Поделиться через


Общие сведения о разрешениях при использовании нескольких лесов

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-12-06

Многие организации развертывают несколько лесов для создания границ безопасности. Использование нескольких лесов помогает администраторам определить эти границы безопасности в соответствии с предъявляемыми требованиями, которые могут заключаться, например, в предоставлении доступа к ресурсам как можно меньшему числу лиц или сегментировании подразделений внутри организации.

Microsoft Exchange Server 2010 поддерживает два типа топологий с несколькими лесами.

  • Перекрестный лес   Топологии перекрестных лесов могут содержать несколько лесов, в каждом из которых имеется отдельная установка Exchange.
  • Лес ресурсов   Топологии лесов ресурсов содержат лес Exchange и один или несколько лесов учетных записей.

В рамках данного раздела лес учетных записей или ресурсов, который содержит универсальные группы безопасности и пользователей, находящихся за пределами леса с установленным Exchange 2010, называется внешним.

Конфигурация разрешений в топологии с несколькими лесами основывается на правильной настройке отношений доверия леса и синхронизации глобального списка адресов для создания связанных почтовых ящиков. Лес Exchange 2010 должен доверять внешнему лесу, который содержит универсальные группы безопасности, сопоставленные со связанными группами ролей и пользователями, сопоставленными со связанными почтовыми ящиками. Дополнительные сведения о топологиях с несколькими лесами см. в разделе Deploy Multiple Forest Topologies.

Exchange 2010 использует модель разрешений с управлением доступом на основе ролей. Группы ролей управления, членами которых являются администраторы, и политики назначения ролей управления, присваиваемые конечным пользователям, определяют доступные администратору и конечным пользователям операции. Чтобы понять идею разрешений для нескольких лесов, необходимо иметь опыт использования управления доступом на основе ролей. Дополнительные сведения об управлении доступом на основе ролей, группах ролей и политиках назначения ролей см. в следующих разделах.

Необходимы сведения о задачах управления, связанных с управлением разрешениями? См. раздел Управление разрешениями.

Содержание

Разрешения в топологии с несколькими лесами

Межграничные разрешения

Настройка межграничных разрешений

Разрешения в топологии с несколькими лесами

Управлением доступом на основе ролей применяет разрешения ко всем объектам Exchange в отдельном лесе, а конфигурация управления доступом на основе ролей задается для каждого леса независимо от других лесов. При создании группы ролей в одном лесе она не появляется ни в одном из других лесов, а предоставляемые ей разрешения применяются только к тому лесу, в котором она была создана. Например, член группы ролей, которая предоставляет разрешения на создание почтового ящика, может создать почтовый ящик только в лесу, содержащем эту группу ролей.

Если имеется несколько лесов Exchange, и требуется одинаково настроить разрешения для каждого леса, необходимо явно применить одинаковую конфигурацию для каждого леса. Например, если имеются два леса Exchange 2010, и требуется создать группу ролей по управлению соответствием требованиям «Compliance Management», чтобы управлять разрешениями для юридического отдела, необходимо выполнить следующие действия.

  • Создайте в каждом лесе группу ролей с именем «Compliance Management». Если администраторы находятся во внешнем лесе, отдельном от этих двух лесов Exchange, создайте обе группы ролей как связанные группы ролей. Дополнительные сведения о группах ролей см. в разделе Межграничные разрешения.
  • В каждом лесе создайте назначения ролей между новыми группами ролей и ролями, которые необходимо использовать.
  • При необходимости задайте в рамках новых назначений ролей области управления, которые охватывают объекты сервера и получателя внутри каждого из лесов
  • Если группы ролей созданы как связанные, добавьте члены в сопоставленную универсальную группу безопасности во внешнем лесе.

На следующем рисунке показано, как группы ролей, настроенные в лесах Exchange 2010, привязываются к соответствующим лесам. Группа ролей управления организацией «Organization Management» в лесе A Exchange 2010 предоставляет разрешения на управление только теми почтовыми ящиками и серверами, которые относятся к этому лесу. Аналогично группы ролей в лесе B Exchange 2010 предоставляют разрешения только для почтовых ящиков и серверов, расположенных внутри этого леса.

На рисунке также показано, что в каждом лесе создается настраиваемая группа ролей A «Custom». Хотя они создавались с одним именем, каждая из них имеет отдельную сущность. Из рисунка видно, что фактически каждой группе могут быть назначены различные роли управления в соответствующих лесах. Настраиваемой группе ролей A «Custom» в лесе B Exchange 2010 назначаются роли «Mailbox Search» и «Message Tracking», а настраиваемой группе ролей A «Custom» в лесе Exchange 2010 назначаются роли «Mailbox Search» и «Retention Management».

Наконец, созданные в каждом из лесов области управления также привязываются к лесу. Область серверов, созданная в каждом лесе, содержит только те серверы, которые являются членами этого леса. Область серверов A может содержать только серверы из леса A Exchange 2010, а область серверов B может содержать только серверы из леса B Exchange 2010. Аналогично область получателей в лесе B Exchange 2010 может содержать только почтовые ящики из леса B Exchange 2010.

