다음을 통해 공유


Exchange 2007의 동시 사용 권한 이해

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

Microsoft Exchange Server 2010의 사용 권한 모델이 이전 버전의 Exchange에서 사용되는 모델에서 향상되었습니다. Exchange 2010에는 Microsoft Active Directory에서 사용되는 Exchange Server 2007 ACE(액세스 제어 항목) 기반 권한 부여 모델을 대체하는 RBAC(역할 기반 액세스 제어) 사용 권한이 포함되어 있습니다. RBAC는 대부분의 Exchange 2010 관리에 사용되는 권한 부여 메커니즘입니다. 이 메커니즘에는 다음과 같은 관리 영역이 포함됩니다.

  • Exchange 관리 셸

  • Exchange 제어판

  • EMC(Exchange 관리 콘솔)

  • Exchange 웹 서비스

  • MAPI on the middle-tier 구성 요소

Exchange 2010 및 Exchange 이전 버전의 동시 사용을 계획하는 방법에 대한 자세한 내용은 Exchange 2010으로 업그레이드 이해를 참조하십시오.

사용 권한과 관련된 관리 작업에 대한 자세한 내용은 사용 권한 관리를 참조하십시오.

Exchange 2010 사용 권한

Exchange 2010 RBAC 사용 권한 모델은 여러 관리 역할 중 하나가 할당된 관리 역할 그룹으로 구성됩니다. 관리 역할에는 Exchange 조직에서 관리자가 작업을 수행할 수 있는 권한이 포함되어 있습니다. 관리자는 역할 그룹의 구성원으로 추가되고 해당 역할이 제공하는 모든 사용 권한을 부여받습니다. 다음 표에서는 역할 그룹의 예, 역할 그룹에 할당된 몇 가지 역할, 역할 그룹의 구성원이 될 수 있는 사용자 유형에 대한 설명을 제공합니다.

Exchange 2010의 역할 그룹 및 역할의 예

관리 역할 그룹 관리 역할 이 역할 그룹의 구성원

조직 관리

이 역할 그룹에 할당된 역할 중 일부는 다음과 같습니다.

  • 주소 목록

  • Exchange Servers

  • 저널링

  • 메일 받는 사람

  • 공용 폴더

전체 Exchange 2010 조직을 관리하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 몇 가지 예외를 제외하면 이 역할 그룹의 구성원은 Exchange 2010 조직의 거의 모든 측면을 관리할 수 있습니다.

기본적으로 Exchange 2010을 위한 Active Directory를 준비하는 데 사용되는 사용자 계정은 이 역할 그룹의 구성원입니다.

이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 조직 관리를 참조하십시오.

Organization Management만 보기

이 역할 그룹에 할당된 역할은 다음과 같습니다.

  • 모니터링

  • 보기 전용 구성

  • 보기 전용 받는 사람

전체 Exchange 2010 조직의 구성을 확인하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 서버 구성, 받는 사람 정보를 보고 조직 또는 받는 사람 구성을 변경할 수 있는 기능 없이도 모니터링 기능을 수행할 수 있어야 합니다.

이 역할 그룹에 대한 자세한 내용은 보기 전용 조직 관리를 참조하십시오.

받는 사람 관리

이 역할 그룹에 할당된 역할은 다음과 같습니다.

  • 메일 그룹

  • 메일 사용 가능 공용 폴더

  • 메일 받는 사람 만들기

  • 메일 받는 사람

  • 메시지 추적

  • 마이그레이션

  • 사서함 이동

  • 받는 사람 정책

Exchange 2010 조직에서 사서함, 연락처, 메일 그룹과 같은 받는 사람을 관리하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 받는 사람을 만들거나, 기존의 받는 사람을 수정 또는 삭제하거나 사서함을 이동할 수 있습니다.

이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 받는 사람 관리를 참조하십시오.

서버 관리

이 역할 그룹에 할당된 역할 중 일부는 다음과 같습니다.

  • 데이터베이스

  • Exchange 커넥터

  • Exchange Servers

  • 수신 커넥터

  • 전송 큐

수신 커넥터, 인증서, 데이터베이스, 가상 디렉터리와 같은 Exchange 서버 구성을 관리하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 Exchange 서버 구성을 수정하고, 데이터베이스를 만들고, 전송 큐를 다시 시작 및 조작할 수 있습니다.

이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 서버 관리를 참조하십시오.

검색 관리

이 역할 그룹에 할당된 역할은 다음과 같습니다.

  • 법적 보유

  • 사서함 검색

법적 절차를 지원하거나 법적 보유를 구성하기 위해 사서함 검색을 수행하는 사용자는 이 역할 그룹의 구성원이어야 합니다.

다음은 법률 부서 직원과 같은 비 Exchange 관리자를 포함할 수 있는 역할 그룹의 예입니다. 법률 담당자가 Exchange 관리자의 개입 없이 작업을 수행할 수 있습니다.

이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 검색 관리를 참조하십시오.

이 표에서는 Exchange 2010이 관리자에게 부여한 사용 권한을 세부적으로 제어할 수 있는 기능을 제공함을 보여 줍니다. Exchange 2010의 11개 역할 그룹 중에서 선택할 수 있습니다. 역할 그룹과 역할 그룹이 제공하는 사용 권한의 전체 목록은 기본 제공 역할 그룹을 참조하십시오.

Exchange 2010이 다양한 역할 그룹을 제공하고 여러 가지 역할 조합이 있는 역할 그룹을 생성함으로써 추가 사용자 지정이 가능하므로 Active Directory 개체의 ACL(액세스 제어 목록) 조작이 더 이상 필요하지 않으며 적용되지 않습니다. Exchange 2010에서 개별 관리자 또는 그룹에 사용 권한을 적용하는 데 ACL이 더 이상 사용되지 않습니다. 관리자가 사서함을 만드는 작업 또는 사용자가 사서함을 액세스하는 작업 등의 모든 작업은 RBAC에서 관리합니다. RBAC가 작업을 인증하고, 허용되는 경우 Exchange가 사용자를 대신하여 작업을 수행합니다. Exchange는 Exchange Trusted Subsystem USG(유니버설 보안 그룹)의 작업을 수행합니다. 몇 가지 예외를 제외하면 Active Directory이 액세스해야 하는 Exchange 2010에 포함된 개체의 모든 ACL이 Exchange Trusted Subsystem USG에 부여됩니다. 이것이 Exchange 2007에서 변경된 사용 권한 처리 방법의 기본적인 내용입니다.

Active Directory의 사용자에게 부여된 권한은 사용자가 Exchange 2010 관리 도구를 사용할 때 RBAC에서 사용자에게 부여한 권한과는 별개입니다.

RBAC에 대한 자세한 내용은 역할 기반 액세스 제어 이해를 참조하십시오.

Exchange 2007 사용 권한

Exchange 2007 관리 모델은 Active Directory 포리스트를 활용하여 보안 경계를 정의합니다. 특정 포리스트 내에는 보안 사용 권한 격리가 없습니다. 포리스트 소유자 및 엔터프라이즈 관리자는 도메인의 모든 리소스에 대한 액세스 권한을 항상 얻을 수 있습니다. Exchange 2007에서는 일시적으로만 엔터프라이즈 관리자 권한 및 최상위 도메인 관리자 권한을 부여해야 할 수 있습니다.

Exchange 2007은 다음과 같은 미리 정의된 관리자 역할을 제공합니다.

  • Exchange 조직 관리자 역할   이 역할은 Exchange 2007 조직의 모든 측면을 제어할 수 있는 사용 권한을 부여합니다. 또한 이 역할이 있는 관리자는 다른 Exchange 관리자에게 사용 권한을 부여할 수 있습니다. 이 역할은 Exchange 2007을 설치하는 데 사용하는 계정에 부여됩니다.

  • 보기 권한만 있는 Exchange 관리자 역할   이 역할은 Exchange 구성을 볼 수 있는 사용 권한을 부여합니다. 하지만 이 역할이 있는 관리자는 Exchange 2007 조직의 개체를 수정할 수 없습니다.

  • Exchange 받는 사람 관리자 역할   이 역할은 전자 메일 받는 사람을 관리할 수 있는 사용 권한을 부여합니다. 이 역할이 있는 관리자는 사용자, 그룹, 연락처 및 메일 그룹에 대한 Exchange 관련 항목을 수정할 수 있습니다.

  • Exchange Server 관리자 역할   이 역할은 특정 서버를 관리할 수 있는 사용 권한을 부여합니다. 하지만 이 역할은 Exchange 2007 조직 전체에 영향을 주는 작업을 수행할 수 있는 사용 권한을 부여하지 않습니다.

  • Exchange 공용 폴더 관리자 역할   이 역할은 Exchange 2007 서비스 팩 1에 추가되었습니다**.** 이 역할은 Exchange 2007 조직의 공용 폴더를 관리할 수 있는 사용 권한을 부여합니다.

이 사용 권한 모델은 Exchange Server 관리자 역할을 제외한 모든 역할에 USG를 사용합니다. Exchange 2007Setup /PrepareAD 명령을 실행하면 설치 프로그램이 루트 도메인에서 USG를 만들고 USG에 포리스트 전체 범위를 제공합니다. USG에는 Active Directory에서 Exchange 개체를 관리할 수 있는 ACL이 할당됩니다.

Exchange 2007에서는 관리자에게 여러 역할을 할당하여 관리자를 구분할 수 있습니다. 사용 권한이 사용자 또는 해당 사용자가 구성원인 USG에 직접 할당됩니다. 사용자가 수행한 작업이 사용자의 Active Directory 계정의 컨텍스트에서 수행됩니다. 다음 표에서는 Exchange 2007 관리자 역할 및 Exchange 관련 사용 권한의 목록을 함께 보여 줍니다.

Exchange 2007 관리자 역할

관리자 역할 구성원 소속 그룹 Exchange 사용 권한

Exchange 조직 관리자

처음 Exchange 2007 서버를 설치하는 데 사용한 계정 또는 관리자 계정

Exchange 받는 사람 관리자

<서버 이름>에 대한 관리자 로컬 그룹

Active Directory의 Microsoft Exchange 컨테이너에 대한 전체 사용 권한

Exchange 보기 권한만 있는 관리자

Exchange 받는 사람 관리자

Exchange Server 관리자(<서버 이름>)

Exchange 받는 사람 관리자

Exchange Server 관리자

Active Directory의 Microsoft Exchange 컨테이너에 대한 읽기 권한

Exchange 받는 사람이 있는 모든 Windows 도메인에 대한 읽기 권한

Exchange 받는 사람 관리자

Exchange 조직 관리자

Exchange 보기 권한만 있는 관리자

Active Directory 사용자 개체의 Exchange 속성에 대한 권한

Exchange 서버 관리자

Exchange 조직 관리자

Exchange 보기 권한만 있는 관리자

<서버 이름>에 대한 관리자 로컬 그룹

Exchange <서버 이름>에 대한 모든 권한

Exchange Server

각 Exchange 2007 컴퓨터 계정

Exchange 보기 권한만 있는 관리자

특별 권한

Exchange 공용 폴더 관리자

Exchange 조직 관리자

Exchange 보기 권한만 있는 관리자

모든 공용 폴더를 관리할 수 있는 모든 권한(최상위 공용 폴더 만들기 확장 권한이 부여됨)

보다 세분화된 사용 권한을 할당해야 하는 경우 주소 목록 또는 데이터베이스 등의 개별 Exchange 2007 개체에서 ACL을 수정할 수 있습니다. 사용자가 ACL의 직접적 구성원인 보안 그룹 또는 사용자를 추가해야 합니다. 그러면 특정 사용자의 컨텍스트에서 작업이 수행됩니다.

Exchange 2007에서 권한을 관리하는 방법에 대한 자세한 내용은 Exchange Server 2007에서 권한 구성을 참조하십시오.

Exchange 2010과 Exchange 2007의 동시 사용 권한

Exchange 2010 및 Exchange 2007에 대한 사용 권한 모델은 다르므로 Exchange 2010 사용 권한 할당은 Exchange 2007 사용 권한 할당과 구분됩니다. 두 버전의 Exchange를 동일한 포리스트에 설치한 경우에도 마찬가지입니다. 추가 구성 없이 Exchange 2010 관리자에게는 Exchange 2007 기반 서버를 관리하는 데 필요한 권한이 없으며 Exchange 2007 관리자에게는 Exchange 2010 기반 서버를 관리하는 데 필요한 권한이 없습니다. 다음 질문을 고려해야 합니다.

  • Exchange 2010 관리자에게 Exchange 2007 서버를 관리할 수 있는 액세스 권한을 부여하시겠습니까?

  • Exchange 2007 관리자에게 Exchange 2010 서버를 관리할 수 있는 액세스 권한을 부여하시겠습니까?

  • Exchange 2007 ACL에 지정된 모든 사용자 지정과 일치되도록 Exchange 2010 사용 권한을 사용자 지정하시겠습니까?

Exchange 2007 관리자에게 Exchange 2010 사용 권한 부여

Exchange 2007 관리자가 Exchange 2010 서버를 관리하도록 하려면 Exchange 2007 관리자가 하나 이상의 Exchange 2010 역할 그룹에 구성원으로 추가되어야 합니다. 사용자 또는 USG를 역할 그룹에 추가할 수 있습니다. 역할 그룹에 부여된 사용 권한은 구성원으로 추가한 사용자 또는 USG에 적용됩니다.

중요

도메인 로컬 또는 글로벌 Active Directory 보안 그룹을 사용하는 경우 이 그룹을 Exchange 2010 역할 그룹의 구성원으로 추가하려면 USG로 변경해야 합니다. Exchange 2010은 USG만 지원합니다.

다음 표에서는 Exchange 2007 관리자 역할과 Exchange 2010 역할 그룹 간의 매핑을 설명합니다.

Exchange 2007 관리자 역할 및 Exchange 2010 역할 그룹

Exchange 2007 관리자 역할 Exchange 2010 역할 그룹

Exchange 조직 관리자

조직 관리

Exchange 받는 사람 관리자

받는 사람 관리

Exchange 서버 관리자

Server Management

Exchange 보기 권한만 있는 관리자

Organization Management만 보기

Exchange Server

Exchange 2010에 해당 역할 그룹 없음

사용자 지정 역할 그룹을 만드는 방법에 대한 자세한 내용은 역할 그룹 만들기를 참조하십시오.

Exchange 공용 폴더 관리자

공용 폴더 관리

모든 Exchange 2007 관리자가 Exchange 2007 관리 역할 중 하나의 구성원인 경우 각 관리 그룹의 구성원들을 해당 Exchange 2010 역할 그룹에 추가할 수 있습니다. 예를 들어 모든 Exchange 2007 조직 관리자에게 Exchange 2010 개체에 대한 모든 권한을 부여하려는 경우 Exchange 조직 관리자 USG를 조직 관리 역할 그룹에 추가합니다.

사용자와 USG를 역할 그룹에 추가하는 방법에 대한 자세한 내용은 역할 그룹에 구성원 추가를 참조하십시오.

Exchange 2007 관리자에게 보다 세분화된 사용 권한을 부여하기 위해 Exchange 2007 개체의 ACL을 수정하는 경우 해당 관리자에게 Exchange 2010 서버와 유사한 사용 권한을 할당하려면 다음을 수행해야 합니다.

  1. Exchange 2007 개체에 지정한 ACL 사용자 지정을 검토하고 각 개체에 대한 사용 권한을 부여 받은 관리자를 찾습니다.

  2. 각 Exchange 2007 개체를 분류합니다. 예를 들어 개체가 데이터베이스, 서버 또는 받는 사람 개체인지 결정합니다.

  3. 개체를 해당 Exchange 2010 역할 그룹에 매핑합니다. 기본 제공 역할 그룹 목록을 보려면 기본 제공 역할 그룹을 참조하십시오.

  4. 각 개체 유형의 USG 또는 사용자를 해당 Exchange 2010 역할 그룹에 추가합니다. 사용자와 USG를 역할 그룹에 추가하는 방법에 대한 자세한 내용은 역할 그룹에 구성원 추가를 참조하십시오.

해당 단계를 완료하면 Exchange 2007 관리자는 해당 Exchange 2010 개체에 매핑되는 특정 역할 그룹의 구성원이 됩니다. Exchange 2007 관리자는 Exchange 2010 관리 도구를 사용하여 Exchange 2010 서버와 받는 사람을 관리할 수 있습니다.

중요

일반적으로 Exchange 2007 서버와 받는 사람은 Exchange 2007 관리 도구를 사용하여 관리하고, Exchange 2010 서버와 받는 사람은 Exchange 2010 관리 도구를 사용하여 관리해야 합니다.

기본 제공 역할 그룹에서 제공하지 않는 특정 권한 집합을 몇몇 관리자에게 부여하려는 경우 사용자 지정 역할 그룹을 만들 수 있습니다. 사용자 지정 역할 그룹을 만들면 역할 그룹에 추가할 역할을 선택할 수 있습니다. 역할 그룹의 구성원에게 관리하도록 할 특정 기능을 정의할 수 있습니다. 예를 들어, 관리자가 메일 그룹만 관리하도록 하려면 사용자 지정 역할 그룹을 만들고 메일 그룹 역할을 선택하면 됩니다. 이렇게 하면 해당 사용자 지정 역할 그룹의 구성원은 메일 그룹만 관리할 수 있습니다. 사용자 지정 역할 그룹을 만드는 방법에 대한 자세한 내용은 역할 그룹 만들기를 참조하십시오.

관리자에게 특정 데이터베이스만 관리하도록 허용하는 등 특정 Exchange 2007 개체에 선택적 사용 권한을 부여하는 경우 동일한 구성을 Exchange 2010 서버에 적용하려면 이 항목의 뒷부분에 나오는 "Exchange 2007의 관리 범위를 사용하여 Exchange 2010 ACL 사용자 지정 다시 만들기"를 참조하십시오.

Exchange 2010 관리자에게 Exchange 2007 사용 권한 부여

Exchange 2010 관리자가 Exchange 2007 서버를 관리하도록 하려면 Exchange 2010 관리자를 USG 또는 특정 Exchange 2007 관리자 역할에 해당하는 보안 그룹에 추가합니다. 또는 사용자 지정된 ACL 설정이 있는 경우 관리자를 해당 ACL에 추가합니다. 역할 그룹은 USG이므로 역할 그룹은 Exchange 2007 관리자 역할 USG에 직접 추가할 수 있습니다.

완료 후 Exchange 2010 관리자는 해당 Exchange 2007 관리자 역할의 구성원이 됩니다. Exchange 2010 관리자는 Exchange 2007 관리 도구를 사용하여 Exchange 2007 서버와 받는 사람을 관리할 수 있습니다.

Exchange 2010의 관리 범위를 사용하여 Exchange 2007 ACL 사용자 지정 다시 만들기

Exchange 2007에서는 특정 사서함 저장소 또는 특정 사용자를 관리하거나 사서함을 만든 사서함 저장소를 제어할 수 있는 사람을 제한하려면 제한할 개체의 ACL을 수정해야 합니다. Exchange 2010은 동일한 기능을 제공하지만 ACL을 수정할 필요가 없습니다. RBAC의 구성 요소인 관리 범위를 사용하여 이 작업을 수행할 수 있습니다.

관리 범위는 관리자가 관리할 수 있는 개체를 정의하기 위한 기본 제공 범위와 사용자 지정 범위를 제공합니다. 관리 범위를 적용하여 관리 가능한 받는 사람, 사서함을 만들 수 있는 사서함 데이터베이스, 소규모 관리자 그룹이 관리하거나 아무도 관리해서는 안 되는 받는 사람 또는 서버를 정의할 수 있습니다.

다음과 같은 유형의 관리 범위를 만들 수 있습니다.

  • 미리 정의된 상대   미리 정의된 상대 범위가 Exchange 2010에 포함되어 있습니다. 사용자가 보고 수정할 수 있는 항목을 제어할 수 있습니다. 예를 들어, 미리 정의된 상대 범위를 통해 사용자에게 본인에 대한 정보만 표시할지 또는 전체 조직에 대한 정보를 표시할지를 제어할 수 있습니다.

