Поделиться через


Общие сведения о разделенных разрешениях

Область применения: Exchange Server 2013 г.

Организации, разделяющие управление объектами Microsoft Exchange Server 2013 года и Active Directory, используют так называемую модель разделенных разрешений. Модель разделения разрешений позволяет организациям назначать определенные разрешения и связанные задачи для определенных групп в пределах организации. Такое разделение обязанностей помогает поддерживать соответствие стандартам и объемы рабочих процессов, а также управлять изменениями в организации.

Наивысший уровень разделенных разрешений — это разделение управления Exchange и управления Active Directory. Во многих организациях есть две группы: администраторы, управляющие инфраструктурой Exchange организации, включая серверы и получатели, и администраторы, управляющие инфраструктурой Active Directory. Это важное разделение для многих организаций, так как инфраструктура Active Directory часто охватывает множество расположений, доменов, служб, приложений и даже лесов Active Directory. Администраторы Active Directory должны следить за тем, чтобы изменения, внесенные в Active Directory, не оказывали негативного влияния на другие службы. В результате, как правило, только небольшая группа администраторов может управлять этой инфраструктурой.

В то же время инфраструктура для Exchange, включая серверы и получателей, также может быть сложной и требовать специальных знаний. Кроме того, Exchange хранит крайне конфиденциальную информацию о бизнесе организации. Администраторы Exchange потенциально могут получить доступ к этим сведениям. Ограничивая количество администраторов Exchange, организация ограничивает круг лиц, которые могут вносить изменения в конфигурацию Exchange и доступ к конфиденциальным сведениям.

Разделенные разрешения обычно различаются между созданием субъектов безопасности в Active Directory, таких как пользователи и группы безопасности, и последующей настройкой этих объектов. Это помогает снизить вероятность несанкционированного доступа к сети, контролируя, кто может создавать объекты, предоставляющие доступ к ней. Чаще всего только администраторы Active Directory могут создавать субъекты безопасности, в то время как другие администраторы, например администраторы Exchange, могут управлять определенными атрибутами существующих объектов Active Directory.

Для поддержки различных потребностей в разделении управления Exchange и Active Directory Exchange 2013 позволяет выбрать, нужна ли модель общих разрешений или модель разделенных разрешений. Exchange 2013 предлагает два типа моделей разделенных разрешений: RBAC и Active Directory. В Exchange 2013 по умолчанию используется модель общих разрешений.

Объяснение контроль доступа на основе ролей и Active Directory

Чтобы понять разделенные разрешения, необходимо понять, как модель разрешений на основе ролей контроль доступа (RBAC) в Exchange 2013 работает с Active Directory. Модель RBAC определяет, кто может выполнять какие действия и на каких объектах могут выполняться эти действия. Дополнительные сведения о различных компонентах RBAC, которые рассматриваются в этом разделе, см. в статье Общие сведения о контроль доступа на основе ролей.

В Exchange 2013 все задачи, выполняемые с объектами Exchange, должны выполняться с помощью командной консоли Exchange или интерфейса Центра администрирования Exchange (EAC). Оба этих средства управления используют RBAC для авторизации всех выполняемых задач.

RBAC — это компонент, который существует на каждом сервере Под управлением Exchange 2013. RBAC проверяет, авторизован ли пользователь, выполняющий действие, на это:

  • Если пользователь не авторизован на выполнение действия, RBAC не разрешает выполнение действия.

  • Если пользователь авторизован на выполнение действия, RBAC проверяет, авторизован ли пользователь на выполнение действия в отношении конкретного запрашиваемого объекта:

    • Если пользователь авторизован, RBAC позволяет продолжить действие.

    • Если пользователь не авторизован, RBAC не позволяет продолжить действие.

Если RBAC позволяет продолжить действие, действие выполняется в контексте доверенной подсистемы Exchange, а не в контексте пользователя. Доверенная подсистема Exchange — это универсальная группа безопасности с высоким уровнем привилегий( USG), которая имеет доступ на чтение и запись к каждому связанному с Exchange объекту в организации Exchange. Кроме того, он входит в локальную группу безопасности "Администраторы" и группу usG разрешений Windows для Exchange, которая позволяет Exchange создавать объекты Active Directory и управлять ими.

Предупреждение

Не изменяйте членство в группе безопасности доверенной подсистемы Exchange вручную. Кроме того, не добавляйте и не удаляйте его из списков управления доступом к объектам (ACL). Самостоятельно внося изменения в usG доверенной подсистемы Exchange, вы можете нанести непоправимый ущерб вашей организации Exchange.

Важно понимать, что не имеет значения, какие разрешения Active Directory имеются у пользователя при использовании средств управления Exchange. Если пользователь авторизован через RBAC для выполнения действия в средствах управления Exchange, он может выполнить это действие независимо от его разрешений Active Directory. И наоборот, если пользователь является корпоративным Администратор в Active Directory, но не имеет прав на выполнение действия, например создание почтового ящика, в средствах управления Exchange действие не будет выполнено, так как у пользователя нет необходимых разрешений в соответствии с RBAC.

Важно!

Хотя модель разрешений RBAC не применяется к средству управления Пользователи и компьютеры Active Directory, Пользователи и компьютеры Active Directory не может управлять конфигурацией Exchange. Таким образом, хотя пользователь может иметь доступ к изменению некоторых атрибутов объектов Active Directory, таких как отображаемое имя пользователя, он должен использовать средства управления Exchange и, следовательно, должен быть авторизован RBAC для управления атрибутами Exchange.

общими разрешениями;

Модель общих разрешений является моделью по умолчанию для Exchange 2013. Вам не нужно ничего изменять, если это модель разрешений, которую вы хотите использовать. Эта модель не отделяет управление объектами Exchange и Active Directory от средств управления Exchange. Она позволяет администраторам, использующим средства управления Exchange, создавать субъекты безопасности в Active Directory.

В следующей таблице показаны роли, позволяющие создавать участников безопасности в Exchange, и группы ролей управления, которым они назначены по умолчанию.

Роль управления Группа ролей
Роль создания получателя электронной почты Управление организацией

Управление получателями

Роль создания и членства в группе безопасности Управление организацией

Только группы ролей, пользователи или группы usG, которым назначена роль Создания получателей почты, могут создавать субъекты безопасности, такие как пользователи Active Directory. По умолчанию эта роль назначается группам ролей "Управление организацией" и "Управление получателями". Поэтому члены этих групп ролей могут создавать субъекты безопасности.

Создавать группы безопасности или управлять их членством могут только группы ролей, пользователи или группы безопасности, которым назначена роль создания группы безопасности и членства. По умолчанию эта роль назначается только группе ролей Управление организацией. Таким образом, только члены группы ролей "Управление организацией" могут создавать группы безопасности или управлять ими.

Вы можете назначить роль создания получателя почты и роль создания и членства в группе безопасности другим группам ролей, пользователям или группам безопасности, если вы хотите, чтобы другие пользователи могли создавать субъекты безопасности.

Чтобы включить управление существующими субъектами безопасности в Exchange 2013, роль Получатели почты по умолчанию назначается группам ролей "Управление организацией" и "Управление получателями". Только группы ролей, пользователи или группы безопасности, которым назначена роль Получатели почты, могут управлять существующими субъектами безопасности. Если вы хотите, чтобы другие группы ролей, пользователи или группы безопасности могли управлять существующими субъектами безопасности, необходимо назначить им роль Получатели почты.

Дополнительные сведения о добавлении ролей в группы ролей, пользователей или группы безопасности см. в следующих разделах:

Если вы перешли на модель разделенных разрешений и хотите вернуться к модели общих разрешений, см. статью Настройка Exchange 2013 для общих разрешений.

Разделение разрешений

Если ваша организация разделяет управление Exchange и управление Active Directory, необходимо настроить Exchange для поддержки модели разделенных разрешений. При правильной настройке это смогут сделать только администраторы, которым требуется создать субъекты безопасности, например администраторы Active Directory, и только администраторы Exchange смогут изменять атрибуты Exchange для существующих субъектов безопасности. Это разделение разрешений также происходит примерно в соответствии с разделами домена и конфигурации в Active Directory. Секции также называют контекстами именования. В разделе домена хранятся пользователи, группы и другие объекты для определенного домена. В разделе конфигурации хранятся сведения о конфигурации на уровне леса для служб, которые использовали Active Directory, таких как Exchange. Данные, хранящиеся в разделе домена, обычно управляются администраторами Active Directory, хотя объекты могут содержать атрибуты Exchange, которыми могут управлять администраторы Exchange. Данные, хранящиеся в секции конфигурации, управляются администраторами каждой соответствующей службы, которая хранит данные в этом разделе. Для Exchange это обычно администраторы Exchange.

