Descripción de permisos

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2015-03-09

Microsoft Exchange Server 2010 incluye una amplia variedad de permisos predefinidos, basados en el modelo de permisos Control de acceso basado en roles (RBAC), que puede usar de inmediato para conceder de forma fácil permisos a los administradores y usuarios. Puede usar las características de permisos de Exchange 2010 para preparar y poner en marcha la nueva organización de forma rápida.

RBAC concede permisos para administrar los roles de servidor Buzón de correo, Transporte de concentradores, Mensajería unificada y Acceso de clientes. Para obtener información sobre los permisos en el rol de servidor Transporte perimetral, consulte Edge Transport Permissions más adelante en este tema.

Nota

Varios conceptos y características de RBAC no se incluyen en este tema porque se trata de características avanzadas. Si las funciones tratadas en este tema no se corresponden con sus necesidades y desea personalizar todavía más el modelo de permisos, consulte Descripción del control de acceso basado en funciones.

¿Está buscando tareas de administración relacionadas con los permisos? Consulte Administración de permisos.

Permisos basados en roles

En Exchange 2010, los permisos que concede a los administradores y usuarios se basan en roles de administración. Un rol define el conjunto de tareas que un administrador o usuario puede realizar. Por ejemplo, un rol de administración denominado Mail Recipients define las tareas que alguien puede realizar en un conjunto de buzones de correo, contactos y grupos de distribución. Cuando un rol se asigna a un administrador o usuario, a dicha persona se conceden los permisos que proporciona el rol en cuestión.

Existen dos tipos de roles: los roles administrativos y los roles de usuario final:

• Roles administrativos   Estos roles contienen permisos que se pueden asignar a los administradores o usuarios especialistas mediante grupos de roles que administran una parte de la organización de Exchange, como destinatarios, servidores o bases de datos.

• Roles de usuario final   Estos roles, asignados mediante directivas de asignación de roles, permiten a los usuarios administrar aspectos de su propio buzón de correo y de los grupos de distribución de que disponen. Los roles de usuario final empiezan por el prefijo My.

Los roles conceden a los administradores y usuarios permisos para realizar tareas poniendo cmdlets a disposición de aquellos usuarios que tienen asignados los roles en cuestión. Puesto que la Consola de administración de Exchange (EMC), el Panel de control de Exchange (ECP) y el Shell de administración de Exchange usan cmdlets para administrar Exchange, al conceder acceso a un cmdlet, el administrador o usuario tiene permiso para realizar la tarea en cada una de las interfaces de administración de Exchange.

Exchange 2010 incluye aproximadamente 60 roles que pueden usarse para conceder permisos. Para obtener una lista de las roles incluidos en Exchange 2010, consulte Funciones integradas de administración.

Grupos de roles y directivas de asignación de roles

Los roles conceden permisos para realizar tareas en Exchange 2010, pero es necesario un método sencillo para asignar los roles a los administradores y usuarios. Para ello, Exchange 2010 proporciona los elementos siguientes:

• Grupos de roles   Los grupos de roles permiten conceder permisos a administradores y usuarios especialistas.

• Directivas de asignación de roles   Las directivas de asignación de roles permiten conceder permisos a los usuarios finales para cambiar la configuración de su propio buzón o de los grupos de distribución de que disponen.

Para obtener más información sobre los grupos de roles y las directivas de asignación de roles, consulte las secciones siguientes.

Grupos de funciones

Cada uno de los administradores que administran Exchange 2010 deben tener asignado por lo menos uno o más roles. Los administradores pueden tener más de un rol porque pueden realizar funciones de trabajo que abarcan varias áreas de Exchange. Por ejemplo, un administrador puede administrar tanto los destinatarios como los servidores de Exchange. En tal caso, es posible asignar al administrador el rol Mail Recipients y Exchange Servers.

Para que resulte más sencillo asignar varios roles a un administrador, Exchange 2010 incluye grupos de roles. Los grupos de roles son grupos de seguridad universal especiales (USG) usados por Exchange 2010 y que contienen usuarios de Active Directory, USG y otros grupos de roles. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se conceden a todos los miembros del grupo de roles. De esta forma, puede asignar varios roles a varios miembros del grupo de roles al mismo tiempo. Los grupos de roles suelen abarcar áreas de administración más amplias, como la administración de destinatarios. Solamente se usan con roles administrativos y no pueden usarse con roles de usuario final.

