Настройка разрешений совместного доступа в Exchange 2010
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-10-07
Разрешения общего доступа позволяют администратору Exchange Server 2010 создавать участников безопасности Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.
Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.
Можно настроить разрешения общего доступа в организации Exchange 2010, если в ней предварительно настроено разделение разрешений. Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2010 по умолчанию.
Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:
- Общие сведения об управлении доступом на основе ролей
- Общие сведения о группах ролей управления
- Общие сведения о ролях управления
- Общие сведения о назначениях ролей управления
Необходимы сведения о других задачах управления, связанных с разрешениями? См. раздел Управление расширенными разрешениями.
Предварительные условия
- В организации Exchange 2010 в настоящее время необходимо настроить разделение разрешений.
- Необходимо иметь разрешения на делегирование ролей управления «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.
Использование командной консоли Exchange для настройки разрешений общего доступа в Exchange 2010
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
![]() |
---|
Невозможно использовать консоль управления Exchange для настройки разрешений общего доступа. |
Чтобы настроить разрешения общего доступа в Exchange 2010, необходимо назначить роли «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей, которой также назначена роль получателей почты и участниками которой являются администраторы Exchange 2010. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.
Настройка разрешений общего доступа
Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.
Добавьте группе ролей Управление организацией назначение роли делегирования для роли создания получателей почты с помощью следующей команды.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
Добавьте группе ролей Управление организацией назначение обычной роли для роли создания получателей почты с помощью следующей команды.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
Добавьте группе ролей Управление организацией назначение роли делегирования для роли создания и членства в группе безопасности с помощью следующей команды.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.
Удаление разрешений, предоставленных администраторам Active Directory (необязательно)
Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Для этого выполните следующую процедуру.
![]() |
---|
Можно удалить разрешения, предоставленные администраторам Active Directory, на управление объектами Active Directory с помощью средств управления Exchange, но администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если им это позволяют разрешения Active Directory. Тем не менее, они не смогут управлять определенными атрибутами Exchange объектов Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях. |
Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Active Directory, выполните следующие действия.
Найдите назначения обычных ролей и ролей делегирования, которые назначают роль создания получателей почты группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды.
Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>
Найдите назначения обычных ролей и ролей делегирования, которые назначают роль создания и членства в группе безопасности группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>
Удалите назначения обычных ролей и ролей делегирования между ролью создания получателей почты и группой ролей или универсальной группой безопасности, в состав которой входят администраторы Active Directory, с помощью следующей команды.
Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name> Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>
Удалите назначения обычных ролей и ролей делегирования между ролью создания и членства в группе безопасности и группой ролей или универсальной группой безопасности, в состав которой входят администраторы Active Directory, с помощью следующей команды.
Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name> Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>
Необязательно. При необходимости удалить все разрешения Exchange, предоставленные администраторам Active Directory, можно удалить группу ролей или универсальную группу безопасности, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Удаление группы ролей.
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.