瞭解管理角色範圍
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
「管理角色範圍」可讓您定義當建立管理角色指派時,管理角色所作用或影響的特定範圍。當您套用範圍時,被指派該角色的角色受託人只能修改該範圍內包含的物件。角色受託人可以是管理角色群組、管理角色、管理角色指派原則、使用者,或萬用安全性群組 (USG)。如需管理角色的相關資訊,請參閱瞭解應用角色的存取控制。
無論是內建或自訂,每個管理角色都具有管理範圍。管理範圍可以是下列其中一項:
一般 非獨佔的「一般範圍」,它決定了在 Active Directory 中,被指派管理角色的使用者可在何處檢視或修改物件。一般而言,管理角色會指示您可建立或修改的物件,而管理角色範圍則指示您可在何處建立或修改。一般範圍可以是隱含或明確範圍,本主題稍後會一一討論。
獨佔 「獨佔範圍」 的行為幾乎與一般範圍無異,主要差異是使用者未被指派與該獨佔範圍相關聯的角色時,它能讓您拒絕這些使用者存取獨佔範圍內包含的物件。所有獨佔範圍皆為明確範圍,本主題稍後會討論。
如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
形成範圍的方法有很多種,可繼承自管理角色、在管理角色指派上指定為預先定義的相對範圍,或者使用自訂篩選器建立,然後再新增至管理角色指派。繼承自管理角色的範圍稱做「隱含範圍」,預先定義與自訂的範圍則稱做「明確範圍」。在接下來的章節中將分別說明每一種範圍:
隱含範圍
明確範圍
預先定義的相對範圍
自訂範圍
收件者篩選器範圍
組態範圍
每個角色都可以有下列類型的範圍:
收件者讀取範圍 隱含的收件者讀取範圍,決定了被指派管理角色的使用者可從 Active Directory 讀取哪些收件者物件。
收件者寫入範圍 隱含的收件者寫入範圍,決定了被指派管理角色的使用者可在 Active Directory 中修改哪些收件者物件。
組態讀取範圍 隱含的組態讀取範圍,決定了被指派管理角色的使用者可從 Active Directory 讀取哪些組態物件。
組態寫入範圍 隱含的組態寫入範圍,決定了被指派管理角色的使用者可在 Active Directory 中修改哪些組織、資料庫和伺服器物件。
收件者物件包括信箱、通訊群組、擁有郵件功能的使用者,以及其他物件。組態物件包括執行 Microsoft Exchange Server 2010 的伺服器,以及位於執行 Exchange 之伺服器上的資料庫。每一種範圍都可以是隱含範圍或明確範圍。
隱含範圍
隱含範圍是套用在管理角色類型上的預設範圍,因為隱含範圍與管理角色類型相關聯,所以所有具有相同角色類型的上層和下層管理角色也會有相同的隱含範圍。隱含範圍不只會套用在內建管理角色上,也會套用在自訂管理角色上。如需有關管理角色和管理角色類型的詳細資訊,請參閱了解管理角色。
下表列出所有可在管理角色上定義的隱含範圍。
在管理角色上定義的隱含範圍
| 隱含範圍 | 描述 |
|---|---|
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
|
如果 如果 此範圍僅與收件者讀取範圍配合使用。 |
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
|
如果 如果 此範圍僅與組態讀取和寫入範圍配合使用。 |
|
如果 |
如果已將角色指派給角色受託人,而且未指定任何預先定義或自訂的範圍,則會使用在該角色上定義的隱含範圍來控制使用者能夠檢視或修改的收件者或組織物件。
角色的隱含寫入範圍一律等於或小於隱含讀取範圍,這表示角色永遠無法修改該範圍看不到的物件。
您不能變更在管理角色上定義的隱含範圍,但您可以覆寫管理角色上的隱含寫入範圍與組態範圍。在角色指派上使用預先定義的相對範圍或自訂範圍時,會覆寫角色的隱含寫入範圍,而新範圍會有最高的優先順序。角色的隱含讀取範圍無法覆寫,且一律套用。如需詳細資訊,請參閱預先定義的相對範圍及自訂範圍。
展開下表以查看所有內建的管理角色及其隱含範圍。如需每個內建角色的詳細資訊,請參閱內建管理角色。
內建管理角色隱含範圍
| 管理角色 | 收件者讀取範圍 | 收件者寫入範圍 | 組態讀取範圍 | 組態寫入範圍 |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
明確範圍
明確範圍是您設給自己的範圍,以控制管理角色可修改哪些物件。儘管隱含範圍是在管理角色上定義的,但明確範圍則是在管理角色指派上定義的,這讓所有的管理角色一致地套用隱含範圍,除非您選擇使用覆寫明確範圍。如需有關管理角色指派的相關資訊,請參閱了解管理角色指派。
