Configurar Exchange Server para permissões divididas

As permissões divididas permitem que dois grupos separados, como administradores do Active Directory e administradores do Exchange, gerenciem seus respectivos serviços, objetos e atributos. Active Directory administradores gerenciam as entidades de segurança, como usuários, que fornecem permissões para acessar uma floresta Active Directory. Exchange administradores gerenciam as Exchange-relacionados atributos nos objetos Active Directory e Exchange-objeto específico de criação e gerenciamento.

Exchange Server 2016 e Exchange Server 2019 oferecem os seguintes tipos de modelos de permissões divididas:

• Permissões de divisão RBAC: as permissões para criar entidades de segurança na partição de domínio do Active Directory são controladas pelo RBAC (Role Based Controle de Acesso). Somente aqueles que são membros dos grupos de função adequada podem criar entidades de segurança.

• Permissões de divisão do Active Directory: as permissões para criar entidades de segurança na partição de domínio do Active Directory são completamente removidas de qualquer usuário, serviço ou servidor do Exchange. No RBAC, não é fornecida nenhuma opção para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser executada usando as ferramentas de gerenciamento do Active Directory.

O modelo que você escolher depende a estrutura e as necessidades da sua organização. Escolha o procedimento a seguir que se aplicam ao modelo do qual que você deseja configurar. Recomendamos que você use o modelo de permissões de divisão RBAC. O modelo de permissões de divisão RBAC fornece significativamente mais flexibilidade fornecendo a mesma separação de administração conforme Active Directory dividir permissões.

Para obter mais informações sobre permissões compartilhadas e divididas, consulte Dividir permissões em Exchange Server.

Para obter mais informações sobre grupos de funções de gerenciamento, funções de gerenciamento e atribuições de função de gerenciamento comuns e de delegação, consulte os tópicos a seguir:

• Controle de acesso baseado em função de compreensão
• Noções básicas sobre grupos de funções de gerenciamento
• Noções básicas sobre as funções de gerenciamento
• Noções básicas sobre as atribuições de função de gerenciamento

Do que você precisa saber para começar?

• Tempo estimado para concluir cada procedimento: 5 minutos

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o entrada "permissões de divisão deActive Directory " no tópico Permissões de gerenciamento de função .

• O modelo de permissões selecionado será aplicado a todos os servidores do Exchange 2010 ou posteriores em sua organização.

• Para baixar a versão mais recente do Exchange, consulte Atualizações para Exchange Server.

• Para abrir o Shell de Gerenciamento do Exchange, confira Abrir o Shell de Gerenciamento do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns Exchange Server.

Alternar para dividir permissões de RBAC

Depois de mudar para permissões de divisão do RBAC, apenas os administradores do Active Directory poderão criar entidades de segurança do Active Directory. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

administradores de Exchange só poderá gerenciar os atributos de Exchange em entidades de segurança Active Directory existente. No entanto, eles poderão criar e gerenciar objetos específicos do Exchange, como regras de fluxo de email (também conhecidas como regras de transporte) e grupos de distribuição. Para obter mais informações, consulte a seção "Permissões de Divisão RBAC" em Permissões divididas em Exchange Server.

Para configurar o Exchange para permissões divididas, você deve atribuir a função Criação de Destinatário de Email e a função Criação e Associação de Grupo de Segurança a um grupo de funções que contém membros que são administradores do Active Directory. Em seguida, você deve remover as atribuições entre essas funções e qualquer grupo de função ou grupo de segurança universal (USG) que contém Exchange administradores.

Para configurar as permissões de divisão do RBAC, siga as seguintes etapas:

1. Se sua organização estiver atualmente configurada para permissões de divisão do Active Directory, siga as seguintes etapas:

   1. No servidor de destino, abra Explorador de Arquivos, clique com o botão direito do mouse no arquivo de imagem ISO do Exchange e selecione Montar. Observe a letra da unidade de DVD virtual atribuída.

   2. Abra uma janela prompt de comando do Windows. Por exemplo:

      • Pressione a tecla Windows+R para abrir a caixa de diálogo Executar, digite cmd.exe e pressione OK.
      • Pressione Iniciar. Na caixa Pesquisar , digite Prompt de Comando e, na lista de resultados, selecione Prompt de Comando.

   3. Na janela Prompt de Comando, execute o seguinte comando para desabilitar permissões de divisão do Active Directory:

      Observação

      • A opção anterior /IAcceptExchangeServerLicenseTerms não funcionará a partir das CUs (Atualizações Exchange Server 2016 e Exchange Server setembro de 2019 de setembro de 2021). Agora você deve usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON ou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalações autônomas e com script.

      • Os exemplos a seguir usam a opção /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Você pode alterar a opção para /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. Reinicie todos os servidores do Exchange em sua organização ou aguarde que o token de acesso do Active Directory seja replicado em todos os servidores do Exchange.