Управление доступом на основе ролей и связи области в границах леса
RBAC и связи области в границах леса

В начало

Межграничные разрешения

Разрешения, предоставляемые при управлении доступом на основе ролей, позволяют пользователям только просматривать или изменять объекты Exchange в определенном лесе. Однако разрешения на просмотр и изменение объектов Exchange в лесе можно предоставлять пользователям, расположенным вне этого леса. С помощью межграничных разрешений можно сосредоточить управляющие учетные записи Exchange в одном лесе и избежать проверки подлинности для каждого отдельного леса при выполнении различных задач.

Dd298099.note(ru-ru,EXCHG.140).gifПримечание.
Разрешения, которые предоставляются пользователю, расположенному вне леса Exchange, относятся только к определенному лесу Exchange. Например, если пользователь во внешнем лесе является членом связанной группы ролей «Organization Management», которая расположена в лесе ForestA, то этот пользователь может управлять только объектами Exchange, содержащимися в лесе ForestA. Чтобы получить разрешения на управление каждым из лесов, пользователю необходимо стать членом связанных групп ролей в каждом лесе Exchange.

Межграничные разрешения также позволяют применять политики назначения ролей к почтовым ящикам тех пользователей, у которых есть почтовые ящики в лесе Exchange, а учетные записи размещаются в лесе учетных записей. Exchange 2010 поддерживает межграничное разрешение с использованием связанных групп ролей и связанных почтовых ящиков, что описывается в последующих разделах.

Административные разрешения

Административные разрешения предоставляются через границы лесов с помощью связанных групп ролей и связанных почтовых ящиков.

Связанная группа ролей создается в организации Exchange 2010 и связывается через границу леса с универсальной группой безопасности во внешнем лесе. Универсальная группа безопасности, с которой связана связанная группа ролей, может быть одной из следующих групп.

  • Выделенная универсальная группа безопасности, предназначенная специально для данной связанной группы ролей.
  • Универсальная группа безопасности, которая связана со связанной группой ролей в нескольких лесах Exchange 2010.
  • Универсальная группа безопасности для группы ролей в другом лесе Exchange 2010.
  • Универсальная группа безопасности, сопоставленная с административной ролью Exchange Server 2007.
  • Универсальная группа безопасности, которая используется для предоставления разрешений на управление организацией Exchange Server 2003.

Универсальная группа безопасности, с которой связана связанная группа ролей, должна находиться в другом лесе. Нельзя связать связанную группу ролей с универсальной группой безопасности, расположенной в том же лесе.

Наследующем рисунке показано, что универсальные группы безопасности в лесе учетных записей можно сопоставить с группами ролей в одном или нескольких лесах ресурсов Exchange 2010. Члены универсальных групп безопасности в лесе учетных записей фактически становятся посредством этих групп членами групп ролей.

Связанные группы ролей, сопоставленные с универсальными группами безопасности в отдельном лесе
Связанная группа ролей и связи универсальной группы безопасности

При создании связанной группы ролей выполняется назначение ролей для связанной группы ролей в лесе Exchange 2010. Назначения, которые сопоставляют роли со связанной группой ролей, при необходимости могут включать в себя области управления. Эти области ограничены лесом, в котором создана связанная группа ролей.

Управление членством в связанной группе ролей осуществляется с помощью добавления и удаления членов универсальной группы безопасности во внешнем лесе. При добавлении членов в эту универсальную группу безопасности им назначаются разрешения, предоставленные связанной группе ролей в лесе Exchange 2010. Если с одной универсальной группой безопасности связано нескольких связанных групп ролей, членам этой универсальной группы безопасности назначаются разрешения, предоставленные каждой связанной группе ролей в каждом лесе Exchange 2010.

Нельзя управлять членством в связанной группе ролей из леса Exchange 2010.

Второй способ назначения административных разрешений через границы леса заключается в использовании связанных почтовых ящиков. Чтобы пользователи в лесе учетных записей могли использовать развертывание Exchange 2010 в отдельном лесе ресурсов Exchange 2010, необходимо для каждого из пользователей настроить связанные почтовые ящики. Связанные почтовые ящики можно добавлять в качестве членов в группы ролей внутри леса Exchange 2010. Когда связанный почтовый ящик становится членом группы ролей, то ему и сопоставленному с ним пользователю в лесе учетных записей назначаются разрешения, предоставляемые группой ролей. 

Дополнительные сведения о связанных почтовых ящиках см. в разделе Общие сведения о получателях.

На следующем рисунке показано отношение между пользователями в лесе учетных записей, сопоставленными с ними связанными почтовыми ящиками и группами ролей, членами которых они являются.

Пользователи в лесе учетных записей, сопоставленные со связанными почтовыми ящиками, которые являются членами групп ролей
Связи групп ролей и связанных почтовых ящиков

Использование связанных групп ролей и связанных почтовых ящиков для назначения административного разрешения через границы лесов имеет как преимущества, так и недостатки. Некоторые из них описаны в следующей таблице.

