了解拆分权限

适用于:Exchange Server 2013

将 Microsoft Exchange Server 2013 对象和 Active Directory 对象管理分开的组织使用所谓的拆分权限模型。 借助拆分权限,组织可以将特定的权限和相关任务分配给组织内的特定组。 这种工作的分离有助于维护标准和工作流,并且有助于控制组织中的变更。

拆分权限的最高级别是 Exchange 管理和 Active Directory 管理的分离。 许多组织都有两个组:管理组织的 Exchange 基础结构(包括服务器和收件人)的管理员,以及管理 Active Directory 基础结构的管理员。 对于许多组织来说,这是一个重要的分离,因为 Active Directory 基础结构通常跨越许多位置、域、服务、应用程序,甚至 Active Directory 林。 Active Directory 管理员必须确保对 Active Directory 所做的更改不会对任何其他服务产生负面影响。 因此,通常只允许一小部分管理员管理该基础结构。

同时,Exchange 的基础结构(包括服务器和收件人)可能也很复杂,需要专业知识。 此外,Exchange 还存储有关组织业务的极其机密的信息。 Exchange 管理员可能会访问此信息。 通过限制 Exchange 管理员的数量,组织会限制谁可以更改 Exchange 配置以及谁可以访问敏感信息。

拆分权限通常区分在 Active Directory 中创建安全主体(例如用户和安全组)以及这些对象的后续配置。 这通过控制谁可以创建授予网络访问权限的对象,有助于减少未经授权访问网络的可能性。 通常只有 Active Directory 管理员可以创建安全主体,而其他管理员(如 Exchange 管理员)可以管理现有 Active Directory 对象上的特定属性。

为了支持将 Exchange 和 Active Directory 的管理分开的不同需求,Exchange 2013 允许你选择是想要共享权限模型还是拆分权限模型。 Exchange 2013 提供两种类型的拆分权限模型:RBAC 和 Active Directory。 Exchange 2013 默认为共享权限模型。

基于角色的访问控制和 Active Directory 的说明

若要了解拆分权限,需要了解 Exchange 2013 中基于角色访问控制 (RBAC) 权限模型如何与 Active Directory 配合使用。 RBAC 模型控制谁可以执行哪些操作,以及可以对哪些对象执行这些操作。 有关本主题中讨论的 RBAC 的各种组件的详细信息,请参阅了解基于角色访问控制

在 Exchange 2013 中,对 Exchange 对象执行的所有任务都必须通过 Exchange 命令行管理程序或 Exchange 管理中心 (EAC) 界面来完成。 这两种管理工具都使用 RBAC 来授权执行的所有任务。

RBAC 是每个运行 Exchange 2013 的服务器上的组件。 RBAC 检查执行操作的用户是否有权执行此操作:

  • 如果用户无权执行操作,则 RBAC 不允许继续操作。

  • 如果用户有权执行操作,则 RBAC 检查用户是否有权对请求的特定对象执行操作:

    • 如果用户获得授权,则 RBAC 允许操作继续。

    • 如果用户未获得授权,则 RBAC 不允许继续操作。

如果 RBAC 允许操作继续,则会在 Exchange 受信任子系统的上下文而不是用户的上下文中执行该操作。 Exchange 受信任子系统是一个高特权通用安全组, (USG) ,对 Exchange 组织中的每个与 Exchange 相关的对象具有读/写访问权限。 它也是管理员本地安全组和 Exchange Windows 权限 USG 的成员,它使 Exchange 能够创建和管理 Active Directory 对象。

警告

不要对 Exchange 受信任子系统安全组的成员身份进行任何手动更改。 此外,请勿将它添加到对象访问控制列表或将其从对象访问控制列表中删除, (ACL) 。 通过自行更改 Exchange 受信任的子系统 USG,可能会对 Exchange 组织造成无法弥补的损害。

请务必了解,用户在使用 Exchange 管理工具时拥有的 Active Directory 权限并不重要。 如果用户有权通过 RBAC 在 Exchange 管理工具中执行操作,则无论其 Active Directory 权限如何,用户都可以执行该操作。 相反,如果用户是 Active Directory 中的企业管理员,但无权在 Exchange 管理工具中执行操作(如创建邮箱),则操作不会成功,因为该用户没有根据 RBAC 所需的权限。

重要

尽管 RBAC 权限模型不适用于Active Directory 用户和计算机管理工具,但Active Directory 用户和计算机无法管理 Exchange 配置。 因此,尽管用户可能有权修改 Active Directory 对象上的某些属性(例如用户的显示名称),但用户必须使用 Exchange 管理工具(因此必须经 RBAC 授权)来管理 Exchange 属性。

共享权限

共享权限模型是 Exchange 2013 的默认模型。 如果这是要使用的权限模型,则无需更改任何内容。 此模型不会将 Exchange 和 Active Directory 对象的管理与 Exchange 管理工具中分开。 它允许管理员使用 Exchange 管理工具在 Active Directory 中创建安全主体。

下表显示了在 Exchange 中启用创建安全主体的角色及其默认分配的管理角色组。

管理角色 角色组
邮件收件人创建角色 组织管理

收件人管理

安全组创建和成员身份角色 组织管理

只有分配有邮件收件人创建角色的角色组、用户或 USG 才能创建 Active Directory 用户等安全主体。 默认情况下,为组织管理和收件人管理角色组分配此角色。 因此,这些角色组的成员可以创建安全主体。

只有分配有安全组创建和成员身份角色的角色组、用户或 USG 才能创建安全组或管理其成员身份。 默认情况下,仅为组织管理角色组分配此角色。 因此,只有组织管理角色组的成员才能创建或管理安全组的成员身份。

如果希望其他用户能够创建安全主体,可以将邮件收件人创建角色和安全组创建和成员身份角色分配给其他角色组、用户或 USG。

若要在 Exchange 2013 中启用对现有安全主体的管理,默认情况下,“邮件收件人”角色分配给“组织管理”和“收件人管理”角色组。 只有分配有邮件收件人角色的角色组、用户或 USG 才能管理现有安全主体。 如果希望其他角色组、用户或 USG 能够管理现有安全主体,则必须为其分配邮件收件人角色。

有关如何将角色添加到角色组、用户或 USG 的详细信息,请参阅以下主题:

如果切换到拆分权限模型并想要改回共享权限模型,请参阅 配置 Exchange 2013 以获取共享权限

拆分权限

如果组织将 Exchange 管理和 Active Directory 管理分开,则需要配置 Exchange 以支持拆分权限模型。 正确配置后,只有想要创建安全主体的管理员(例如 Active Directory 管理员)能够执行此操作,并且只有 Exchange 管理员能够修改现有安全主体上的 Exchange 属性。 权限的这种拆分也大致与 Active Directory 中的域和配置分区大致相同。 分区也称为命名上下文。 域分区存储特定域的用户、组和其他对象。 配置分区存储使用 Active Directory 的服务(如 Exchange)的林范围配置信息。 存储在域分区中的数据通常由 Active Directory 管理员管理,尽管对象可能包含可由 Exchange 管理员管理的特定于 Exchange 的属性。 配置分区中存储的数据由管理员管理,用于存储此分区中的数据的每个相应服务。 对于 Exchange,这通常是 Exchange 管理员。

Exchange 2013 支持以下两种类型的拆分权限:

  • RBAC 拆分权限:在 Active Directory 域分区中创建安全主体的权限由 RBAC 控制。 只有 Exchange 服务器、服务以及适当角色组的成员才能创建安全主体。

  • Active Directory 拆分权限:从任何 Exchange 用户、服务或服务器中完全删除在 Active Directory 域分区中创建安全主体的权限。 RBAC 中未提供用于创建安全主体的任何选项。 必须使用 Active Directory 管理工具在 Active Directory 中创建安全主体。

    重要

    虽然可以通过在安装了 Exchange 2013 的计算机上运行安装程序来启用或禁用 Active Directory 拆分权限,但 Active Directory 拆分权限配置同时适用于 Exchange 2013 和 Exchange 2010 服务器。 但是,它不会对 Microsoft Exchange Server 2007 服务器产生任何影响。

如果你的组织选择使用拆分权限模型而不是共享权限,我们建议使用 RBAC 拆分权限模型。 RBAC 拆分权限模型提供更大的灵活性,同时提供与 Active Directory 拆分权限几乎相同的管理分离,但 Exchange 服务器和服务可以在 RBAC 拆分权限模型中创建安全主体。

系统会询问是否要在安装过程中启用 Active Directory 拆分权限。 如果选择启用 Active Directory 拆分权限,则只能通过重新运行安装程序并禁用 Active Directory 拆分权限来更改为共享权限或 RBAC 拆分权限。 此选项适用于组织中的所有 Exchange 2010 和 Exchange 2013 服务器。

以下部分更详细地介绍了 RBAC 和 Active Directory 拆分权限。

RBAC 拆分权限

RBAC 安全模型修改默认管理角色分配,以将可在 Active Directory 域分区中创建安全主体的人员与在 Active Directory 配置分区中管理 Exchange 组织数据的人员分开。 安全主体(例如具有邮箱和通讯组的用户)可以由作为邮件收件人创建和安全组创建以及成员身份角色的成员的管理员来创建。 这些权限与在 Exchange 管理工具外部创建安全主体所需的权限保持独立。 未分配邮件收件人创建或安全组创建和成员身份角色的 Exchange 管理员仍然可以修改安全主体上的 Exchange 相关属性。 Active Directory 管理员还可以选择使用 Exchange 管理工具创建 Active Directory 安全主体。

Exchange 服务器和 Exchange 受信任的子系统还有权代表用户和与 RBAC 集成的第三方程序在 Active Directory 中创建安全主体。

如果存在以下情况,则 RBAC 拆分权限是组织的最佳选择:

  • 组织不要求仅使用 Active Directory 管理工具执行安全主体创建,并且仅要求由分配有特定 Active Directory 权限的用户执行。

  • 组织允许服务(如 Exchange 服务器)创建安全主体。

  • 你希望通过允许在 Exchange 管理工具中创建邮箱、启用邮件的用户、通讯组和角色组来简化创建邮箱、启用邮件的用户、通讯组和角色组所需的过程。

  • 你想要在 Exchange 管理工具中管理通讯组和角色组的成员身份。

  • 你有第三方程序,这些程序要求 Exchange 服务器能够代表它们创建安全主体。

如果组织需要将 Exchange 和 Active Directory 管理完全分离,其中无法使用 Exchange 管理工具或 Exchange 服务执行 Active Directory 管理,请参阅本主题后面的 Active Directory 拆分权限部分。

从共享权限切换到 RBAC 拆分权限是一个手动过程,其中删除从默认授予安全主体的角色组创建安全主体所需的权限。

下表显示了在 Exchange 中启用创建安全主体的角色及其默认分配的管理角色组。

管理角色 角色组
邮件收件人创建角色 组织管理

收件人管理

安全组创建和成员身份角色 组织管理

默认情况下,组织管理和收件人管理角色组的成员可以创建安全主体。 必须将创建安全主体的功能从内置角色组转移到创建的新角色组。

若要配置 RBAC 拆分权限,必须执行以下操作:

  1. 如果已启用 Active Directory 拆分权限,则禁用该权限。

  2. 创建一个角色组,其中包含能够创建安全主体的 Active Directory 管理员。

  3. 在邮件收件人创建角色和新角色组之间创建常规和委派角色分配。

  4. 在安全组创建和成员身份角色和新角色组之间创建常规和委派角色分配。

  5. 删除邮件收件人创建角色以及组织管理和收件人管理角色组之间的常规和委派管理角色分配。

  6. 删除安全组创建和成员身份角色以及组织管理角色组之间的常规和委派角色分配。

执行此操作后,只有创建的新角色组的成员才能创建安全主体,例如邮箱。 新组只能创建对象。 它将无法在新对象上配置 Exchange 属性。 作为新组成员的 Active Directory 管理员将需要创建对象,然后 Exchange 管理员需要配置该对象的 Exchange 属性。 Exchange 管理员将无法使用以下 cmdlet:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

但是,Exchange 管理员将能够创建和管理特定于 Exchange 的对象(如传输规则、通讯组等),并管理任何对象上的 Exchange 相关属性。

此外,EAC 和Outlook Web App中的关联功能(如“新建邮箱向导”)也将不再可用,或者如果尝试使用它们,将生成错误。

如果希望新角色组也能够管理新对象的 Exchange 属性,还需要将邮件收件人角色分配给新角色组。

有关配置拆分权限模型的详细信息,请参阅 为拆分权限配置 Exchange 2013

Active Directory 拆分权限

使用 Active Directory 拆分权限时,必须使用 Active Directory 管理工具在 Active Directory 域分区(例如邮箱和通讯组)中创建安全主体。 对授予 Exchange 受信任子系统和 Exchange 服务器的权限进行了一些更改,以限制 Exchange 管理员和服务器可执行的操作。 启用 Active Directory 拆分权限时,功能会发生以下更改:

  • 已从 Exchange 管理工具中删除邮箱、启用邮件的用户、通讯组和其他安全主体的创建。

  • 无法从 Exchange 管理工具中添加和删除通讯组成员。

  • 已删除授予 Exchange 受信任子系统和 Exchange 服务器以创建安全主体的所有权限。

  • Exchange 服务器和 Exchange 管理工具只能修改 Active Directory 中现有安全主体的 Exchange 属性。

例如,若要创建启用了 Active Directory 拆分权限的邮箱,必须先由具有所需 Active Directory 权限的用户使用 Active Directory 工具创建用户。 然后,可以使用 Exchange 管理工具为用户启用邮箱。 只有 Exchange 管理员可以使用 Exchange 管理工具修改邮箱的 Exchange 相关属性。

如果存在以下情况,则 Active Directory 拆分权限是组织的最佳选择:

  • 组织要求仅使用 Active Directory 管理工具或仅由在 Active Directory 中被授予特定权限的用户创建安全主体。

  • 你希望将创建安全主体的功能与管理 Exchange 组织的主体完全分开。

  • 你想要使用 Active Directory 管理工具执行所有通讯组管理,包括创建通讯组以及添加和删除这些组的成员。

  • 你不希望 Exchange 服务器或代表其使用 Exchange 的第三方程序创建安全主体。

重要

在从命令行运行时setup.exe,可以使用安装向导或使用 ActiveDirectorySplitPermissions 参数安装 Exchange 2013 时切换到 Active Directory 拆分权限。 安装 Exchange 2013 后,还可以通过从命令行重新运行 setup.exe 来启用或禁用 Active Directory 拆分权限。

若要启用 Active Directory 拆分权限,请将 ActiveDirectorySplitPermissions 参数设置为 true。 若要禁用它,请将其设置为 false。 必须始终指定 PrepareAD 开关以及 ActiveDirectorySplitPermissions 参数。

如果同一林中有多个域,则还必须在应用 Active Directory 拆分权限时指定 PrepareAllDomains 开关,或者在每个域中使用 PrepareDomain 开关运行安装程序。 如果选择在每个域中使用 PrepareDomain 开关而不是使用 PrepareAllDomains 开关运行安装程序,则必须准备包含 Exchange 服务器、已启用邮件的对象或可由 Exchange 服务器访问的全局目录服务器的每个域。

如果已在域控制器上安装 Exchange 2010 或 Exchange 2013,则无法启用 Active Directory 拆分权限。

启用或禁用 Active Directory 拆分权限后,建议重启组织中的 Exchange 2010 和 Exchange 2013 服务器,以强制它们使用更新的权限选取新的 Active Directory 访问令牌。

Exchange 2013 通过从 Exchange Windows 权限安全组中删除权限和成员身份来实现 Active Directory 拆分权限。 此安全组在共享权限和 RBAC 拆分权限中被授予对整个 Active Directory 中的许多非 Exchange 对象和属性的权限。 通过删除此安全组的权限和成员身份,可阻止 Exchange 管理员和服务创建或修改这些非 Exchange Active Directory 对象。

有关在启用或禁用 Active Directory 拆分权限时对 Exchange Windows 权限安全组和其他 Exchange 组件所做的更改的列表,请参阅下表。

注意

启用 Active Directory 拆分权限后,将删除对使 Exchange 管理员能够创建安全主体的角色组的角色分配。 这样做是为了删除对 cmdlet 的访问权限,这些 cmdlet 在运行时会生成错误,因为它们没有创建关联的 Active Directory 对象的权限。

Active Directory 拆分权限更改

操作 Exchange 所做的更改
在首次安装 Exchange 2013 服务器期间启用 Active Directory 拆分权限 通过安装向导或使用 和 /ActiveDirectorySplitPermissions:true 参数运行setup.exe/PrepareAD启用 Active Directory 拆分权限时,会发生以下情况:
  • 将创建名为 Microsoft Exchange Protected Groups 的组织单位 (OU) 。
  • Exchange Windows 权限安全组是在 Microsoft Exchange 受保护的组 OU 中创建的。
  • Exchange 受信任的子系统安全组不会添加到 Exchange Windows 权限安全组。
  • 将跳过创建非委派管理角色分配给具有以下管理角色类型的管理角色:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • 已分配给 Exchange Windows 权限 安全组 (ACE) 的访问控制条目不会添加到 Active Directory 域对象。