2. Faça as seguintes etapas no Shell de Gerenciamento do Exchange:

   1. Crie um grupo de funções para os administradores Active Directory. Além de criar o grupo de funções, o comando cria atribuições da função regular entre o novo grupo de função e a função de criação de destinatário de email e criação de grupos de segurança e função de associação.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Observação

      Se desejar que os membros desse grupo de função possam criar atribuições de função, inclua a função de gerenciamento de função. Você não precisa adicionar essa função agora. No entanto, se você nunca deseja atribuir a função de criação de destinatário de email ou a criação de grupos de segurança e a associação de função para os outros destinatários de função, a função de gerenciamento de função deve ser atribuída a esse novo grupo de função. Etapas a seguir configure o grupo de funções administradores Active Directory como o grupo de função única que pode delegar essas funções.

   2. Crie atribuições de função delegada entre o novo grupo de funções e a função Criação do Destinatário de Email e Criação de Grupo de Segurança e Função de Associação executando os seguintes comandos:

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. Adicione membros ao novo grupo de funções executando o seguinte comando:

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. Substitua a lista de delegados no novo grupo de funções para que apenas membros do grupo de funções possam adicionar ou remover membros executando o seguinte comando:

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Importante

      Membros do grupo de funções Gerenciamento da Organização ou aqueles que são atribuídos a função de gerenciamento de função, seja diretamente ou por meio de outro grupo de funções ou USG, poderá ignorar essa verificação de segurança de representante. Se você deseja impedir que qualquer administrador Exchange adicionando se ao novo grupo de função, você deve removem a atribuição de função entre a função de gerenciamento de função e qualquer administrador Exchange e atribuí-la para outro grupo de função.

   5. Localize todas as atribuições de função regulares e delegadas para a função Criação do Destinatário de Email executando o seguinte comando:

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. Remova todas as atribuições de função regulares e delegadas para a função Criação do Destinatário de Email que não estão associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que você deseja manter executando o comando a seguir.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Observação

      Se você deseja remover todos os regulares e delegando atribuições de função para a função de criação de destinatário de email em qualquer destinatário da função que não seja o grupo de funções administradores Active Directory, use o seguinte comando. A opção WhatIf permite que você veja quais atribuições de função serão removidas. Remova a opção WhatIf e execute o comando novamente para remover as atribuições de função.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. Localize todas as atribuições de função regulares e delegadas para a função Criação e Associação do Grupo de Segurança executando o comando a seguir.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. Remova todas as atribuições de função regulares e delegadas para a função Criação e Associação do Grupo de Segurança que não estão associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que você deseja manter executando o seguinte comando:

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Observação

      Você pode usar o mesmo comando na observação anterior para remover todos os regulares e delegando atribuições de função para a função de criação de grupos de segurança e a associação no qualquer destinatário da função que não seja o grupo de função de administradores Active Directory, conforme mostrado neste exemplo.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

Alternar para divididas permissões do Active Directory

Você pode configurar sua organização do Exchange para permissões de divisão do Active Directory. permissões de divisão de Active Directory remover completamente as permissões que permitem que administradores Exchange e servidores de criação de entidades de segurança em Active Directory ou modificação de atributos de não -Exchange esses objetos de. Quando terminar, somente os administradores Active Directory será capazes de criar Active Directory entidades de segurança. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

servidores e administradores Exchange apenas será capazes de gerenciar os atributos de Exchange nos entidades de segurança Active Directory existente. No entanto, eles serão capazes de criar e gerenciar Exchange-planos de discagem de objetos específicos, como regras de transporte e Unificação de mensagens.

Aviso

Depois de habilitar permissões de divisão do Active Directory, os administradores e servidores do Exchange não poderão mais criar entidades de segurança no Active Directory e não poderão gerenciar a associação do grupo de distribuição. Essas tarefas devem ser executadas usando ferramentas de gerenciamento do Active Directory com as permissões necessárias do Active Directory. Antes de fazer essa alteração, você deve entender o impacto que ela terá em seus processos de administração e aplicativos de terceiros que se integram ao Exchange e ao modelo de permissões RBAC.

Para obter mais informações, consulte a seção "Permissões de divisão do Active Directory" em Dividir permissões em Exchange Server.

Para alternar de permissões de divisão compartilhadas ou RBAC para permissões de divisão do Active Directory, siga as seguintes etapas:

1. No servidor de destino, abra Explorador de Arquivos, clique com o botão direito do mouse no arquivo de imagem ISO do Exchange e selecione Montar. Observe a letra da unidade de DVD virtual atribuída.

2. Em uma janela prompt de comando do Windows, execute o seguinte comando para habilitar permissões de divisão do Active Directory:

   Observação

   • A opção anterior /IAcceptExchangeServerLicenseTerms não funcionará a partir das CUs (Atualizações Exchange Server 2016 e Exchange Server setembro de 2019 de setembro de 2021). Agora você deve usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON ou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalações autônomas e com script.

   • Os exemplos a seguir usam a opção /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Você pode alterar a opção para /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. Se você tiver vários domínios do Active Directory em sua organização, deverá ser executado Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain em cada domínio filho que contém servidores ou objetos do Exchange ou executado Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains em um site que tenha um servidor active directory de todos os domínios.

4. Reinicie todos os servidores do Exchange em sua organização ou aguarde que o token de acesso do Active Directory seja replicado para todos os servidores do Exchange.