Общие сведения о разрешениях для нескольких лесов
Область применения: Exchange Server 2013 г.
Многие организации развертывают несколько лесов для создания границ безопасности. Использование нескольких лесов помогает администраторам определить эти границы безопасности в соответствии с предъявляемыми требованиями, которые могут заключаться, например, в предоставлении доступа к ресурсам как можно меньшему числу лиц или сегментировании подразделений внутри организации.
Microsoft Exchange Server 2013 поддерживает два типа топологий с несколькими лесами.
Межлесовые топологии. Топологии между лесами могут иметь несколько лесов, каждый из которых имеет собственную установку Exchange.
Лес ресурсов. Топологии леса ресурсов имеют лес Exchange и один или несколько лесов учетных записей.
В рамках данного раздела лес учетных записей или ресурсов, который содержит универсальные группы безопасности и пользователей, находящихся за пределами леса с установленным Exchange 2013, называется внешним.
Конфигурация разрешений в топологии с несколькими лесами основывается на правильной настройке отношений доверия леса и синхронизации глобального списка адресов для создания связанных почтовых ящиков. Лес Exchange 2013 должен доверять внешнему лесу, который содержит универсальные группы безопасности, сопоставленные со связанными группами ролей и пользователями, сопоставленными со связанными почтовыми ящиками.
В Exchange 2013 используется модель разрешений контроль доступа на основе ролей (RBAC). Группы ролей управления, членами которых являются администраторы, и политики назначения ролей управления, присваиваемые конечным пользователям, определяют доступные администратору и конечным пользователям операции. Чтобы понять идею разрешений для нескольких лесов, необходимо иметь опыт использования управления доступом на основе ролей. Дополнительные сведения об управлении доступом на основе ролей, группах ролей и политиках назначения ролей см. в следующих разделах.
- Общие сведения об управлении доступом на основе ролей
- Общие сведения о группах ролей управления
- Общие сведения о политиках назначения ролей управления
Разрешения в топологии с несколькими лесами
Управлением доступом на основе ролей применяет разрешения ко всем объектам Exchange в отдельном лесу, а конфигурация управления доступом на основе ролей задается для каждого леса независимо от других лесов. При создании группы ролей в одном лесу она не появляется ни в одном из других лесов, а предоставляемые ей разрешения применяются только к тому лесу, в котором она была создана. Например, член группы ролей, которая предоставляет разрешения на создание почтового ящика, может создать почтовый ящик только в лесу, содержащем эту группу ролей.
Если имеется несколько лесов Exchange, и требуется одинаково настроить разрешения для каждого леса, необходимо явно применить одинаковую конфигурацию для каждого леса. Например, если имеются два леса Exchange 2013, и требуется создать группу ролей по управлению соответствием требованиям "Compliance Management", чтобы управлять разрешениями для юридического отдела, необходимо выполнить следующие действия.
- Создайте в каждом лесу группу ролей с именем "Compliance Management". Если ваши администраторы находятся в другом лесу, отдельном от леса Exchange, создайте обе группы ролей как связанные группы ролей. Дополнительные сведения о группах ролей см. в разделе Cross-Boundary Permissions.
- В каждом лесу создайте назначения ролей между новыми группами ролей и ролями, которые необходимо использовать.
- При необходимости задайте в рамках новых назначений ролей области управления, которые охватывают объекты сервера и получателя внутри каждого из лесов
- Если группы ролей созданы как связанные, добавьте члены в сопоставленную универсальную группу безопасности во внешнем лесу.
На следующем рисунке показано, как группы ролей, настроенные в лесах Exchange 2013, привязываются к соответствующим лесам. Группа ролей управления организацией "Organization Management" в лесу A Exchange 2013 предоставляет разрешения на управление только теми почтовыми ящиками и серверами, которые относятся к этому лесу. Аналогично группы ролей в лесу B Exchange 2013 предоставляют разрешения только для почтовых ящиков и серверов, расположенных внутри этого леса.
На рисунке также показано, что в каждом лесу создается настраиваемая группа ролей A "Custom". Хотя они создавались с одним именем, каждая из них имеет отдельную сущность. Из рисунка видно, что фактически каждой группе могут быть назначены различные роли управления в соответствующих лесах. Настраиваемой группе ролей A "Custom" в лесу B Exchange 2013 назначаются роли "Mailbox Search" и "Message Tracking", а настраиваемой группе ролей A "Custom" в лесу Exchange 2013 назначаются роли "Mailbox Search" и "Retention Management".
