Compartilhar via


Considerações sobre permissão

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-07-12

Ao planejar como integrar o Microsoft Exchange Server 2007 à estrutura do serviço de diretório do Active Directory, leve em consideração o modelo administrativo de sua organização. Com o Exchange 2007, você pode atribuir permissões a administradores de forma flexível. Geralmente, recomendamos que você avalie como os seguintes recursos do Active Directory e do Exchange 2007 afetam o modo como suas funções administrativas são organizadas:

  • Um único administrador pode executar tarefas para o Microsoft Windows Server 2003 e o Exchange.

  • É possível dividir permissões entre os administradores do Exchange e do Windows.

  • Você pode isolar as funções de administrador do Exchange e do Windows usando uma floresta de recursos do Exchange.

As seções deste tópico descrevem a flexibilidade da configuração de permissões e as funções administrativas disponíveis no Exchange 2007.

Compreendendo o modelo de permissões divididas do Exchange e do Active Directory

Em muitas organizações do Microsoft Exchange, principalmente nas médias e grandes, pode haver mais de um administrador do Exchange. Como esses administradores podem realizar um conjunto específico de tarefas administrativas, o Exchange Server 2007 fornece funções de administrador predefinidas e um modelo de permissões divididas que permitem configurar permissões específicas no Active Directory para várias funções administrativas da organização. No Exchange 2007, as permissões em atributos de destinatário do Exchange são agrupadas. Isso minimiza a configuração manual de permissões que você deve definir para dividir permissões do Exchange a partir de outras permissões administrativas. Para obter mais informações sobre como planejar e implementar seu modelo de permissões, consulte os seguintes tópicos:

Alterações no modelo de permissões e de segurança

Os modelos de permissões e de segurança do Exchange Server 2003 foram alterados no Exchange 2007. Esta seção contém informações sobre as alterações feitas no modelo de permissões do Exchange e descreve as diferenças.

Conjuntos de propriedades

Um conjunto de propriedades é um agrupamento de atributos do Active Directory. Você pode controlar o acesso a esse agrupamento de atributos do Active Directory definindo uma ACE (entrada de controle de acesso), em vez de definir uma ACE em cada propriedade. O conjunto de propriedades que agrupa todos os atributos de destinatários do Exchange é chamado de informações de email.

Dica

Os grupos de segurança do Exchange Server 2003 que tinham permissão para acessar as propriedades do destinatário em servidores Exchange Server 2003 terão permissão para acessar o conjunto de propriedades de informações de email do Exchange 2007, desde que você use Setup.Com do Exchange 2007 ou Setup.Com com o parâmetro /PrepareAD para atualizar o esquema do Active Directory.

Para obter mais informações sobre conjuntos de propriedades, consulte Conjuntos de propriedades no Exchange 2007.

Segurança e modelo de permissões do Exchange 2003

Para ajudar a simplificar o gerenciamento de permissões, o Exchange Server 2003 forneceu funções de segurança predefinidas que estavam disponíveis no Assistente de Delegação Administrativa do Exchange 2003. Essas funções eram uma coleção de permissões padronizadas que podiam ser aplicadas no nível da organização ou do grupo administrativo.

No Exchange 2003, as seguintes funções de segurança estavam disponíveis no Assistente de Delegação no Gerenciador do Sistema do Exchange:

  • Administrador Completo do Exchange

  • Administrador do Exchange

  • Administrador Somente para Exibição do Exchange

Esse modelo tinha as seguintes limitações:

  • Falta de especificidade. O grupo Administrador do Exchange era muito grande, e alguns clientes queriam gerenciar seus modelos de permissões e de segurança no nível de servidor individual.

  • A percepção de que as funções de segurança do Exchange Server 2003 eram apenas um pouco diferentes.

  • Ausência de uma separação clara entre administração de usuários e de grupos pelos administradores do Windows (Active Directory) e administradores de destinatários do Exchange. Por exemplo, para realizar tarefas do Exchange relacionadas ao destinatário, você precisava conceder permissões de alto nível aos administradores do Exchange (permissões de Operador da Conta em domínios do Windows).

Segurança e modelo de permissões do Exchange 2007

Para aprimorar o gerenciamento das funções de administrador do Exchange, chamadas "grupos de segurança" no Exchange 2003, os seguintes recursos novos ou aprimorados foram implementados no modelo de permissões e de segurança do Exchange:

  • Novas funções de administrador que são semelhantes aos grupos de segurança internos do Windows Server. Para obter mais informações sobre essas funções de administrador, consulte "Funções de administrador no Exchange 2007" posteriormente neste tópico.

