Разделенные разрешения в Exchange Server
Организации, разделяющие управление Exchange Server 2016 и Exchange Server объектов 2019 года и Объектов Active Directory, используют так называемую модель разделения разрешений. Модель разделения разрешений позволяет организациям назначать определенные разрешения и связанные задачи для определенных групп в пределах организации. Такое разделение обязанностей помогает поддерживать соответствие стандартам и объемы рабочих процессов, а также управлять изменениями в организации.
Наивысший уровень разделенных разрешений — это разделение управления Exchange и управления Active Directory. Во многих организациях есть две группы: администраторы, управляющие инфраструктурой Exchange организации, включая серверы и получатели, и администраторы, управляющие инфраструктурой Active Directory. Это важное разделение для многих организаций, так как инфраструктура Active Directory часто охватывает множество расположений, доменов, служб, приложений и даже лесов Active Directory. Администраторы Active Directory должны следить за тем, чтобы изменения, внесенные в Active Directory, не оказывали негативного влияния на другие службы. В результате, как правило, только небольшая группа администраторов может управлять этой инфраструктурой.
В то же время инфраструктура для Exchange, включая серверы и получателей, также может быть сложной и требовать специальных знаний. Кроме того, Exchange хранит крайне конфиденциальную информацию о бизнесе организации. Администраторы Exchange потенциально могут получить доступ к этим сведениям. Ограничивая количество администраторов Exchange, организация ограничивает круг лиц, которые могут вносить изменения в конфигурацию Exchange и доступ к конфиденциальным сведениям.
Разделенные разрешения обычно различаются между созданием субъектов безопасности в Active Directory, таких как пользователи и группы безопасности, и последующей настройкой этих объектов. Это помогает снизить вероятность несанкционированного доступа к сети, контролируя, кто может создавать объекты, предоставляющие доступ к ней. Чаще всего только администраторы Active Directory могут создавать субъекты безопасности, в то время как другие администраторы, например администраторы Exchange, могут управлять определенными атрибутами существующих объектов Active Directory.
Чтобы обеспечить поддержку различных потребностей в разделении управления Exchange и Active Directory, Exchange позволяет выбрать модель общих разрешений или модель разделенных разрешений. Exchange предлагает два типа моделей разделенных разрешений: RBAC и Active Directory. Exchange по умолчанию использует модель общих разрешений.
Объяснение контроль доступа на основе ролей и Active Directory
Чтобы понять разделенные разрешения, необходимо понять, как модель разрешений на основе ролей контроль доступа (RBAC) в Exchange работает с Active Directory. Модель RBAC определяет, кто может выполнять какие действия и на каких объектах могут выполняться эти действия. Дополнительные сведения о различных компонентах RBAC, которые рассматриваются в этом разделе, см. в разделе разрешения Exchange Server.
Все задачи, выполняемые с объектами Exchange, должны выполняться с помощью командной консоли Exchange или интерфейса Центра администрирования Exchange (EAC). Оба этих средства управления используют RBAC для авторизации всех выполняемых задач.
RBAC — это компонент, который существует на каждом сервере Exchange Server. RBAC проверяет, авторизован ли пользователь, выполняющий действие, на это:
Если пользователь не авторизован на выполнение действия, RBAC не разрешает выполнение действия.
Если пользователь авторизован на выполнение действия, RBAC проверяет, авторизован ли пользователь на выполнение действия в отношении конкретного запрашиваемого объекта:
Если пользователь авторизован, RBAC позволяет продолжить действие.
Если пользователь не авторизован, RBAC не позволяет продолжить действие.
Если RBAC позволяет продолжить действие, действие выполняется в контексте доверенной подсистемы Exchange, а не в контексте пользователя. Доверенная подсистема Exchange — это универсальная группа безопасности с высоким уровнем привилегий( USG), которая имеет доступ на чтение и запись к каждому связанному с Exchange объекту в организации Exchange. Кроме того, он входит в локальную группу безопасности "Администраторы" и группу usG разрешений Windows для Exchange, которая позволяет Exchange создавать объекты Active Directory и управлять ими.
Предупреждение
Не изменяйте членство в группе безопасности доверенной подсистемы Exchange вручную. Кроме того, не добавляйте и не удаляйте его из списков управления доступом к объектам (ACL). Самостоятельно внося изменения в usG доверенной подсистемы Exchange, вы можете нанести непоправимый ущерб вашей организации Exchange.