Nota

Es posible asignar un rol directamente a un usuario o USG sin usar un grupo de roles. Sin embargo, este método de asignación de roles es un procedimiento avanzado y no se trata en este tema. Se recomienda usar grupos de roles para administrar los permisos.

En la figura siguiente se muestra la relación entre usuarios, grupos de roles y roles.

Roles, grupos de roles y miembros de grupos de roles

Exchange 2010 incluye varios grupos de roles integrados, cada uno de los cuales proporciona permisos para administrar áreas específicas de Exchange 2010. Algunos grupos de roles pueden solaparse con otros. En la tabla siguiente se enumera cada uno de los grupos de roles con una descripción de su uso. Si quiere ver los roles que tiene asignado cada uno de los grupos de roles, haga clic en el grupo de roles en la tabla y, a continuación, abra la sección "Roles de administración asignados a este grupo de roles".

Grupos de roles integrados

Grupo de roles	Descripción
Administración de organizaciones	Los administradores que son miembros del grupo de roles Administración de la organización tienen acceso administrativo a toda la organización de Microsoft Exchange 2010 y pueden realizar prácticamente todas las tareas relacionadas con los objetos de Exchange 2010, con algunas excepciones, como el rol Discovery Management. Importante Dado que el grupo de roles Administración de la organización es un rol muy potente, solamente deben ser miembros de este grupo de roles los usuarios o grupos de seguridad universal (USG) que realizan tareas administrativas a nivel organizativo y que pueden potencialmente afectar a toda la organización de Exchange.
Administración de organizaciones con permiso de vista	Los administradores que son miembros del grupo de funciones Ver solamente la administración de la organización pueden ver las propiedades de todos los objetos de la organización de Exchange.
Administración de destinatarios	Los administradores miembros del grupo de funciones Recipient Management tienen acceso administrativo para crear o modificar destinatarios de Exchange 2010 dentro de la organización de Exchange 2010.
Administración de MU	Los administradores que son miembros del grupo de roles Administración de mensajería unificada pueden administrar características de la organización de Exchange, como la configuración de servidor de mensajería unificada, las propiedades de mensajería unificada en los buzones, los mensajes de mensajería unificada y la configuración del operador automático para mensajería unificada.
Servicio de asistencia	De forma predeterminada, el grupo de roles Asistencia técnica, permite a los miembros ver y modificar las opciones de Microsoft Office Outlook Web App de cualquier usuario de la organización. Estas opciones pueden incluir la modificación del nombre para mostrar del usuario, la dirección y el número de teléfono. No se incluyen opciones que no estén disponibles en las opciones de Outlook Web App, como modificar el tamaño de un buzón de correo o configurar la base de datos de buzones donde se encuentra un buzón de correo determinado.
Administración de higiene	Los administradores pertenecientes al grupo de roles Administración de higiene pueden configurar las características de antivirus y protección frente a correo electrónico no deseado de Exchange 2010. Los programas de otros proveedores que se integran con Exchange 2010 pueden agregar cuentas de servicio a este grupo de roles para garantizar que esos programas tengan acceso a los cmdlets necesarios para recuperar y definir la configuración de Exchange.
Administración de registros	Los usuarios que son miembros del grupo de roles Records Management pueden configurar las características de cumplimiento, como las etiquetas de directiva de retención, las clasificaciones de mensajes y las reglas de transporte.
Administración de la detección	Los administradores o usuarios que son miembros del grupo de roles Discovery Management pueden realizar búsquedas de buzones de correo en la organización de Exchange para obtener datos que cumplan determinados criterios y pueden configurar retenciones legales de los buzones de correo. Para obtener más información, consulte Búsqueda en varios buzones y Descripción de la retención por juicio.
Administración de carpetas públicas	Los administradores que son miembros del grupo de roles Administración de carpetas públicas pueden administrar bases de datos y carpetas públicas en los servidores que ejecuten Exchange 2010.
Administración de servidor	Los administradores que son miembros del grupo de roles Administración de servidor pueden establecer la configuración específica de servidor del transporte, la mensajería unificada, el acceso de clientes y las características de buzón, como copias de las bases de datos, certificados, colas de transporte y conectores de envío, directorios virtuales y protocolos de acceso de cliente.
Configuración delegada	Los administradores que pertenecen al grupo de roles Configuración delegada pueden implementar servidores que ejecutan Exchange 2010 que ya han sido aprovisionados por un miembro del grupo de roles Administración de la organización. Para obtener más información sobre la configuración delegada, consulte Aprovisionar el servidor de Exchange 2010 y delegar la instalación.

