Compartilhar via


Noções Básicas sobre Permissão de Divisão

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2015-03-09

As organizações que separam o gerenciamento dos objetos do Microsoft Exchange Server 2010 e o dos objetos do Active Directory usam o que é chamado de modelo de permissões divididas. As permissões divididas permitem que as organizações atribuam permissões específicas e tarefas relacionadas a grupos específicos dentro da organização. Essa separação do trabalho ajuda a manter padrões e fluxos de trabalho e também a controlar as alterações na organização.

O mais alto nível das permissões de divisão é a separação dos gerenciamentos do Exchange e do Active Directory. Muitas organizações têm dois grupos: administradores que gerenciam a infraestrutura do Exchange da organização, incluindo servidores e destinatários, e administradores que gerenciam a infraestrutura do Active Directory. Essa é uma separação importante para muitas organizações, porque a infraestrutura do Active Directory frequentemente se espalha por vários locais, domínios, serviços, aplicações e até florestas do Active Directory. Os administradores do Active Directory devem garantir que as alterações feitas ao Active Directory não afetem negativamente outros serviços. Por causa disso, normalmente apenas um pequeno grupo de administradores tem permissão para gerenciar essa infraestrutura.

Ao mesmo tempo, a infraestrutura do Exchange, incluindo servidores e destinatários, pode ser complexa e exigir conhecimentos especializados. Além disso, o Exchange armazena informações extremamente confidenciais sobre os negócios da organização. Os administradores do Exchange podem acessar essas informações. Limitando o número de administradores do Exchange, a organização limita quem pode fazer alterações na configuração do Exchange e quem pode acessar informações importantes.

As permissões de divisão normalmente fazem distinção entre a criação de entidades no Active Directory, como usuários e grupos de segurança, e a configuração subsequente desses objetos. Isso ajuda a reduzir a chance de acessos não autorizados à rede, controlando quem pode criar objetos que concedam acesso a ela. Frequentemente, somente administradores do Active Directory podem criar entidades de segurança, enquanto outros administradores, como os do Exchange, podem gerenciar atributos específicos em objetos do Active Directory.

Para suportar as necessidades variáveis de separar o gerenciamento do Exchange e do Active Directory, o Exchange 2010 permite que você escolha entre um modelo de permissões compartilhadas ou um de permissões de divisão. O Microsoft Exchange Server 2010 Service Pack 1 (SP1) oferece dois tipos de modelos de permissões de divisão: RBAC e Active Directory. Exchange 2010 SP1 usa como padrão um modelo de permissões compartilhadas.

Sumário

Informações sobre Controle de Acesso Baseado em Função e Active Directory

Permissões compartilhadas

Permissões de divisão

Permissões de divisão do RBAC

Permissões de divisão do Active Directory

Informações sobre Controle de Acesso Baseado em Função e Active Directory

Para compreender as permissões de divisão, você precisa entender como o modelo de permissões do Controle de Acesso Baseado em Função (RBAC) do Exchange 2010 funciona com o Active Directory. O modelo RBAC controla quem pode executar que ações e em que objetos essas ações podem ser executadas. Para mais informações sobre os vários componentes do RBAC discutidos neste tópico, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.

No Exchange 2010, todas as tarefas executadas em objetos do Exchange devem ser feitas através do Console de Gerenciamento do Exchange, do Shell de Gerenciamento do Exchange ou da interface administrativa da Web do Exchange. Cada uma dessas ferramentas de gerenciamento usa o RBAC para autorizar todas as tarefas que são executadas.

O RBAC é um componente que existe em todos os servidores que executam o Exchange 2010, com exceção dos servidores de Transporte de Borda. O RBAC verifica se o usuário executando uma ação é autorizado a fazer isso:

  • Se o usuário não tiver autorização para executar a ação, o RBAC não permitirá que a ação prossiga.

