Настройка общих разрешений в Exchange 2013

Область применения: Exchange Server 2013 г.

Разрешения общего доступа позволяют администратору Microsoft Exchange Server 2013 создавать участников безопасности Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.

Можно настроить разрешения общего доступа в организации Exchange 2013, если в ней предварительно настроено разделение разрешений. Процедура переключения на использование разрешений общего доступа различается в зависимости от того, используется ли в текущий момент разделение разрешений управления доступом на основе ролей (RBAC) или разделение разрешений Active Directory. Выберите одну из следующих процедур, которая соответствует текущей конфигурации. При соблюдении следующих условий организация использует разделение разрешений Active Directory.

• Существует подразделение защищенных групп Microsoft Exchange.

• Группа безопасности Разрешений Exchange Windows находится в подразделении защищенных групп Microsoft Exchange.

• Группа безопасности доверенной подсистемы Exchange входит в группу безопасности Разрешений Exchange Windows.

• Отсутствуют назначения обычной роли управления для роли создания получателей почты или роли создания и членства в группе безопасности.

Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2013 по умолчанию.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

• Общие сведения об управлении доступом на основе ролей

• Общие сведения о группах ролей управления

• Общие сведения о ролях управления

• Общие сведения о назначениях ролей управления

Ищете другие задачи управления, связанные с разрешениями? Ознакомьтесь с дополнительными разрешениями.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: 5 минут

• Для процедур, описанных в этом разделе, требуются определенные разрешения. Сведения о разрешениях см. в каждой процедуре.

• Используйте Windows PowerShell, командную строку Windows или оба средства, чтобы выполнить эти процедуры. Дополнительные сведения см. в каждой процедуре.

• В организации Exchange 2013 в настоящее время необходимо настроить разделение разрешений RBAC или Active Directory.

• Если в организации присутствуют серверы Microsoft Exchange Server 2010, выбранная модель разрешений будет также применена и к этим серверам.

• Необходимо иметь разрешения на делегирование ролей управления "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.

• Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Переключение из режима разделения разрешений RBAC в режим разрешений общего доступа

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Группы ролей" в разделе Разрешения для управления ролями .

Чтобы переключиться из режима разделения разрешений RBAC в режим разрешений общего доступа Exchange 2013, необходимо назначить роли "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей, которой также назначена роль получателей почты и членами которой являются администраторы Exchange 2013. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Настройка разрешений общего доступа

Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.

1. Добавьте в группу ролей Управление организацией назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности" с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   Примечание.

   Группе ролей (в этой процедуре — группа ролей "Администраторы Active Directory"), имеющей назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности", необходимо назначить роль "Управление ролями" для запуска командлета New-ManagementRoleAssignment. Уполномоченный роли, имеющий разрешение на делегирование роли "Управление ролями", должен назначить эту роль группе ролей "Администраторы Active Directory".

2. Добавьте в группы ролей Управление организацией и Управление получателями назначения обычной роли для роли "Создание получателей почты" с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.

   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Удаление разрешений, предоставленных администраторам Active Directory (необязательно)

Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Чтобы удалить разрешения, предоставленные администраторам Active Directory, выполните эту процедуру.

Примечание.

Хотя вы можете удалить разрешения для администраторов Active Directory на управление объектами Active Directory с помощью средств управления Exchange, администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если это разрешено их разрешениями Active Directory. Однако они не смогут управлять атрибутами Exchange в объектах Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях.

Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Active Directory, выполните следующие действия.

1. Удалите назначения обычной роли и роли делегирования, которые назначают роль "Создание получателей почты" группе ролей или универсальной группе безопасности, членами которой являются администраторы Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет узнать, какие назначения ролей будут удалены. Удалите параметр WhatIf и запустите команду еще раз, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
   

2. Удалите назначения обычных ролей и ролей делегирования, которые назначают роль создания и членства в группе безопасности группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет узнать, какие назначения ролей будут удалены. Удалите параметр WhatIf и запустите команду еще раз, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
   

3. Необязательный параметр. Если вы хотите удалить все разрешения Exchange от администраторов Active Directory, вы можете удалить группу ролей или usg, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Управление группами ролей.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.

Переключение из режима разделения разрешений Active Directory в режим разрешений общего доступа

Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Разделенные разрешения Active Directory" в разделе Разрешения управления ролями .

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа Exchange 2013, необходимо повторно запустить программу установки Exchange, чтобы отключить режим разделения разрешений Active Directory в организации Exchange, а затем создать назначения ролей между группой ролей и ролями "Создание получателей почты" и "Создание и членство в группе безопасности". В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Важно!

Команда setup.com в этой процедуре вносит изменения в службу каталогов Active Directory. Необходимо использовать учетную запись с разрешениями, требуемыми для выполнения таких изменений. Такая учетная запись может отличаться от учетной записи с разрешениями на создание назначений ролей с помощью командлета New-ManagementRoleAssignment. Используйте такую учетную запись (или записи) с разрешениями, необходимыми для успешного выполнения каждого шага этой процедуры.

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа, выполните следующие действия.

1. Чтобы выключить разделенные разрешения Active Directory, в командной консоли Windows выполните следующую команду с установочного носителя Exchange 2013.

   setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
   

2. В командной консоли Exchange выполните следующие команды, чтобы добавить назначения обычной роли между ролями "Создание получателей почты" и "Создание и членство в группе безопасности" и группами ролей Управление организацией и Управление получателями.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

3. Перезагрузите серверы Exchange 2013 в организации.

   Примечание.

   Если в организации есть серверы Exchange 2010, их также нужно перезагрузить.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.