Condividi tramite


Informazioni sulle autorizzazioni suddivise

Si applica a: Exchange Server 2013

Le organizzazioni che separano la gestione di oggetti Microsoft Exchange Server 2013 e oggetti di Active Directory usano il cosiddetto modello di autorizzazioni suddivise. La divisione delle autorizzazioni consente alle organizzazioni di assegnare le specifiche autorizzazioni e le relative attività ai gruppi specifici all'interno dell'organizzazione. Questa separazione del lavoro consente di mantenere gli standard e i flussi di lavoro e di controllare le modifiche nell'organizzazione.

Il livello più elevato di suddivisione delle autorizzazioni di è la separazione tra la gestione di Exchange e la gestione di Active Directory. Molte organizzazioni hanno due gruppi: amministratori che gestiscono l'infrastruttura di Exchange dell'organizzazione, inclusi server e destinatari, e amministratori che gestiscono l'infrastruttura di Active Directory. Si tratta di una separazione importante per molte organizzazioni perché l'infrastruttura di Active Directory si estende spesso su molte posizioni, domini, servizi, applicazioni e persino foreste di Active Directory. Gli amministratori di Active Directory devono assicurarsi che le modifiche apportate ad Active Directory non incidano negativamente su altri servizi. Di conseguenza, in genere solo un piccolo gruppo di amministratori può gestire tale infrastruttura.

Allo stesso tempo, anche l'infrastruttura per Exchange, inclusi server e destinatari, può essere complessa e richiedere conoscenze specializzate. Inoltre, Exchange archivia informazioni estremamente riservate sull'azienda dell'organizzazione. Gli amministratori di Exchange possono potenzialmente accedere a queste informazioni. Limitando il numero di amministratori di Exchange, l'organizzazione è in grado di limitare chi può apportare modifiche alla configurazione di Exchange e accedere alle informazioni riservate.

Le autorizzazioni di suddivisione fanno in genere una distinzione tra la creazione di entità di sicurezza in Active Directory, ad esempio utenti e gruppi di sicurezza, e la configurazione successiva di tali oggetti. Ciò consente di ridurre la possibilità di accesso non autorizzato alla rete controllando chi può creare oggetti che concedono l'accesso alla rete. Molto spesso solo gli amministratori di Active Directory possono creare entità di sicurezza, mentre altri amministratori, ad esempio gli amministratori di Exchange, possono gestire attributi specifici per gli oggetti Active Directory esistenti.

Per supportare le diverse esigenze per separare la gestione di Exchange e Active Directory, Exchange 2013 consente di scegliere se si vuole un modello di autorizzazioni condivise o un modello di autorizzazioni suddivise. Exchange 2013 offre due tipi di modelli di autorizzazioni suddivise: controllo degli accessi in base al ruolo e Active Directory. Exchange 2013 usa per impostazione predefinita un modello di autorizzazioni condivise.

Spiegazione dei Controllo di accesso basati sui ruoli e Active Directory

Per comprendere le autorizzazioni suddivise, è necessario comprendere il funzionamento del modello di autorizzazioni RBAC (Role Based Controllo di accesso) in Exchange 2013 con Active Directory. Il modello controllo degli accessi in base al ruolo controlla chi può eseguire le azioni e su quali oggetti tali azioni possono essere eseguite. Per altre informazioni sui vari componenti del controllo degli accessi in base al ruolo illustrati in questo argomento, vedere Informazioni sui Controllo di accesso basati sui ruoli.

In Exchange 2013 tutte le attività eseguite sugli oggetti di Exchange devono essere eseguite tramite Exchange Management Shell o l'interfaccia di amministrazione di Exchange. Entrambi questi strumenti di gestione usano il controllo degli accessi in base al ruolo per autorizzare tutte le attività eseguite.

Il controllo degli accessi in base al ruolo è un componente esistente in ogni server che esegue Exchange 2013. Controllo degli accessi in base al ruolo controlla se l'utente che esegue un'azione è autorizzato a eseguire questa operazione:

  • Se l'utente non è autorizzato a eseguire l'azione, il controllo degli accessi in base al ruolo non consente l'esecuzione dell'azione.