  • Se o usuário tiver autorização para executar a ação, o RBAC verifica se o usuário tem autorização para fazer a ação no objeto específico sendo solicitado:

    • Se o usuário tiver autorização, o RBAC permitirá que a ação continue.

    • Se o usuário não tiver autorização, o RBAC não permite que a ação continue.

Se o RBAC permitir que uma ação continue, ela será executada no contexto do Subsistema Confiável do Exchange e não no contexto do usuário. O Subsistema Confiável do Exchange é um grupo de segurança universal (USG) altamente privilegiado que possui acesso de leitura e gravação a todos os objetos relacionados ao Exchange na organização do Exchange. Ele também é um membro do grupo de segurança local Administradores e do USG de Permissões do Windows do Exchange, o que permite que o Exchange crie e gerencie objetos do Active Directory.

Aviso

Não faça nenhuma alteração manual na associação do grupo de segurança do Subsistema Confiável do Exchange. Além disso, não adicione-o ou remova-o das listas de controle de acesso (ACLs) do objeto. Ao efetuar alterações no USG do Subsistema Confiável do Exchange, você poderá causar danos irreparáveis à sua organização do Exchange.

É importante entender que não importa que permissões um usuário do Active Directory tenha ao usar as ferramentas de gerenciamento do Exchange. Se o usuário tiver autorização, via RBAC, para executar uma ação nas ferramentas de gerenciamento do Exchange, o usuário pode executar a ação independente de suas permissões do Active Directory. Por outro lado, se um usuário for um Administrador Corporativo no Active Directory, mas tiver autorização para executar uma ação, como criar uma caixa de correio, nas ferramentas de gerenciamento do Exchange, a ação não terá sucesso, pois o usuário não terá as permissões necessárias, de acordo com o RBAC.

Importante

Apesar do modelo de permissões do RBAC não se aplicar à ferramenta de gerenciamento Usuários e Computadores do Active Directory, essa ferramenta do Active Directory não pode gerenciar a configuração do Exchange. Então, apesar de um usuário poder ter acesso para modificar alguns atributos dos objetos do Active Directory, como o nome de exibição de um usuário, o usuário deve usar as ferramentas de gerenciamento do Exchange e, dessa forma, ser autorizado pelo RBAC, para gerenciar os atributos do Exchange.

Voltar ao início

Permissões compartilhadas

O modelo de permissões compartilhadas é o modelo-padrão para o Exchange 2010. Você não precisa mudar nada, se esse for o modelo de permissões que você quiser usar. Esse modelo não separa o gerenciamento dos objetos do Exchange e do Active Directory de dentro das ferramentas de gerenciamento do Exchange. Ele permite que os administradores que usam as ferramentas de gerenciamento do Exchange criem entidades de segurança no Active Directory.

A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.

Funções de gerenciamento de entidades de segurança

Função de gerenciamento Grupo de funções

Função de Criação de Destinatário de Email

Gerenciamento da Organização

Gerenciamento de Destinatários

Criação de Grupo de Segurança e Função de Associação

Gerenciamento da Organização

Somente grupos de funções, usuários ou USGs que recebem a função Criação de Destinatário de Email podem criar entidades de segurança, como usuários do Active Directory. Por padrão, os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatários são atribuídos a essa função. Por isso, membros desses grupos de funções podem criar entidades de segurança.

Somente grupos de funções, usuários ou USGs a que seja atribuída a função Criação e Associação no Grupo de Segurança podem criar grupos de segurança ou gerenciar suas associações. Por padrão, somente o grupo de funções Gerenciamento da Organização é atribuído a essa função. Assim, somente membros do grupo de funções Gerenciamento da Organização podem criar ou gerenciar a associação nos grupos de segurança.

Você pode atribuir as funções Criação de Destinatário de Email e Criação e Associação de no Grupo de Segurança a outros grupos de funções, usuários ou USGs, se você quiser que outros usuários possam criar entidades de segurança.

Para habilitar o gerenciamento das entidades de segurança existentes no Exchange 2010, a função de Destinatários de Email é atribuída, por padrão, aos grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatários. Somente grupos de funções, usuários ou USGs que recebem a função Destinatário de Email podem gerenciar entidades de segurança. Se você quiser que outros grupos de funções, usuários ou USGs possam gerenciar as entidades de segurança existentes, deverá atribuir a função Destinatários de Email a eles.

Para mais informações sobre como adicionar uma função a um usuário, USG ou grupo de funções, consulte os seguintes tópicos:

Se você tiver mudado de um modelo de permissões de divisão e quiser voltar para um modelo de permissões compartilhadas, consulte Configurar o Exchange 2010 para Permissões Compartilhadas.

Voltar ao início

Permissões de divisão

Se a sua organização separar o gerenciamento do Exchange e o do Active Directory, você precisará configurar o Exchange para suportar o modelo de permissões de divisão. Quando configurado corretamente, somente os administradores que você quiser que criem entidades de segurança, como os administradores do Active Directory, poderão fazê-lo, e somente os administradores do Exchange poderão modificar os atributos do Exchange nas entidades de segurança existentes. Essa divisão de permissões fica quase junto das linhas das partições de domínio e configuração no Active Directory. As partições são também chamadas de contextos de nomenclatura. A partição de domínio armazena os usuários, os grupos e outros objetos para um domínio específico. A partição de configuração armazena informações sobre a configuração de toda a floresta para os serviços que usavam Active Directory, como Exchange. Os dados armazenados na partição de domínio são geralmente gerenciados pelos administradores do Active Directory, embora os objetos possam conter atributos específicos de Exchange que podem ser gerenciados pelos administradores do Exchange. Os dados armazenados na partição de configuração são gerenciados pelos administradores da cada serviço respectivo que armazena dados nessa partição. Para o Exchange, os administradores são em geral do Exchange.

O Exchange 2010 SP1 oferece suporte aos dois seguintes tipos de permissões de divisão:

  • Permissões de divisão do RBAC   As permissões para criar entidades de segurança na partição de domínio do Active Directory são controladas pelo RBAC. Somente os servidores do Exchange, os serviços e aqueles que são membros dos grupos de funções apropriados podem criar entidades de segurança.

  • Permissões de divisão do Active Directory   As permissões para criar entidades de segurança na partição de domínio do Active Directory são removidas completamente de qualquer usuário, serviço ou servidor do Exchange. Nenhuma opção é fornecida no RBAC para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser executada com o uso das ferramentas de gerenciamento do Active Directory.

    Importante

    Embora as permissões de divisão do Active Directory possam ser habilitadas ou desabilitadas com a execução da Instalação em um computador que tenha o Exchange 2010 SP1 instalado, a configuração de permissões de divisão do Active Directory se aplicará aos servidores do Exchange 2010 RTM e do Exchange 2010 SP1. Entretanto, isso não terá nenhum impacto nos servidores do Microsoft Exchange Server 2003 ou do Microsoft Exchange Server 2007.

Caso a sua organização opte por usar um modelo de permissões de divisão em vez de permissões compartilhadas, recomendamos usar o modelo de permissões de divisão do RBAC. O modelo de permissões de divisão do RBAC proporciona uma flexibilidade muito maior enquanto fornece praticamente a mesma separação de administração das permissões de divisão do Active Directory, com a exceção de que os servidores e serviços do Exchange podem criar entidades de segurança no modelo de permissões de divisão do RBAC.

Você é perguntado se deseja habilitar as permissões de divisão do Active Directory durante a Instalação. Se optar por habilitar as permissões de divisão do Active Directory, você poderá apenas mudar para as permissões compartilhadas ou permissões de divisão do RBAC executando novamente a Instalação e desabilitando as permissões de divisão do Active Directory. Essa escolha se aplica a toda a organização do Exchange 2010.

As seções seguintes descrevem o RBAC e as permissões de divisão do Active Directory em mais detalhes.

Voltar ao início

Permissões de divisão do RBAC

O modelo de segurança do RBAC modifica as atribuições de função de gerenciamento padrão para separar quem pode criar entidades de segurança na partição de domínio do Active Directory daqueles que administram os dados da organização do Exchange na partição de configuração do Active Directory. As entidades de segurança, como usuários com caixas de correio e grupos de distribuição, podem ser criadas por administradores que sejam membros das funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação. Essas permissões permanecem separadas das permissões necessárias para criar entidades de segurança fora das ferramentas de gerenciamento do Exchange. Os administradores do Exchange que não são atribuídos à função Criação de Destinatário de Email ou à função Criação de Grupo de Segurança e Associação podem ainda modificar os atributos relacionados ao Exchange em entidades de segurança. Os administradores do Active Directory também têm a opção de usar as ferramentas de gerenciamento do Exchange para criar entidades de segurança do Active Directory.

Os servidores do Exchange e o Subsistema Confiável do Exchange também têm permissões para cria entidades de segurança no Active Directory em nome dos usuários e de programas de terceiros integrados ao RBAC.

As permissões de divisão do RBAC serão uma boa opção para a sua organização se o seguinte for verdadeiro:

  • Sua organização não requer que a criação da entidade de segurança seja feita com o uso apenas das ferramentas de gerenciamento do Active Directory e somente por usuários que recebem permissões do Active Directory específicas.

  • Sua organização permite serviços, como servidores do Exchange, para criar entidades de segurança.

  • Você quer simplificar o processo necessário para criar caixas de correio, usuários habilitados para email, grupos de distribuição e grupos de funções ao permitir que sejam criados com as ferramentas de gerenciamento do Exchange.

  • Você quer gerenciar a associação de grupos de distribuição e grupos de funções nas ferramentas de gerenciamento do Exchange.

  • Você tem programas de terceiros que exigem que os servidores do Exchange possam criar entidades de segurança em seu nome.

Caso a sua organização precise de uma separação completa da administração do Exchange e do Active Directory, em que nenhuma administração do Active Directory pode ser executada com o uso de ferramentas de gerenciamento do Exchange ou por serviços do Exchange, consulte a seção Permissões de divisão do Active Directory mais adiante neste tópico.

A mudança de permissões compartilhadas para permissões de divisão do RBAC é um processo manual em que você remove as permissões necessárias para criar entidades de segurança dos grupos de funções que as recebem por padrão. A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.

Funções de gerenciamento de entidades de segurança

Função de gerenciamento Grupo de função

Função de Criação de Destinatário de Email

Gerenciamento da Organização

Gerenciamento de Destinatários

Criação de Grupo de Segurança e Função de Associação

Gerenciamento da Organização

Por padrão, membros dos grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatários podem criar entidades de segurança. Você deve transferir a possibilidade de criar entidades de segurança dos grupos de funções internos para um novo grupo de funções que você criar.

Para configurar permissões de divisão do RBAC, faça o seguinte:

  1. Desabilite as permissões de divisão do Active Directory se estiverem habilitadas.

  2. Crie um grupo de funções que irá conter os administradores do Active Directory que poderão criar entidades de segurança.

  3. Crie atribuições de função regulares e delegatórias entre a função Criação de Destinatário de Email e o novo grupo de funções.

  4. Crie atribuições de função regulares e delegatórias entre a função Criação e Associação no Grupo de Segurança e o novo grupo de funções.

  5. Remova as atribuições de função regulares e de delegação entre a função de Criação de Destinatário de Email e os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatários.

  6. Remova as atribuições de função regulares e de delegação entre a função de Criação de Grupo de Segurança e Associação e o grupo de funções Gerenciamento da Organização.

