Configurare Exchange Server per le autorizzazioni di suddivisione

Le autorizzazioni di divisione consentono a due gruppi separati, ad esempio amministratori di Active Directory e amministratori di Exchange, di gestire i rispettivi servizi, oggetti e attributi. Gli amministratori di Active Directory gestiscono le entità di sicurezza, ad esempio gli utenti, che forniscono le autorizzazioni per accedere a una foresta di Active Directory. Gli amministratori di Exchange gestiscono gli attributi relativi a Exchange per gli oggetti Active Directory e la creazione e la gestione degli oggetti specifici di Exchange.

Exchange Server 2016 e Exchange Server 2019 offrono i seguenti tipi di modelli di autorizzazioni suddivise:

• Autorizzazioni di suddivisione del controllo degli accessi in base al ruolo: le autorizzazioni per creare entità di sicurezza nella partizione di dominio Active Directory sono controllate da Role Based Controllo di accesso (RBAC). Le entità di sicurezza possono essere create solo dai membri dei gruppi di ruoli appropriati.

• Autorizzazioni di suddivisione di Active Directory: le autorizzazioni per creare entità di sicurezza nella partizione di dominio Active Directory vengono completamente rimosse da qualsiasi utente, servizio o server di Exchange. Per creare le entità di sicurezza, non viene fornita alcuna opzione in RBAC. La creazione delle entità di sicurezza in Active Directory deve essere eseguita utilizzando gli strumenti di gestione di Active Directory.

La scelta del modello dipende dalla struttura e dalle esigenze dell'organizzazione. Selezionare la procedura seguente, applicabile al modello che si desidera configurare. Si consiglia di utilizzare il modello delle autorizzazioni suddivise RBAC. Il modello delle autorizzazioni suddivise RBAC fornisce una maggiore flessibilità, mantenendo la stessa separazione amministrativa delle autorizzazioni suddivise di Active Directory.

Per altre informazioni sulle autorizzazioni condivise e divise, vedere Autorizzazioni di suddivisione in Exchange Server.

Per ulteriori informazioni sui gruppi del ruolo di gestione, i ruoli di gestione e le assegnazioni del ruolo di gestione regolari e di delega, vedere i seguenti argomenti:

• Controllo di accesso basato sui ruoli
• Informazioni sui gruppi di ruoli di gestione
• Informazioni sui ruoli di gestione
• Informazioni sulle assegnazioni dei ruoli di gestione

Che cosa è necessario sapere prima di iniziare?

• Tempo stimato per il completamento di ciascuna procedura: 5 minuti

• Per eseguire queste procedure, è necessario disporre delle autorizzazioni appropriate. Per sapere quali autorizzazioni sono necessarie, vedere "Autorizzazioni suddivise Active Directory" nell'argomento Autorizzazioni per la gestione del ruolo.

• Il modello di autorizzazioni selezionato verrà applicato a tutti i server Exchange 2010 o versioni successive nell'organizzazione.

• Per scaricare la versione più recente di Exchange, vedere Aggiornamenti per Exchange Server.

• Per aprire Exchange Management Shell, vedere Aprire Exchange Management Shell.

Consiglio

Problemi? Chiedi aiuto nei forum di Exchange Server.

Passaggio alle autorizzazioni suddivise RBAC

Dopo aver impostato le autorizzazioni di suddivisione del controllo degli accessi in base al ruolo, solo gli amministratori di Active Directory potranno creare entità di sicurezza active directory. Ciò significa che gli amministratori di Exchange non potranno utilizzare i cmdlet seguenti:

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

Gli amministratori di Exchange potranno gestire solo gli attributi di Exchange sulle entità di protezione esistenti di Active Directory. Tuttavia, saranno in grado di creare e gestire oggetti specifici di Exchange, ad esempio le regole del flusso di posta (note anche come regole di trasporto) e i gruppi di distribuzione. Per altre informazioni, vedere la sezione "Autorizzazioni di suddivisione del controllo degli accessi in base al ruolo" in Split permissions in Exchange Server.

Per configurare Exchange per le autorizzazioni di suddivisione, è necessario assegnare il ruolo Creazione destinatario posta elettronica e il ruolo Creazione e appartenenza del gruppo di sicurezza a un gruppo di ruoli che contiene membri che sono amministratori di Active Directory. Quindi, è necessario rimuovere le assegnazioni tra questi ruoli e qualsiasi gruppo di ruoli o gruppo di protezione universale contenente gli amministratori di Exchange.