明確範圍會覆寫管理角色的隱含寫入與組態範圍,但不會覆寫管理角色的隱含讀取範圍。隱含讀取範圍會持續定義管理角色可讀取哪些物件。
當管理角色的隱含寫入範圍不符合您的企業需求時,明確範圍很有用。只要新的範圍不超過隱含讀取範圍的界限,您可以新增明確範圍以涵蓋幾乎您想要的任何一切。屬於管理角色的指令程式必須能讀取物件或包含物件之容器的相關資訊,讓指令程式能夠建立或修改物件。例如,如果管理角色上的隱含讀取範圍設為 Self,您便無法新增 Organization 的明確寫入範圍,因為明確寫入範圍超過隱含讀取範圍的界限。
如需詳細資訊,請參閱下列各節:
預先定義的相對範圍
自訂範圍
預先定義的相對範圍
Exchange 2010 提供數個預先定義的相對寫入範圍,您可以使用此範圍來修改管理角色的範圍。預先定義的相對範圍可讓您不必手動建立自訂範圍,就能很輕鬆的更接近企業的需求。這些範圍之所以稱做相對範圍,是因為它們相對於被指派相關聯角色指派的角色受託人。例如,Self 預先定義的相對範圍會將寫入範圍限制為僅限目前使用者。MyDistributionGroups 預先定義的相對範圍會將寫入範圍限制為僅由目前使用者擁有的通訊群組。預先定義的相對範圍只能用於界定收件者物件的範圍。預先定義的相對範圍無法用於界定組態物件的範圍。下表列出您可以使用的預先定義相對範圍。
預先定義的相對範圍
| 隱含範圍 | 描述 |
|---|---|
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
|
如果 如果 此範圍僅與收件者讀取和寫入範圍配合使用。 |
當您建立新的管理角色指派時,會套用預先定義的相對範圍。使用 New-ManagementRoleAssignment 指令程式建立角色指派期間,您可以使用 RecipientRelativeWriteScope 參數指定預先定義的相對範圍。建立新的角色指派時,新的預先定義角色會覆寫管理角色的隱含寫入範圍。以預先定義的相對範圍建立角色指派時,無法指定自訂的收件者範圍。不過,您可以視需要指定自訂的組態範圍。
如需有關如何新增含預先定義相對範圍的管理角色指派,請參閱將角色新增至使用者或 USG。
自訂範圍
當隱含寫入範圍或預先定義的相對範圍皆未符合您企業的需求,便需要自訂範圍。自訂範圍可讓您更精細的定義會套用管理角色的範圍。例如,您可能要以特定的組織單位 (OU)、特定類型的收件者,或兩者為目標。或者,您可能只想要讓一組系統管理員能夠管理特定的一組信箱資料庫。
如同預先定義的相對範圍,自訂範圍會覆寫在管理角色上定義的隱含寫入與組織組態範圍。管理角色上的隱含讀取範圍會持續套用,而產生的自訂範圍不得超過隱含讀取範圍的界限。您可以建立下列三種自訂範圍:
OU 範圍 OU 範圍是最簡單的自訂範圍,是使用 New-ManagementRoleAssignment Cmdlet 中搭配 RecipientOrganizationalUnitScope 參數所建立。透過在指派角色時指定 OU 範圍,被指派該角色角色受託人只能修改該 OU 內的收件者物件。如需有關如何新增 OU 範圍的管理角色指派的詳細資訊,請參閱將角色新增至使用者或 USG。
收件者篩選器範圍 篩選收件者的範圍會使用篩選器,根據收件者類型,或如部門、管理階層、位置等其他收件者內容,以鎖定特定的收件者。如需詳細資訊,請參閱收件者篩選器範圍一節。
組態範圍 組態範圍會使用篩選器或清單,根據可在伺服器上定義的伺服器清單或可篩選內容,例如 Active Directory 站台或伺服器角色,以鎖定特定的伺服器。在 Exchange 2010 Service Pack 1 (SP1) 中,組態範圍也可以使用資料庫範圍,根據資料庫清單或可篩選的資料庫內容來鎖定特定的資料庫。如需詳細資訊,請參閱組態範圍一節。
使用 New-ManagementScope Cmdlet 可建立簡單且廣泛或複雜且精細的收件者和組態自訂範圍。建立收件者或組態範圍時,只會傳回符合各自範圍的收件者、伺服器或資料庫物件。使用 New-ManagementRoleAssignment 或 Set-ManagementRoleAssignment Cmdlet 將這些範圍套用於角色指派時,被指派該角色的角色受託人只能修改符合範圍的物件。在建立自訂範圍後,您無法變更範圍類型。收件者範圍永遠是收件者範圍,組態範圍也永遠是組態範圍。