Важно понимать, что не имеет значения, какие разрешения Active Directory имеются у пользователя при использовании средств управления Exchange. Если пользователь авторизован через RBAC для выполнения действия в средствах управления Exchange, он может выполнить это действие независимо от его разрешений Active Directory. И наоборот, если пользователь является корпоративным Администратор в Active Directory, но не имеет прав на выполнение действия, например создание почтового ящика, в средствах управления Exchange действие не будет выполнено, так как у пользователя нет необходимых разрешений в соответствии с RBAC.
Важно!
Хотя модель разрешений RBAC не применяется к средству управления Пользователи и компьютеры Active Directory, Пользователи и компьютеры Active Directory не может управлять конфигурацией Exchange. S, хотя пользователь может иметь доступ к изменению некоторых атрибутов объектов Active Directory, таких как отображаемое имя пользователя, он должен использовать средства управления Exchange и, следовательно, должен быть авторизован RBAC для управления атрибутами Exchange.
общими разрешениями;
Модель общих разрешений является моделью по умолчанию для Exchange. Вам не нужно ничего изменять, если это модель разрешений, которую вы хотите использовать. Эта модель не отделяет управление объектами Exchange и Active Directory от средств управления Exchange. Она позволяет администраторам, использующим средства управления Exchange, создавать субъекты безопасности в Active Directory.
В следующей таблице показаны роли, позволяющие создавать участников безопасности в Exchange, и группы ролей управления, которым они назначены по умолчанию.
| Роль управления | Группа ролей |
|---|---|
| Роль создания получателя электронной почты | Управление организацией |
| Роль создания и членства в группе безопасности | Управление организацией |
Только группы ролей, пользователи или группы usG, которым назначена роль Создания получателей почты, могут создавать субъекты безопасности, такие как пользователи Active Directory. По умолчанию эта роль назначается группам ролей "Управление организацией" и "Управление получателями". Поэтому члены этих групп ролей могут создавать субъекты безопасности.
Создавать группы безопасности или управлять их членством могут только группы ролей, пользователи или группы безопасности, которым назначена роль создания группы безопасности и членства. По умолчанию эта роль назначается только группе ролей Управление организацией. Таким образом, только члены группы ролей "Управление организацией" могут создавать группы безопасности или управлять ими.
Вы можете назначить роль создания получателя почты и роль создания и членства в группе безопасности другим группам ролей, пользователям или группам безопасности, если вы хотите, чтобы другие пользователи могли создавать субъекты безопасности.
Чтобы включить управление существующими субъектами безопасности в Exchange, роль Получатели почты по умолчанию назначается группам ролей "Управление организацией" и "Управление получателями". Только группы ролей, пользователи или группы безопасности, которым назначена роль Получатели почты, могут управлять существующими субъектами безопасности. Если вы хотите, чтобы другие группы ролей, пользователи или группы безопасности могли управлять существующими субъектами безопасности, необходимо назначить им роль Получатели почты.
Дополнительные сведения о добавлении ролей в группы ролей, пользователей или группы безопасности см. в следующих разделах:
Если вы перешли на модель разделенных разрешений и хотите вернуться к модели общих разрешений, см. раздел Настройка Exchange Server для общих разрешений.
Разделение разрешений
Если ваша организация разделяет управление Exchange и управление Active Directory, необходимо настроить Exchange для поддержки модели разделенных разрешений. При правильной настройке это смогут сделать только администраторы, которым требуется создать субъекты безопасности, например администраторы Active Directory, и только администраторы Exchange смогут изменять атрибуты Exchange для существующих субъектов безопасности. Это разделение разрешений также происходит примерно в соответствии с разделами домена и конфигурации в Active Directory. Секции также называют контекстами именования. В разделе домена хранятся пользователи, группы и другие объекты для определенного домена. В разделе конфигурации хранятся сведения о конфигурации на уровне леса для служб, которые использовали Active Directory, таких как Exchange. Данные, хранящиеся в разделе домена, обычно управляются администраторами Active Directory, хотя объекты могут содержать атрибуты Exchange, которыми могут управлять администраторы Exchange. Данные, хранящиеся в секции конфигурации, управляются администраторами каждой соответствующей службы, которая хранит данные в этом разделе. Для Exchange это обычно администраторы Exchange.
Exchange поддерживает два следующих типа разрешений на разделение:
Разрешения на разделение RBAC. Разрешения на создание субъектов безопасности в разделе домена Active Directory управляются RBAC. Только серверы Exchange, службы и члены соответствующих групп ролей могут создавать субъекты безопасности.
Разделенные разрешения Active Directory. Разрешения на создание субъектов безопасности в разделе домена Active Directory полностью удаляются у любого пользователя, службы или сервера Exchange. В модели RBAC отсутствует возможность создания участников безопасности. Эта процедура должна выполняться в службе Active Directory с помощью средств управления Active Directory.
Важно!
В сценариях сосуществования конфигурация разделенных разрешений Active Directory также применяется к любым серверам Exchange 2010 или более поздних версий в организации.
Если ваша организация решает использовать модель разделенных разрешений вместо общих разрешений, рекомендуется использовать модель разделенных разрешений RBAC. Модель разделенных разрешений RBAC обеспечивает значительно большую гибкость, обеспечивая почти то же разделение администрирования, что и разрешения active Directory, за исключением того, что серверы и службы Exchange могут создавать субъекты безопасности в модели разделенных разрешений RBAC.
Вам будет предложено включить разделенные разрешения Active Directory во время установки. Если вы решили включить разделенные разрешения Active Directory, можно изменить только общие разрешения или разрешения RBAC, повторно запустив программу установки и отключив разделенные разрешения Active Directory. Этот вариант применяется ко всем серверам Exchange 2010 или более поздних версий в организации.
В следующих разделах более подробно описаны разделенные разрешения RBAC и Active Directory.
Разделенные разрешения RBAC
Модель безопасности RBAC изменяет назначения ролей управления по умолчанию, чтобы отделить пользователей, которые могут создавать субъекты безопасности в разделе домена Active Directory, от тех, кто администрирует данные организации Exchange в разделе конфигурации Active Directory. Субъекты безопасности, такие как пользователи с почтовыми ящиками и группами рассылки, могут быть созданы администраторами, которые являются участниками ролей "Создание получателей почты" или "Создание групп безопасности и членство". Эти разрешения остаются отдельными от разрешений, необходимых для создания субъектов безопасности вне средств управления Exchange. Администраторы Exchange, которым не назначены роли "Создание получателей почты" или "Создание групп безопасности и членство", по-прежнему могут изменять атрибуты, связанные с Exchange, в субъектах безопасности. Администраторы Active Directory также могут использовать инструменты управления Exchange для создания участников безопасности Active Directory.
Серверы Exchange и доверенная подсистема Exchange также имеют разрешения на создание субъектов безопасности в Active Directory от имени пользователей и сторонних программ, которые интегрируются с RBAC.
Разделенные разрешения RBAC — это хороший выбор для вашей организации, если верно следующее:
Ваша организация не требует, чтобы создание субъекта безопасности выполнялось только с помощью средств управления Active Directory и только пользователями, которым назначены определенные разрешения Active Directory.
Ваша организация позволяет службам, таким как серверы Exchange Server, создавать субъекты безопасности.
Вы хотите упростить процесс, необходимый для создания почтовых ящиков, пользователей с поддержкой почты, групп рассылки и групп ролей, разрешив их создание из средств управления Exchange.
Вы хотите управлять членством в группах рассылки и группах ролей в средствах управления Exchange.
У вас есть сторонние программы, которые требуют, чтобы серверы Exchange могли создавать субъекты безопасности от их имени.
Если вашей организации требуется полное разделение администрирования Exchange и Active Directory, когда администрирование Active Directory не может быть выполнено с помощью средств управления Exchange или служб Exchange, см. раздел Разделенные разрешения Active Directory далее в этом разделе.
Переключение с общих разрешений на разделенные разрешения RBAC выполняется вручную, когда вы удаляете разрешения, необходимые для создания субъектов безопасности, из групп ролей, которым они предоставляются по умолчанию. В следующей таблице показаны роли, позволяющие создавать участников безопасности в Exchange, и группы ролей управления, которым они назначены по умолчанию.
| Роль управления | Группа ролей |
|---|---|
| Роль создания получателя электронной почты | Управление организацией |
| Роль создания и членства в группе безопасности | Управление организацией |
По умолчанию участники групп ролей "Управление организацией" и "Управление получателями" могут создавать субъекты безопасности. Необходимо передать возможность создания субъектов безопасности из встроенных групп ролей в новую созданную группу ролей.
Чтобы настроить разделенные разрешения RBAC, необходимо выполнить следующие действия.
Отключите разделение разрешений Active Directory, если оно включено.
Создайте группу ролей, которая будет содержать администраторов Active Directory, которые смогут создавать субъекты безопасности.
Создайте регулярные и делегирующие назначения ролей между ролью создания получателя почты и новой группой ролей.
