Forefront TMG允许将管理权限下放给个别用户，使管理模式更加灵活。TMG使用两种不同的模式向个人用户分配权限：企业级(TMG已加入到企业阵列的情况)及阵列级。一个独立的Forefront TMG服务器也可以用来分配不同的管理权限。

　　Forefront TMG 以Windows Server 2008安全描述符(Security Descriptor，SD)的形式对TMG的所有组成部分实现访问控制。每个对象的安全描述符中的自由访问控制列表(Discretionary Access Control List ，DACL)负责定义访问类型或者可以授予用户和组的权限。

　　Forefront TMG可以将管理角色分配给TMG的用户和组。管理角色定义了一系列用户或组执行TMG管理的权限。当角色被分配给用户或组后，Forefront TMG在相应对象的安全描述符中配置DACL，以授予用户和组执行必要操作所需的权限。更改管理角色或重启TMG控制服务(TMG Control service)时，TMG还会重新配置DACL。

　　使用基于角色的管理

　　可以使用管理角色将TMG管理员划分为预定义的独立角色，使之具有不同的权限，以执行TMG管理任务。

　　TMG可以将角色分配给任何Windows用户或组，但应该只授予受信管理员必要权限来从事这份工作。管理角色模式的每一个改动都将存储在Windows Server 2008及以上版本的活动目录轻型目录服务(Active Directory Lightweight Directory Services，简称为AD-LDS)中。AD-LDS配置中的每一个更改适用于TMG企业的所有企业管理服务器(Enterprise Management Server，EMS)。

　　注意：管理角色不能分配为CREATOR OWNER或CREATOR GROUP，因为AD-LDS不能识别这些安全主体。

　　另外，使用ISA Server 2006时，如要允许TMG管理员查看Forefront TMG性能监控计数器，使用的帐户必须为Windows Server 2008性能监控器用户组的成员。

　　阵列级管理角色

　　TMG支持一个TMG 中存在多个TMG阵列，并且在每个阵列分别定义不同的管理角色。

　　下表描述了TMG阵列级的管理角色：

　　表1：阵列级的TMG管理角色