  • Se l'utente è autorizzato a eseguire l'azione, il controllo degli accessi in base al ruolo controlla se l'utente è autorizzato a eseguire l'azione sull'oggetto specifico richiesto:

    • Se l'utente è autorizzato, il controllo degli accessi in base al ruolo consente all'azione di procedere.

    • Se l'utente non è autorizzato, il controllo degli accessi in base al ruolo non consente l'esecuzione dell'azione.

Se il controllo degli accessi in base al ruolo consente l'esecuzione di un'azione, l'azione viene eseguita nel contesto del sottosistema attendibile di Exchange e non nel contesto dell'utente. Il sottosistema attendibile di Exchange è un gruppo di sicurezza universale con privilegi elevati che ha accesso in lettura/scrittura a ogni oggetto correlato a Exchange nell'organizzazione di Exchange. È anche un membro del gruppo di sicurezza locale Administrators e del gruppo di sicurezza usg Autorizzazioni di Windows di Exchange, che consente a Exchange di creare e gestire oggetti Active Directory.

Avviso

Non apportare modifiche manuali all'appartenenza al gruppo di sicurezza Del sottosistema attendibile di Exchange. Inoltre, non aggiungerlo o rimuoverlo dagli elenchi di controllo di accesso (ACL) degli oggetti. Apportando personalmente modifiche al gruppo di sicurezza del sottosistema attendibile di Exchange, è possibile causare danni irreparabili all'organizzazione di Exchange.

È importante comprendere che non importa quali autorizzazioni di Active Directory hanno un utente quando usa gli strumenti di gestione di Exchange. Se l'utente è autorizzato, tramite controllo degli accessi in base al ruolo, a eseguire un'azione negli strumenti di gestione di Exchange, l'utente può eseguire l'azione indipendentemente dalle autorizzazioni di Active Directory. Al contrario, se un utente è un'organizzazione Amministrazione in Active Directory ma non è autorizzato a eseguire un'azione, ad esempio la creazione di una cassetta postale, negli strumenti di gestione di Exchange, l'azione non avrà esito positivo perché l'utente non dispone delle autorizzazioni necessarie in base al controllo degli accessi in base al controllo degli accessi in base al ruolo.

Importante

Anche se il modello di autorizzazioni controllo degli accessi in base al ruolo non si applica allo strumento di gestione Utenti e computer di Active Directory, Utenti e computer di Active Directory non è in grado di gestire la configurazione di Exchange. Pertanto, anche se un utente può avere accesso per modificare alcuni attributi negli oggetti Active Directory, ad esempio il nome visualizzato di un utente, l'utente deve usare gli strumenti di gestione di Exchange e quindi essere autorizzato dal controllo degli accessi in base al ruolo per gestire gli attributi di Exchange.

Autorizzazioni condivise

Il modello di autorizzazioni condivise è il modello predefinito per Exchange 2013. Non è necessario modificare nulla se si tratta del modello di autorizzazioni che si vuole usare. Questo modello non separa la gestione degli oggetti Exchange e Active Directory dagli strumenti di gestione di Exchange. Consente agli amministratori che usano gli strumenti di gestione di Exchange di creare entità di sicurezza in Active Directory.

La tabella seguente illustra i ruoli che consentono la creazione di entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui sono assegnati per impostazione predefinita.

Ruolo di gestione Gruppo di ruolo
Ruolo di creazione dei destinatari di posta Gestione organizzazione

Gestione destinatari

Creazione gruppo di sicurezza e ruolo di appartenenza Gestione organizzazione

Solo i gruppi di ruoli, gli utenti o gli USG a cui è assegnato il ruolo Creazione destinatario posta elettronica possono creare entità di sicurezza, ad esempio utenti di Active Directory. Per impostazione predefinita, ai gruppi di ruoli Gestione organizzazione e Gestione destinatari viene assegnato questo ruolo. Pertanto, i membri di questi gruppi di ruoli possono creare entità di sicurezza.