Exchange 2013 поддерживает два следующих типа разрешений на разделение:

  • Разрешения на разделение RBAC. Разрешения на создание субъектов безопасности в разделе домена Active Directory управляются RBAC. Только серверы Exchange, службы и члены соответствующих групп ролей могут создавать субъекты безопасности.

  • Разделенные разрешения Active Directory. Разрешения на создание субъектов безопасности в разделе домена Active Directory полностью удаляются у любого пользователя, службы или сервера Exchange. В модели RBAC отсутствует возможность создания участников безопасности. Эта процедура должна выполняться в службе Active Directory с помощью средств управления Active Directory.

    Важно!

    Хотя разделенные разрешения Active Directory можно включить или отключить, запустив программу установки на компьютере с установленным Exchange 2013, конфигурация разделенных разрешений Active Directory применяется к серверам Exchange 2013 и Exchange 2010. Однако это не влияет на серверы Microsoft Exchange Server 2007.

Если ваша организация решает использовать модель разделенных разрешений вместо общих разрешений, рекомендуется использовать модель разделенных разрешений RBAC. Модель разделенных разрешений RBAC обеспечивает значительно большую гибкость, обеспечивая почти то же разделение администрирования, что и разрешения active Directory, за исключением того, что серверы и службы Exchange могут создавать субъекты безопасности в модели разделенных разрешений RBAC.

Вам будет предложено включить разделенные разрешения Active Directory во время установки. Если вы решили включить разделенные разрешения Active Directory, можно изменить только общие разрешения или разрешения RBAC, повторно запустив программу установки и отключив разделенные разрешения Active Directory. Этот вариант применяется ко всем серверам Exchange 2010 и Exchange 2013 в организации.

В следующих разделах более подробно описаны разделенные разрешения RBAC и Active Directory.

Разделенные разрешения RBAC

Модель безопасности RBAC изменяет назначения ролей управления по умолчанию, чтобы отделить пользователей, которые могут создавать субъекты безопасности в разделе домена Active Directory, от тех, кто администрирует данные организации Exchange в разделе конфигурации Active Directory. Субъекты безопасности, такие как пользователи с почтовыми ящиками и группами рассылки, могут быть созданы администраторами, которые являются участниками ролей "Создание получателей почты" или "Создание групп безопасности и членство". Эти разрешения остаются отдельными от разрешений, необходимых для создания субъектов безопасности вне средств управления Exchange. Администраторы Exchange, которым не назначены роли "Создание получателей почты" или "Создание групп безопасности и членство", по-прежнему могут изменять атрибуты, связанные с Exchange, в субъектах безопасности. Администраторы Active Directory также могут использовать инструменты управления Exchange для создания участников безопасности Active Directory.

Серверы Exchange и доверенная подсистема Exchange также имеют разрешения на создание субъектов безопасности в Active Directory от имени пользователей и сторонних программ, которые интегрируются с RBAC.

Разделенные разрешения RBAC — это хороший выбор для вашей организации, если верно следующее:

  • Ваша организация не требует, чтобы создание субъекта безопасности выполнялось только с помощью средств управления Active Directory и только пользователями, которым назначены определенные разрешения Active Directory.

  • Ваша организация позволяет службам, таким как серверы Exchange Server, создавать субъекты безопасности.

  • Вы хотите упростить процесс, необходимый для создания почтовых ящиков, пользователей с поддержкой почты, групп рассылки и групп ролей, разрешив их создание из средств управления Exchange.

  • Вы хотите управлять членством в группах рассылки и группах ролей в средствах управления Exchange.

  • У вас есть сторонние программы, которые требуют, чтобы серверы Exchange могли создавать субъекты безопасности от их имени.