Создайте регулярные и делегирующие назначения ролей между ролью создания и членства в группе безопасности и новой группой ролей.
Удалите обычные и делегирующие назначения ролей управления между ролью "Создание получателя почты" и группами ролей "Управление организацией" и "Управление получателями".
Удалите обычные и делегирующие назначения ролей между ролью "Создание группы безопасности и членство" и группой ролей "Управление организацией".
После выполнения этих действий только члены создаваемой группы ролей смогут создавать субъекты безопасности, например почтовые ящики. Новая группа сможет только создавать объекты. Он не сможет настроить атрибуты Exchange для нового объекта. Администратору Active Directory, который является членом новой группы, потребуется создать объект, а затем администратору Exchange потребуется настроить атрибуты Exchange для объекта . Администраторы Exchange не смогут использовать следующие командлеты:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Однако администраторы Exchange смогут создавать объекты Exchange и управлять ими, такими как правила потока обработки почты (также известные как правила транспорта), группы рассылки и т. д., а также управлять атрибутами, связанными с Exchange, для любого объекта.
Кроме того, связанные функции в EAC и Outlook в Интернете (ранее известные как Outlook Web App), такие как мастер создания почтовых ящиков, также больше не будут доступны или при попытке их использовать будет возникать ошибка.
Если вы хотите, чтобы новая группа ролей также могла управлять атрибутами Exchange для нового объекта, роль Получатели почты также должна быть назначена новой группе ролей.
Дополнительные сведения о настройке модели разделенных разрешений см. в разделе Настройка Exchange 2013 для разделенных разрешений.
Разделенные разрешения Active Directory
При разделенных разрешениях Active Directory создание участников безопасности в разделе домена Active Directory, например почтовых ящиков и групп рассылки, должно выполняться с помощью инструментов управления Active Directory. Несколько изменений внесены в разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange для ограничения действий администраторов и серверов Exchange. При включении разделенных разрешений Active Directory происходят следующие изменения в функциональности:
Создание почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и других субъектов безопасности удаляется из инструментов управления Exchange.
Добавление и удаление членов группы рассылки невозможно с помощью инструментов управления Exchange.
Все разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange для создания субъектов безопасности, удаляются.
Серверы Exchange и средства управления Exchange могут изменять только атрибуты Exchange существующих участников безопасности в Active Directory.
Например, чтобы создать почтовый ящик с включенным разделением разрешений Active Directory, сначала необходимо создать пользователя с помощью средств Active Directory пользователем с необходимыми разрешениями Active Directory. Затем пользователь может включить почтовый ящик с помощью средств управления Exchange. Только атрибуты почтового ящика, связанные с Exchange, могут быть изменены администраторами Exchange с помощью инструментов управления Exchange.
Разделение разрешений Active Directory — хороший выбор для вашей организации, если верно следующее:
Ваша организация требует, чтобы субъекты безопасности создавались только с помощью средств управления Active Directory или только пользователями, которым предоставлены определенные разрешения в Active Directory.
Вы хотите полностью отделить возможность создания субъектов безопасности от тех, кто управляет организацией Exchange.
Вы хотите выполнить все управление группами рассылки, включая создание групп рассылки, а также добавление и удаление членов этих групп с помощью средств управления Active Directory.
Вы не хотите, чтобы серверы Exchange или сторонние программы, использующие Exchange от их имени, создавали субъекты безопасности.
Примечания.
Переключение на разделенные разрешения Active Directory — это выбор, который можно сделать при установке Exchange с помощью мастера установки или параметра командной строки /ActiveDirectorySplitPermissions с Setup.exe (при этом необходимо всегда указывать параметр /PrepareAD вместе с параметром /ActiveDirectorySplitPermissions ).
Вы также можете включить или отключить разделенные разрешения Active Directory после установки Exchange, повторно выполнив Setup.exe из командной строки. Чтобы включить разделенные разрешения Active Directory, используйте значение
/ActiveDirectorySplitPermissions:True. Чтобы отключить его, используйте значение/ActiveDirectorySplitPermissions:False.При наличии нескольких доменов в одном лесу также необходимо выполнить одно из следующих действий:
Укажите параметр /PrepareAllDomains при применении разделенных разрешений Active Directory.
Запустите Setup.exe с параметром /PrepareDomain в каждом домене. Необходимо подготовить каждый домен, содержащий серверы Exchange, объекты с поддержкой почты или серверы глобального каталога, доступ к которым может получить сервер Exchange Server.