Преимущества и недостатки использования связанных групп ролей и связанных почтовых ящиков

Связанные группы ролей или связанные почтовые ящики Преимущество Недостаток

Связанные группы ролей

Можно сопоставить несколько связанных групп ролей из нескольких лесов Exchange 2010 с одной универсальной группой безопасности в лесе учетных записей или другом лесе ресурсов Exchange. Это позволяет осуществлять администрирование сложных топологий из лесов Exchange через небольшой набор универсальных групп безопасности в одном лесе.

Обычную группу ролей нельзя преобразовать в связанную группу ролей. Необходимо вручную создать связанную группу ролей для замены каждой обычной группы ролей, разрешения которой требуется предоставить через границу леса. Дополнительные сведения см. в разделе Настройка межграничных разрешений.

Связанные почтовые ящики

Связанные почтовые ящики позволяют использовать существующие группы ролей внутри леса Exchange. Связанные почтовые ящики добавляются в качестве членов в существующие группы ролей точно так же, как и обычные почтовые ящики, универсальные группы безопасности и пользователи в рамках одного леса Exchange.

Если разрешения предоставляются в нескольких лесах Exchange 2010 с использованием связанных почтовых ящиков, связанных с одним пользователем в лесе учетных записей, то для изменения предоставляемых пользователю разрешений необходимо изменить членство в группе ролей в каждом лесе Exchange 2010.

Если планируется использовать несколько лесов ресурсов Exchange, то для предоставления разрешений через границы леса рекомендуется использовать связанные группы ролей.

Разрешения конечных пользователей

Разрешения конечных пользователей назначаются отдельным почтовым ящикам с помощью политик назначения ролей. Когда система Exchange 2010 устанавливается в лесе ресурсов, в нем создаются связанные почтовые ящики, которые сопоставляются с учетными записями пользователей в лесе учетных записей.

Дополнительные сведения о связанных почтовых ящиках см. в разделе Общие сведения о получателях.

При создании связанного почтового ящика он назначается политике назначения ролей по умолчанию так же, как и обычный почтовый ящик. Предоставляемые почтовому ящику разрешения конечных пользователей определяются политикой назначения ролей. Эти разрешения позволяют пользователям просматривать и изменять параметры, связанные со следующими и другими возможностями:

  • данные профиля конечного пользователя;
  • голосовая почта конечного пользователя;
  • право владения и членство для распределения конечных пользователей.

Когда политика назначения ролей назначается связанному почтовому ящику, то пользователю в лесе учетных записей, сопоставленному с этим связанным почтовым ящиком, предоставляются разрешения на управление доступными данному пользователю компонентами. Эти разрешения применяются только к ресурсам в лесе Exchange, где расположен связанный почтовый ящик. На следующем рисунке показано отношение между конечным пользователем в лесе учетных записей, сопоставленным с ним связанным почтовым ящиком и политикой назначения ролей, назначенной этому связанному почтовому ящику. Кроме того, связанный почтовый ящик, сопоставленный с пользователем с правами администратора в лесе учетных записей, в дополнение к политике назначения ролей можно сопоставить с несколькими группами ролей.

Пользователи в лесе учетных записей, сопоставленные со связанными почтовыми ящиками, каждому из которых назначена политика назначения ролей
Связи групп ролей и политик назначения

Дополнительные сведения о связанных почтовых ящиках см. в разделе Общие сведения о получателях.

В начало

Настройка межграничных разрешений

Для настройки межграничных разрешений в топологии с несколькими лесами необходимо создать связанные группы ролей для каждой группы ролей, которую требуется связать с универсальными группами безопасности во внешнем лесе. Это значит, что необходимо создать связанную группу ролей для каждой встроенной группы ролей. Выполните следующие действия.

  1. Создайте универсальную группу безопасности во внешнем лесе для каждой создаваемой связанной группы ролей. Добавьте в эту универсальную группу безопасности члены, которым необходимо предоставить разрешения.
  2. Создайте связанную группу ролей для каждой встроенной группы ролей. При создании связанной группы ролей происходит следующее:
    • Новой связанной группе ролей назначаются те же роли, что и назначенные встроенной группе ролей.
    • Связанная группа ролей сопоставляется с универсальной группой безопасности во внешнем лесе.
  3. Создайте связанные группы ролей для всех созданных настраиваемых групп ролей.
  4. Можно также назначить новым связанным группам ролей настраиваемые области.

Дополнительные сведения о выполнении этих действий см. в следующих разделах:

Если требуется изменить универсальную группу безопасности, с которой сопоставлена связанная группа ролей, см. инструкции в разделе Изменение внешней связанной универсальной группы безопасности в связанной группе ролей.

При создании связанного почтового ящика он автоматически назначается политике назначения ролей. Можно изменить политику назначения ролей, назначенную связанному почтовому ящику, или политику назначения ролей, назначаемую почтовым ящикам по умолчанию при их создании. Дополнительные сведения см. в следующих разделах:

В начало