Настройка разрешений совместного доступа в Exchange 2010

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-10-07

Разрешения общего доступа позволяют администратору Exchange Server 2010 создавать участников безопасности Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.

Можно настроить разрешения общего доступа в организации Exchange 2010, если в ней предварительно настроено разделение разрешений. Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2010 по умолчанию.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

• Общие сведения об управлении доступом на основе ролей
• Общие сведения о группах ролей управления
• Общие сведения о ролях управления
• Общие сведения о назначениях ролей управления

Необходимы сведения о других задачах управления, связанных с разрешениями? См. раздел Управление расширенными разрешениями.

Предварительные условия

• В организации Exchange 2010 в настоящее время необходимо настроить разделение разрешений.
• Необходимо иметь разрешения на делегирование ролей управления «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.

Использование командной консоли Exchange для настройки разрешений общего доступа в Exchange 2010

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Примечание.
Невозможно использовать консоль управления Exchange для настройки разрешений общего доступа.

Чтобы настроить разрешения общего доступа в Exchange 2010, необходимо назначить роли «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей, которой также назначена роль получателей почты и участниками которой являются администраторы Exchange 2010. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Настройка разрешений общего доступа

Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.

1. Добавьте группе ролей Управление организацией назначение роли делегирования для роли создания получателей почты с помощью следующей команды.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   

2. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания получателей почты с помощью следующей команды.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   

3. Добавьте группе ролей Управление организацией назначение роли делегирования для роли создания и членства в группе безопасности с помощью следующей команды.

   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   

4. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.

   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Удаление разрешений, предоставленных администраторам Active Directory (необязательно)

Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Для этого выполните следующую процедуру.

Примечание.

Можно удалить разрешения, предоставленные администраторам Active Directory, на управление объектами Active Directory с помощью средств управления Exchange, но администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если им это позволяют разрешения Active Directory. Тем не менее, они не смогут управлять определенными атрибутами Exchange объектов Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях.

Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Active Directory, выполните следующие действия.

1. Найдите назначения обычных ролей и ролей делегирования, которые назначают роль создания получателей почты группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды.

   Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>
   

2. Найдите назначения обычных ролей и ролей делегирования, которые назначают роль создания и членства в группе безопасности группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>
   

3. Удалите назначения обычных ролей и ролей делегирования между ролью создания получателей почты и группой ролей или универсальной группой безопасности, в состав которой входят администраторы Active Directory, с помощью следующей команды.

   Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name>
   Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>
   

4. Удалите назначения обычных ролей и ролей делегирования между ролью создания и членства в группе безопасности и группой ролей или универсальной группой безопасности, в состав которой входят администраторы Active Directory, с помощью следующей команды.

   Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name>
   Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>
   

5. Необязательно. При необходимости удалить все разрешения Exchange, предоставленные администраторам Active Directory, можно удалить группу ролей или универсальную группу безопасности, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Удаление группы ролей.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.