы справки
Идет загрузка...
Ресурсы не найдены.
Связанные обсуждения на форумах и в блогах
Идет загрузка...
Связанные записи в форумах или блогах не найдены.
Не можете найти то, что ищете?