Если вашей организации требуется полное разделение администрирования Exchange и Active Directory, когда администрирование Active Directory не может быть выполнено с помощью средств управления Exchange или служб Exchange, см. раздел Разделенные разрешения Active Directory далее в этом разделе.

Переключение с общих разрешений на разделенные разрешения RBAC выполняется вручную, когда вы удаляете разрешения, необходимые для создания субъектов безопасности, из групп ролей, которым они предоставляются по умолчанию.

В следующей таблице показаны роли, позволяющие создавать участников безопасности в Exchange, и группы ролей управления, которым они назначены по умолчанию.

Роль управления Группа ролей
Роль создания получателя электронной почты Управление организацией

Управление получателями

Роль создания и членства в группе безопасности Управление организацией

По умолчанию участники групп ролей "Управление организацией" и "Управление получателями" могут создавать субъекты безопасности. Необходимо передать возможность создания субъектов безопасности из встроенных групп ролей в новую созданную группу ролей.

Чтобы настроить разделенные разрешения RBAC, необходимо выполнить следующие действия.

  1. Отключите разделение разрешений Active Directory, если оно включено.

  2. Создайте группу ролей, которая будет содержать администраторов Active Directory, которые смогут создавать субъекты безопасности.

  3. Создайте регулярные и делегирующие назначения ролей между ролью создания получателя почты и новой группой ролей.

  4. Создайте регулярные и делегирующие назначения ролей между ролью создания и членства в группе безопасности и новой группой ролей.

  5. Удалите обычные и делегирующие назначения ролей управления между ролью "Создание получателя почты" и группами ролей "Управление организацией" и "Управление получателями".

  6. Удалите обычные и делегирующие назначения ролей между ролью "Создание группы безопасности и членство" и группой ролей "Управление организацией".

После этого только члены создаваемой группы ролей смогут создавать субъекты безопасности, например почтовые ящики. Новая группа сможет только создавать объекты. Он не сможет настроить атрибуты Exchange для нового объекта. Администратору Active Directory, который является членом новой группы, потребуется создать объект, а затем администратору Exchange потребуется настроить атрибуты Exchange для объекта . Администраторы Exchange не смогут использовать следующие командлеты:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Однако администраторы Exchange смогут создавать объекты Exchange и управлять ими, такими как правила транспорта, группы рассылки и т. д., а также управлять атрибутами, связанными с Exchange, для любого объекта.

Кроме того, связанные функции в EAC и Outlook Web App, такие как мастер создания почтовых ящиков, также больше не будут доступны или при попытке их использовать будет возникать ошибка.

Если вы хотите, чтобы новая группа ролей также могла управлять атрибутами Exchange для нового объекта, роль Получатели почты также должна быть назначена новой группе ролей.

Дополнительные сведения о настройке модели разделенных разрешений см. в разделе Настройка Exchange 2013 для разделенных разрешений.

Разделенные разрешения Active Directory

При разделенных разрешениях Active Directory создание участников безопасности в разделе домена Active Directory, например почтовых ящиков и групп рассылки, должно выполняться с помощью инструментов управления Active Directory. Несколько изменений внесены в разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange для ограничения действий администраторов и серверов Exchange. При включении разделенных разрешений Active Directory происходят следующие изменения в функциональности:

  • Создание почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и других субъектов безопасности удаляется из инструментов управления Exchange.

  • Добавление и удаление членов группы рассылки невозможно с помощью инструментов управления Exchange.

  • Все разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange для создания субъектов безопасности, удаляются.

  • Серверы Exchange и средства управления Exchange могут изменять только атрибуты Exchange существующих участников безопасности в Active Directory.

Например, чтобы создать почтовый ящик с включенным разделением разрешений Active Directory, сначала необходимо создать пользователя с помощью средств Active Directory пользователем с необходимыми разрешениями Active Directory. Затем пользователь может включить почтовый ящик с помощью средств управления Exchange. Только атрибуты почтового ящика, связанные с Exchange, могут быть изменены администраторами Exchange с помощью инструментов управления Exchange.

Разделение разрешений Active Directory — хороший выбор для вашей организации, если верно следующее:

  • Ваша организация требует, чтобы субъекты безопасности создавались только с помощью средств управления Active Directory или только пользователями, которым предоставлены определенные разрешения в Active Directory.

  • Вы хотите полностью отделить возможность создания субъектов безопасности от тех, кто управляет организацией Exchange.

  • Вы хотите выполнить все управление группами рассылки, включая создание групп рассылки, а также добавление и удаление членов этих групп с помощью средств управления Active Directory.

  • Вы не хотите, чтобы серверы Exchange или сторонние программы, использующие Exchange от их имени, создавали субъекты безопасности.

Важно!

Переключение на разделенные разрешения Active Directory — это выбор, который можно сделать при установке Exchange 2013 с помощью мастера установки или с помощью параметра ActiveDirectorySplitPermissions при запуске setup.exe из командной строки. Вы также можете включить или отключить разделенные разрешения Active Directory после установки Exchange 2013 путем повторного запуска setup.exe из командной строки.

Чтобы включить разделенные разрешения Active Directory, задайте для параметра ActiveDirectorySplitPermissions значение true. Чтобы отключить его, задайте для него значение false. Необходимо всегда указывать параметр PrepareAD вместе с параметром ActiveDirectorySplitPermissions .

Если в одном лесу несколько доменов, необходимо также указать параметр PrepareAllDomains при применении разделенных разрешений Active Directory или запустить программу установки с параметром PrepareDomain в каждом домене. Если вы решили запустить настройку с помощью параметра PrepareDomain в каждом домене, а не использовать параметр PrepareAllDomains , необходимо подготовить каждый домен, содержащий серверы Exchange Server, объекты с поддержкой почты или серверы глобального каталога, к которым может получить доступ сервер Exchange Server.

Вы не можете включить разделенные разрешения Active Directory, если на контроллере домена установлен Exchange 2010 или Exchange 2013.

После включения или отключения разделенных разрешений Active Directory рекомендуется перезапустить серверы Exchange 2010 и Exchange 2013 в организации, чтобы заставить их забрать новый маркер доступа Active Directory с обновленными разрешениями.

Exchange 2013 обеспечивает разделение разрешений Active Directory путем удаления разрешений и членства из группы безопасности Разрешений Windows Exchange. Этой группе безопасности в общих разрешениях и разделенных разрешениях RBAC предоставляются разрешения для многих объектов и атрибутов, не относящихся к Exchange, в Active Directory. Удалив разрешения и членство в этой группе безопасности, администраторы и службы Exchange не могут создавать или изменять эти объекты Active Directory, отличные от Exchange.

Список изменений, которые происходят в группе безопасности Разрешений Windows Exchange и других компонентах Exchange при включении или отключении разделенных разрешений Active Directory, см. в следующей таблице.

Примечание.

Назначения ролей группам ролей, которые позволяют администраторам Exchange создавать субъекты безопасности, удаляются при включении разделенных разрешений Active Directory. Это делается для того, чтобы удалить доступ к командлетам, которые в противном случае при их выполнении вызовут ошибку, так как у них нет разрешений на создание связанного объекта Active Directory.

Изменения разрешений для разделения Active Directory

Действие Изменения, внесенные Exchange
Включение разделенных разрешений Active Directory во время первой установки сервера Exchange 2013 При включении разделенных разрешений Active Directory с помощью мастера установки или запуска setup.exe с параметрами и /ActiveDirectorySplitPermissions:true происходит следующее/PrepareAD:
  • Создается подразделение с именем Защищенные группы Microsoft Exchange .
  • Группа безопасности Разрешений Exchange Windows создается в подразделении защищенных групп Microsoft Exchange .
  • Группа безопасности доверенной подсистемы Exchange не добавляется в группу безопасности Разрешений Windows Exchange .
  • Создание не делегированных назначений ролей управления ролям управления со следующими типами ролей управления пропускается:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Записи управления доступом (ACE), которые были бы назначены группе безопасности Разрешений Windows Exchange , не добавляются в объект домена Active Directory.