如果使用 PrepareAllDomainsPrepareDomain 开关运行安装程序,则每个已准备好的子域都会发生以下情况:

  • 分配给 Exchange Windows 权限 安全组的所有 ACE 将从域对象中删除。
  • ACE 在每个域中设置,但分配给 Exchange Windows 权限 安全组的任何 ACE 除外。
从共享权限或 RBAC 拆分权限切换到 Active Directory 拆分权限 使用 /PrepareAD/ActiveDirectorySplitPermissions:true 参数运行 setup.exe 命令时,会发生以下情况:
  • 将创建名为 Microsoft Exchange Protected Groups 的 OU。
  • Exchange Windows 权限安全组已移动到 Microsoft Exchange 受保护的组 OU。
  • Exchange 受信任的子系统安全组将从 Exchange Windows 权限安全组中删除。
  • 将删除任何非委派角色分配给具有以下角色类型的管理角色:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • 分配给 Exchange Windows 权限 安全组的所有 ACE 将从域对象中删除。

如果使用 PrepareAllDomainsPrepareDomain 开关运行安装程序,则每个已准备的子域都会发生以下情况:

  • 分配给 Exchange Windows 权限 安全组的所有 ACE 将从域对象中删除。
  • ACE 在每个域中设置,但分配给 Exchange Windows 权限 安全组的任何 ACE 除外。
从 Active Directory 拆分权限切换到共享权限或 RBAC 拆分权限 使用 /PrepareAD/ActiveDirectorySplitPermissions:false 参数运行 setup.exe 命令时,会发生以下情况:
  • Exchange Windows 权限安全组已移动到 Microsoft Exchange 安全组 OU。
  • 已删除 Microsoft Exchange 受保护的组 OU。
  • Exchange 受信任的子系统安全组将添加到 Exchange Windows 权限安全组。
  • ACE 将添加到 Exchange Windows 权限 安全组的域对象。

如果使用 PrepareAllDomainsPrepareDomain 开关运行安装程序,则每个已准备的子域都会发生以下情况:

  • ACE 将添加到 Exchange Windows 权限 安全组的域对象。
  • ACE 在每个域中设置,包括分配给 Exchange Windows 权限 安全组的 ACE。

从 Active Directory 拆分切换到共享权限时,不会自动创建邮件收件人创建和安全组创建和成员身份角色的角色分配。 如果在启用 Active Directory 拆分权限之前自定义了委派角色分配,则这些自定义项保持不变。 若要在这些角色和组织管理角色组之间创建角色分配,请参阅 配置 Exchange 2013 以获取共享权限

启用 Active Directory 拆分权限后,以下 cmdlet 将不再可用:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

启用 Active Directory 拆分权限后,可以访问以下 cmdlet,但不能使用这些 cmdlet 创建通讯组或修改通讯组成员身份:

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

某些 cmdlet 虽然仍可用,但仅在与 Active Directory 拆分权限一起使用时提供有限的功能。 这是因为它们可能允许你配置域 Active Directory 分区中的收件人对象和配置 Active Directory 分区中的 Exchange 配置对象。 它们还可能允许你在域分区中存储的对象上配置与 Exchange 相关的属性。 尝试使用 cmdlet 在域分区中创建对象或修改对象上的非 Exchange 相关属性将导致错误。 例如,如果尝试向邮箱添加权限, Add-ADPermission cmdlet 将返回错误。 但是,如果在接收连接器上配置权限, 则 Add-ADPermission cmdlet 将成功。 这是因为邮箱存储在域分区中,而接收连接器存储在配置分区中。

此外,Exchange 管理中心和Outlook Web App中的关联功能(如“新建邮箱”向导)也将不再可用,或者如果尝试使用它们,将生成错误。

但是,Exchange 管理员将能够创建和管理特定于 Exchange 的对象,例如传输规则等。

有关配置 Active Directory 拆分权限模型的详细信息,请参阅 为拆分权限配置 Exchange 2013