Si trabaja en una organización pequeña que únicamente tiene unos pocos administradores, es posible que solamente necesite agregarlos al grupo de roles Administración de la organización y que nunca necesite usar el resto de grupos de roles. En cambio, si trabaja en una organización de mayor tamaño, tendrá administradores que realicen tareas específicas para la administración de Exchange, como la administración de destinatarios o servidores. En estos casos, puede agregar un administrador al grupo de roles Recipient Management y otro administrador al grupo de roles Administración de servidor. De esta forma, dichos administradores pueden administrar áreas específicas de Exchange 2010 pero no tendrán permisos para administrar áreas de las que no son responsables.

Si los grupos de roles integrados en Exchange 2010 no coinciden con la función de trabajo de los administradores, puede crear grupos de roles y agregar roles a ellos. Para obtener más información, consulte Work with Role Groups más adelante en este tema.

Directivas de asignación de roles

Exchange 2010 proporciona directivas de asignación de roles para que permiten controlar las opciones que los usuarios pueden configurar en sus propios buzones de correo y en los grupos de distribución de que disponen. Estas opciones incluyen el nombre para mostrar, la información de contacto, la configuración de correo de voz y la pertenencia a grupos de distribución.

La organización de Exchange 2010 puede tener asignadas varias directivas de asignación de roles que proporcionan distintos niveles de permisos para los diversos tipos de usuarios de sus organizaciones. Algunos usuarios pueden tener permiso para cambiar su dirección o crear grupos de distribución, mientras que otros no, según la directiva de asignación de roles que esté asociada a su buzón de correo. Las directivas de asignación de roles se agregan directamente a los buzones de correo, y cada uno de ellos solamente puede asociarse con una directiva de asignación de roles a la vez.

Una de las directivas de asignación de roles de la organización se marca como predeterminada. La directiva de asignación de roles predeterminada se asocia con los nuevos buzones de correo a los que no se asigne de forma explícita una directiva de asignación de roles en el momento de su creación. La directiva de asignación de roles predeterminada tiene que contener los permisos que deben aplicarse a la mayoría de buzones de correo.

Los permisos se agregan a las directivas de asignación de roles mediante roles de usuario final. Los roles de usuario final empiezan por My y conceden permisos a los usuarios para administrar solamente su buzón de correo o los grupos de distribución de que disponen. No pueden usarse para administrar ningún otro buzón de correo. A las directivas de asignación de roles solamente pueden asignarse roles de usuario final.

Cuando se asigna un rol de usuario final a una directiva de asignación de roles, todos los buzones de correo asociados con dicha directiva de asignación de roles reciben los permisos concedidos por el rol. Esto permite agregar o quitar permisos a conjuntos de usuarios sin tener que configurar buzones de correo individuales. En la figura siguiente se representa este procedimiento:

• Los roles de usuario final se asignan a las directivas de asignación de roles. Las directivas de asignación de roles pueden compartir los mismos roles de usuario final.

• Las directivas de asignación de roles se asocian con buzones de correo. Cada buzón de correo puede asociarse únicamente con una directiva de asignación de roles.

• Después de asociar un buzón de correo con una directiva de asignación de roles, los roles de usuario final se aplican al buzón en cuestión. Los permisos concedidos por los roles se conceden al usuario del buzón de correo.

Roles, directivas de asignación de roles y buzones de correo

La directiva de asignación de roles Directiva de asignación de roles predeterminada se incluye con Exchange 2010. Tal y como su nombre indica, se trata de la directiva de asignación de roles predeterminada. Si desea cambiar los permisos proporcionados por esta directiva de asignación de roles o si desea crear directivas de asignación de roles, consulte Work with Role Assignment Policies más adelante en este tema.