Per configurare le autorizzazioni di suddivisione degli accessi in base al ruolo, seguire questa procedura:

1. Se l'organizzazione è attualmente configurata per le autorizzazioni di suddivisione di Active Directory, seguire questa procedura:

   1. Nel server di destinazione aprire Esplora file, fare clic con il pulsante destro del mouse sul file di immagine ISO di Exchange e quindi scegliere Monta. Si noti la lettera di unità DVD virtuale assegnata.

   2. Aprire una finestra del prompt dei comandi di Windows. Ad esempio:

      • Premere il tasto WINDOWS + "R" per aprire la finestra di dialogo Esegui, digitare cmd.exe e quindi premere OK.
      • Premere Start. Nella casella Cerca, digitare Prompt dei comandi, quindi selezionare Prompt dei comandi nell'elenco dei risultati.

   3. Nella finestra del prompt dei comandi eseguire il comando seguente per disabilitare le autorizzazioni di suddivisione di Active Directory:

      Nota

      • L'opzione /IAcceptExchangeServerLicenseTerms precedente non funzionerà a partire dalla Exchange Server 2016 e Exchange Server 2019 settembre 2021 cumulative Aggiornamenti (CU). È ora necessario usare /IAcceptExchangeServerLicenseTerms_DiagnosticDataON o /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF per le installazioni automatica e tramite script.

      • Gli esempi seguenti usano l'opzione /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. È necessario modificare l'opzione in /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. Riavviare tutti i server Exchange nell'organizzazione o attendere la replica del token di accesso di Active Directory in tutti i server Exchange.

2. Seguire questa procedura in Exchange Management Shell:

   1. Creare un gruppo di ruoli per gli amministratori di Active Directory. Oltre a creare il gruppo di ruoli, il comando crea assegnazioni di ruolo regolari tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica e Creazione e appartenenza a un gruppo di sicurezza.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Nota

      Se si desidera consentire la creazione delle assegnazioni di ruolo da parte dei membri di questo gruppo di ruoli, includere il ruolo Gestione ruoli. Non è necessario aggiungere il ruolo in questa fase. Tuttavia, se si desidera assegnare il ruolo Creazione destinatario di posta elettronica o il ruolo Creazione e appartenenza a un gruppo di sicurezza ad altri assegnatari, il ruolo Gestione ruoli deve essere assegnato a questo nuovo gruppo di ruoli. La procedura seguente consente di configurare il gruppo di ruoli Administrators di Active Directory come l'unico gruppo di ruoli che può delegare questi ruoli.

   2. Creare assegnazioni di ruolo di delega tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario posta elettronica e il ruolo Creazione e appartenenza del gruppo di sicurezza eseguendo i comandi seguenti:

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. Aggiungere membri al nuovo gruppo di ruoli eseguendo il comando seguente:

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. Sostituire l'elenco dei delegati nel nuovo gruppo di ruoli in modo che solo i membri del gruppo di ruoli possano aggiungere o rimuovere membri eseguendo il comando seguente:

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Importante

      I membri del gruppo di ruoli Gestione organizzazione o quelli assegnati al ruolo Gestione ruolo direttamente o mediante un altro gruppo di ruoli o gruppo di sicurezza universale, possono ignorare questo controllo di sicurezza delegato. Se si desidera impedire a qualsiasi amministratore di Exchange di aggiungersi al nuovo gruppo di ruoli, è necessario rimuovere l'assegnazione di ruolo tra il ruolo Gestione ruoli e qualsiasi amministratore di Exchange e attribuirla a un altro gruppo di ruoli.