Наконец, области управления, созданные в каждом лесу, также связаны с лесом. Области серверов, созданные в каждом лесу, могут содержать только те серверы, которые являются участниками этого леса. Область сервера A может содержать только серверы в лесу Exchange 2013. Область сервера B может содержать только серверы, находящиеся в лесу Exchange 2013 B. Аналогичным образом область получателя в лесу Exchange 2013 B может содержать только почтовые ящики, которые находятся в лесу Exchange 2013 B.
Межграничные разрешения
Разрешения, предоставляемые при управлении доступом на основе ролей, позволяют пользователям только просматривать или изменять объекты Exchange в определенном лесу. Однако разрешения на просмотр и изменение объектов Exchange в лесу можно предоставлять пользователям, расположенным вне этого леса. С помощью межграничных разрешений можно сосредоточить управляющие учетные записи Exchange в одном лесу и избежать проверки подлинности для каждого отдельного леса при выполнении различных задач.
Примечание.
Разрешения, которые предоставляются пользователю, расположенному вне леса Exchange, относятся только к определенному лесу Exchange. Например, если пользователь во внешнем лесу является членом связанной группы ролей "Organization Management", которая расположена в лесу ForestA, то этот пользователь может управлять только объектами Exchange, содержащимися в лесу ForestA. Чтобы получить разрешения на управление каждым из лесов, пользователю необходимо стать членом связанных групп ролей в каждом лесу Exchange.
Межграничные разрешения также позволяют применять политики назначения ролей к почтовым ящикам тех пользователей, у которых есть почтовые ящики в лесу Exchange, а учетные записи размещаются в лесу учетных записей. Exchange 2013 поддерживает межграничное разрешение с использованием связанных групп ролей и связанных почтовых ящиков, что описывается в последующих разделах.
Административные разрешения
Административные разрешения предоставляются через границы лесов с помощью связанных групп ролей и связанных почтовых ящиков.
Связанная группа ролей создается в организации Exchange 2013 и связывается через границу леса с универсальной группой безопасности во внешнем лесу. Универсальная группа безопасности, с которой связана связанная группа ролей, может быть одной из следующих групп.
- Выделенная универсальная группа безопасности, предназначенная специально для данной связанной группы ролей.
- Универсальная группа безопасности, которая связана со связанной группой ролей в нескольких лесах Exchange 2013.
- Универсальная группа безопасности для группы ролей в другом лесу Exchange 2013.
- Универсальная группа безопасности, сопоставленная с административной ролью Exchange Server 2007 или группой ролей Exchange 2010.
Универсальная группа безопасности, с которой связана связанная группа ролей, должна находиться в другом лесу. Нельзя связать связанную группу ролей с универсальной группой безопасности, расположенной в том же лесу.
Наследующем рисунке показано, что универсальные группы безопасности в лесу учетных записей можно сопоставить с группами ролей в одном или нескольких лесах ресурсов Exchange 2013. Члены универсальных групп безопасности в лесу учетных записей фактически становятся посредством этих групп членами групп ролей.
При создании связанной группы ролей выполняется назначение ролей для связанной группы ролей в лесу Exchange 2013. Назначения, которые сопоставляют роли со связанной группой ролей, при необходимости могут включать в себя области управления. Эти области ограничены лесом, в котором создана связанная группа ролей.
Управление членством в связанной группе ролей осуществляется с помощью добавления и удаления членов универсальной группы безопасности во внешнем лесу. При добавлении членов в эту универсальную группу безопасности им назначаются разрешения, предоставленные связанной группе ролей в лесу Exchange 2013. Если с одной универсальной группой безопасности связано нескольких связанных групп ролей, членам этой универсальной группы безопасности назначаются разрешения, предоставленные каждой связанной группе ролей в каждом лесу Exchange 2013.
Нельзя управлять членством в связанной группе ролей из леса Exchange 2013.
Второй способ назначения административных разрешений через границы леса заключается в использовании связанных почтовых ящиков. Чтобы пользователи в лесу учетных записей могли использовать развертывание Exchange 2013 в отдельном лесу ресурсов Exchange 2013, необходимо для каждого из пользователей настроить связанные почтовые ящики. Связанные почтовые ящики можно добавлять в качестве членов в группы ролей внутри леса Exchange 2013. Когда связанный почтовый ящик становится членом группы ролей, то ему и сопоставленному с ним пользователю в лесу учетных записей назначаются разрешения, предоставляемые группой ролей.
На следующем рисунке показано отношение между пользователями в лесу учетных записей, сопоставленными с ними связанными почтовыми ящиками и группами ролей, членами которых они являются.
Использование связанных групп ролей и связанных почтовых ящиков для назначения административного разрешения через границы лесов имеет как преимущества, так и недостатки. Некоторые из них описаны в следующей таблице.