При запуске установки с помощью параметра PrepareAllDomains или PrepareDomain в каждом подготовленном дочернем домене происходит следующее:

  • Все ACE, назначенные группе безопасности Разрешения Windows Exchange , удаляются из объекта домена.
  • ACE задаются в каждом домене, за исключением всех ACE, назначенных группе безопасности Разрешений Windows Exchange .
Переключение с общих разрешений или разделенных разрешений RBAC на разрешения Active Directory При выполнении setup.exe команды с параметрами и /ActiveDirectorySplitPermissions:true происходит следующее/PrepareAD:
  • Создается подразделение с именем Защищенные группы Microsoft Exchange .
  • Группа безопасности "Разрешения Exchange Windows" перемещается в подразделение защищенных групп Microsoft Exchange .
  • Группа безопасности доверенной подсистемы Exchange удаляется из группы безопасности Разрешения Windows Exchange .
  • Удаляются все назначения ролей, не делегирующие роли управления со следующими типами ролей:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Все ACE, назначенные группе безопасности Разрешения Windows Exchange , удаляются из объекта домена.

При запуске установки с помощью параметра PrepareAllDomains или PrepareDomain в каждом подготовленном дочернем домене происходит следующее:

  • Все ACE, назначенные группе безопасности Разрешения Windows Exchange , удаляются из объекта домена.
  • ACE задаются в каждом домене, за исключением всех ACE, назначенных группе безопасности Разрешений Windows Exchange .
Переключение с разделенных разрешений Active Directory на общие или разделенные разрешения RBAC При выполнении setup.exe команды с параметрами и /ActiveDirectorySplitPermissions:false происходит следующее/PrepareAD:
  • Группа безопасности "Разрешения Exchange Windows" перемещается в подразделение групп безопасности Microsoft Exchange .
  • Подразделение защищенных групп Microsoft Exchange удаляется.
  • Группа безопасности доверенных подсистем Exchange добавляется в группу безопасности Разрешения Exchange Windows .
  • ACE добавляются в объект домена для группы безопасности Разрешений Windows Exchange .

При запуске установки с помощью параметра PrepareAllDomains или PrepareDomain в каждом подготовленном дочернем домене происходит следующее:

  • ACE добавляются в объект домена для группы безопасности Разрешений Windows Exchange .
  • ACE задаются в каждом домене, включая ACE, назначенные группе безопасности Разрешений Windows Exchange .

Назначения ролей для ролей создания получателя почты и создания группы безопасности и членства не создаются автоматически при переключении с разделения Active Directory на общие разрешения. Если делегирование назначений ролей было настроено до включения разделенных разрешений Active Directory, эти настройки остаются без изменений. Сведения о создании назначений ролей между этими ролями и группой ролей Управление организацией см. в статье Настройка Exchange 2013 для общих разрешений.

После включения разделенных разрешений Active Directory станут недоступны следующие командлеты:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

После включения разделенных разрешений Active Directory доступны следующие командлеты, но их нельзя использовать для создания групп рассылки или изменения членства в группах рассылки:

  • Добавить DistributionGroupMember
  • Новая DistributionGroup
  • Удалить DistributionGroup
  • Удалить DistributionGroupMember
  • Обновить DistributionGroupMember

Некоторые командлеты, хотя они по-прежнему доступны, могут предоставлять только ограниченные функциональные возможности при использовании с разделенными разрешениями Active Directory. Это связано с тем, что они могут позволить настроить объекты получателей, которые находятся в домене раздела Active Directory, и объекты конфигурации Exchange, которые находятся в разделе конфигурации Active Directory. Они также могут позволить настроить атрибуты, связанные с Exchange, для объектов, хранящихся в разделе домена. Попытки использовать командлеты для создания объектов или изменения атрибутов, не связанных с Exchange, в объектах в разделе домена приведут к ошибке. Например, командлет Add-ADPermission вернет ошибку при попытке добавить разрешения в почтовый ящик. Однако командлет Add-ADPermission будет выполнен успешно, если вы настроите разрешения для соединителя получения. Это связано с тем, что почтовый ящик хранится в разделе домена, а соединители получения — в разделе конфигурации.

Кроме того, связанные функции в Центре администрирования Exchange и Outlook Web App, такие как мастер создания почтовых ящиков, также больше не будут доступны или при попытке их использования вы получите ошибку.

Однако администраторы Exchange смогут создавать объекты, относящиеся к Exchange, такие как правила транспорта и т. д., и управлять ими.

Дополнительные сведения о настройке модели разделенных разрешений Active Directory см. в разделе Настройка Exchange 2013 для разделенных разрешений.