Solo i gruppi di ruoli, gli utenti o i gruppi di sicurezza a cui è assegnato il ruolo Creazione e appartenenza del gruppo di sicurezza possono creare gruppi di sicurezza o gestire le appartenenze. Per impostazione predefinita, questo ruolo viene assegnato solo al gruppo di ruoli Gestione organizzazione. Di conseguenza, solo i membri del gruppo di ruoli Gestione organizzazione possono creare o gestire l'appartenenza ai gruppi di sicurezza.

È possibile assegnare il ruolo Creazione destinatario posta elettronica e il ruolo Creazione e appartenenza del gruppo di sicurezza ad altri gruppi di ruoli, utenti o gruppi di sicurezza di sicurezza se si vuole che altri utenti siano in grado di creare entità di sicurezza.

Per abilitare la gestione delle entità di sicurezza esistenti in Exchange 2013, il ruolo Destinatari posta viene assegnato ai gruppi di ruoli Gestione organizzazione e Gestione destinatari per impostazione predefinita. Solo i gruppi di ruoli, gli utenti o gli USG a cui è assegnato il ruolo Destinatari di posta elettronica possono gestire le entità di sicurezza esistenti. Se si desidera che altri gruppi di ruoli, utenti o gruppi di sicurezza di sicurezza siano in grado di gestire le entità di sicurezza esistenti, è necessario assegnare il ruolo Destinatari di posta elettronica.

Per altre informazioni su come aggiungere ruoli a gruppi di ruoli, utenti o gruppi di sicurezza di servizio, vedere gli argomenti seguenti:For more information about how to add roles to role groups, users, or USGs, see the following topics:

Se si è passati a un modello di autorizzazioni divise e si vuole tornare a un modello di autorizzazioni condivise, vedere Configurare Exchange 2013 per le autorizzazioni condivise.

Suddivisione delle autorizzazioni

Se l'organizzazione separa la gestione di Exchange e la gestione di Active Directory, è necessario configurare Exchange per supportare il modello di suddivisione delle autorizzazioni. Se configurata correttamente, solo gli amministratori che si desidera creare entità di sicurezza, ad esempio gli amministratori di Active Directory, potranno farlo e solo gli amministratori di Exchange potranno modificare gli attributi di Exchange nelle entità di sicurezza esistenti. Questa suddivisione delle autorizzazioni rientra anche approssimativamente lungo le linee delle partizioni di dominio e configurazione in Active Directory. Le partizioni sono anche denominate contesti di denominazione. La partizione di dominio archivia gli utenti, i gruppi e altri oggetti per un dominio specifico. La partizione di configurazione archivia le informazioni di configurazione a livello di foresta per i servizi che hanno usato Active Directory, ad esempio Exchange. I dati archiviati nella partizione di dominio vengono in genere gestiti dagli amministratori di Active Directory, anche se gli oggetti possono contenere attributi specifici di Exchange che possono essere gestiti dagli amministratori di Exchange. I dati archiviati nella partizione di configurazione vengono gestiti dagli amministratori per ogni rispettivo servizio che archivia i dati in questa partizione. Per Exchange, si tratta in genere di amministratori di Exchange.

Exchange 2013 supporta i due tipi di autorizzazioni di suddivisione seguenti:

  • Autorizzazioni di suddivisione del controllo degli accessi in base al ruolo: le autorizzazioni per creare entità di sicurezza nella partizione di dominio Active Directory sono controllate dal controllo degli accessi in base al ruolo. Le entità di sicurezza possono essere create solo dai servizi, dai server Exchange e dai membri dei gruppi di ruoli appropriati.

  • Autorizzazioni di suddivisione di Active Directory: le autorizzazioni per creare entità di sicurezza nella partizione di dominio Active Directory vengono completamente rimosse da qualsiasi utente, servizio o server di Exchange. Per creare le entità di sicurezza, non viene fornita alcuna opzione in RBAC. La creazione delle entità di sicurezza in Active Directory deve essere eseguita utilizzando gli strumenti di gestione di Active Directory.

    Importante

    Anche se è possibile abilitare o disabilitare le autorizzazioni di suddivisione di Active Directory eseguendo il programma di installazione in un computer in cui è installato Exchange 2013, la configurazione delle autorizzazioni di suddivisione di Active Directory si applica sia ai server Exchange 2013 che a Exchange 2010. Tuttavia, non ha alcun impatto sui server Microsoft Exchange Server 2007.

Se l'organizzazione sceglie di usare un modello di autorizzazioni suddivise anziché le autorizzazioni condivise, è consigliabile usare il modello di autorizzazioni di suddivisione del controllo degli accessi in base al ruolo. Il modello delle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo offre una maggiore flessibilità, offrendo al tempo stesso la stessa separazione amministrativa delle autorizzazioni di suddivisione di Active Directory, con l'eccezione che i server e i servizi di Exchange possono creare entità di sicurezza nel modello delle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo.

Viene chiesto se si desidera abilitare le autorizzazioni di suddivisione di Active Directory durante l'installazione. Se si sceglie di abilitare le autorizzazioni di suddivisione di Active Directory, è possibile passare solo alle autorizzazioni condivise o alle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo eseguendo di nuovo il programma di installazione e disabilitando le autorizzazioni di suddivisione di Active Directory. Questa scelta si applica a tutti i server Exchange 2010 ed Exchange 2013 nell'organizzazione.

Le sezioni seguenti descrivono in modo più dettagliato il controllo degli accessi in base al ruolo e le autorizzazioni di suddivisione di Active Directory.

Autorizzazioni suddivise RBAC

Il modello di sicurezza controllo degli accessi in base al ruolo modifica le assegnazioni di ruolo di gestione predefinite per separare gli utenti che possono creare entità di sicurezza nella partizione di dominio Active Directory da quelli che amministrano i dati dell'organizzazione di Exchange nella partizione di configurazione di Active Directory. Le entità di sicurezza, quali utenti con cassette postali e gruppi di distribuzione, possono essere create dagli amministratori con ruolo Creazione destinatario di posta elettronica o Creazione e appartenenza a un gruppo di sicurezza. Queste autorizzazioni rimangono separate dalle autorizzazioni necessarie per creare entità di sicurezza all'esterno degli strumenti di gestione di Exchange. Gli amministratori di Exchange a cui non sono assegnati i ruoli Creazione destinatario di posta elettronica o Creazione e appartenenza a un gruppo di sicurezza possono comunque modificare gli attributi correlati a Exchange nelle entità di sicurezza. Gli amministratori di Active Directory hanno anche la possibilità di usare gli strumenti di gestione di Exchange per creare entità di sicurezza di Active Directory.

I server Exchange e il sottosistema attendibile di Exchange hanno anche le autorizzazioni per creare entità di sicurezza in Active Directory per conto di utenti e programmi di terze parti che si integrano con il controllo degli accessi in base al ruolo.

Le autorizzazioni di suddivisione degli accessi in base al controllo degli accessi in base al ruolo sono una scelta ottimale per l'organizzazione se sono vere le seguenti:

  • L'organizzazione non richiede che la creazione dell'entità di sicurezza venga eseguita usando solo gli strumenti di gestione di Active Directory e solo gli utenti a cui sono assegnate autorizzazioni active directory specifiche.

  • L'organizzazione consente ai servizi, ad esempio i server Exchange, di creare entità di sicurezza.

  • Si vuole semplificare il processo necessario per creare cassette postali, utenti abilitati alla posta elettronica, gruppi di distribuzione e gruppi di ruoli consentendone la creazione dall'interno degli strumenti di gestione di Exchange.

  • Si vuole gestire l'appartenenza di gruppi di distribuzione e gruppi di ruoli all'interno degli strumenti di gestione di Exchange.

  • Sono disponibili programmi di terze parti che richiedono che i server Exchange siano in grado di creare entità di sicurezza per loro conto.

Se l'organizzazione richiede una separazione completa dell'amministrazione di Exchange e Active Directory in cui non è possibile eseguire alcuna amministrazione di Active Directory usando gli strumenti di gestione di Exchange o i servizi di Exchange, vedere la sezione Autorizzazioni di suddivisione di Active Directory più avanti in questo argomento.

Il passaggio dalle autorizzazioni condivise alle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo è un processo manuale in cui vengono rimosse le autorizzazioni necessarie per creare entità di sicurezza dai gruppi di ruoli a cui vengono concesse per impostazione predefinita.

La tabella seguente illustra i ruoli che consentono la creazione di entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui sono assegnati per impostazione predefinita.

Ruolo di gestione Gruppo di ruolo
Ruolo di creazione dei destinatari di posta Gestione organizzazione

Gestione destinatari

Creazione gruppo di sicurezza e ruolo di appartenenza Gestione organizzazione

Per impostazione predefinita, i membri dei gruppi di ruoli Gestione organizzazione e Gestione destinatari possono creare entità di sicurezza. È necessario trasferire la possibilità di creare entità di sicurezza dai gruppi di ruoli predefiniti a un nuovo gruppo di ruoli creato.

Per configurare le autorizzazioni di suddivisione del controllo degli accessi in base al ruolo, è necessario eseguire le operazioni seguenti:

  1. Disabilitare le autorizzazioni suddivise di Active Directory se sono abilitate.

  2. Creare un gruppo di ruoli che conterrà gli amministratori di Active Directory che potranno creare entità di sicurezza.

  3. Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione destinatario di posta e il nuovo gruppo di ruoli.

  4. Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di protezione e il nuovo gruppo di ruoli.

  5. Rimuovere le assegnazioni dei ruoli di gestione regolari e di delega tra il ruolo Creazione destinatario di posta e i gruppi di ruoli Gestione organizzazione e Gestione destinatari.

  6. Rimuovere le assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di protezione e il gruppo di ruoli Gestione organizzazione.

Dopo questa operazione, solo i membri del nuovo gruppo di ruoli creato potranno creare entità di sicurezza, ad esempio cassette postali. Il nuovo gruppo sarà in grado di creare solo gli oggetti . Non sarà in grado di configurare gli attributi di Exchange nel nuovo oggetto. Un amministratore di Active Directory, membro del nuovo gruppo, dovrà creare l'oggetto e quindi un amministratore di Exchange dovrà configurare gli attributi di Exchange nell'oggetto. Gli amministratori di Exchange non potranno usare i cmdlet seguenti:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Gli amministratori di Exchange saranno tuttavia in grado di creare e gestire oggetti specifici di Exchange, ad esempio regole di trasporto, gruppi di distribuzione e così via, e gestire gli attributi correlati a Exchange in qualsiasi oggetto.

Inoltre, anche le funzionalità associate in EAC e Outlook Web App, ad esempio la Creazione guidata nuova cassetta postale, non saranno più disponibili o genereranno un errore se si tenta di usarle.

Se si vuole che anche il nuovo gruppo di ruoli sia in grado di gestire gli attributi di Exchange nel nuovo oggetto, è necessario assegnare anche il ruolo Destinatari di posta elettronica al nuovo gruppo di ruoli.

Per altre informazioni sulla configurazione di un modello di suddivisione delle autorizzazioni, vedere Configurare Exchange 2013 per le autorizzazioni suddivise.

Autorizzazioni suddivise Active Directory

Con le autorizzazioni suddivise di Active Directory, la creazione di entità di sicurezza nella partizione di dominio Active Directory, ad esempio cassette postali e gruppi di distribuzione, deve essere eseguita usando gli strumenti di gestione di Active Directory. Vengono apportate diverse modifiche alle autorizzazioni concesse all’Exchange Trusted Subsystem e ai server Exchange per limitare le operazioni che possono essere eseguite dagli amministratori e dai server di Exchange. Quando si abilitano le autorizzazioni suddivise di Active Directory, nella funzionalità si verificano le seguenti modifiche:

  • La creazione di cassette postali, utenti abilitati alla posta elettronica, gruppi di distribuzione e altre entità di sicurezza viene rimossa dagli strumenti di gestione di Exchange.

  • L'aggiunta e la rimozione dei membri del gruppo di distribuzione non possono essere eseguite dagli strumenti di gestione di Exchange.

  • Tutte le autorizzazioni concesse all’Exchange Trusted Subsystem e ai server Exchange per creare entità di sicurezza vengono rimosse.

  • I server Exchange e gli strumenti di gestione di Exchange possono modificare solo gli attributi di Exchange delle entità di sicurezza esistenti in Active Directory.

Ad esempio, per creare una cassetta postale con autorizzazioni di suddivisione di Active Directory abilitate, è necessario creare un utente usando gli strumenti di Active Directory da un utente con le autorizzazioni di Active Directory necessarie. L'utente può quindi essere abilitato per le cassette postali usando gli strumenti di gestione di Exchange. Solo gli attributi correlati a Exchange della cassetta postale possono essere modificati dagli amministratori di Exchange usando gli strumenti di gestione di Exchange.

Le autorizzazioni di suddivisione di Active Directory sono una buona scelta per l'organizzazione se sono vere le seguenti:

  • L'organizzazione richiede che le entità di sicurezza vengano create usando solo gli strumenti di gestione di Active Directory o solo dagli utenti a cui vengono concesse autorizzazioni specifiche in Active Directory.

  • Si vuole separare completamente la possibilità di creare entità di sicurezza da quelle che gestiscono l'organizzazione di Exchange.

  • Si vuole eseguire tutta la gestione dei gruppi di distribuzione, inclusa la creazione di gruppi di distribuzione e l'aggiunta e la rimozione di membri di tali gruppi, usando gli strumenti di gestione di Active Directory.

  • Non si vuole che i server Exchange o i programmi di terze parti che usano Exchange per loro conto creino entità di sicurezza.

Importante

Il passaggio alle autorizzazioni di suddivisione di Active Directory è una scelta che è possibile effettuare quando si installa Exchange 2013 usando l'installazione guidata o il parametro ActiveDirectorySplitPermissions durante l'esecuzione setup.exe dalla riga di comando. È anche possibile abilitare o disabilitare le autorizzazioni di suddivisione di Active Directory dopo aver installato Exchange 2013 eseguendo di nuovo setup.exe dalla riga di comando.

Per abilitare le autorizzazioni di suddivisione di Active Directory, impostare il parametro ActiveDirectorySplitPermissions su true. Per disabilitarla, impostarla falsesu . È sempre necessario specificare l'opzione PrepareAD insieme al parametro ActiveDirectorySplitPermissions .

Se sono presenti più domini all'interno della stessa foresta, è necessario specificare anche l'opzione PrepareAllDomains quando si applicano le autorizzazioni di suddivisione di Active Directory oppure eseguire l'installazione con l'opzione PrepareDomain in ogni dominio. Se si sceglie di eseguire l'installazione con l'opzione PrepareDomain in ogni dominio anziché usare l'opzione PrepareAllDomains , è necessario preparare ogni dominio contenente server di Exchange, oggetti abilitati alla posta elettronica o server di catalogo globale accessibili da un server exchange.

Non è possibile abilitare le autorizzazioni di suddivisione di Active Directory se è stato installato Exchange 2010 o Exchange 2013 in un controller di dominio.

Dopo aver abilitato o disabilitato le autorizzazioni di suddivisione di Active Directory, è consigliabile riavviare i server Exchange 2010 ed Exchange 2013 nell'organizzazione per forzarli a prelevare il nuovo token di accesso di Active Directory con le autorizzazioni aggiornate.

