Общие сведения о разделенных разрешениях
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-12-06
В организациях, которые разграничивают управление объектами Microsoft Exchange Server 2010 и Active Directory, используется модель разделения разрешений. Модель разделения разрешений позволяет организациям назначать определенные разрешения и связанные задачи для определенных групп в пределах организации. Такое разделение обязанностей помогает поддерживать соответствие стандартам и объемы рабочих процессов, а также управлять изменениями в организации.
Наивысший уровень разделения разрешений — это разграничение управления Exchange и управления Active Directory. В состав многих организаций входят две группы: администраторы, управляющие инфраструктурой Exchange организации, в том числе серверами и получателями, и администраторы, управляющие инфраструктурой Active Directory. Такое разграничение является очень важным во многих организациях, так как инфраструктура Active Directory обычно охватывает различные местоположения, домены, службы, приложения и даже леса Active Directory. Администраторы Active Directory должны убедиться, что изменения, выполненные в службах Active Directory, не окажут отрицательного влияния на другие службы. Поэтому обычно разрешение на управление такой инфраструктурой получает небольшая группа администраторов.
Инфраструктура Exchange, включающая в себя серверы и получателей, также может быть сложной и требовать специальных знаний. Кроме того, Exchange хранит конфиденциальные бизнес-сведения организации. Администраторы Exchange могут иметь доступ к этим сведениям. При ограничении числа администраторов Exchange в организации можно ограничить группу лиц, которым разрешено вносить изменения в конфигурацию Exchange и которые имеют доступ к конфиденциальным сведениям.
Модель разделения разрешений обычно подразумевает разграничение процессов создания участников безопасности в службах Active Directory, таких как пользователи и группы безопасности, и последующей настройки этих объектов. Это позволяет снизить вероятность несанкционированного доступа в сеть за счет управления группой лиц, которые могут создавать объекты и разрешать доступ к ним. Обычно только администраторы Active Directory могут создавать участников безопасности, а другие администраторы, например администраторы Exchange, могут управлять определенными атрибутами существующих объектов Active Directory.
В целях изменения организации в соответствии с изменяющимися потребностями разделения управления Exchange и Active Directory Exchange 2010 позволяет использовать модель разрешений общего доступа и модель разделения разрешений. В Exchange 2010 по умолчанию используется модель разрешений общего доступа.
Содержание
- Описание управления доступом на основе ролей и служб Active Directory
- Разрешения общего доступа
- Разделение разрешений
Описание управления доступом на основе ролей и служб Active Directory
Для понимания сущности разделения разрешений необходимо понимать, как модель разрешений управления доступом на основе ролей (RBAC) в Exchange 2010 взаимодействует со службами Active Directory. Модель RBAC позволяет управлять группой лиц, которые могут выполнять определенные действия, и объектами, по отношению к которым можно выполнять эти действия. Дополнительные сведения о различных компонентах модели RBAC, описанных в этом разделе, см. в разделе Общие сведения об управлении доступом на основе ролей.
В Exchange 2010 все задачи для объектов Exchange необходимо выполнять с помощью консоли управления Exchange, командной консоли Exchange или интерфейса веб-администрирования Exchange. Каждое из этих средств управления использует управление доступом на основе ролей для разрешения всех выполняемых задач.
RBAC является компонентом каждого сервера Exchange 2010. Компонент RBAC проверяет, разрешено ли пользователю выполнять определенное действие.
- Если пользователю запрещено выполнять действие, компонент RBAC не разрешит выполнять его.
- Если пользователю разрешено выполнять действие, компонент RBAC проверит, разрешено ли этому пользователю выполнять его по отношению к запрошенному объекту.
- Если пользователь имеет такое разрешение, RBAC разрешит выполнить действие.
- Если пользователь не имеет такого разрешения, RBAC запретит выполнение действия.
Если компонент RBAC разрешит выполнение действия, это действие будет выполнено в контексте доверенной подсистемы Exchange, но не в контексте пользователя. Доверенная подсистема Exchange — это универсальная группа безопасности с высокими привилегиями, участники которой имеют права на чтение и запись всех связанных с Exchange объектов в организации Exchange. Она также является участником локальной группы безопасности администраторов и универсальной группы безопасности разрешений Windows Exchange, которая позволяет создавать объекты Active Directory и управлять ими в Exchange.
Предупреждение
Универсальную группу безопасности доверенной подсистемы Exchange запрещается удалять из какой-либо группы безопасности и из списков управления доступом (ACL) какого-либо объекта. Универсальная группа безопасности доверенной подсистемы Exchange требуется для работы Exchange. Если универсальная группа безопасности доверенной подсистемы Exchange будет удалена из какой-либо группы или списка управления доступом объекта, в организации Exchange может произойти неисправимый сбой.