  • Você pode usar o Console de Gerenciamento do Exchange (anteriormente Gerenciador do Sistema do Exchange) e o Shell de Gerenciamento do Exchange para exibir, adicionar e remover membros de qualquer função de administrador.

Funções de administrador no Exchange 2007

O Exchange 2007 contém os seguintes grupos predefinidos para o gerenciamento de dados de configuração do Exchange:

  • Administradores da Organização do Exchange

  • Administradores de Destinatários do Exchange

  • Administradores Somente para Exibição do Exchange

  • Administradores de Pasta Pública do Exchange (Novo no Exchange Server 2007 Service Pack 1)

Durante a fase de Setup /PrepareAD do Exchange (a fase de organização-preparação semelhante ao ForestPrep do Exchange 2003), essas funções de Administrador do Exchange (exceto Administradores do Exchange Server) são criadas em uma nova OU (unidade organizacional) do grupo de segurança do Microsoft Exchange, que fica localizada no domínio em que /PrepareAD foi executado.

Quando você adiciona uma função de administrador para um usuário, esse usuário herda as permissões autorizadas por essa função. Essas funções de administrador têm permissões para gerenciar dados do Exchange no Active Directory. Existem três tipos de dados do Exchange que podem ser gerenciados por esses grupos:

  • Dados Globais   São os dados em um contêiner de configuração do Active Directory que não estão associados a um servidor específico. Esses dados incluem, mas não se limitam a, diretivas de caixa de correio, listas de endereços e configurações da Unificação de Mensagens do Exchange. Geralmente, os dados globais afetam a organização inteira e podem afetar potencialmente todos os usuários. Como prática recomendada, permita que apenas alguns poucos usuários confiáveis configurem ou alterem dados globais.

  • Dados de Destinatários   Os destinatários do Exchange são objetos de usuário do Active Directory que podem receber ou enviar emails. Exemplos de dados de destinatários incluem contatos habilitados para email, grupos de distribuição, caixas de correio e tipos específicos de destinatários, como objetos de proxy de pasta pública.

  • Dados do Servidor   Os dados do servidor Exchange estão contidos no Active Directory no nó do servidor especificado. Exemplos desses dados incluem conectores de recebimento, diretórios virtuais, configurações por servidor e dados de caixa de correio e de grupo de armazenamento.

Função Administradores da Organização do Exchange

A função Administradores da Organização do Exchange fornece aos administradores acesso total a todas as propriedades e objetos do Exchange na organização do Exchange. Durante a instalação do Exchange, no domínio raiz, Setup /PrepareAD cria o grupo de segurança do Active Directory chamado Administradores da Organização do Exchange no contêiner Grupos de Segurança do Microsoft Exchange de Usuários e Computadores do Active Directory.

Quando você adiciona um usuário à função Administradores da Organização do Exchange, ele se torna membro da função de administrador denominada Administradores da Organização do Exchange. O Exchange 2007 cria essa função durante a preparação do Active Directory. Os membros da função Administradores da Organização do Exchange possuem as seguintes permissões:

  • Proprietários da organização do Exchange no contêiner de configuração do Active Directory. Como proprietários, os membros da função têm controle total sobre os dados da organização do Exchange no contêiner de configuração do Active Directory e sobre o grupo Administrador do servidor Exchange local.

  • Acesso de leitura a todos os contêiners de usuário do domínio no Active Directory. O Exchange concede essa permissão durante a instalação do primeiro servidor Exchange 2007 no domínio, para cada domínio da organização. Estas permissões são concedidas por ser um membro da função Administrador de Destinatários do Exchange. 

  • Acesso de gravação a todos os atributos específicos do Exchange em todos os contêineres de usuário de domínio no Active Directory. O Exchange 2007 concede essa permissão durante a instalação do primeiro servidor Exchange 2007 no domínio, para cada domínio da organização. Estas permissões são concedidas por ser um membro da função Administrador de Destinatários do Exchange. 

  • Proprietário de todos os dados de configuração do servidor local. Como proprietários, os membros têm controle total sobre o servidor Exchange local. O Exchange 2007 concede essa permissão durante a instalação de cada servidor Exchange.

Os usuários que são membros da função Administradores da Organização do Exchange têm o nível mais alto de permissões na organização do Exchange. Todas as tarefas que afetam a organização inteira do Exchange exigirão associação a este grupo. Alguns exemplos de tarefas que exigem permissões de Administrador da Organização do Exchange são a criação ou exclusão de conectores, a alteração de diretivas do servidor e a alteração de definições de configuração global.

Dica

Quando você instalar o Exchange 2007, a Instalação adicionará a função Administradores da Organização do Exchange como um membro do grupo Administradores local no computador em que você está instalando o Exchange. Lembre-se de que o grupo Administradores local em um controlador de domínio tem permissões diferentes das que possui o grupo Administradores local em um servidor membro. Se você instalar o Exchange 2007 em um controlador de domínio, os usuários na função Administradores da Organização do Exchange terão permissões adicionais do Windows que não teriam, caso você instalasse o Exchange 2007 em um computador que não fosse um controlador de domínio.

Função Administradores de Destinatários do Exchange

A função Administradores de Destinatários do Exchange tem permissões para modificar qualquer propriedade do Exchange em um usuário, um contato, um grupo, uma lista dinâmica de distribuição ou um objeto de pasta pública do Active Directory. Durante o Setup /PrepareAD do Exchange, a função Administrador de Destinatários do Exchange é criada no contêiner Grupos de Segurança do Microsoft Exchange no Active Directory. Essa função também permite gerenciar configurações de caixa de correio de Unificação de Mensagens e de Acesso para Cliente. Os membros da função Administradores de Destinatários da Organização do Exchange possuem as seguintes permissões:

  • Acesso de leitura a todos os contêineres Usuário de Domínio no Active Directory que tiveram Setup /PrepareDomain executado nesses domínios.

  • Acesso de gravação a todos os atributos específicos do Exchange nos contêineres Usuário de Domínio no Active Directory que tenham tido Setup /PrepareDomain executado nesses domínios.

  • Associação na função Administrador Somente para Exibição do Exchange.

Os usuários que são membros da função Administradores de Destinatários do Exchange não terão permissões para Domínios em que Setup /PrepareDomain não tenha sido executado. Quando você adicionar um novo domínio do Exchange, verifique se executou Setup /PrepareDomain nesse novo domínio para conceder permissões às funções de administrador do Exchange nesse domínio.

Função Administradores do Servidor Exchange

A função Administradores do Servidor Exchange tem acesso a apenas dados de configuração do Exchange de servidor local, tanto no Active Directory quanto no computador físico em que o Exchange 2007 está instalado. Os usuários que são membros da função Administradores do Servidor Exchange possuem permissões para administrar um servidor específico, mas não possuem permissões para executar operações que tenham impacto global na organização do Exchange.

O Exchange 2007 cria essa função de administrador durante a instalação. Os membros da função Administrador do Exchange Server possuem as seguintes permissões:

  • Proprietário de todos os dados de configuração do servidor local. Como proprietários, os membros da função têm controle total sobre os dados de configuração do servidor local.

  • Administrador local no computador em que o Exchange está instalado.

  • Membros da função Administradores Somente para Exibição do Exchange.

Administradores Somente para Exibição do Exchange

A função Administradores Somente para Exibição do Exchange tem acesso somente leitura à árvore inteira da organização do Exchange no contêiner de configuração do Active Directory e acesso somente leitura a todos os contêineres de domínio do Windows que tenham destinatários do Exchange.

Durante o Setup /PrepareAD do Exchange, a função Administradores Somente para Exibição do Exchange é criada no contêiner Grupos de Segurança do Microsoft Exchange no Active Directory.

Administradores de Pasta Pública do Exchange

Novidades no Exchange 2007 Service Pack 1 (SP1)

A função Administradores de Pasta Pública do Exchange possui permissões administrativas para gerenciar todas as pastas públicas. Essa função de administrador recebe o direito estendido "Criar pasta pública de nível superior". Os membros dessa função podem criar e excluir pastas públicas e gerenciar configurações de pasta pública, como réplicas, cotas, limites de idade, permissões administrativas e permissões de cliente. Essa função de administrador pode habilitar pastas públicas para email, mas não pode modificar propriedades relativas a destinatários de mensagens em pastas públicas, como endereços proxy. Esta capacidade exige associação à função Administradores de Destinatários do Exchange.

Resumo de funções de administrador e permissões

A tabela a seguir lista as funções de administrador do Exchange 2007 e as permissões relacionadas do Exchange.

Função de administrador Membros Membro de Permissões do Exchange

Administradores da Organização do Exchange

Administrador, ou a conta que foi usada para instalar o primeiro servidor Exchange 2007

Administrador de Destinatários do Exchange

Grupo local de administradores do <Nome do Servidor>

Total controle sobre o contêiner do Microsoft Exchange no Active Directory

Administradores de Destinatários do Exchange

Administradores da Organização do Exchange

Administradores Somente para Exibição do Exchange

Total controle sobre propriedades do Exchange no objeto de usuário do Active Directory

Administradores do Exchange Server

 

Administradores Somente para Exibição do Exchange

Grupo local de administradores do <Nome do Servidor>

Total controle sobre o Exchange <Nome do Servidor>

Administradores Somente para Exibição do Exchange

Administradores de Destinatários do Exchange

Administradores de pasta pública do Exchange

Administradores de Destinatários do Exchange

Administradores do Exchange Server

Acesso de leitura ao contêiner do Microsoft Exchange no Active Directory.

Acesso de leitura a todos os domínios do Windows que têm destinatários do Exchange.

Servidores Exchange

Cada conta de computador do Exchange 2007

Administradores Somente para Exibição do Exchange

Especial

Administradores de pasta pública do Exchange

Administradores da Organização do Exchange

Administradores Somente para Exibição do Exchange

Capacidade para gerenciar pastas públicas administrativamente.

Atributos do catálogo de endereços

O Exchange usa muitos atributos para armazenar dados do Exchange. O Exchange também usa outros atributos de destinatário que podem ser usados por outros aplicativos com suporte a diretório que usam os dados do Exchange. Portanto, esses atributos não foram adicionados aos conjuntos de propriedades específicas do Exchange. Esses atributos podem residir em outros conjuntos de propriedades criados durante a instalação do Active Directory ou podem não pertencer a nenhum conjunto de propriedades.

Os atributos listados na tabela a seguir são os dados fornecidos a usuários finais por meio do Microsoft Office Outlook na GAL (Lista de Endereços Global). Se um administrador do Exchange exigir o recurso para atualizar esses atributos e não for um membro do grupo de segurança privilegiado de domínio, como o grupo Operadores de Conta, o administrador do Active Directory deverá conceder permissão de leitura/gravação.

Aplica-se ao objeto Local do Console de Gerenciamento do Exchange Atributo Descrição

Usuário, Contato

Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato

givenName

Nome

Usuário, Contato

Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato

initials

Inicial do segundo nome

Usuário, Contato

Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato

sn

Sobrenome

Usuário, Contato

Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato

info

Campo Notas

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

streetAddress

Endereço

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

l

Cidade

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

st

Estado/Província

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

postalCode

CEP

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

countryCode

País/Região

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

telephoneNumber

Telefone comercial

Usuário, Contato

Disponível somente no Shell de Gerenciamento do Exchange

otherTelephoneNumber

Telefone comercial alternativo

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

pager

Pager

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

facsimileTelephoneNumber

Fax

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

homePhone

Telefone residencial

Usuário, Contato

Disponível somente no Shell de Gerenciamento do Exchange

otherHomePhone

Telefone residencial alternativo

Usuário, Contato

Guia Endereço e Telefone nas propriedades do Usuário ou Contato

mobile

Celular

Usuário, Contato

Disponível somente no Shell de Gerenciamento do Exchange

otherfacsimileTelephoneNumber

Fax alternativo

Contato

Disponível somente no Shell de Gerenciamento do Exchange

telephoneAssistant

Telefone do assistente

Contato

ADSI (Active Directory Service Interfaces) Edit/LDAP

telephoneAssistant

Telefone do assistente

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

title

Cargo

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

company

Empresa

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

department

Departamento

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

physicalDeliveryOfficeName

Escritório

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

manager

Gerente

Usuário, Contato

Guia Organização nas propriedades do Usuário ou Contato

directReports

Funcionários subordinados

Usuário, Contato

Disponível somente no Shell de Gerenciamento do Exchange

msExchAssistantName

Nome do assistente

Grupo

Guia Informações do Grupo nas propriedades do Grupo

managedBy

Proprietário do grupo

Grupo

Guia Informações do Grupo nas propriedades do Grupo

info

Campo Notas

Para obter mais informações

Para obter informações sobre como delegar permissões usando as funções administrativas do Exchange, consulte Add-ExchangeAdministrator

Para obter informações sobre como preparar o Active Directory e seus domínios para o Exchange 2007, consulte Como preparar o Active Directory e os domínios.