Trabajar con grupos de roles

Para administrar los permisos mediante grupos de roles en Exchange 2010 Service Pack 1 (SP1), se recomienda usar el ECP. Al usar el ECP para administrar grupos de roles, es posible agregar y quitar roles y miembros, crear grupos de roles y copiar los grupos de roles con unos pocos clics. El ECP proporciona cuadros de diálogo sencillos, como el cuadro de diálogo Nuevo grupo de roles, mostrado en la figura siguiente, para realizar estas tareas.

Cuadro de diálogo Nuevo grupo de roles en el ECP

Tal y como hemos mencionado anteriormente en este tema, Exchange 2010 incluye varios grupos de roles que separan los permisos en áreas administrativas específicas. Si los grupos de roles existentes proporcionan los permisos que los administradores necesitan para administrar la organización de Exchange 2010, solamente tendrá que agregar los administradores como miembros de los grupos de roles pertinentes. Después de agregar los administradores a un grupo de roles, podrán administrar las características que estén relacionadas con el grupo de roles en cuestión. Para agregar o quitar miembros de un grupo de roles, abra el grupo de roles en el ECP y, a continuación, agregue o quite los miembros de la lista de pertenencia. Para obtener una lista de grupos de roles integrados, consulte Grupos de funciones integradas.

Importante

Si un administrador es miembro de más de un grupo de roles, Exchange 2010 concederá al administrador todos los permisos que proporcionen los grupos de roles de los que es miembro.

Si ninguno de los grupos de roles incluidos en Exchange 2010 tiene los permisos que necesita, puede usar el ECP para crear un grupo de roles y agregar los roles que tengan los permisos que necesita. Para el nuevo grupo de roles, deberá:

1. Asignar un nombre al grupo de roles.

2. Seleccionar los roles que quiera agregar al grupo de roles.

3. Agregar miembros al grupo de roles.

4. Guardar el grupo de roles.

Después de crear el grupo de roles, podrá administrarlo como cualquier otro grupo de roles.

Si existe algún grupo de roles que tiene algunos de los permisos que necesita, pero no todos, puede copiarlo y realizar cambios para crear un grupo de roles. Puede copiar un grupo de roles existente y realizar cambios en él, sin que ello afecte al grupo de roles original. Como parte del proceso de copia del grupo de roles, puede agregar un nombre y una descripción nuevos, agregar y quitar roles del nuevo grupo de roles y agregar miembros nuevos. Para crear o copiar un grupo de roles, se usa el mismo cuadro de diálogo que aparece en la figura anterior.

Los grupos de roles existentes también pueden modificarse. Puede agregar y quitar roles de los grupos de roles existentes, así como agregar y quitar miembros al mismo tiempo, mediante un cuadro de diálogo de ECP similar al cuadro de diálogo mostrado en la figura anterior. Al agregar y quitar roles de grupos de roles, se activan y desactivan características administrativas para los miembros del grupo de roles en cuestión. Para obtener una lista de roles que pueda agregar a un grupo de roles, consulte Funciones integradas de administración.

Nota

A pesar de que puede cambiar los roles que se asignan a los grupos de roles integrados, se recomienda copiar los grupos de roles integrados, modificar la copia del grupo de roles y, a continuación, agregar los miembros a la copia del grupo de roles.

Para obtener los pasos detallados sobre cómo crear o copiar grupos de roles, o bien sobre cómo realizar cambios en la pertenencia y los roles de grupos de roles existentes, consulte los temas siguientes:

• Agregar miembros a un grupo de funciones

• Quitar miembros de un grupo de funciones

• Crear un grupo de funciones

• Copiar un grupo de roles

• Quitar un grupo de funciones

• Agregar una función a un grupo de funciones

• Quitar una función de un grupo de funciones

Trabajar con directivas de asignación de roles

Para administrar los permisos que concede a los usuarios finales para administrar su propio buzón de correo en Exchange 2010 SP1, se recomienda utilizar el ECP. Si usa el ECP para administrar los permisos de usuario final, puede agregar roles, quitar roles y crear directivas de asignación de roles con unos pocos clics. El ECP proporciona cuadros de diálogo sencillos, como el cuadro de diálogo Directiva de asignación de roles, mostrado en la figura siguiente, para realizar estas tareas. Para aplicar una directiva de asignación de roles a un buzón de correo, puede usar la EMC o el ECP.