Необходимо понимать, что не имеет значения, какие разрешения Active Directory имеет пользователь при использовании средств управления Exchange. Если компонент RBAC разрешает пользователю выполнять действие с помощью средств управления Exchange, этот пользователь сможет выполнить его независимо от наличия разрешений Active Directory. И наоборот, если пользователь является администратором предприятия в Active Directory, но ему запрещено выполнять действие, например создавать почтовые ящики, с помощью средств управления Exchange, ему не удастся выполнить это действие из-за отсутствия необходимых разрешений согласно проверке RBAC.
Важно!
Несмотря на то что модель разрешений RBAC не применяется к средству управления Active Directory «Пользователи и компьютеры», с помощью средства Active Directory «Пользователи и компьютеры» невозможно управлять конфигурацией Exchange. Поэтому, даже если пользователь имеет разрешение на изменение некоторых атрибутов объектов Active Directory, например краткого имени пользователя, он должен использовать средства управления Exchange (и пройти проверку RBAC) для управления атрибутами Exchange.
В начало
Разрешения общего доступа
Модель разрешений общего доступа используется по умолчанию в Exchange 2010. Не требуется изменять конфигурацию, если необходимо использовать такую модель разрешений. Эта модель не разграничивает управление объектами Exchange и Active Directory для средств управления Exchange. Она позволяет администраторам использовать средства управления Exchange для создания участников безопасности в Active Directory.
В следующей таблице перечислены роли, разрешающие создание участников безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.
Роли управления участниками безопасности
| Роль управления | Группа ролей |
|---|---|
Разрешение на создание участников безопасности, например пользователей Active Directory, имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания получателей почты. По умолчанию эта роль назначена группам ролей управления организацией и управления получателями. Поэтому участники этих групп ролей могут создавать участников безопасности.
Разрешение на создание групп безопасности или управление их участниками имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания и членства в группе безопасности. По умолчанию эта роль назначена только группе ролей управления организацией. Поэтому только участники группы ролей управления организацией могут создавать группы безопасности и управлять ее участниками.
Можно назначить роль создания получателей почты и роль создания и членства в группе безопасности другим группам ролей, пользователям или универсальным группам безопасности, чтобы разрешить другим пользователям создавать участников безопасности.
Для разрешения управления существующими участниками безопасности в Exchange 2010 роль получателей почты назначается по умолчанию группам ролей управления организацией и управления получателями. Разрешение на управление существующими участниками безопасности имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль получателей почты. Чтобы разрешить другим группам ролей, пользователям и универсальным группам безопасности управлять существующими участниками безопасности, необходимо назначить им роль получателей почты.
Дополнительные сведения о добавлении ролей для групп ролей, пользователей или универсальных групп безопасности см. в следующих разделах.
- Добавление роли в группу ролей
- Добавление роли для пользователя или универсальной группы безопасности
Сведения об переключении модели разделения разрешений на модель разрешений общего доступа см. в разделе Настройка разрешений совместного доступа в Exchange 2010.
В начало
Разделение разрешений
Если в организации существует разграничение управления Exchange и управления Active Directory, необходимо настроить Exchange для поддержки модели разделения разрешений. Если настройка выполнена правильно, только администраторы, которым разрешено создавать участников безопасности, например администраторов Active Directory, смогут создавать их, а также только администраторы Exchange смогут изменять атрибуты Exchange существующих участников безопасности.
В следующей таблице перечислены роли, разрешающие создание участников безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.
Роли управления участниками безопасности
| Роль управления | Группа ролей |
|---|---|
По умолчанию участники групп ролей управления организацией и управления получателями могут создавать участников безопасности. Необходимо передать разрешение на создание участников безопасности из встроенных групп ролей в новую созданную группу ролей.
Чтобы настроить модель разделения разрешений, выполните следующие действия.
- Создайте группу ролей, содержащую администраторов Active Directory, которым будет разрешено создавать участников безопасности.
- Создайте назначения обычной роли и роли делегирования между ролью создания получателей почты и новой группой ролей.
- Создайте назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и новой группой ролей.
- Удалите назначения обычной роли и роли делегирования между ролью создания получателей почты и группами ролей управления организацией и управления получателями.
- Удалите назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и группой ролей управления организацией.
Теперь только участники новой созданной группы ролей смогут создавать участников безопасности, например почтовые ящики. Участники новой группы смогут только создавать объекты. Они не смогут настраивать атрибуты Exchange нового объекта. Администратору Active Directory потребуется создать объект, а затем администратору Exchange необходимо будет настроить атрибуты Exchange этого объекта. Администраторы Exchange не смогут использовать следующие командлеты:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Тем не менее, администраторы Exchange смогут создавать объекты, связанные с Exchange, например правила транспорта и группы рассылки, а также управлять этими объектами.
Чтобы разрешить новой группе ролей управлять атрибутами Exchange нового объекта, этой группе необходимо назначить роль получателей почты.
Дополнительные сведения о настройке модели разделения разрешений см. в разделе Настройка разделенных разрешений в Exchange 2010.
В начало