Informazioni sulla divisione delle autorizzazioni
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-12-06
Le organizzazioni che separano la gestione degli oggetti Microsoft Exchange Server 2010 e quelli Active Directory utilizzano il cosiddetto modello di divisione delle autorizzazioni. La divisione delle autorizzazioni consente alle organizzazioni di assegnare le specifiche autorizzazioni e le relative attività ai gruppi specifici all'interno dell'organizzazione. Questa separazione del lavoro consente di mantenere gli standard e i flussi di lavoro e di controllare le modifiche nell'organizzazione.
Il livello più alto della divisione delle autorizzazioni indica la separazione della gestione di Exchange da quella di Active Directory. Molte organizzazioni dispongono di due gruppi: gli amministratori che gestiscono l'infrastruttura Exchange dell'organizzazione, compresi i server e i destinatari, e gli amministratori che gestiscono l'infrastruttura Active Directory. Si tratta di una separazione importante per molte organizzazioni, in quanto l'infrastruttura Active Directory spesso interessa molti percorsi, domini, servizi, applicazioni e persino foreste di Active Directory. Gli amministratori di Active Directory devono garantire che le modifiche apportate a Active Directory non influiscano negativamente sugli altri servizi. Di conseguenza, la gestione di quell'infrastruttura in genere è consentita solo a un piccolo gruppo di amministratori.
Allo stesso tempo, l'infrastruttura per Exchange, compresi i server e i destinatari, può anche essere complessa e richiedere conoscenze specifiche. Inoltre, Exchange consente di archiviare le informazioni estremamente riservate sull'azienda dell'organizzazione. Gli amministratori di Exchange possono potenzialmente accedere a queste informazioni. Limitando il numero degli amministratori di Exchange, viene controllato chi può apportare modifiche alla configurazione di Exchange e chi può accedere alle informazioni riservate.
In genere, la divisione delle autorizzazioni distingue tra la creazione delle entità di sicurezza in Active Directory, come gli utenti e i gruppi di protezione, e la successiva configurazione di tali oggetti. Ciò consente di ridurre la possibilità di accesso non autorizzato alla rete controllando chi può creare gli oggetti che garantiscono l'accesso a essa. In genere, solo gli amministratori di Active Directory possono creare le entità di sicurezza, mentre gli altri amministratori, come quelli di Exchange, possono gestire gli attributi specifici per gli oggetti Active Directory esistenti.
Per supportare le diverse esigenze di separazione tra la gestione di Exchange e Active Directory, Exchange 2010 consente di scegliere tra un modello di autorizzazioni condivise e un modello di divisione delle autorizzazioni. L'impostazione predefinita di Exchange 2010 è costituita da un modello di autorizzazioni condivise.
Sommario
- Spiegazione del controllo di accesso basato sui ruoli e Active Directory
- Autorizzazioni condivise
- Divisione delle autorizzazioni
Spiegazione del controllo di accesso basato sui ruoli e Active Directory
Per comprendere la divisione delle autorizzazioni, è necessario comprendere prima l'interazione del modello di autorizzazioni Controllo di accesso basato sui ruoli (RBAC) di Exchange 2010 con Active Directory. Il modello RBAC consente di controllare chi può eseguire le azioni e su quali oggetti possono essere eseguite tali azioni. Per ulteriori informazioni sui vari componenti di RBAC trattati in questo argomento, vedere Informazioni sul controllo di accesso basato sui ruoli.
In Exchange 2010, tutte le attività eseguite sugli oggetti Exchange devono essere effettuate tramite Exchange Management Console, Exchange Management Shell o l'interfaccia amministrativa Web di Exchange. Ciascuno di questi strumenti di gestione utilizza RBAC per autorizzare tutte le attività eseguite.
RBAC indica un componente presente in tutti i server che eseguono Exchange 2010. RBAC consente di controllare se l'utente è autorizzato a eseguire un'azione:
- Se l'utente non è autorizzato a eseguire l'azione, RBAC non consente la prosecuzione dell'azione.
- Se l'utente è autorizzato a eseguire l'azione, RBAC controlla se l'utente è autorizzato a eseguire l'azione sull'oggetto specifico richiesto:
- Se l'utente è autorizzato, RBAC consente la prosecuzione dell'azione.
- Se l'utente non è autorizzato, RBAC non consente la prosecuzione dell'azione.
Se RBAC consente la prosecuzione, l'azione viene eseguita nel contesto di Exchange Trusted Subsystem e non nel contesto dell'utente. Exchange Trusted Subsystem indica un gruppo di protezione universale altamente privilegiato che dispone dell'accesso in lettura/scrittura a ogni oggetto correlato a Exchange nell'organizzazione Exchange. Indica anche un membro del gruppo di protezione locale Administrators e del gruppo di protezione universale Exchange Windows Permissions, che consente a Exchange di creare e gestire gli oggetti Active Directory.
Avviso
Il gruppo di protezione universale Exchange Trusted Subsystem non deve essere rimosso da alcun gruppo di protezione né dagli elenchi di controllo di accesso (ACL) di alcun oggetto. Il funzionamento di Exchange si basa sul gruppo di protezione universale Exchange Trusted Subsystem. L'eliminazione del gruppo di protezione universale Exchange Trusted Subsystem da un gruppo o dall'elenco di controllo di accesso di un oggetto potrebbe causare danni irreparabili all'organizzazione Exchange.
È importante capire che non importano le autorizzazioni di Active Directory di cui dispone un utente durante l'utilizzo degli strumenti di gestione di Exchange. Se un utente è autorizzato, tramite RBAC, a eseguire un'azione con gli strumenti di gestione di Exchange, l'utente può eseguire l'azione indipendentemente dalle autorizzazioni di Active Directory. Al contrario, se un utente è un Enterprise Admin di Active Directory ma non è autorizzato a eseguire un'azione, come la creazione di una cassetta postale, con gli strumenti di gestione di Exchange, l'azione non verrà eseguita, in quanto l'utente non dispone delle autorizzazioni necessarie in base a RBAC.
Importante
Sebbene il modello di autorizzazioni RBAC non venga applicato allo strumento di gestione Utenti e computer di Active Directory, gli Utenti e computer di Active Directory non possono gestire la configurazione di Exchange. Pertanto, anche se un utente dispone dell'accesso per modificare alcuni attributi per gli oggetti Active Directory, come il nome visualizzato di un utente, l'utente deve utilizzare gli strumenti di gestione di Exchange, e quindi deve essere autorizzato da RBAC, per gestire gli attributi di Exchange.
Inizio pagina
Autorizzazioni condivise
Il modello di autorizzazioni condivise costituisce il modello predefinito per Exchange 2010. Se si desidera utilizzare questo modello di autorizzazioni, non è necessaria alcuna modifica. Questo modello non consente di separare la gestione degli oggetti Exchange e Active Directory dall'interno degli strumenti di gestione di Exchange. Consente agli amministratori che utilizzano gli strumenti di gestione di Exchange di creare le entità di sicurezza in Active Directory.
Nella tabella seguente vengono descritti i ruoli che consentono la creazione delle entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui vengono assegnati per impostazione predefinita.
Ruoli di gestione per le entità di sicurezza
Ruolo di gestione | Gruppo di ruoli |
---|---|
Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Creazione destinatario di posta possono creare le entità di sicurezza, come gli utenti di Active Directory. Per impostazione predefinita, i gruppi di ruoli Gestione organizzazione e Gestione destinatari vengono assegnati a questo ruolo. Pertanto, i membri di questi gruppi di ruoli possono creare le entità di sicurezza.
Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Creazione e appartenenza a un gruppo di protezione possono creare i gruppi di protezione o gestirne le appartenenze. Per impostazione predefinita, solo il gruppo di ruoli Gestione organizzazione viene assegnato a questo ruolo. Pertanto, solo i membri del gruppo di ruoli Gestione organizzazione possono creare o gestire l'appartenenza ai gruppi di protezione.
Se si desidera che altri utenti siano in grado di creare le entità di sicurezza, è possibile assegnare il ruolo Creazione destinatario di posta e il ruolo Creazione e appartenenza a un gruppo di protezione ad altri gruppi di ruoli, utenti o gruppi di protezione universali.
Per abilitare la gestione delle entità di sicurezza esistenti in Exchange 2010, il ruolo Destinatari di posta viene assegnato per impostazione predefinita ai gruppi di ruoli Gestione organizzazione e Gestione destinatari. Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Destinatari di posta possono gestire le entità di sicurezza esistenti. Se si desidera che altri gruppi di ruoli, utenti o gruppi di protezione universali siano in grado di gestire le entità di sicurezza esistenti, è necessario assegnare loro il ruolo Destinatari di posta.
Per ulteriori informazioni sull'aggiunta di ruoli ai gruppi di ruoli, agli utenti o ai gruppi di protezione universali, vedere i seguenti argomenti:
- Aggiunta di un ruolo a un gruppo di ruoli
- Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale
Se si è passati a un modello di divisione delle autorizzazioni e si desidera tornare a un modello di autorizzazioni condivise, vedere Configurazione di Exchange 2010 per le autorizzazioni condivise.
Inizio pagina
Divisione delle autorizzazioni
Se l'organizzazione separa la gestione di Exchange dalla gestione di Active Directory, è necessario configurare Exchange per supportare il modello di divisione delle autorizzazioni. Se configurato correttamente, solo gli amministratori che si desiderano per creare le entità di sicurezza, come gli amministratori di Active Directory, saranno in grado di eseguire questa operazione e solo gli amministratori di Exchange saranno in grado di modificare gli attributi di Exchange per le entità di sicurezza esistenti.
Nella tabella seguente vengono descritti i ruoli che consentono la creazione delle entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui vengono assegnati per impostazione predefinita.
Ruoli di gestione per le entità di sicurezza
Ruolo di gestione | Gruppo di ruoli |
---|---|
Per impostazione predefinita, i membri dei gruppi di ruoli Gestione organizzazione e Gestione destinatari possono creare le entità di sicurezza. È necessario trasferire la capacità di creare le entità di sicurezza dai gruppi di ruoli incorporati a un nuovo gruppo di ruoli creato.
Per configurare un modello di divisione delle autorizzazioni, è necessario effettuare le seguenti operazioni:
- Creare un gruppo di ruoli, contenente gli amministratori di Active Directory che saranno in grado di creare le entità di sicurezza.
- Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione destinatario di posta e il nuovo gruppo di ruoli.
- Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di protezione e il nuovo gruppo di ruoli.
- Rimuovere le assegnazioni dei ruoli di gestione regolari e di delega tra il ruolo Creazione destinatario di posta e i gruppi di ruoli Gestione organizzazione e Gestione destinatari.
- Rimuovere le assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di protezione e il gruppo di ruoli Gestione organizzazione.
Una volta effettuate queste operazioni, solo i membri del nuovo gruppo di ruoli creato saranno in grado di creare le entità di sicurezza, come le cassette postali. Il nuovo gruppo sarà solo in grado di creare gli oggetti. Non sarà in grado di configurare gli attributi di Exchange per il nuovo oggetto. Un amministratore di Active Directory dovrà creare l'oggetto, quindi un amministratore di Exchange dovrà configurare gli attributi di Exchange per l'oggetto. Gli amministratori di Exchange non saranno in grado di utilizzare i seguenti cmdlet:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Gli amministratori di Exchange potranno comunque creare e gestire gli oggetti specifici di Exchange, come le regole di trasporto, i gruppi di distribuzione e così via.
Se si desidera che il nuovo gruppo di ruoli sia anche in grado di gestire gli attributi di Exchange per il nuovo oggetto, anche il ruolo Destinatari di posta deve essere assegnato al nuovo gruppo di ruoli.
Per ulteriori informazioni sulla configurazione di un modello di divisione delle autorizzazioni, vedere Configurazione di Exchange 2010 per le autorizzazioni suddivise.
Inizio pagina