Cuadro de diálogo Directiva de asignación de roles en el ECP

Exchange 2010 incluye una directiva de asignación de roles denominada Directiva de asignación de roles predeterminada. Esta directiva de asignación de roles permite a los usuarios cuyos buzones de correo estén asociados con ella, hacer lo siguiente:

• Unirse o abandonar grupos de distribución que permiten a los miembros administrar su propia pertenencia.

• Ver y modificar parámetros de buzón básicos en su propio buzón de correo, como reglas de la Bandeja de entrada, comportamiento de la corrección ortográfica, configuración del correo no deseado y dispositivos de Microsoft ActiveSync.

• Modificar su información de contacto, como la dirección y el número de teléfono.

• Crear, modificar o ver la configuración de los mensajes de texto.

• Ver o modificar la configuración del correo de voz.

Si desea agregar o quitar permisos de la Directiva de asignación de roles predeterminada o de cualquier otra directiva de asignación de roles, puede usar el ECP. El cuadro de diálogo que debe usar es similar al cuadro de diálogo que aparece en la figura anterior. Cuando abra la directiva de asignación de roles en el ECP, active la casilla de verificación situada junto a los roles que quiera asignarle o desactive la casilla de verificación situada junto a los roles que quiera quitar. El cambio que realice en la directiva de asignación de roles se aplica a todos los buzones de correo que tenga asociados.

Si desea asignar permisos de usuario final distintos a los diferentes tipos de usuario de su organización, puede crear directivas de asignación de roles. Para crear una directiva de asignación de roles, debe usar un cuadro de diálogo similar al que aparece en la figura anterior. Puede especificar un nombre nuevo para la directiva de asignación de roles y, a continuación, seleccionar los roles que quiera asignar a la directiva de asignación de roles. Después de crear una directiva de asignación de roles, puede asociarla con buzones de correo mediante la EMC o el ECP.

Si desea cambiar la directiva de asignación de roles predeterminada, debe usar el Shell. Al cambiar la directiva de asignación de roles predeterminada, todos los buzones de correo que se creen se asociarán a la nueva directiva de asignación de roles predeterminada, si todavía no se había especificado ninguna de forma explícita. La directiva de asignación de roles asociada con los buzones de correo existentes no cambia al seleccionar una nueva directiva de asignación de roles predeterminada.

Nota

Si activa la casilla de verificación de un rol con roles secundarios, las casillas de verificación de los roles secundarios también se desactivarán. Si desactiva la casilla de verificación de un rol con roles secundarios, las casillas de verificación de los roles secundarios también se desactivarán.

Para obtener los pasos detallados sobre cómo crear directivas de asignación de roles o realizar cambios en las directivas de asignación de roles existentes, consulte los temas siguientes:

• Agregar una directiva de asignación

• Quitar una directiva de asignación

• Agregar una función a una directiva de asignación

• Quitar una función de una directiva de asignación

• Cambiar la directiva de asignación en un buzón

• Cambiar la directiva de asignación predeterminada

Permisos de transporte perimetral

La función del servidor Transporte perimetral se implementa en una red perimetral de la organización, que también se conoce como red de límite o subred filtrada. Un servidor Transporte perimetral se puede implementar como servidor independiente o como miembro de un dominio de Active Directory perimetral.

En los servidores Transporte perimetral, RBAC no se utiliza para controlar los permisos. El grupo local Administradores se usa para controlar quién puede configurar las características de Exchange en el servidor local. Si tiene varios servidores Transporte perimetral, deberá agregar el usuario que desee que administre los servidores al grupo local Administradores en cada servidor.

Para obtener más información sobre los permisos en servidores Transporte perimetral, consulte Establecimiento de permisos de administrador para la función de servidor Transporte de bordes.

Para obtener más información

Descripción del control de acceso basado en funciones

Descripción de los permisos de división

Descripción de la coexistencia de permisos en Exchange 2007

Descripción de la coexistencia de permisos en Exchange 2003

Descripción de permisos de varios bosques

Función Permisos

 © 2010 Microsoft Corporation. Reservados todos los derechos.