为拆分权限配置Exchange Server

拆分权限使两个单独的组（如 Active Directory 管理员和 Exchange 管理员）能够管理各自的服务、对象和属性。 Active Directory 管理员管理安全主体（如用户），这种安全主体可提供访问 Active Directory 林的权限。 Exchange 管理员管理 Active Directory 对象上与 Exchange 相关的属性以及 Exchange 特定的对象创建和管理。

Exchange Server 2016 和 Exchange Server 2019 提供以下类型的拆分权限模型：

• RBAC 拆分权限：在 Active Directory 域分区中创建安全主体的权限由基于角色访问控制 (RBAC) 控制。 只有相应角色组的成员才能创建安全主体。

• Active Directory 拆分权限：从任何 Exchange 用户、服务或服务器中完全删除在 Active Directory 域分区中创建安全主体的权限。 RBAC 中未提供用于创建安全主体的任何选项。 必须使用 Active Directory 管理工具在 Active Directory 中创建安全主体。

您选择的模型取决于您组织的结构和需求。 请根据想要配置的模型从下面选择适用的过程。 我们建议您使用 RBAC 拆分权限模型。 RBAC 拆分权限模型提供极大的灵活性，同时还提供与 Active Directory 拆分权限相同的管理分离。

有关共享和拆分权限的详细信息，请参阅 Exchange Server 中的拆分权限。

有关管理角色组、管理角色以及常规和委派管理角色分配的详细信息，请参阅下列主题：

• 了解基于角色的访问控制
• 了解管理角色组
• 了解管理角色
• 了解管理角色分配

开始前，有必要了解什么？

• 估计完成每个步骤时间：5 分钟

• 您必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 角色管理权限主题中的"Active Directory 拆分权限"条目。

• 所选的权限模型将应用于组织中的所有 Exchange 2010 或更高版本服务器。

• 若要下载最新版本的 Exchange，请参阅Exchange Server汇报。

• 若要打开 EAC，请参阅 Exchange Server 中的 Exchange 管理中心中。若要打开 Exchange 命令行管理程序，请参阅打开 Exchange 命令行管理程序。

提示

是否有任何疑问？ 在Exchange Server论坛中寻求帮助。

切换到 RBAC 拆分权限

切换到 RBAC 拆分权限后，只有 Active Directory 管理员才能创建 Active Directory 安全主体。 这意味着 Exchange 管理员不能使用以下 cmdlet：

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

Exchange 管理员将只能管理现有 Active Directory 安全主体上的 Exchange 属性。 但是，他们将能够创建和管理特定于 Exchange 的对象，例如邮件流规则 (也称为传输规则) 和通讯组。 有关详细信息，请参阅在 Exchange Server 中拆分权限中的“RBAC 拆分权限”部分。

若要为 Exchange 配置拆分权限，必须将邮件收件人创建角色和安全组创建和成员身份角色分配给包含 Active Directory 管理员成员的角色组。 然后，必须删除这些角色与任何包含 Exchange 管理员的角色组或通用安全组 (USG) 之间的分配。

若要配置 RBAC 拆分权限，请执行以下步骤：

1. 如果组织当前已针对 Active Directory 拆分权限进行配置，请执行以下步骤：

   1. 在目标服务器上，打开文件资源管理器，右键单击 Exchange ISO 映像文件，然后选择“装载”。 请注意分配的虚拟 DVD 驱动器号。

   2. 打开 Windows 命令提示符窗口。 例如：

      • 同时按 Windows 键和 R 键打开“运行”对话框，键入“cmd.exe”，然后按“确定”。
      • Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

   3. 在命令提示符窗口中，运行以下命令以禁用 Active Directory 拆分权限：

      注意

      • 以前的 /IAcceptExchangeServerLicenseTerms 开关从 2016 Exchange Server 开始和 2019 年 9 月Exchange Server 2021 年 9 月累积汇报 (库) 不起作用。 现在必须使用/IAcceptExchangeServerLicenseTerms_DiagnosticDataON或/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF进行无人参与和脚本安装。

      • 以下示例使用/IAcceptExchangeServerLicenseTerms_DiagnosticDataON开关。 由你将开关更改为/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF。

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. 重启组织中的所有 Exchange 服务器，或等待 Active Directory 访问令牌复制到所有 Exchange 服务器。

2. 在 Exchange 命令行管理程序中执行以下步骤：

   1. 为 Active Directory 管理员创建角色组。 除了创建角色组之外，该命令还可以在新角色组与 Mail Recipient Creation 角色和 Security Group Creation and Membership 角色之间创建常规角色分配。