  • 받는 사람   받는 사람 범위는 관리자가 생성, 수정 또는 삭제할 수 있는 받는 사람을 제어합니다. 이러한 선택 항목은 OU(조직 구성 단위), 받는 사람 필터 또는 둘 다를 기준으로 할 수 있습니다. 받는 사람 필터는 받는 사람이 범위에 포함되려면 일치해야 하는 기준을 지정합니다. 예를 들어, 특정 위치 또는 특정 부서의 모든 사용자를 포함하는 받는 사람 필터 범위를 만들 수 있습니다. OU와 받는 사람 필터를 결합하여 특정 OU 내의 사용자와 특정 관리자에게 보고하는 사용자만 일치시킬 수 있습니다.

  • 서버   서버 범위는 관리자가 관리할 수 있는 서버를 제어합니다. 서버 목록 또는 서버 필터를 지정할 수 있습니다. 서버 목록에 대한 관리할 수 있는 서버의 정적 목록을 정의합니다. 서버 필터는 받는 사람 필터와 같은 방식으로 작동하며 일치시켜야 하는 기준을 지정할 수 있습니다. 예를 들어, 특정 Active Directory 사이트 내의 모든 서버를 일치시키는 서버 범위를 만들 수 있습니다.

  • 데이터베이스   데이터베이스 범위는 관리자가 관리할 수 있는 데이터베이스를 제어합니다. 또한 만들 수 있는 데이터베이스 사서함이나 이동할 수 있는 데이터베이스 사서함을 제어할 수 있습니다. 서버 범위와 마찬가지로 목록 또는 필터로 정의될 수 있습니다. 예를 들어, 관리자가 특정 지사에 의해 관리되는 특정 사서함 데이터베이스에 사서함을 만들거나 이동할 수 있도록 하는 목록 또는 필터를 만들 수 있습니다.

  • 배타적   받는 사람, 서버 및 데이터베이스 범위를 배타적 범위로 만들 수도 있습니다. 배타적 범위는 ACL의 액세스 거부 ACE와 동일한 방식으로 작동합니다. 배타적 범위와 일치하는 모든 항목은 배타적 범위가 할당된 관리자만 해당 개체를 관리할 수 있습니다. 배타적이지 않은 다른 범위가 동일한 개체와 일치하는 경우도 마찬가지입니다. 이 기능은 신뢰할 수 있는 몇몇 개인에게만 임원의 사서함을 관리할 수 있게 하려는 경우 특히 유용합니다. 다른 일반 받는 사람 범위가 더 넓고 임원의 사서함이 이 범위에 포함된 경우에도 배타적 범위에 할당되지 않는 한 더 넓은 일반 받는 사람 범위에 할당된 관리자가 임원의 사서함을 관리할 수 없습니다.

관리 범위는 관리 역할, 관리 역할 할당, 관리 역할 그룹과 함께 사용하여 누가 어떤 개체를 관리할 수 있는지와 해당 개체를 관리할 수 있는 방식을 제어합니다. 자세한 내용은 다음 항목을 참조하십시오.

사용자 지정된 ACL을 사용하여 정의한 관리 범위를 사용해 Exchange 2010에 동일한 사용 권한 모델을 만들려면 사용자 지정한 ACL 목록을 만들고 이와 일치하는 관리 범위를 만들어야 합니다. 받는 사람, 서버, 데이터베이스 개체에 사용 가능한 필터링할 수 있는 속성을 이용해 각 관리 범위에서 액세스를 제어할 개체를 포함하는 관리 범위를 만들 수 있습니다. 관리 범위 필터와 함께 사용할 수 있는 속성에 대한 자세한 내용은 관리 역할 범위 필터 이해를 참조하십시오.

관리 범위를 만드는 방법에 대한 자세한 내용은 일반 또는 배타적 범위 만들기를 참조하십시오.

 © 2010 Microsoft Corporation. 모든 권리 보유.