依據預設,自訂範圍可讓角色受託人存取一組符合您所定義範圍的物件。但是,這些物件不會主動排除存取其他也未被指派相同或等同範圍的角色受託人。如果任何自訂範圍上的清單或篩選器符合相同物件,則這些範圍可存取相同的物件。可能會有物件不要這種行為,例如像是高階主管等重要人士。對於這些物件,您可以定義獨佔範圍。獨佔範圍會以與一般範圍相同的方式使用篩選器或清單,但與一般範圍不同的是,獨佔範圍會拒絕任何不屬於相同或等同獨佔範圍的任何人存取該範圍內包含的物件。如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
收件者篩選器範圍
收件者篩選器範圍可讓您控制角色受託人可以管理哪些收件者物件,方法是根據您在篩選陳述式中指定的值來評估收件者物件上的一個或多個屬性。收件者範圍中的收件者包括信箱、擁有郵件功能的使用者、通訊群組及郵件連絡人。只有與您指定的篩選器相符的收件者可以由獲指派該角色指派的角色受託人加以管理。篩選陳述式的範例是 { Name -Eq "David" },其中 Name 是將進行評估之收件者物件上的屬性,而 David 是您想要根據該屬性進行評估的值。-Eq 比較運算子表示儲存在屬性中的值必須等於針對篩選器指定為 True 的值。如果篩選器為 Ture,則會將該收件者包含在範圍中。
收件者篩選器範圍是由指定收件者篩選器使用 New-ManagementScope Cmdlet 搭配 RecipientRestrictionFilter 參數所建立。依據預設,New-ManagementScope Cmdlet 會建立一般範圍。如果您要建立獨佔範圍,請在 Cmdlet 中同時包含 Exclusive 參數與 RecipientRestrictionFilter 參數。
建立收件者限制篩選器時,Exchange 預設會根據組織中每個收件者物件評估您所提供的篩選器。如果您要限制範圍評估的收件者,可以同時使用 RecipientRoot 參數與 RecipientRestrictionFilter 參數。RecipientRoot 參數接受 OU。使用 RecipientRoot 參數時,Exchange 只會根據您提供的篩選器,評估包含在所指定 OU 中的收件者。
新增收件者篩選器範圍至角色指派時,如果您是要建立新的角色指派,請在 New-ManagementRoleAssignment Cmdlet 的 CustomRecipientWriteScope 參數中指定收件者範圍的名稱,或者,如果您是要更新現有的角色指派,則在 Set-ManagementRoleAssignment Cmdlet 的該參數中指定收件者範圍的名稱。各個角色指派可以有一個收件者範圍,包括預先定義的相對範圍。您可以將一個組態範圍新增到您在其中新增收件者範圍的相同角色指派。
如需篩選器語法的詳細資訊,以及收件者上可篩選收件者屬性的完整清單,請參閱瞭解管理角色範圍篩選器。
組態範圍
以下是 Exchange 2010 中提供的兩種組態範圍:
伺服器範圍 伺服器範圍的種類有兩種,也就是伺服器篩選器範圍和伺服器清單範圍。如果伺服器物件包含在包括接收連接器、傳輸查詢、伺服器憑證、虛擬目錄等的伺服器範圍中,則可以管理伺服器組態。
伺服器篩選器範圍 伺服器篩選器範圍可讓您控制角色受託人可以管理哪些伺服器物件,方法是根據您在篩選陳述式中指定的值來評估伺服器物件上的一個或多個屬性。若要建立伺服器篩選器範圍,請使用 New-ManagementScope Cmdlet 搭配 ServerRestrictionFilter 參數進行。
伺服器清單範圍 伺服器清單範圍可讓您控制角色受託人可以管理哪些伺服器物件,方法是定義角色受託人可以存取的伺服器清單。若要建立伺服器清單範圍,請使用 New-ManagementScope Cmdlet 搭配 ServerList 參數進行。
資料庫範圍 資料庫範圍的種類有兩種,也就是資料庫篩選器範圍和資料庫清單範圍。如果資料庫物件包含在包括資料庫配額限制、資料庫維護、公用資料夾複寫、是否已裝載資料庫等的資料庫範圍中,則可以管理資料庫組態。除了資料庫組態之外,資料庫範圍也可以用來控制可在其中建立的資料庫收件者。資料庫範圍只適用於 Exchange 2010 SP1。
資料庫篩選器範圍 資料庫篩選器範圍可讓您控制角色受託人可以管理哪些資料庫物件,方法是根據您在篩選陳述式中指定的值來評估資料庫物件上的一個或多個屬性。若要建立資料庫篩選器範圍,請使用 New-ManagementScope Cmdlet 搭配 DatabaseRestrictionFilter 參數進行。
資料庫清單範圍 資料庫清單範圍可讓您控制角色受託人可以管理哪些資料庫物件,方法是定義角色受託人可以存取的資料庫清單。若要建立資料庫清單範圍,請使用 New-ManagementScope Cmdlet 搭配 DatabaseList 參數進行。
如需篩選器語法的詳細資訊,以及可篩選伺服器及資料庫屬性的完整清單,請參閱瞭解管理角色範圍篩選器。
若要定義伺服器和資料庫清單,可藉由指定您要包含在其各自範圍中的每個伺服器和資料庫來進行。您可以在其各自範圍中指定多部伺服器或多個資料庫,方法是以逗號分隔伺服器和資料庫名稱。
新增伺服器或資料庫組態範圍至角色指派時,如果您是要建立新的角色指派,請在 New-ManagementRoleAssignment Cmdlet 的 CustomConfigWriteScope 參數中指定伺服器或資料庫組態範圍的名稱,或者,如果您是要更新現有的角色指派,請在 Set-ManagementRoleAssignment Cmdlet 的該參數中指定伺服器或資料庫組態範圍的名稱。各個角色指派只能有一個組態範圍。
除了控制角色受託人可管理哪些資料庫之外,資料庫範圍也可以讓您控制角色受託人可在哪些資料庫中建立信箱。這與控制角色受託人可管理哪些收件者不同。如果角色受託人擁有可以建立新的信箱、使現有使用者擁有郵件功能,或移動信箱的權限,您可以使用資料庫範圍來控制可在其中建立信箱的資料庫或可移入信箱的資料庫,以進一步調整他們的權限。您可以在 New-ManagementRoleAssignment 或 Set-ManagementRoleAssignment Cmdlet 的 CustomRecipientWriteScope 參數中指定收件者範圍,以控制角色受託人可以管理哪些收件者。您可以在相同 Cmdlet 的 CustomConfigurationWriteScope 參數中指定資料庫範圍,以控制可在其中建立信箱或移入信箱的資料庫。
.gif "注意事項") 附註: |
|---|
| 您可以使用資料庫範圍來控制自動信箱發佈。如需詳細資訊,請參閱瞭解自動信箱發佈。 |
Exchange 2010 SP1 中的功能可能需要管理伺服器範圍、資料庫範圍或兩者。如果某個功能需要同時管理伺服器和資料庫範圍,則必須建立兩個角色指派,並為其指定應該具有存取管理功能的角色指派。其中一個角色指派應該與伺服器範圍產生關聯,而另一個角色指派應該與資料庫範圍產生關聯。
某些 Cmdlet 可能會使用並非眾人皆知的組態範圍。下表包含 Cmdlet 的清單,以及您可用來控制其使用方式的組態範圍。對於包含在收件者功能範圍內的 Cmdlet,組態範圍可讓您控制可建立的資料庫收件者。它們不會控制可管理哪些收件者。[所需範圍] 欄可以包含下列各項:
資料庫 若要執行 Cmdlet,必須將角色指派指定給具有資料庫範圍的角色指派,該資料庫範圍中包含要管理的資料庫,否則角色的隱含組態寫入範圍必須包含要管理的資料庫。
伺服器 若要執行 Cmdlet,必須將角色指派指定給具有伺服器範圍的角色指派,該伺服器範圍中包含要管理的伺服器,否則角色的隱含組態寫入範圍必須包含要管理的伺服器。
伺服器或資料庫 若要執行 Cmdlet,必須將角色指派指定給包含所需管理資料庫的資料庫範圍,或將角色指派指定給包含資料庫所在伺服器的資料庫範圍。否則,角色的隱含組態寫入範圍必須包含要管理的資料庫,或包含資料庫所在的伺服器,同時角色指派不能有自動寫入範圍。
伺服器和資料庫 若要執行 Cmdlet,必須將角色指派指定給兩個角色指派。第一個角色指派必須包含內含所需管理資料庫的資料庫範圍。第二個角色指派必須包含內含資料庫所在伺服器的伺服器範圍。角色指派可以擁有定義的自訂組態範圍,或者角色指派可以繼承角色的隱含組態寫入範圍。若要繼承角色的隱含寫入範圍,該角色指派不得擁有自訂寫入範圍。
功能範圍以及適用的資料庫與伺服器範圍
| 功能範圍 | Cmdlet | 所需的範圍 |
|---|---|---|
資料庫 |
Clean-MailboxDatabase |
Database |
資料庫 |
Dismount-Database |
Database |
資料庫 |
Mount-Database |
Database |
資料庫 |
Move-DatabasePath |
伺服器和資料庫 |
資料庫 |
Remove-MailboxDatabase |
伺服器或資料庫 |
資料庫 |
Remove-PublicFolderDatabase |
伺服器或資料庫 |
資料庫 |
Set-MailboxDatabase |
Database |
資料庫 |
Set-PublicFolderDatabase |
Database |
高可用性 |
Add-DatabaseAvailabilityGroupServer |
伺服器 |
高可用性 |
Add-MailboxDatabaseCopy |
伺服器 |
高可用性 |
Move-ActiveMailboxDatabase |
伺服器 |
高可用性 |
New-DatabaseAvailabilityGroup |
伺服器 |
高可用性 |
Remove-DatabaseAvailabilityGroup |
伺服器 |
高可用性 |
Remove-DatabaseAvailabilityGroupServer |
伺服器 |
高可用性 |
Remove-MailboxDatabaseCopy |
伺服器或資料庫 |
高可用性 |
Resume-MailboxDatabaseCopy |
伺服器或資料庫 |
高可用性 |
Set-DatabaseAvailabilityGroup |
伺服器 |
高可用性 |
Set-MailboxDatabaseCopy |
伺服器或資料庫 |
高可用性 |
Start-DatabaseAvailabilityGroup |
伺服器 |
高可用性 |
Stop-DatabaseAvailabilityGroup |
伺服器 |
高可用性 |
Suspend-MailboxDatabaseCopy |
伺服器或資料庫 |
高可用性 |
Update-MailboxDatabaseCopy |
伺服器或資料庫 |
收件者 |
Connect-Mailbox |
Database |
收件者 |
Enable-Mailbox |
Database |
收件者 |
New-Mailbox |
Database |
收件者 |
New-MoveRequest |
Database |
疑難排解 |
Test-MapiConnectivity |
Database |
資料庫範圍和 Exchange 2010 SP1 先前版本安裝
資料庫範圍是 Exchange 2010 SP1 中的新功能。量產發行 (RTM) 版本的 Exchange 2010 只支援收件者範圍和伺服器組態範圍。在 Exchange 2010 SP1 伺服器上建立新的資料庫範圍時,將會收到下列警告:
WARNING: Database management scopes will only apply when connected to a server running Exchange 2010 SP1 or greater.
Exchange 2010 RTM servers will not apply any roles from a role assignment linked to a database scope. Database
management scopes will also not be visible to reporting cmdlets (Get-ManagementScope) when executed from an Exchange
2010 RTM server.
建立資料庫範圍時,只會套用於連線至執行 Exchange 2010 SP1 之伺服器的使用者。連線至執行 Exchange 2010 RTM 之伺服器的使用者不會取得任何與資料庫範圍關聯的角色指派。這表示任何由這些角色指派提供的權限將不會授予連線至 Exchange 2010 RTM 伺服器的使用者。您不能從 Exchange 2010 RTM 伺服器建立、移除、修改或檢視資料庫範圍。
資料庫範圍可以包含您 Exchange 組織中任何的資料庫。這包括 Exchange Server 2007 和 Exchange 2010 RTM。如此可讓您控制使用者可以管理的資料庫,而不論 Exchange 版本為何。如同其他資料庫範圍一樣,與內含 Exchange 2007 和 Exchange 2010 RTM 資料庫的資料庫範圍產生關聯的角色指派,只會套用於連線至 Exchange 2010 SP1 伺服器的使用者。
連線至 Exchange 2010 RTM 伺服器的使用者可以檢視和修改與資料庫範圍關聯的角色指派。這包括將現有角色指派上的組態範圍變更為伺服器範圍 (如果它目前與資料庫範圍產生關聯)。不過,如果角色指派上的組態範圍變更為伺服器範圍,且使用者稍後想要將其變更回資料庫範圍,或如果使用者想要將組態範圍變更為其他資料庫範圍,則使用者必須在連線至 Exchange 2010 SP1 伺服器時進行變更。當使用者連線至 Exchange 2010 RTM 伺服器時,如果使用者變更角色指派上的組態範圍,則僅能指定伺服器範圍。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。