Вы не можете включить разделенные разрешения Active Directory, если вы установили Exchange 2010 или более поздней версии на контроллере домена.
После включения или отключения разделенных разрешений Active Directory рекомендуется перезапустить серверы Exchange в организации, чтобы заставить их получить новый маркер доступа Active Directory с обновленными разрешениями.
Exchange обеспечивает разделение разрешений Active Directory путем удаления разрешений и членства в группе безопасности Exchange Windows Permissions. Этой группе безопасности в общих разрешениях и разделенных разрешениях RBAC предоставляются разрешения для многих объектов и атрибутов, не относящихся к Exchange, в Active Directory. Удалив разрешения и членство в этой группе безопасности, администраторы и службы Exchange не могут создавать или изменять эти объекты Active Directory, отличные от Exchange.
Список изменений, которые происходят в группе безопасности Разрешений Windows Exchange и других компонентах Exchange при включении или отключении разделенных разрешений Active Directory, см. в следующей таблице.
Примечание.
Назначения ролей группам ролей, которые позволяют администраторам Exchange создавать субъекты безопасности, удаляются при включении разделенных разрешений Active Directory. Это делается для того, чтобы удалить доступ к командлетам, которые в противном случае при их выполнении вызовут ошибку, так как у них нет разрешений на создание связанного объекта Active Directory.
| Действие | Изменения, внесенные Exchange |
|---|---|
| Включение разделенных разрешений Active Directory во время первой Exchange Server установки | При включении разделенных разрешений Active Directory с помощью мастера установки или запуска Setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true командной строки выполняются следующие действия:
При выполнении Setup.exe с параметром /PrepareAllDomains или /PrepareDomain в каждом подготовленном дочернем домене выполняются следующие действия:
|
| Переключение с общих разрешений или разделенных разрешений RBAC на разрешения Active Directory | При выполнении команды setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true командной строки выполняются следующие действия:
При выполнении Setup.exe с параметром /PrepareAllDomains или /PrepareDomain в каждом подготовленном дочернем домене выполняются следующие действия:
|
| Переключение с разделенных разрешений Active Directory на общие или разделенные разрешения RBAC | Следующие действия выполняются при выполнении Setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:false :
При запуске установки с параметром /PrepareAllDomains или /PrepareDomain в каждом подготовленном дочернем домене выполняются следующие действия:
Назначения ролей для ролей создания получателя почты и создания группы безопасности и членства не создаются автоматически при переключении с разделения Active Directory на общие разрешения. Если делегирование назначений ролей было настроено до включения разделенных разрешений Active Directory, эти настройки остаются без изменений. Сведения о создании назначений ролей между этими ролями и группой ролей Управление организацией см. в статье Настройка Exchange Server для общих разрешений. |
После включения разделенных разрешений Active Directory станут недоступны следующие командлеты:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
После включения разделенных разрешений Active Directory доступны следующие командлеты, но их нельзя использовать для создания групп рассылки или изменения членства в группах рассылки:
Добавить DistributionGroupMember
Новая DistributionGroup
Удалить DistributionGroup
Удалить DistributionGroupMember
Обновить DistributionGroupMember
Некоторые командлеты, хотя они по-прежнему доступны, могут предоставлять только ограниченные функциональные возможности при использовании с разделенными разрешениями Active Directory. Это связано с тем, что они могут позволить настроить объекты получателей, которые находятся в домене раздела Active Directory, и объекты конфигурации Exchange, которые находятся в разделе конфигурации Active Directory. Они также могут позволить настроить атрибуты, связанные с Exchange, для объектов, хранящихся в разделе домена. Попытки использовать командлеты для создания объектов или изменения атрибутов, не связанных с Exchange, в объектах в разделе домена приведут к ошибке. Например, командлет Add-ADPermission вернет ошибку при попытке добавить разрешения в почтовый ящик. Однако командлет Add-ADPermission будет выполнен успешно, если вы настроите разрешения для соединителя получения. Это связано с тем, что почтовый ящик хранится в разделе домена, а соединители получения — в разделе конфигурации.
Кроме того, связанные функции в EAC и Outlook в Интернете, такие как мастер создания почтовых ящиков, также больше не будут доступны или при попытке их использовать будет возникать ошибка.
Однако администраторы Exchange смогут создавать объекты Exchange и управлять ими, такими как правила потока обработки почты и т. д.
Дополнительные сведения о настройке модели разделенных разрешений Active Directory см. в разделе Настройка Exchange 2013 для разделенных разрешений.