Настройка Exchange Server для общих разрешений

Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Exchange Server 2016 и Exchange Server 2019 по умолчанию настроены для общих разрешений.

Общие разрешения позволяют администратору Exchange создавать субъекты безопасности Active Directory, например пользователей, а затем настраивать их в качестве получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.

Дополнительные сведения о общих и разделенных разрешениях см. в разделе Разделение разрешений в Exchange Server.

Вы можете настроить организацию Exchange для общих разрешений, если ранее вы настроили для своей организации разделение разрешений. Процедура переключения на использование разрешений общего доступа различается в зависимости от того, используется ли в текущий момент разделение разрешений управления доступом на основе ролей (RBAC) или разделение разрешений Active Directory. Выберите одну из следующих процедур, которая соответствует текущей конфигурации. При соблюдении следующих условий организация использует разделение разрешений Active Directory.

• Существует подразделение защищенных групп Microsoft Exchange.

• Группа безопасности Разрешений Exchange Windows находится в подразделении защищенных групп Microsoft Exchange.

• Группа безопасности доверенной подсистемы Exchange входит в группу безопасности Разрешений Exchange Windows.

• Отсутствуют назначения обычной роли управления для роли создания получателей почты или роли создания и членства в группе безопасности.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

• Общие сведения об управлении доступом на основе ролей

• Общие сведения о группах ролей управления

• Общие сведения о ролях управления

• Общие сведения о назначениях ролей управления

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: 5 минут

• Для процедур, описанных в этом разделе, требуются определенные разрешения. Сведения о разрешениях см. в каждой процедуре.

• В настоящее время организация Exchange должна быть настроена для разделения разрешений RBAC или Active Directory.

• Выбранная модель разрешений будет применена ко всем серверам Exchange 2010 или более поздних версий в организации.

• Необходимо иметь разрешения на делегирование ролей управления "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.

• Сведения о том, как скачать последнюю версию Exchange на целевом компьютере, см. в разделе Обновления для Exchange Server.

• Чтобы открыть командную консоль Exchange, см. статью Запуск командной консоли Exchange.

Совет

Возникли проблемы? Обратитесь за помощью на форумах Exchange Server.

Переключение из режима разделения разрешений RBAC в режим разрешений общего доступа

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

Чтобы переключиться с разделенных разрешений RBAC на общие разрешения Exchange, необходимо назначить роль создания получателей почты и создание и членство в группе безопасности, в которой также назначена роль Получатели почты и администраторы Exchange в качестве участников. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Настройка разрешений общего доступа

Чтобы настроить общие разрешения в группе ролей "Управление организацией", выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений ролей для роли создания получателя почты и роли создания и членства в группе безопасности.

1. Добавьте в группу ролей Управление организацией назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности" с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   Примечание.

   Группе ролей (в этой процедуре — группа ролей "Администраторы Active Directory"), имеющей назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности", необходимо назначить роль "Управление ролями" для запуска командлета New-ManagementRoleAssignment. Уполномоченный роли, имеющий разрешение на делегирование роли "Управление ролями", должен назначить эту роль группе ролей "Администраторы Active Directory".

2. Добавьте в группы ролей Управление организацией и Управление получателями назначения обычной роли для роли "Создание получателей почты" с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Удаление разрешений, предоставленных администраторам Active Directory (необязательно)

Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Чтобы удалить разрешения, предоставленные администраторам Active Directory, выполните эту процедуру.

Примечание.

Хотя вы можете удалить разрешения для администраторов Active Directory на управление объектами Active Directory с помощью средств управления Exchange, администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если это разрешено их разрешениями Active Directory. Однако они не смогут управлять атрибутами Exchange в объектах Active Directory. Дополнительные сведения см. в разделе Разделение разрешений в Exchange Server.

Чтобы удалить разрешения на разделение, связанные с Exchange, у администраторов Active Directory, выполните следующие действия.

1. Удалите назначения обычной роли и роли делегирования, которые назначают роль "Создание получателей почты" группе ролей или универсальной группе безопасности, членами которой являются администраторы Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет узнать, какие назначения ролей будут удалены. Удалите параметр WhatIf и запустите команду еще раз, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

2. Удалите назначения обычных ролей и ролей делегирования, которые назначают роль создания и членства в группе безопасности группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет узнать, какие назначения ролей будут удалены. Удалите параметр WhatIf и запустите команду еще раз, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

3. Необязательный параметр. Если вы хотите удалить все разрешения Exchange от администраторов Active Directory, вы можете удалить группу ролей или usg, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Управление группами ролей.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.

Переключение из режима разделения разрешений Active Directory в режим разрешений общего доступа

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Разделенные разрешения Active Directory" в разделе Разрешения управления ролями .

Чтобы переключиться с разделенных разрешений Active Directory на общие разрешения Exchange, необходимо повторно запустить программу установки Exchange, чтобы отключить разделенные разрешения Active Directory в организации Exchange, а затем создать назначения ролей между группой ролей и ролью Создания получателя почты и ролью Создание группы безопасности и членство. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Важно!

Команда Setup.exe в этой процедуре вносит изменения в Active Directory. Необходимо использовать учетную запись с разрешениями, требуемыми для выполнения таких изменений. Такая учетная запись может отличаться от учетной записи с разрешениями на создание назначений ролей с помощью командлета New-ManagementRoleAssignment. Используйте такую учетную запись (или записи) с разрешениями, необходимыми для успешного выполнения каждого шага этой процедуры.

Чтобы переключиться с разделенных разрешений Active Directory на общие, выполните следующие действия.

1. На целевом сервере откройте проводник, щелкните правой кнопкой мыши скачанный файл ISO-образа Exchange и выберите Подключить. Обратите внимание на назначенную букву виртуального DVD-диска.

2. Откройте окно командной строки Windows. Например:

   • Нажмите клавиши Windows + R, чтобы открыть диалоговое окно Выполнить, введите cmd.exe и нажмите кнопку ОК.

   • Нажмите кнопку Пуск. В поле Поиск введите командная строка, а затем в списке результатов выберите Командная строка.

3. В окне командной строки выполните следующую команду:

Примечание.

• Предыдущий параметр /IAcceptExchangeServerLicenseTerms не будет работать, начиная с Exchange Server 2016 и Exchange Server 2019 за сентябрь 2021 Обновления г. Теперь необходимо использовать /IAcceptExchangeServerLicenseTerms_DiagnosticDataON или /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF для автоматической установки и установки по сценариям.

• В примерах ниже используется переключатель /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Вы можете изменить переключатель на /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false

4. В командной консоли Exchange выполните следующие команды, чтобы добавить регулярные назначения ролей между ролью создания получателя почты, ролью создания и управления группой безопасности, а также группами ролей "Управление организацией" и "Управление получателями".

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

5. Перезапустите все серверы Exchange в организации.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.