Настройка разделенных разрешений в Exchange 2010
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-10-07
Благодаря раздельным разрешениям можно включить две отдельные группы, например администраторов Active Directory и администраторов Microsoft Exchange Server 2010, для управления соответствующими службами, объектами и атрибутами. Администраторы Active Directory управляют участниками безопасности, например пользователями, которые предоставляют разрешения на доступ к лесу Active Directory. Администраторы Exchange управляют атрибутами, связанными с Exchange, на объектах Active Directory, а также отвечают за создание и контроль объектов, относящихся к Exchange.
Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.
Можно настроить организацию Exchange 2010 для разделения разрешений. После завершения настройки только администраторы Active Directory смогут создавать участников безопасности Active Directory. Это означает, что администраторы Exchange не смогут использовать следующие командлеты:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Администраторы Exchange будут управлять только атрибутами Exchange для существующих участников безопасности Active Directory. Однако они смогут создавать объекты, связанные с Exchange, например правила транспорта и группы рассылки, а также управлять этими объектами.
Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:
- Общие сведения об управлении доступом на основе ролей
- Общие сведения о группах ролей управления
- Общие сведения о ролях управления
- Общие сведения о назначениях ролей управления
Необходимы сведения о других задачах управления, связанных с разрешениями? См. раздел Управление расширенными разрешениями.
Использование командной консоли для настройки Exchange 2010 для разделения разрешений
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.
Примечание. |
---|
Невозможно использовать консоль управления Exchange для настройки разделения разрешений. |
Для настройки в Exchange 2010 разделения разрешений необходимо группе ролей назначить роль создания получателей почты и роль создания и участия в группе безопасности, которая также содержит участников, являющихся администраторами Active Directory. После этого необходимо удалить назначения между этими ролями и любой группой ролей или универсальной группой безопасности (USG), содержащей администраторов Exchange.
Чтобы настроить разделение разрешений, выполните следующие действия:
Создайте группу ролей для администраторов Active Directory. Кроме создания группы ролей, команда создает стандартные назначения ролей между новой группой ролей и ролью создания получателей почты, а также ролью создания и участия в группе безопасности.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"
Создайте назначение роли делегирования между новой группой ролей и ролью создания получателей почты с помощью следующей команды.
New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
Создайте назначение роли делегирования между новой группой ролей и ролью создания и участия в группе безопасности с помощью следующей команды.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
Добавьте участников в новую группу ролей с помощью следующей команды.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Замените список делегатов на новую группу ролей, чтобы только участники группы ролей могли добавлять или удалять участников.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Важно!
Участники группы ролей Управление организацией, а также те, которым назначена роль управления ролями напрямую или через другую группу ролей либо универсальную группу безопасности, могут пропускать проверку безопасности делегатов. Чтобы помешать администратору Exchange добавить себя в новую группу ролей, необходимо удалить назначение роли между ролью управления ролями и любым администратором Exchange, а затем назначить ее другой группе.
Найдите все назначения стандартных ролей и назначения ролей делегирования для роли создания получателей почты с помощью следующей команды.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation"
Удалите все назначения стандартных ролей и ролей делегирования для роли создания получателей почты, не связанные с новой группой ролей или с любыми другими группами, универсальными группами безопасности или прямыми назначениями, которые необходимо сохранить, с помощью следующей команды.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Найдите все назначения стандартных ролей и назначения ролей делегирования для роли создания и управления группой безопасности с помощью следующей команды.
Get-ManagementRoleAssignment -Role "Security Group Creation and Management"
Удалите все назначения стандартных ролей и ролей делегирования для роли создания и управления группой безопасности, не связанные с новой группой ролей или с любыми другими группами, универсальными группами безопасности или прямыми назначениями, которые необходимо сохранить, с помощью следующей команды.
Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>
Подробные сведения о синтаксисе и параметрах см. в следующих разделах: