Informazioni sulla coesistenza delle autorizzazioni con Exchange 2003
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
Le autorizzazioni in Microsoft Exchange Server 2010 e in Exchange Server 2003 sono completamente separate. Ciò avviene perché i modelli di autorizzazioni utilizzati da Exchange 2010 e da Exchange 2003 sono diversi. Per concedere agli amministratori di Exchange 2003 esistenti le autorizzazioni per i server Exchange 2010 e viceversa, è necessario eseguire una procedura. Inoltre, la gestione di Exchange 2010 e di Exchange 2003 viene eseguita separatamente utilizzando gli strumenti di gestione forniti da ogni versione. È possibile concedere le autorizzazioni agli amministratori in modo che possano gestire l'organizzazione combinata di Exchange 2010 e di Exchange 2003.
Per ulteriori informazioni sulla pianificazione della coesistenza tra Exchange 2010 ed Exchange 2003, vedere Exchange 2003 - Roadmap di pianificazione per l'aggiornamento e la coesistenza.
Autorizzazioni di Exchange 2010
Exchange 2010 utilizza il modello di autorizzazioni di controllo dell'accesso basato sui ruoli (RBAC, Role Based Access Control). Il modello è costituito da gruppi di ruoli di gestione assegnati singolarmente a diversi ruoli di gestione. I ruoli di gestione contengono le autorizzazioni che consentono agli amministratori di eseguire le attività nell'organizzazione di Exchange. Gli amministratori vengono aggiunti come membri dei gruppi di ruolo e vengono loro concesse tutte le autorizzazioni previste dai ruoli. Nella tabella seguente viene riportato un esempio di gruppi di ruolo, di alcuni dei ruoli assegnati e una descrizione del tipo di utente che potrebbe essere membro del gruppo di ruolo.
Esempi di gruppi di ruolo e di ruoli in Exchange 2010
Gruppo di ruoli di gestione | Ruoli di gestione | Membri di questo gruppo di ruolo |
---|---|---|
Gestione organizzazione |
Di seguito sono riportati alcuni dei ruoli assegnati a questo gruppo di ruolo:
|
Gli utenti che devono gestire l'intera organizzazione di Exchange 2010 devono essere membri di questo gruppo di ruolo. Con alcune eccezioni, i membri di questo gruppo di ruolo possono gestire quasi ogni aspetto dell'organizzazione di Exchange 2010. Per impostazione predefinita, l'account utente utilizzato per preparare Active Directory per Exchange 2010 è un membro di questo gruppo di ruolo. Per ulteriori informazioni su questo gruppo di ruolo e per un elenco completo dei ruoli assegnati al gruppo di ruolo, vedere Gestione dell'organizzazione. |
Gestione organizzazione in sola visualizzazione |
Di seguito sono elencati i ruoli assegnati a questo gruppo di ruolo:
|
Per visualizzare l'intera organizzazione di Exchange 2010, gli utenti devono essere membri di questo gruppo di ruolo. Tali utenti devono essere in grado di visualizzare la configurazione del server, le informazioni sul destinatario e di eseguire le funzioni di monitoraggio senza modificare la configurazione del destinatario o dell'organizzazione. Per ulteriori informazioni su questo gruppo di ruolo, vedere Gestione dell'organizzazione in sola visualizzazione. |
Gestione destinatari |
Di seguito sono elencati i ruoli assegnati a questo gruppo di ruolo:
|
Per gestire destinatari quali cassette postali, contatti e gruppi di distribuzione nell'organizzazione di Exchange 2010, gli utenti devono essere membri di questo gruppo di ruolo. Tali utenti possono creare destinatari, modificare o eliminare destinatari esistenti o spostare cassette postali. Per ulteriori informazioni su questo gruppo di ruolo e per un elenco completo dei ruoli assegnati al gruppo di ruolo, vedere Gestione dei destinatari. |
Gestione server |
Di seguito sono riportati alcuni dei ruoli assegnati a questo gruppo di ruolo:
|
Per gestire la configurazione del server Exchange, ad esempio i connettori di ricezione, i certificati, i database e le directory virtuali, gli utenti devono essere membri di questo gruppo di ruolo. Tali utenti possono modificare la configurazione del server Exchange, creare database e riavviare e modificare le code di trasporto. Per ulteriori informazioni su questo gruppo di ruolo e per un elenco completo dei ruoli assegnati al gruppo di ruolo, vedere Gestione server. |
Gestione individuazione |
Di seguito sono elencati i ruoli assegnati a questo gruppo di ruolo:
|
Per eseguire ricerche di cassette postali a supporto di procedimenti legali o per configurare conservazioni a fini giudiziari, gli utenti devono essere membri di questo gruppo di ruolo. Di seguito viene riportato un esempio di gruppo di ruolo che potrebbe contenere amministratori non di Exchange, ad esempio il personale dell'ufficio legale. Ciò consente al personale dell'ufficio legale di eseguire le proprie attività senza l'intervento degli amministratori di Exchange. Per ulteriori informazioni su questo gruppo di ruolo e per un elenco completo dei ruoli assegnati al gruppo di ruolo, vedere Gestione individuazione. |
Come mostrato nella tabella precedente, Exchange 2010 consente un controllo granulare sulle autorizzazioni concesse agli amministratori. In Exchange 2010 è possibile scegliere tra 11 gruppi di ruoli. Per un elenco completo dei gruppi di ruoli e delle autorizzazioni fornite, vedere Gruppi di ruolo incorporati.
A causa del numero di gruppi di ruoli offerti da Exchange 2010 e dal momento che è possibile un'ulteriore personalizzazione mediante la creazione di gruppi di ruoli con combinazioni di ruoli diverse, la modifica degli elenchi di controllo di accesso (ACL, Access Control List) sugli oggetti Active Directory non è più necessaria e non avrà alcuna conseguenza. Gli elenchi ACL non vengono più utilizzati per applicare le autorizzazioni ai singoli amministratori o ai singoli gruppi in Exchange 2010. Tutte le attività, come la creazione di una cassetta postale da parte di un amministratore o l'accesso a una cassetta postale da parte di un utente, vengono gestite dalle autorizzazioni RBAC. Il controllo dell'accesso basato sui ruoli (RBAC) autorizza l'attività e determina se è consentita, Exchange esegue l'attività per conto dell'utente nel gruppo di protezione universale Exchange Trusted Subsystem (USG, Universal Security Group). Con alcune eccezioni, tutti gli elenchi di controllo di accesso (ACL) degli oggetti in Active Directory necessari a Exchange 2010 per l'accesso, sono concessi al gruppo di protezione universale (USG) Exchange Trusted Subsystem. Si tratta di una modifica fondamentale della modalità di gestione delle autorizzazioni in Exchange 2003.
Le autorizzazioni concesse a un utente in Active Directory sono separate dalle autorizzazioni concesse all'utente dal controllo dell'accesso basato sui ruoli (RBAC) quando l'utente utilizza gli strumenti di gestione di Exchange 2010.
Per ulteriori informazioni su RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.
Autorizzazioni di Exchange 2003
Exchange 2003 comprende i seguenti ruoli amministrativi:
Amministratore di Exchange solo visualizzazione Questo ruolo concede a un amministratore di Exchange 2003 le autorizzazioni per visualizzare le informazioni sul server Exchange 2003 e sul destinatario.
Amministratore di Exchange Questo ruolo concede agli amministratori di Exchange 2003 tutte le autorizzazioni per i server Exchange 2003 e i relativi destinatari, ad eccezione della possibilità di assumere la proprietà, modificare le autorizzazioni o aprire le cassette postali degli utenti. Questo ruolo viene assegnato se l'amministratore deve poter aggiungere oggetti o modificarne le proprietà, ma non delegarne le autorizzazioni.
Amministratore completo di Exchange Questo ruolo concede a un amministratore di Exchange 2003 tutte le autorizzazioni per i server Exchange 2003 e relativi destinatari, inclusa la possibilità di modificare le autorizzazioni. Questo ruolo viene assegnato agli amministratori che devono poter delegare le autorizzazioni sugli oggetti.
Exchange 2003 consente di segmentare gli amministratori in uno di tali ruoli. Le autorizzazioni vengono assegnate direttamente all'utente o al gruppo di protezione universale (USG) di cui l'utente è membro. Tutte le azioni eseguite dall'utente si svolgono nel contesto dell'account di Active Directory dell'utente.
Se è necessario assegnare autorizzazioni con un livello di granularità superiore, è possibile modificare gli elenchi ACL per i singoli oggetti Exchange 2003, ad esempio gli elenchi di indirizzi e i database. Come avviene per i ruoli amministrativi, l'utente, o il gruppo di sicurezza a cui appartiene, viene aggiunto direttamente all'elenco di controllo di accesso e le azioni vengono eseguite nel contesto dell'utente.
Per ulteriori informazioni sui gruppi amministrativi di Exchange 2003, vedere l'articolo 823018 della Microsoft Knowledge Base, Cenni preliminari sulle autorizzazioni del ruolo amministrativo di Exchange in Exchange 2003.
Autorizzazioni nella coesistenza tra Exchange 2010 ed Exchange 2003
Come illustrato nelle sezioni precedenti di questo argomento, i modelli di autorizzazioni per Exchange 2010 ed Exchange 2003 sono diversi. Exchange 2010 utilizza i gruppi di ruolo per concedere le autorizzazioni, mentre Exchange 2003 utilizza una combinazione di gruppi amministrativi ed elenchi di controllo di accesso (ACL). Le autorizzazioni di Exchange 2010 e di Exchange 2003 sono completamente separate, anche se entrambe le versioni sono disponibili nella stessa foresta. Ciò significa che, per impostazione predefinita e senza alcuna configurazione aggiuntiva, gli amministratori di Exchange 2003 non dispongono delle autorizzazioni per la gestione dei server Exchange 2010 e gli amministratori di Exchange 2010 non dispongono delle autorizzazioni per la gestione dei server Exchange 2003. Questa situazione pone degli interrogativi da prendere in considerazione:
Si desidera concedere l'accesso agli amministratori di Exchange 2010 per amministrare i server Exchange 2003 e viceversa?
Si desidera personalizzare le autorizzazioni di Exchange 2010 in modo che corrispondano alle personalizzazioni realizzate per Exchange 2003?
Concessione delle autorizzazioni di Exchange 2010 agli amministratori di Exchange 2003
Se si desidera che gli amministratori di Exchange 2003 amministrino i server Exchange 2010, è necessario aggiungere gli amministratori di Exchange 2003 come membri di uno o più gruppi di ruoli di Exchange 2010. È possibile aggiungere utenti o gruppi di protezione universali (USG) ai gruppi di ruolo. Le autorizzazioni concesse ai gruppi di ruolo saranno quindi applicate agli utenti o ai gruppi di protezione universali (USG) aggiunti come membri.
Importante
Se si utilizzano gruppi di protezione di Active Directory per un dominio locale o globale, è necessario modificarli in gruppi di protezione universali (USG) per aggiungerli come membri di un gruppo di ruolo di Exchange 2010. Exchange 2010 supporta solo i gruppi di protezione universali (USG).
Nella tabella seguente viene fornito un mapping tra ruoli amministrativi di Exchange 2003 e gruppi di ruolo di Exchange 2010.
Ruoli amministrativi di Exchange 2003 e gruppi di ruolo di Exchange 2010
Ruolo amministrativo di Exchange 2003 | Gruppo di ruolo di Exchange 2010 |
---|---|
Amministratore completo di Exchange |
Gestione organizzazione |
Amministratore di Exchange |
Nessun gruppo di ruolo equivalente è incluso in Exchange 2010. Per disporre di un gruppo di ruolo equivalente al gruppo di ruolo Amministratore di Exchange, è necessario creare in Exchange 2010 un gruppo di ruolo personalizzato basato sul gruppo di ruolo Gestione organizzazione, ma senza assegnazioni del ruolo di delega. Per ulteriori informazioni sulla creazione dei gruppi di ruolo personalizzati, vedere Creazione di un gruppo di ruoli. |
Amministratore di Exchange solo visualizzazione |
Gestione organizzazione in sola visualizzazione |
Se tutti gli amministratori di Exchange 2003 sono membri di uno dei tre ruoli amministrativi di Exchange 2003, è necessario aggiungere i membri di ciascun gruppo amministrativo al gruppo di ruolo di Exchange 2010 equivalente. Per ulteriori informazioni sull'aggiunta di utenti e di gruppi di protezione universali (USG) ai gruppi di ruolo, vedere Aggiunta di membri a un gruppo di ruoli.
Se gli elenchi di controllo di accesso (ACL) sono stati modificati negli oggetti Exchange 2003 al fine di concedere autorizzazioni più capillari agli amministratori di Exchange 2003 e si desidera assegnare autorizzazioni simili per i server Exchange 2010 ai suddetti amministratori, procedere come segue:
Effettuare l'inventario delle personalizzazioni ACL eseguite sugli oggetti Exchange 2003 e identificare gli amministratori a cui sono state concesse le singole autorizzazioni.
Classificare ogni oggetto Exchange 2003, ad esempio, se si tratta di un database, di un server o di un oggetto destinatario.
Mappare gli oggetti al gruppo di ruolo di Exchange 2010 corrispondente. Per un elenco dei gruppi di ruoli di gestione incorporati, vedere Gruppi di ruolo incorporati.
Aggiungere i gruppi di protezione universali (USG) o gli utenti per ogni tipo di oggetto ai gruppi di ruolo di Exchange 2010 corrispondenti. Per ulteriori informazioni sull'aggiunta di utenti e di gruppi di protezione universali (USG) ai gruppi di ruolo, vedere Aggiunta di membri a un gruppo di ruoli.
Al termine, gli amministratori di Exchange 2003 saranno membri del gruppo di ruolo associato agli oggetti Exchange 2010 da amministrare. Gli amministratori possono ora utilizzare gli strumenti di gestione di Exchange 2010 per gestire i server Exchange 2010 e i relativi destinatari.
Importante
In generale, i server Exchange 2003 e i relativi destinatari devono essere gestiti mediante gli strumenti di gestione di Exchange 2003 e i server Exchange 2010 e i relativi destinatari mediante gli strumenti di gestione di Exchange 2010. Per ulteriori informazioni, vedere Exchange 2003 - Roadmap di pianificazione per l'aggiornamento e la coesistenza.
Se i gruppi di ruolo incorporati non forniscono lo specifico insieme di autorizzazioni da concedere ad alcuni amministratori, è possibile creare gruppi di ruolo personalizzati. Quando viene creato un gruppo di ruolo personalizzato, è possibile scegliere i ruoli da aggiungere al gruppo. In questo modo è possibile definire le funzionalità specifiche da rendere membri del gruppo di ruolo da gestire. Ad esempio, per fare in modo che gli amministratori si occupino solo della gestione dei gruppi di distribuzione, è possibile creare un gruppo di ruolo personalizzato e scegliere solo il ruolo Gruppi di distribuzione. I membri del gruppo di ruolo personalizzato saranno in grado di gestire solo i gruppi di distribuzione. Per ulteriori informazioni sulla creazione dei gruppi di ruolo personalizzati, vedereCreazione di un gruppo di ruoli.
Se sono state fornite autorizzazioni selettive a determinati oggetti Exchange 2003, ad esempio, consentendo agli amministratori di amministrare solo specifici database e si desidera applicare la stessa configurazione ai server Exchange 2010, vedere la sezione relativa alla "nuova creazione della personalizzazione dell'elenco di controllo di accesso (ACL) di Exchange 2003 utilizzando gli ambiti di gestione in Exchange 2010" più avanti in questo argomento.
Concessione delle autorizzazioni di Exchange 2003 agli amministratori di Exchange 2010
Se si desidera che gli amministratori di Exchange 2010 si occupino dell'amministrazione dei server Exchange 2003, è necessario aggiungere gli amministratori di Exchange 2010 a uno dei tre gruppi amministrativi di Exchange 2003 o aggiungerli all'elenco di controllo di accesso (ACL) appropriato se le autorizzazioni di Exchange 2003 sono state personalizzate. È possibile aggiungere utenti o gruppi di protezione universali (USG) ai gruppi amministrativi di Exchange 2003. I gruppi di ruoli sono gruppi USG, pertanto possono essere aggiunti direttamente ai gruppi amministrativi di Exchange 2003. In questo argomento viene illustrato come aggiungere amministratori di Exchange 2010 ai gruppi amministrativi predefiniti di Exchange 2003.
È valido lo stesso mapping tra gruppi di ruoli di Exchange 2010 e ruoli amministrativi di Exchange 2003 già descritti in questo argomento nella tabella "Ruoli amministrativi di Exchange 2003 e gruppi di ruoli di Exchange 2010". Per concedere agli amministratori dell'organizzazione di Exchange 2010 l'accesso completo ai ruoli amministrativi di Exchange 2003, aggiungere il gruppo di ruolo Gestione organizzazione al gruppo amministrativo Amministratori completi di Exchange. Eseguire la stessa procedura con il gruppo di ruolo Gestione organizzazione in sola visualizzazione e il gruppo amministrativo Exchange sola visualizzazione.
Al termine, gli amministratori di Exchange 2010 saranno membri del gruppo amministrativo associato al gruppo di ruolo a cui appartengono e possono quindi utilizzare gli strumenti di gestione di Exchange 2003 per gestire i server Exchange 2003 e i relativi destinatari.
Importante
In generale, i server Exchange 2003 e i relativi destinatari devono essere gestiti mediante gli strumenti di gestione di Exchange 2003 e i server di Exchange 2010 e i relativi destinatari mediante gli strumenti di gestione di Exchange 2010. Per ulteriori informazioni, vedere Exchange 2003 - Roadmap di pianificazione per l'aggiornamento e la coesistenza.
Per ulteriori informazioni sull'aggiunta di utenti al gruppo di protezione universale per i gruppi amministrativi di Exchange 2003, vedere l'articolo 823018 della Microsoft Knowledge Base, Cenni preliminari sulle autorizzazioni del ruolo amministrativo di Exchange in Exchange 200.
Nuova creazione della personalizzazione dell'elenco di controllo di accesso (ACL) di Exchange 2003 utilizzando ambiti di gestione di Exchange 2010
Se in Exchange 2003 si desidera limitare il numero degli utenti in grado di amministrare uno specifico archivio di cassette postali, amministrare determinati utenti o controllare l'archivio in cui vengono create le cassette postali, è necessario modificare gli elenchi di controllo di accesso per gli oggetti che si desidera limitare. Exchange 2010 offre le stesse funzionalità, ma senza richiedere la modifica degli elenchi di controllo di accesso. L'operazione viene eseguita utilizzando gli ambiti di gestione, che sono un componente del controllo dell'accesso basato sui ruoli (RBAC).
Grazie agli ambiti di gestione, è possibile utilizzare gli ambiti incorporati e gli ambiti personalizzati allo scopo di definire gli oggetti che gli amministratori possono gestire. Applicando gli ambiti amministrativi, è possibile definire quali destinatari possono essere amministrati, in quali database delle cassette postali è possibile creare le cassette postali e quali destinatari o server devono essere amministrati da un piccolo gruppo di amministratori e da nessun altro.
È possibile creare i seguenti tipi di ambiti di gestione:
Relativi predefiniti Gli ambiti relativi predefiniti sono inclusi in Exchange 2010. È possibile controllare l'ambito di visualizzazione di un utente e cosa è in grado di modificare. Ad esempio, gli ambiti relativi predefiniti consentono di verificare se gli utenti visualizzano solo le informazioni personali o le informazioni sull'intera organizzazione.
Destinatario Gli ambiti dei destinatari determinano quali destinatari possono essere creati, modificati o eliminati da un amministratore. Gli ambiti possono essere basati su un'unità organizzativa (OU), un filtro destinatario o su entrambi. I filtri destinatari specificano i criteri a cui deve corrispondere un destinatario per essere incluso nell'ambito. Ad esempio, è possibile creare un filtro destinatario che include tutti gli utenti che si trovano in una determinata posizione o in un reparto specifico. È possibile anche combinare le unità organizzative (OU) e i filtri destinatari in modo che corrispondano solo agli utenti che si trovano in un'unità organizzativa specifica e che rispondono solo a un manager specifico.
Server Gli ambiti dei server consentono di controllare quali server possono essere gestiti da un amministratore. È possibile specificare elenchi di server o filtri su server. Gli elenchi di server consentono di definire un elenco statico di server che è possibile gestire. I filtri su server funzionano in modo analogo ai filtri destinatari, in cui è possibile specificare i criteri da soddisfare. Ad esempio, è possibile creare un ambito del server che corrisponde a tutti i server di un particolare sito di Active Directory.
Database Gli ambiti dei database consentono di controllare quali database possono essere gestiti da un amministratore. È possibile anche controllare in quali database è consentito creare o spostare le cassette postali. In modo analogo agli ambiti dei server, possono essere definiti come elenchi o come filtri. Ad esempio, è possibile creare un elenco o un filtro che consente agli amministratori di creare o spostare le cassette postali in database di cassette postali specifici gestiti da una determinata filiale.
Esclusivo Ad eccezione degli ambiti relativi predefiniti, è possibile anche creare uno degli ambiti descritti in precedenza come ambiti esclusivi. Gli ambiti esclusivi funzionano come le voci di negazione del controllo dell'accesso (ACE, Access Control Entry) negli elenchi di controllo di accesso (ACL). Se viene rilevata una corrispondenza con un ambito esclusivo, solo gli amministratori assegnati a un ambito esclusivo possono gestire l'oggetto, anche se un altro ambito non esclusivo corrisponde allo stesso oggetto. Questa soluzione è particolarmente utile per i dirigenti, nei casi in cui si desidera che solo poche persone estremamente affidabili siano in grado di gestire le proprie cassette postali. Anche se un altro ambito destinatario regolare e più ampio include la cassetta postale del dirigente nel proprio ambito, gli amministratori a cui è stato assegnato l'ambito regolare più ampio non saranno in grado di gestire la cassetta postale del dirigente, a meno che non sia stato loro assegnato anche l'ambito esclusivo.
Gli ambiti di gestione sono utilizzati con i ruoli di gestione, le assegnazioni dei ruoli di gestione e i gruppi di ruoli di gestione allo scopo di controllare chi può gestire gli oggetti e dove. Per ulteriori informazioni, vedere i seguenti argomenti:
Per creare lo stesso modello di autorizzazioni in Exchange 2010 utilizzando gli ambiti di gestione che potrebbero essere stati definiti in Exchange 2003 utilizzando gli elenchi di controllo di accesso (ACL) personalizzati, è necessario effettuare l'inventario degli elenchi di controllo di accesso personalizzati e creare gli ambiti di gestione corrispondenti. È possibile utilizzare le proprietà filtrabili disponibili negli oggetti destinatario, server e database, allo scopo di creare ambiti di gestione che includono gli oggetti per i quali controllare l'accesso tramite l'ambito di gestione. Per ulteriori informazioni sulle proprietà utilizzabili con i filtri dell'ambito di gestione, vedere Informazioni sui filtri ambito del ruolo di gestione.
Per ulteriori informazioni sulla creazione degli ambiti di gestione, vedere Creazione di un ambito normale o esclusivo.
©2010 Microsoft Corporation. Tutti i diritti riservati.