Depois disso, somente membros do novo grupo de funções que você criar poderão criar entidades de segurança, como caixas de correio. O novo grupo só poderá criar os objetos. Ele não poderá configurar os atributos do Exchange no novo objeto. Um administrador do Active Directory, que é um membro do novo grupo, precisará criar o objeto e, depois, um administrador do Exchange precisará configurar os atributos do Exchange no objeto. Os administradores do Exchange não conseguirão usar os seguintes cmdlets:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Entretanto, os administradores do Exchange conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte, grupos de distribuição etc. e gerenciar atributos relacionados a Exchange em qualquer objeto.

Além disso, os recursos associados no Console de Gerenciamento do Exchange e no Painel de Controle do Exchange, como o Assistente de Nova Caixa de Correio, também não estarão mais disponíveis ou gerarão um erro se você tentar usá-los.

Se você quiser que o novo grupo de funções também possa gerenciar os atributos do Exchange no novo objeto, a função Destinatários de Email também deverá ser atribuída ao novo grupo de funções.

Para mais informações sobre como configurar permissões de divisão, consulte Configurar o Exchange 2010 para Permissões Divididas.

Voltar ao início

Permissões de divisão do Active Directory

Com as permissões de divisão do Active Directory, a criação de entidades de segurança na partição de domínio do Active Directory, como caixas de correio e grupos de distribuição, deverá ser feita com o uso das ferramentas de gerenciamento do Active Directory. Várias alterações são feitas às permissões concedidas ao servidores do Subsistema Confiável do Exchange e do Exchange para limitar o que os servidores e os administradores do Exchange podem fazer. As seguintes mudanças na funcionalidade ocorrem quando você habilita as permissões de divisão do Active Directory:

  • A criação de caixas de correio, usuários habilitados por email, grupos de distribuição e outras entidades de segurança é removida das ferramentas de gerenciamento do Exchange.

  • A adição e remoção de membros de grupos de distribuição não pode ser feita com as ferramentas de gerenciamento do Exchange.

  • Todas as permissões concedidas ao Subsistema Confiável do Exchange e aos servidores do Exchange para criar entidades de segurança são removidas.

  • Os servidores do Exchange e as ferramentas de gerenciamento do Exchange podem modificar apenas os atributos do Exchange de entidades de segurança existentes no Active Directory.

Por exemplo, para criar uma caixa de correio com permissões de divisão do Active Directory habilitadas, um usuário deve primeiro ser criado com o uso de ferramentas do Active Directory por um usuário com as permissões do Active Directory solicitadas. Em seguida, o usuário pode ser habilitado para caixa de correio com a utilização das ferramentas de gerenciamento do Exchange. Somente os atributos relacionados a Exchange da caixa de correio podem ser modificados pelos administradores do Exchange usando as ferramentas de gerenciamento do Exchange.

As permissões de divisão do Active Directory serão uma boa opção para a sua organização se o seguinte for verdadeiro:

  • Sua organização requer que as entidades de segurança sejam criadas com o uso apenas das ferramentas de gerenciamento do Active Directory ou somente por usuários que recebem permissões do Active Directory específicas.

  • Você quer separar completamente a capacidade de criar entidades de segurança daqueles que gerenciam a organização do Exchange.

  • Você quer gerenciar todo o grupo de distribuição, incluindo a criação de grupos de distribuição e a adição e a remoção de membros desses grupos, com o uso das ferramentas de gerenciamento do Active Directory.

  • Você não quer servidores do Exchange ou programas de terceiros que usem o Exchange em seu nome para criar entidades de segurança.