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      注意

      如果想要使此角色组的成员能够创建角色分配，请添加"角色管理"角色。 现在不必添加此角色。 但是，如果要将"邮件收件人创建"角色或"安全组创建和成员身份"角色分配给其他角色接受者，则必须将"角色管理"角色分配到此新角色组。 以下步骤将"Active Directory Administrators"角色组作为可以委派这些角色的唯一角色组进行配置。

   2. 通过运行以下命令，在新角色组与邮件收件人创建角色与安全组创建和成员身份角色之间创建委派角色分配：

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. 运行以下命令，将成员添加到新角色组：

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. 替换新角色组上的委托列表，以便只有角色组的成员才能通过运行以下命令添加或删除成员：

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      重要

      组织管理 角色组的成员，或者直接或通过另一角色组或 USG 获得 Role Management 角色的成员可以绕过这一委派安全检查。 如果想要阻止所有 Exchange 管理员将其自身添加到该新角色组，则必须删除"角色管理"角色和所有 Exchange 管理员之间的角色分配，并将其分配给另一个角色组。

   5. 通过运行以下命令，查找所有常规角色分配和委派角色分配给邮件收件人创建角色：

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. 通过运行以下命令，删除未与新角色组或任何其他角色组、USG 或要保留的直接分配关联的邮件收件人创建角色的所有常规角色分配和委派角色分配。

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      注意

      如果想要删除所有分配给任何角色接受者（"Active Directory Administrators"角色组除外）的"邮件收件人创建"角色的常规和委派角色分配，请使用以下命令。 WhatIf 开关可让你查看将删除哪些角色分配。 删除 WhatIf 开关，然后再次运行 命令以删除角色分配。

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. 通过运行以下命令，查找所有常规角色分配和委派给安全组创建和成员身份角色。

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. 通过运行以下命令，删除未与新角色组或任何其他角色组、USG 或直接分配关联的安全组创建和成员身份角色分配的所有常规角色分配和委派角色分配：

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      注意

      您可以使用以上注意中的命令，删除所有分配给任何角色分配（"Active Directory Administrators"角色组除外）的"安全组创建和成员身份"角色的常规和委派角色分配，如此示例中所示。

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

有关语法和参数的详细信息，请参阅下列主题：

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

切换到 Active Directory 拆分权限

可以为 Exchange 组织配置 Active Directory 拆分权限。 Active Directory 拆分权限完全删除以下权限：允许 Exchange 管理员和服务器在 Active Directory 中创建安全主体或在这些对象上修改非 Exchange 属性的权限。 配置拆分权限后，将只有 Active Directory 管理员能够创建 Active Directory 安全主体。 这意味着 Exchange 管理员不能使用以下 cmdlet：

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

Exchange 管理员和服务器将只能管理现有 Active Directory 安全主体上的 Exchange 属性。 但是，这些管理员和服务器将能够创建和管理特定于 Exchange 的对象，如传输规则和统一消息拨号计划。

警告

启用 Active Directory 拆分权限后，Exchange 管理员和服务器将不能再在 Active Directory 中创建安全主体，并且他们将不能管理通讯组成员身份。 必须使用具有所需 Active Directory 权限的 Active Directory 管理工具执行这些任务。 在进行此更改之前，应了解它将对与 Exchange 和 RBAC 权限模型集成的管理过程和第三方应用程序产生的影响。

有关详细信息，请参阅在 Exchange Server 中拆分权限中的“Active Directory 拆分权限”部分。

若要从共享权限或 RBAC 拆分权限切换到 Active Directory 拆分权限，请执行以下步骤：

1. 在目标服务器上，打开文件资源管理器，右键单击 Exchange ISO 映像文件，然后选择“装载”。 请注意分配的虚拟 DVD 驱动器号。

2. 在 Windows 命令提示符窗口中，运行以下命令以启用 Active Directory 拆分权限：

   注意

   • 以前的 /IAcceptExchangeServerLicenseTerms 开关从 2016 Exchange Server 开始和 2019 年 9 月Exchange Server 2021 年 9 月累积汇报 (库) 不起作用。 现在必须使用/IAcceptExchangeServerLicenseTerms_DiagnosticDataON或/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF进行无人参与和脚本安装。

   • 以下示例使用/IAcceptExchangeServerLicenseTerms_DiagnosticDataON开关。 由你将开关更改为/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF。

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. 如果组织中有多个 Active Directory 域，则必须在包含 Exchange 服务器或对象的每个子域中运行 Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain ，或者从每个域中具有 Active Directory 服务器的站点运行 Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains 。

4. 重启组织中的所有 Exchange 服务器，或等待 Active Directory 访问令牌复制到所有 Exchange 服务器。