Exchange 2013 ottiene le autorizzazioni di suddivisione di Active Directory rimuovendo le autorizzazioni e l'appartenenza dal gruppo di sicurezza Autorizzazioni di Windows di Exchange. Questo gruppo di sicurezza, nelle autorizzazioni condivise e nelle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo, riceve le autorizzazioni per molti oggetti e attributi non Exchange in Active Directory. Rimuovendo le autorizzazioni e l'appartenenza a questo gruppo di sicurezza, agli amministratori e ai servizi di Exchange viene impedito di creare o modificare tali oggetti non Di Exchange Active Directory.

Per un elenco delle modifiche apportate al gruppo di sicurezza Autorizzazioni di Windows exchange e ad altri componenti di Exchange quando si abilitano o disabilitano le autorizzazioni di suddivisione di Active Directory, vedere la tabella seguente.

Nota

Le assegnazioni di ruolo ai gruppi di ruoli che consentono agli amministratori di Exchange di creare entità di sicurezza vengono rimosse quando sono abilitate le autorizzazioni di suddivisione di Active Directory. Questa operazione viene eseguita per rimuovere l'accesso ai cmdlet che altrimenti genererebbero un errore quando vengono eseguiti perché non dispongono delle autorizzazioni per creare l'oggetto Active Directory associato.

Modifiche alle autorizzazioni di suddivisione di Active Directory

Azione Modifiche apportate da Exchange
Abilitare le autorizzazioni di suddivisione di Active Directory durante la prima installazione del server Exchange 2013 Quando si abilitano le autorizzazioni di suddivisione di Active Directory tramite l'installazione guidata o l'esecuzione setup.exe con i /PrepareAD parametri e /ActiveDirectorySplitPermissions:true , si verifica quanto segue:
  • Viene creata un'unità organizzativa denominata Gruppi protetti di Microsoft Exchange .
  • Il gruppo di sicurezza Autorizzazioni di Windows di Exchange viene creato nell'unità organizzativa Gruppi protetti di Microsoft Exchange .
  • Il gruppo di sicurezza Del sottosistema attendibile di Exchange non viene aggiunto al gruppo di sicurezza Autorizzazioni di Windows di Exchange .
  • La creazione di assegnazioni di ruoli di gestione non deleganti ai ruoli di gestione con i tipi di ruolo di gestione seguenti viene ignorata:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Le voci di controllo di accesso che sarebbero state assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange non vengono aggiunte all'oggetto di dominio Active Directory.

Se si esegue l'installazione con l'opzione PrepareAllDomains o PrepareDomain , in ogni dominio figlio preparato si verifica quanto segue:

  • Tutti gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange vengono rimossi dall'oggetto di dominio.
  • Gli ACL vengono impostati in ogni dominio ad eccezione di tutti gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange .
Passare dalle autorizzazioni condivise o dalle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo alle autorizzazioni di suddivisione di Active Directory Quando si esegue il comando con i setup.exe/PrepareAD parametri e /ActiveDirectorySplitPermissions:true , si verifica quanto segue:
  • Viene creata un'unità organizzativa denominata Gruppi protetti di Microsoft Exchange .
  • Il gruppo di sicurezza Autorizzazioni di Windows di Exchange viene spostato nell'unità organizzativa Gruppi protetti di Microsoft Exchange .
  • Il gruppo di sicurezza Del sottosistema attendibile di Exchange viene rimosso dal gruppo di sicurezza Autorizzazioni di Windows di Exchange .
  • Tutte le assegnazioni di ruolo non deleganti ai ruoli di gestione con i tipi di ruolo seguenti vengono rimosse:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Tutti gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange vengono rimossi dall'oggetto di dominio.

Se si esegue l'installazione con l'opzione PrepareAllDomains o PrepareDomain , in ogni dominio figlio preparato si verifica quanto segue:

  • Tutti gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange vengono rimossi dall'oggetto di dominio.
  • Gli ACL vengono impostati in ogni dominio ad eccezione di tutti gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange .
Passare dalle autorizzazioni di suddivisione di Active Directory alle autorizzazioni condivise o alle autorizzazioni di suddivisione del controllo degli accessi in base al ruolo Quando si esegue il comando con i setup.exe/PrepareAD parametri e /ActiveDirectorySplitPermissions:false , si verifica quanto segue:
  • Il gruppo di sicurezza Autorizzazioni di Windows di Exchange viene spostato nell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange .
  • L'unità organizzativa Gruppi protetti di Microsoft Exchange viene rimossa.
  • Il gruppo di sicurezza Exchange Trusted Subsystems viene aggiunto al gruppo di sicurezza Exchange Windows Permissions .
  • Gli ACL vengono aggiunti all'oggetto di dominio per il gruppo di sicurezza Exchange Windows Permissions .

Se si esegue l'installazione con l'opzione PrepareAllDomains o PrepareDomain , in ogni dominio figlio preparato si verifica quanto segue:

  • Gli ACL vengono aggiunti all'oggetto di dominio per il gruppo di sicurezza Exchange Windows Permissions .
  • Gli ACL vengono impostati in ogni dominio, inclusi gli ACL assegnati al gruppo di sicurezza Autorizzazioni di Windows di Exchange .

Le assegnazioni di ruolo ai ruoli Creazione del destinatario di posta e Creazione gruppo di sicurezza e Appartenenza non vengono create automaticamente quando si passa dalla divisione di Active Directory alle autorizzazioni condivise. Se la delega delle assegnazioni di ruolo è stata personalizzata prima dell'abilitazione delle autorizzazioni di suddivisione di Active Directory, tali personalizzazioni vengono lasciate invariate. Per creare assegnazioni di ruolo tra questi ruoli e il gruppo di ruoli Gestione organizzazione, vedere Configurare Exchange 2013 per le autorizzazioni condivise.

Dopo aver abilitato le autorizzazioni suddivise di Active Directory, i cmdlet seguenti non sono più disponibili:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Dopo aver abilitato le autorizzazioni di suddivisione di Active Directory, i cmdlet seguenti sono accessibili, ma non è possibile usarli per creare gruppi di distribuzione o modificare l'appartenenza ai gruppi di distribuzione:

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

Alcuni cmdlet, anche se ancora disponibili, possono offrire solo funzionalità limitate se usati con le autorizzazioni di suddivisione di Active Directory. Ciò è dovuto al fatto che possono consentire di configurare gli oggetti destinatario che si trovano nella partizione di Active Directory di dominio e gli oggetti di configurazione di Exchange presenti nella partizione di configurazione di Active Directory. Possono anche consentire di configurare gli attributi correlati a Exchange negli oggetti archiviati nella partizione di dominio. I tentativi di usare i cmdlet per creare oggetti o modificare attributi non correlati a Exchange negli oggetti nella partizione di dominio genereranno un errore. Ad esempio, il cmdlet Add-ADPermission restituirà un errore se si tenta di aggiungere autorizzazioni a una cassetta postale. Tuttavia, il cmdlet Add-ADPermission avrà esito positivo se si configurano le autorizzazioni per un connettore di ricezione. Ciò avviene perché una cassetta postale viene archiviata nella partizione di dominio mentre i connettori di ricezione vengono archiviati nella partizione di configurazione.

Inoltre, anche le funzionalità associate nell'interfaccia di amministrazione di Exchange e Outlook Web App, ad esempio la creazione guidata Nuova cassetta postale, non saranno più disponibili o genereranno un errore se si tenta di usarle.

Gli amministratori di Exchange saranno tuttavia in grado di creare e gestire oggetti specifici di Exchange, ad esempio le regole di trasporto e così via.

Per altre informazioni sulla configurazione di un modello di autorizzazioni di suddivisione di Active Directory, vedere Configurare Exchange 2013 per le autorizzazioni suddivise.