Importante

A mudança para as permissões de divisão do Active Directory é uma opção que você pode fazer ao instalar o Exchange 2010 SP1 usando o assistente de Instalação ou o parâmetro ActiveDirectorySplitPermissions enquanto executa setup.com na linha de comando. Você pode também habilitar ou desabilitar as permissões de divisão do Active Directory após ter instalado o Exchange 2010, executando novamente setup.com na linha de comando. Para habilitar as permissões de divisão do Active Directory, defina o parâmetro ActiveDirectorySplitPermissions como true. Para desabilitá-las, defina-o como false. Você deve sempre especificar o switch PrepareAD junto com o parâmetro ActiveDirectorySplitPermissions.
Se a mesma floresta tiver mais de um domínio, a opção PrepareAllDomains também deverá ser especificada quando você aplicar as permissões divididas do Active Directory ou executar a instalação com a opção PrepareDomain em cada domínio. Se optar por executar a instalação com a opção PrepareDomain em cada domínio em vez de usar a opção PrepareAllDomains, você deve preparar todos os domínios que contenham servidores do Exchange, objetos habilitados para email ou servidores de catálogo global que poderiam ser acessados por um servidor do Exchange.

Importante

Você não poderá habilitar as permissões de divisão do Active Directory se tiver instalado o Exchange 2010 em um controlador de domínio.
Após você habilitar ou desabilitar as permissões de divisão do Active Directory, recomendamos reiniciar os servidores do Exchange 2010 em sua organização para forçá-los a selecionar o novo token de acesso do Active Directory com as permissões atualizadas.

O Exchange 2010 SP1 obtém as permissões de divisão do Active Directory removendo a permissões e a associação do grupo de segurança de Permissões do Exchange Windows. Esse grupo de segurança, em permissões compartilhadas e permissões de divisão do RBAC, recebe permissões para muitos objetos e atributos não Exchange por meio do Active Directory. Com a remoção das permissões e da associação para esse grupo de segurança, os administradores e serviços do Exchange não têm permissão para criar ou modificar esses objetos não Exchange Active Directory.

Para uma lista de mudanças que ocorrem no grupo de segurança Permissões do Exchange Windows e outros componentes do Exchange quando você habilita ou desabilita as permissões de divisão do Active Directory, consulte a seguinte tabela.

Dica

As atribuições de função aos grupos de funções que permitem que os administradores do Exchange criem entidades de segurança são removidas quando as permissões de divisão do Active Directory são habilitadas. Isso é feito para remover o acesso aos cmdlets que de outra forma geraram um erro quando fossem executados porque eles não têm permissões para criar o objeto do Active Directory associado.

Alterações nas permissões de divisão do Active Directory

Ação Alterações feitas pelo Exchange

Habilitar as permissões de divisão do Active Directory durante a instalação do primeiro servidor do Exchange 2010 SP1

O seguinte ocorre quando você habilita as permissões de divisão do Active Directory por meio do assistente de Instalação ou com a execução de setup.com com os parâmetros /PrepareAD e /ActiveDirectorySplitPermissions:true:

  • Uma unidade organizacional (OU) chamada Grupos Protegidos do Microsoft Exchange é criada.

  • O grupo de segurança Permissões do Exchange Windows é criado na OU Grupos Protegidos do Microsoft Exchange.

  • O grupo de segurança Subsistema Confiável do Exchange não é adicionado ao grupo de segurança Permissões do Exchange Windows.

  • A criação de atribuições de função de gerenciamento de não delegação a funções de gerenciamento com os seguintes tipos de função de gerenciamento é ignorada:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • As entradas de controle de acesso (ACEs) que forem atribuídas ao grupo de segurança Permissões do Exchange Windows não serão adicionadas ao objeto de domínio Active Directory.

Se a instalação for executada com a opção PrepareAllDomains ou PrepareDomain, o seguinte acontecerá em cada domínio filho preparado:

  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.

  • As ACEs são configuradas em cada domínio conforme definido no Referência de permissões de implantação do Exchange 2010, com a exceção de ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows.

Alternar das permissões compartilhadas ou das permissões de divisão do RBAC para as permissões de divisão do Active Directory

O seguinte acontece quando você executa o comando setup.com com os parâmetros /PrepareAD e /ActiveDirectorySplitPermissions:true:

  • Uma unidade organizacional (OU) chamada Grupos Protegidos do Microsoft Exchange é criada.

  • O grupo de segurança Permissões do Exchange Windows é movido para a OU Grupos Protegidos do Microsoft Exchange.

  • O grupo de segurança Subsistema Confiável do Exchange é removido do grupo de segurança Permissões do Exchange Windows.

  • Todas as atribuições de função de não delegação a funções de gerenciamento com os seguintes tipos de função são removidas:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.

Se a instalação for executada com a opção PrepareAllDomains ou PrepareDomain, o seguinte acontecerá em cada domínio filho preparado:

  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.

  • As ACEs são configuradas em cada domínio conforme definido no Referência de permissões de implantação do Exchange 2010, com a exceção de ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows.

Alternar das permissões de divisão do Active Directory para as permissões compartilhadas ou as permissões de divisão do RBAC

O seguinte acontece quando você executa o comando setup.com com os parâmetros /PrepareAD e /ActiveDirectorySplitPermissions:false:

  • O grupo de segurança Permissões do Exchange Windows é movido para a OU Grupos de Segurança do Microsoft Exchange.

  • A unidade organizacional (OU) chamada Grupos Protegidos do Microsoft Exchange é removida.

  • O grupo de segurança Subsistemas Confiável do Exchange é adicionado ao grupo de segurança Permissões do Exchange Windows.

  • As ACEs são adicionadas ao objeto de domínio do grupo de segurança Permissões do Exchange Windows.

Se a instalação for executada com a opção PrepareAllDomains ou PrepareDomain, o seguinte acontecerá em cada domínio filho preparado:

  • As ACEs são adicionadas ao objeto de domínio do grupo de segurança Permissões do Exchange Windows.

  • As ACEs são configuradas em cada domínio conforme definido no Referência de permissões de implantação do Exchange 2010, incluindo ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows.

As atribuições de função para as funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação não são criadas automaticamente quando se alterna das permissões de divisão do Active Directory para as compartilhadas. Se as atribuições de função de delegação tiverem sido personalizadas antes de as permissões de divisão do Active Directory serem habilitadas, essas personalizações serão deixadas intactas. Para criar atribuições de função entre essas funções e o grupo de funções Gerenciamento da Organização, consulte Configurar o Exchange 2010 para Permissões Compartilhadas.

Após a habilitação das permissões de divisão do Active Directory, os seguintes cmdlets não ficam mais disponíveis:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Após você habilitar as permissões de divisão do Active Directory, os seguintes cmdlets poderão ser acessados, mas não poderão ser usados para criar grupos de distribuição ou modificar a associação de grupo de distribuição:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

Alguns cmdlets, embora ainda disponíveis, podem oferecer somente funcionalidade limitada quando usados com permissões de divisão do Active Directory. Isso ocorre porque eles podem permitir que você configure objetos de destinatário que estão na partição de domínio do Active Directory e objetos de configuração do Exchange que estão na partição de configuração do Active Directory. Eles podem também permitir a configuração de atributos relacionados a Exchange em objetos armazenados na partição de domínio. As tentativas de usar os cmdlets para criar objetos ou modificar atributos relacionados a não Exchange em objetos na partição de domínio resultará em um erro. Por exemplo, o cmdlet Add-ADPermission retornará um erro se você tentar adicionar permissões a uma caixa de correio. Contudo, o cmdlet Add-ADPermission funcionará se você configurar as permissões em um conector de Recebimento. Isso ocorre porque uma caixa de correio é armazenada na partição de domínio enquanto os conectores de Recebimento são armazenados na partição de configuração.

Além disso, os recursos associados no Console de Gerenciamento do Exchange e no Painel de Controle do Exchange, como o Assistente de Nova Caixa de Correio, também não estarão mais disponíveis ou gerarão um erro se você tentar usá-los.

Entretanto, os administradores do Exchange conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte etc.

Para mais informações sobre como configurar um modelo de permissões de divisão do Active Directory, consulte Configurar o Exchange 2010 para Permissões Divididas.

Voltar ao início

 © 2010 Microsoft Corporation. Todos os direitos reservados.