了解拆分权限
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-12-06
组织使用所谓的拆分权限模型拆分 Microsoft Exchange Server 2010 对象和 Active Directory 对象的管理。拆分权限使组织可以将特定的权限和相关任务分配给该组织中的特定组。这种工作的分离有助于维护标准和工作流,并且有助于控制组织中的更改。
拆分权限的最高级别是 Exchange 管理和 Active Directory 管理的分离。许多组织都有两个组:管理组织的 Exchange 基础结构(包括服务器和收件人)的管理员,以及管理 Active Directory 基础结构的管理员。对于许多组织而言,这种工作分离很重要,因为 Active Directory 基础结构通常会跨多个位置、域、服务、应用程序甚至 Active Directory 林。Active Directory 管理员必须确保对 Active Directory 进行的更改不会对其他任何服务产生负面影响。因此,通常仅允许一小组的管理员管理该基础结构。
同时,Exchange 的基础结构(包括服务器和收件人)也可能较为复杂,需要有专业知识的人员进行管理。此外,Exchange 存储了有关组织业务的高度机密信息。Exchange 管理员可能访问该信息。通过限制 Exchange 管理员的人数,组织可以限制能够更改 Exchange 配置以及能够访问敏感信息的人员。
拆分权限通常会区分 Active Directory 中安全主体(如用户和安全组)的创建和对这些对象的后续配置。通过控制能够创建对象(授予网络访问权限)的人员,有助于降低未经授权访问网络的可能性。大多数情况下,只有 Active Directory 管理员能够创建安全主体,而 Exchange 管理员等其他管理员则可以管理现有 Active Directory 对象上的特定属性。
为支持 Exchange 和 Active Directory 管理分离的不同需求,Exchange 2010 使您可以在共享权限模型和拆分权限模型之间进行选择。Exchange 2010 默认为共享权限模型。
目录
- 基于角色的访问控制和 Active Directory 的说明
- 共享权限
- 拆分权限
基于角色的访问控制和 Active Directory 的说明
要了解拆分权限,您需要了解 Exchange 2010 中的基于角色的访问控制 (RBAC) 权限模型如何与 Active Directory 协同工作。RBAC 模型控制每个人员可以执行的具体操作以及这些操作所适用的对象。有关本主题中所讨论的多个 RBAC 组件的详细信息,请参阅了解基于角色的访问控制。
在 Exchange 2010 中,对 Exchange 对象执行的所有任务必须通过 Exchange 管理控制台、Exchange 命令行管理程序或 Exchange Web 管理界面来完成。其中的每个管理工具均使用 RBAC 对所执行的所有任务进行授权。
RBAC 是存在于每个运行 Exchange 2010 的服务器上的组件。RBAC 检查用户执行某个操作是否得到授权:
- 如果用户未得到授权执行此操作,RBAC 将不允许操作继续进行。
- 如果用户已获得执行此操作的授权,RBAC 将检查用户是否已获得对所请求的特定对象执行此操作的授权:
- 如果用户已得到授权,RBAC 将允许操作继续进行。
- 如果用户未得到授权,RBAC 将不允许操作继续进行。
如果 RBAC 允许某个操作继续进行,则该操作将在 Exchange 受信任子系统的上下文而不是用户的上下文中执行。Exchange 受信任子系统是一个具有高权限的通用安全组 (USG),对 Exchange 组织中所有与 Exchange 相关的对象具有读/写访问权限。它还是 Administrators 本地安全组和 Exchange Windows 权限 USG 的成员,允许 Exchange 创建和管理 Active Directory 对象。
警告
不得将 Exchange 受信任子系统 USG 从任何安全组中删除,也不得将其从任何对象的访问控制列表 (ACL) 中删除。Exchange 依赖 Exchange 受信任子系统 USG 才能正常运行。如果从任何组或对象 ACL 中删除 Exchange 受信任子系统 USG,可能会对 Exchange 组织造成无法修复的损坏。
请务必了解,用户在使用 Exchange 管理工具时所具有的 Active Directory 权限并不重要。如果用户已通过 RBAC 获得授权在 Exchange 管理工具中执行某个操作,则无论该用户的 Active Directory 权限如何,他/她都可以执行该操作。反之,如果用户是 Active Directory 中的 Enterprise Admin,但未得到在 Exchange 管理工具中执行某个操作(如创建邮箱)的授权,则该操作无法成功执行,因为该用户不具备 RBAC 所要求的权限。
重要
虽然 RBAC 权限模型不适用于“Active Directory 用户和计算机”管理工具,但“Active Directory 用户和计算机”无法管理 Exchange 配置。因此,虽然某个用户可能具有修改 Active Directory 对象上某些属性(如用户的显示名称)的权限,但该用户必须使用 Exchange 管理工具才能管理 Exchange 属性,因此必须获得 RBAC 的授权。
返回顶部
共享权限
共享权限模型是 Exchange 2010 的默认模型。如果这正是您要使用的权限模型,则无需进行任何更改。此模型不会将 Exchange 和 Active Directory 对象的管理从 Exchange 管理工具中分离。它允许管理员使用 Exchange 管理工具在 Active Directory 中创建安全主体。
下表显示了可在 Exchange 中创建安全主体的角色及其默认分配到的管理角色组。
安全主体管理角色
| 管理角色 | 角色组 |
|---|---|
仅分配有邮件收件人创建角色的角色组、用户或 USG 可以创建安全主体(如 Active Directory 用户)。默认情况下,组织管理和收件人管理角色组分配有此角色。因此,这些角色组的成员可以创建安全主体。
仅分配有安全组创建和成员身份角色的角色组、用户或 USG 可以创建安全组或管理其成员身份。默认情况下,仅组织管理角色组分配有此角色。因此,仅组织管理角色组的成员可以创建或管理安全组的成员身份。
如果希望其他用户能够创建安全主体,可将邮件收件人创建角色和安全组创建和成员身份角色分配到其他角色组、用户或 USG。
为管理 Exchange 2010 中的现有安全主体,邮件收件人角色会默认分配到组织管理和收件人管理角色组。仅分配有邮件收件人角色的角色组、用户或 USG 可以管理现有安全主体。如果希望其他角色组、用户或 USG 能够管理现有安全主体,则必须为其分配邮件收件人角色。
有关如何将角色添加到角色组、用户或 USG 的详细信息,请参阅以下主题:
如果已切换到拆分权限模型但希望改回到共享权限模型,请参阅配置 Exchange 2010 的共享权限。
返回顶部
拆分权限
如果组织将 Exchange 管理和 Active Directory 管理分离,则需要配置 Exchange 以支持拆分权限模型。如果已正确配置,则只有您希望创建安全主体的管理员(如 Active Directory 管理员)可以执行此操作,且只有 Exchange 管理员可以修改现有安全主体上的 Exchange 属性。
下表显示了可在 Exchange 中创建安全主体的角色及其默认分配到的管理角色组。
安全主体管理角色
| 管理角色 | 角色组 |
|---|---|
默认情况下,组织管理和收件人管理角色组的成员可以创建安全主体。必须将创建安全主体的权限从内置角色组转移到新创建的角色组。
若要配置拆分权限模型,必须执行以下操作:
- 创建角色组,其中将包含能够创建安全主体的 Active Directory 管理员。
- 在邮件收件人创建角色和新角色组之间创建常规角色分配和委派角色分配。
- 在安全组创建和成员身份角色和新角色组之间创建常规角色分配和委派角色分配。
- 删除邮件收件人创建角色以及组织管理和收件人管理角色组之间的常规管理角色分配和委派管理角色分配。
- 删除安全组创建和成员身份角色和组织管理角色组之间的常规角色分配和委派角色分配。
完成此操作后,只有新创建角色组的成员能够创建邮箱等安全主体。新组将仅能够创建对象。它将无法配置新对象上的 Exchange 属性。Active Directory 管理员将需要创建对象,然后 Exchange 管理员将需要配置对象上的 Exchange 属性。Exchange 管理员将无法使用以下 cmdlet:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
但是,Exchange 管理员将能够创建和管理特定于 Exchange 的对象,如传输规则和通讯组等。
如果希望新角色组也能够管理新对象上的 Exchange 属性,则还需要将邮件收件人角色分配到新角色组。
有关配置拆分权限模型的详细信息,请参阅配置 Exchange 2010 的拆分权限。
返回顶部