Преимущества и недостатки использования связанных групп ролей и связанных почтовых ящиков
Связанные группы ролей или связанные почтовые ящики | Преимущество | Недостаток |
---|---|---|
Связанные группы ролей | Можно сопоставить несколько связанных групп ролей из нескольких лесов Exchange 2013 с одной универсальной группой безопасности в лесу учетных записей или другом лесу ресурсов Exchange. Это позволяет осуществлять администрирование сложных топологий из лесов Exchange через небольшой набор универсальных групп безопасности в одном лесу. | Обычную группу ролей нельзя преобразовать в связанную группу ролей. Необходимо вручную создать связанную группу ролей для замены каждой обычной группы ролей, разрешения которой требуется предоставить через границу леса. Дополнительные сведения см. в разделе Configure cross-boundary permissions. |
Связанные почтовые ящики | Связанные почтовые ящики позволяют использовать существующие группы ролей внутри леса Exchange. Связанные почтовые ящики добавляются в качестве членов в существующие группы ролей точно так же, как и обычные почтовые ящики, универсальные группы безопасности и пользователи в рамках одного леса Exchange. | Если разрешения предоставляются в нескольких лесах Exchange 2013 с использованием связанных почтовых ящиков, связанных с одним пользователем в лесу учетных записей, то для изменения предоставляемых пользователю разрешений необходимо изменить членство в группе ролей в каждом лесу Exchange 2013. |
Если планируется использовать несколько лесов ресурсов Exchange, то для предоставления разрешений через границы леса рекомендуется использовать связанные группы ролей.
Разрешения конечных пользователей
Разрешения конечных пользователей назначаются отдельным почтовым ящикам с помощью политик назначения ролей. Когда система Exchange 2013 устанавливается в лесу ресурсов, в нем создаются связанные почтовые ящики, которые сопоставляются с учетными записями пользователей в лесу учетных записей.
При создании связанного почтового ящика он назначается политике назначения ролей по умолчанию так же, как и обычный почтовый ящик. Предоставляемые почтовому ящику разрешения конечных пользователей определяются политикой назначения ролей. Эти разрешения позволяют пользователям просматривать и изменять параметры, связанные со следующими и другими возможностями:
- данные профиля конечного пользователя;
- голосовая почта конечного пользователя;
- право владения и членство для распределения конечных пользователей.
Когда политика назначения ролей назначается связанному почтовому ящику, то пользователю в лесу учетных записей, сопоставленному с этим связанным почтовым ящиком, предоставляются разрешения на управление доступными данному пользователю компонентами. Эти разрешения применяются только к ресурсам в лесу Exchange, где расположен связанный почтовый ящик. На следующем рисунке показано отношение между конечным пользователем в лесу учетных записей, сопоставленным с ним связанным почтовым ящиком и политикой назначения ролей, назначенной этому связанному почтовому ящику. Кроме того, связанный почтовый ящик, сопоставленный с пользователем с правами администратора в лесу учетных записей, в дополнение к политике назначения ролей можно сопоставить с несколькими группами ролей.
Настройка межграничных разрешений
Для настройки межграничных разрешений в топологии с несколькими лесами необходимо создать связанные группы ролей для каждой группы ролей, которую требуется связать с универсальными группами безопасности во внешнем лесу. Это значит, что необходимо создать связанную группу ролей для каждой встроенной группы ролей. Выполните следующие действия.
Создайте универсальную группу безопасности во внешнем лесу для каждой создаваемой связанной группы ролей. Добавьте в эту универсальную группу безопасности члены, которым необходимо предоставить разрешения.
Создайте связанную группу ролей для каждой встроенной группы ролей. При создании связанной группы ролей происходит следующее:
- Новой связанной группе ролей назначаются те же роли, что и назначенные встроенной группе ролей.
- Связанная группа ролей сопоставляется с универсальной группой безопасности во внешнем лесу.
Создайте связанные группы ролей для всех созданных настраиваемых групп ролей.
Можно также назначить новым связанным группам ролей настраиваемые области.
Дополнительные сведения о выполнении этих действий см. в следующих разделах:
- Создание группы связанных ролей, которые зеркально встроенные группы ролей
- Управление группами связанных ролей
- Управление группами ролей
Если требуется изменить универсальную группу безопасности, с которой сопоставлена связанная группа ролей, см. инструкции в разделе Управление группами связанных ролей.
При создании связанного почтового ящика он автоматически назначается политике назначения ролей. Можно изменить политику назначения ролей, назначенную связанному почтовому ящику, или политику назначения ролей, назначаемую почтовым ящикам по умолчанию при их создании. Дополнительные сведения приведены в следующих разделах: