Настройка Exchange Server для разделения разрешений

Разделенные разрешения позволяют двум отдельным группам, таким как администраторы Active Directory и администраторы Exchange, управлять соответствующими службами, объектами и атрибутами. Администраторы Active Directory управляют участниками безопасности, например пользователями, которые предоставляют разрешения на доступ к лесу Active Directory. Администраторы Exchange управляют связанными с Exchange атрибутами объектов Active Directory, а также отвечают за создание и контроль объектов, относящихся к Exchange.

Exchange Server 2016 и Exchange Server 2019 годах предлагают следующие типы моделей разделенных разрешений:

• Разрешения на разделение RBAC. Разрешения на создание субъектов безопасности в разделе домена Active Directory управляются контроль доступа на основе ролей (RBAC). Только члены соответствующих групп ролей могут создавать участников безопасности.

• Разделенные разрешения Active Directory. Разрешения на создание субъектов безопасности в разделе домена Active Directory полностью удаляются у любого пользователя, службы или сервера Exchange. В модели RBAC отсутствует возможность создания участников безопасности. Эта процедура должна выполняться в службе Active Directory с помощью средств управления Active Directory.

Выбор модели зависит от структуры и потребностей организации. Выберите процедуру, применимую к модели, которую необходимо настроить. Рекомендуется использовать модель разделения разрешений RBAC. Модель разделения разрешений RBAC обеспечивает значительно большую гибкость при сохранении почти такого же разделения администрирования, как при разделении разрешений Active Directory.

Дополнительные сведения о общих и разделенных разрешениях см. в разделе Разделение разрешений в Exchange Server.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

• Общие сведения об управлении доступом на основе ролей
• Общие сведения о группах ролей управления
• Общие сведения о ролях управления
• Общие сведения о назначениях ролей управления

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: 5 минут

• Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Разделенные разрешения Active Directory" в разделе Разрешения управления ролями .

• Выбранная модель разрешений будет применена ко всем серверам Exchange 2010 или более поздних версий в организации.

• Сведения о том, как скачать последнюю версию Exchange, см. в разделе Обновления для Exchange Server.

• Чтобы открыть командную консоль Exchange, см. статью Запуск командной консоли Exchange.

Совет

Возникли проблемы? Обратитесь за помощью на форумах Exchange Server.

Переключение на разделение разрешений RBAC

После перехода на разделенные разрешения RBAC только администраторы Active Directory смогут создавать субъекты безопасности Active Directory. Это означает, что администраторы Exchange не смогут использовать следующие командлеты:

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

Администраторы Exchange смогут управлять атрибутами Exchange только в существующих субъектах безопасности Active Directory. Однако они смогут создавать и управлять объектами, зависящими от Exchange, такими как правила потока обработки почты (также известные как правила транспорта) и группы рассылки. Дополнительные сведения см. в разделе "Разделенные разрешения RBAC" статьи Разделение разрешений в Exchange Server.

Чтобы настроить Exchange для разделения разрешений, необходимо назначить роль создания получателя почты и роль создания группы безопасности и членства в группе ролей, содержащей членов, являющихся администраторами Active Directory. После этого необходимо удалить назначения между этими ролями и любой группой ролей или универсальной группой безопасности (USG), содержащей администраторов Exchange.

Чтобы настроить разделенные разрешения RBAC, сделайте следующее:

1. Если в настоящее время в вашей организации настроены разделенные разрешения Active Directory, выполните следующие действия.

   1. На целевом сервере откройте проводник, щелкните правой кнопкой мыши файл ISO-образа Exchange и выберите Подключить. Обратите внимание на назначенную букву виртуального DVD-диска.

   2. Откройте окно командной строки Windows. Например:

      • Нажмите клавиши Windows + R, чтобы открыть диалоговое окно Выполнить, введите cmd.exe и нажмите кнопку ОК.
      • Нажмите кнопку Пуск. В поле Поиск введите командная строка, а затем в списке результатов выберите Командная строка.

   3. В окне командной строки выполните следующую команду, чтобы отключить разделенные разрешения Active Directory:

      Примечание.

      • Предыдущий параметр /IAcceptExchangeServerLicenseTerms не будет работать, начиная с Exchange Server 2016 и Exchange Server 2019 за сентябрь 2021 Обновления г. Теперь необходимо использовать /IAcceptExchangeServerLicenseTerms_DiagnosticDataON или /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF для автоматической установки и установки по сценариям.

      • В примерах ниже используется переключатель /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Вы можете изменить переключатель на /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. Перезапустите все серверы Exchange в организации или дождитесь репликации маркера доступа Active Directory на все серверы Exchange.

2. В командной консоли Exchange выполните следующие действия.

   1. Создайте группу ролей для администраторов Active Directory. Кроме создания группы ролей, команда создает стандартные назначения ролей между новой группой ролей и ролью создания получателей почты, а также ролью создания и участия в группе безопасности.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Примечание.

      Если требуется, чтобы члены этой группы ролей могли создавать назначения ролей, включите роль управления ролями. Нет необходимости добавлять эту роль сейчас. Тем не менее, если в какой-либо момент потребуется назначить роль создания получателей почты (Mail Recipient Creation) или роль создания и участия в группе безопасности (Security Group Creation and Membership) другим уполномоченным ролей, то роль управления ролями должна быть назначена этой новой группе ролей. Ниже приводится процедура настройки группы ролей администраторов Active Directory в качестве единственной группы ролей, которая может делегировать эти роли.

   2. Создайте делегированные назначения ролей между новой группой ролей и ролью создания получателя почты и ролью создания группы безопасности и членства, выполнив следующие команды:

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. Добавьте участников в новую группу ролей, выполнив следующую команду:

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. Замените список делегатов в новой группе ролей, чтобы только члены группы ролей могли добавлять или удалять участников, выполнив следующую команду:

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Важно!

      Члены группы ролей Управление организацией, а также те, которым назначена роль управления ролями напрямую или через другую группу ролей либо универсальную группу безопасности, могут пропускать проверку безопасности делегатов. Чтобы запретить администратору Exchange добавлять себя в новую группу ролей, необходимо удалить назначение роли между ролью управления ролями и любым администратором Exchange, а затем назначить ее другой группе.

   5. Найдите все обычные и делегированные назначения ролей роли создания получателя почты, выполнив следующую команду:

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. Удалите все обычные и делегированные назначения ролей роли создания получателя почты, которые не связаны с новой группой ролей или другими группами ролей, группами usg или прямыми назначениями, которые вы хотите сохранить, выполнив следующую команду.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Примечание.

      Если требуется удалить все назначения обычной роли и роли делегирования для роли создания получателей почты (Mail Recipient Creation) по отношению к уполномоченному роли, не связанному с группой ролей администраторов Active Directory, используйте следующую команду. Параметр WhatIf позволяет узнать, какие назначения ролей будут удалены. Удалите параметр WhatIf и запустите команду еще раз, чтобы удалить назначения ролей.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. Найдите все обычные и делегированные назначения ролей роли создания группы безопасности и членства, выполнив следующую команду.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. Удалите все обычные и делегированные назначения ролей роли создания и членства в группе безопасности, которые не связаны с новой группой ролей или другими группами ролей, группами usg или прямыми назначениями, которые вы хотите сохранить, выполнив следующую команду:

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Примечание.

      Такую же команду из предыдущего замечания можно использовать с целью удаления всех назначений стандартных ролей и ролей делегирования для роли создания и участия в группе безопасности по отношению к любому уполномоченному роли, не связанному с группой ролей администраторов Active Directory, как показано в этом примере.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

Переключение на разделение разрешений Active Directory

Вы можете настроить организацию Exchange для разделения разрешений Active Directory. При разделении разрешений Active Directory полностью удаляются разрешения, которые позволяют администраторам и серверам Exchange создавать участников безопасности в службе Active Directory или изменять не связанные с системой Exchange атрибуты этих объектов. После завершения настройки только администраторы Active Directory смогут создавать участников безопасности Active Directory. Это означает, что администраторы Exchange не смогут использовать следующие командлеты:

• Добавить DistributionGroupMember
• Новая DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Удалить DistributionGroup
• Удалить DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Обновить DistributionGroupMember

Администраторы и серверы Exchange будут управлять только атрибутами Exchange для существующих участников безопасности Active Directory. Однако они смогут создавать объекты, связанные с Exchange, например правила транспорта и абонентские группы единой системы обмена сообщениями, а также управлять этими объектами.

Предупреждение

После включения разделенных разрешений Active Directory администраторы и серверы Exchange больше не смогут создавать субъекты безопасности в Active Directory и не смогут управлять членством в группах рассылки. Эти задачи должны выполняться с помощью средств управления Active Directory с необходимыми разрешениями Active Directory. Прежде чем вносить это изменение, следует понять, какое влияние оно окажет на процессы администрирования и сторонние приложения, которые интегрируются с Exchange и моделью разрешений RBAC.

Дополнительные сведения см. в разделе "Разделенные разрешения Active Directory" статьи Разделение разрешений в Exchange Server.

Чтобы переключиться с общих разрешений или разрешений RBAC на разрешения Active Directory, сделайте следующее:

1. На целевом сервере откройте проводник, щелкните правой кнопкой мыши файл ISO-образа Exchange и выберите Подключить. Обратите внимание на назначенную букву виртуального DVD-диска.

2. В окне командной строки Windows выполните следующую команду, чтобы включить разделенные разрешения Active Directory:

   Примечание.

   • Предыдущий параметр /IAcceptExchangeServerLicenseTerms не будет работать, начиная с Exchange Server 2016 и Exchange Server 2019 за сентябрь 2021 Обновления г. Теперь необходимо использовать /IAcceptExchangeServerLicenseTerms_DiagnosticDataON или /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF для автоматической установки и установки по сценариям.

   • В примерах ниже используется переключатель /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Вы можете изменить переключатель на /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. Если в вашей организации несколько доменов Active Directory, необходимо либо запускать Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain в каждом дочернем домене, содержающем серверы Или объекты Exchange Server, либо с Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains сайта с сервером Active Directory из каждого домена.

4. Перезапустите все серверы Exchange в организации или дождитесь репликации маркера доступа Active Directory на все серверы Exchange.