   5. Trovare tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione destinatario posta elettronica eseguendo il comando seguente:

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. Rimuovere tutte le assegnazioni di ruolo regolari e deleganti al ruolo Creazione destinatario di posta elettronica non associate al nuovo gruppo di ruoli o ad altri gruppi di ruoli, gruppi di sicurezza di servizio o assegnazioni dirette che si desidera mantenere eseguendo il comando seguente.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Nota

      Se si desidera rimuovere tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione destinatario di posta elettronica per ogni assegnatario diverso dal gruppo di ruoli Administrators di Active Directory, utilizzare il comando seguente. L'opzione WhatIf consente di visualizzare le assegnazioni di ruolo che verranno rimosse. Rimuovere l'opzione WhatIf ed eseguire di nuovo il comando per rimuovere le assegnazioni di ruolo.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. Trovare tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione e appartenenza del gruppo di sicurezza eseguendo il comando seguente.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. Rimuovere tutte le assegnazioni di ruolo regolari e deleganti al ruolo Creazione e appartenenza del gruppo di sicurezza non associate al nuovo gruppo di ruoli o ad altri gruppi di ruoli, gruppi di sicurezza di sicurezza o assegnazioni dirette che si desidera mantenere eseguendo il comando seguente:

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Nota

      È possibile utilizzare lo stesso comando della nota precedente per rimuovere tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione e appartenenza a un gruppo di sicurezza per qualsiasi assegnatario diverso dal gruppo di ruoli Administrators di Active Directory, come illustrato in questo esempio.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Per ulteriori informazioni sulla sintassi e sui parametri, vedere gli argomenti seguenti:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

Passaggio alle autorizzazioni suddivise di Active Directory

È possibile configurare l'organizzazione di Exchange per le autorizzazioni di suddivisione di Active Directory. Le autorizzazioni suddivise di Active Directory rimuovono completamente le autorizzazioni che consentono agli amministratori e ai server Exchange di creare le entità di sicurezza in Active Directory o di modificare gli attributi non Exchange per tali oggetti. Al termine dell'operazione, solo gli amministratori di Active Directory saranno in grado di creare le entità di sicurezza di Active Directory. Ciò significa che gli amministratori di Exchange non potranno utilizzare i cmdlet seguenti:

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

Gli amministratori e i server Exchange potranno gestire solo gli attributi di Exchange per le entità di sicurezza esistenti di Active Directory. Tuttavia, potranno creare e gestire gli oggetti specifici di Exchange, ad esempio le regole di trasporto e i dial plan di messaggistica unificata.

Avviso

Una volta abilitate le autorizzazioni suddivise di Active Directory, gli amministratori e i server Exchange non potranno più creare le entità di sicurezza in Active Directory, né potranno gestire l'appartenenza ai gruppi di distribuzione. Queste attività devono essere eseguite utilizzando gli strumenti di gestione di Active Directory con le autorizzazioni di Active Directory necessarie. Prima di apportare questa modifica, è necessario comprendere l'impatto che avrà sui processi di amministrazione e sulle applicazioni di terze parti che si integrano con Exchange e il modello di autorizzazioni del controllo degli accessi in base al ruolo.

Per altre informazioni, vedere la sezione "Autorizzazioni di divisione di Active Directory" in Split permissions in Exchange Server.For more information, see the "Active Directory split permissions" in Split permissions in Exchange Server.

Per passare dalle autorizzazioni condivise o di suddivisione del controllo degli accessi in base al ruolo alle autorizzazioni di suddivisione di Active Directory, seguire questa procedura:

1. Nel server di destinazione aprire Esplora file, fare clic con il pulsante destro del mouse sul file di immagine ISO di Exchange e quindi scegliere Monta. Si noti la lettera di unità DVD virtuale assegnata.

2. In una finestra del prompt dei comandi di Windows eseguire il comando seguente per abilitare le autorizzazioni di suddivisione di Active Directory:

   Nota

   • L'opzione /IAcceptExchangeServerLicenseTerms precedente non funzionerà a partire dalla Exchange Server 2016 e Exchange Server 2019 settembre 2021 cumulative Aggiornamenti (CU). È ora necessario usare /IAcceptExchangeServerLicenseTerms_DiagnosticDataON o /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF per le installazioni automatica e tramite script.

   • Gli esempi seguenti usano l'opzione /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. È necessario modificare l'opzione in /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. Se nell'organizzazione sono presenti più domini di Active Directory, è necessario eseguire Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain in ogni dominio figlio che contiene server o oggetti di Exchange oppure eseguire Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains da un sito con un server Active Directory da ogni dominio.

4. Riavviare tutti i server Exchange nell'organizzazione o attendere la replica del token di accesso di Active Directory in tutti i server Exchange.