配置 Exchange 2010 的共享权限

 

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2012-07-23

共享权限使您（作为 Microsoft Exchange Server 2010 管理员）可以创建 Active Directory 安全主体（如用户），然后将这些安全主体配置为 Exchange 收件人。与拆分权限不同，拆分权限是在 Exchange 管理员组和 Active Directory 管理员组之间分离管理任务，而使用共享权限则不会分离任务。

有关共享和拆分权限的详细信息，请参阅了解拆分权限。

如果您之前为您的组织设置了拆分权限，则可以为您的 Exchange 2010 组织配置共享权限。根据您当前使用的是基于角色的访问控制 (RBAC) 拆分权限还是 Active Directory 拆分权限，切换到共享权限的过程会有所不同。选择以下适用于您的当前配置的过程。如果符合以下条件，则您的组织使用的是 Active Directory 拆分权限：

• 存在 Microsoft Exchange 保护组组织单位 (OU)。

• ExchangeWindows 权限安全组位于 Microsoft Exchange 保护组 OU 中。

• Exchange 受信任子系统安全组是 Exchange Windows 权限安全组的成员。

• 没有针对“邮件收件人创建”角色和“安全组创建和成员身份”角色的常规管理角色分配。

如果您从未为您的组织配置过拆分权限，则无须执行这一过程。Exchange 2010 默认配置共享权限。

有关管理角色组、管理角色以及常规和委派管理角色分配的详细信息，请参阅下列主题：

• 了解基于角色的访问控制

• 了解管理角色组

• 了解管理角色

• 了解管理角色分配

若要了解与权限相关的其他管理任务，请查看管理高级权限。

先决条件

• 当前必须已为 RBAC 或 Active Directory 拆分权限配置了 Exchange 2010 组织。

• 您必须拥有将“邮件收件人创建”管理角色和“安全组创建和成员身份”管理角色委派给 组织管理 管理角色组或另一个分配了“邮件收件人”角色的角色组的权限。

从 RBAC 拆分权限切换到共享权限

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅角色管理权限主题中的“角色组”条目。

注意：
不能使用 EMC 从 RBAC 拆分权限切换到共享权限。

要从 RBAC 拆分权限切换到 Exchange 2010 共享权限，必须将“邮件收件人创建”角色和“安全组创建和成员身份”角色分配给这样一个角色组：该角色组也已经分配了“邮件收件人”角色并且成员之中包括 Exchange 2010 管理员。在默认共享权限配置中，组织管理 角色组包含上述所有角色。因此，此过程将使用 组织管理 角色组。

配置共享权限

若要在 组织管理 角色组上配置共享权限，请使用特定帐户执行以下操作，该帐户必须拥有委派“邮件收件人创建”角色和“安全组创建和成员身份”角色的角色分配的权限：

1. 使用以下命令向 组织管理 角色组添加“邮件收件人创建”角色和“安全组创建和成员身份”角色的委派角色分配。

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   注意：
   必须为包含“邮件收件人创建”角色和“安全组创建和成员身份”角色的委派角色分配的角色组（此过程中的 Active Directory 管理员角色组）分配“角色管理”角色来运行 New-ManagementRoleAssignment cmdlet。可以委派“角色管理”角色的角色受理人必须将该角色分配给 Active Directory 管理员角色组。

2. 使用以下命令向 组织管理 和 收件人管理 角色组添加“邮件收件人创建”角色的常规角色分配。

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. 使用以下命令向 组织管理 角色组添加“安全组创建和成员身份”角色的常规角色分配。

   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

删除 Active Directory 管理员的权限（可选）

如果不再希望 Active Directory 管理员能够使用 Exchange 管理工具创建或管理 Active Directory 对象，您可以选择删除授予他们的权限。如果要删除 Active Directory 管理员的权限，请执行此过程。

注意：
虽然您可以删除 Active Directory 管理员的权限，使其不能使用 Exchange 管理工具管理 Active Directory 对象，但如果其 Active Directory 权限允许，Active Directory 管理员仍可以继续使用 Active Directory 管理工具管理 Active Directory 对象。然而，他们将无法管理 Active Directory 对象上特定于 Exchange 的属性。有关详细信息，请参阅了解拆分权限。

若要删除 Active Directory 管理员与 Exchange 相关的拆分权限，请执行下列操作：

1. 使用以下命令删除将“邮件收件人创建”角色分配给成员之中包含 Active Directory 管理员的角色组或通用安全组 (USG) 的常规角色分配和委派角色分配。此命令使用 Active Directory 管理员角色组作为一个示例。WhatIf 开关使您能够看到将删除哪些角色分配。删除 WhatIf 开关，然后再次运行命令来删除角色分配。

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

2. 使用以下命令删除将“安全组创建和成员身份”角色分配给成员之中包含 Active Directory 管理员的角色组或 USG 的常规角色分配和委派角色分配。此命令使用 Active Directory 管理员角色组作为一个示例。WhatIf 开关使您能够看到将删除哪些角色分配。删除 WhatIf 开关，然后再次运行命令来删除角色分配。

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

3. 可选。如果要删除 Active Directory 管理员的所有 Exchange 权限，您可以删除这些管理员作为其中成员的角色组或 USG。有关如何删除角色组的详细信息，请参阅删除角色组。

有关语法和参数的详细信息，请参阅 Get-ManagementRoleAssignment 和 Remove-ManagementRoleAssignment。

从 Active Directory 拆分权限切换到共享权限

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅角色管理权限主题中的“Active Directory 拆分权限”。

注意：
不能使用 EMC 从 Active Directory 拆分权限切换到共享权限。

要从 Active Directory 拆分权限切换到 Exchange 2010 共享权限，必须重新运行 Exchange 安装以在 Exchange 组织中禁用 Active Directory 拆分权限，然后在角色组与“邮件收件人创建”角色和“安全组创建和成员身份”角色之间创建角色分配。在默认共享权限配置中，组织管理 角色组包含上述所有角色。因此，此过程将使用 组织管理 角色组。

重要说明：
此过程中的 setup.com 命令对 Active Directory 进行更改。必须使用具有进行这些更改所需的权限的帐户。此帐户不能是有权使用 New-ManagementRoleAssignment cmdlet 创建角色分配的帐户。使用具有成功完成这一过程的每一步骤所需的权限的帐户。

要从 Active Directory 拆分权限切换到共享权限，请执行以下操作：

1. 从 Windows 命令外壳，从 Exchange 2010 SP1 安装媒体运行以下命令来禁用 Active Directory 拆分权限。

   setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
   

2. 从 Exchange 命令行管理程序，运行以下命令来添加“邮件收件人创建”角色和“安全组创建和成员身份”角色与 组织管理 及 收件人管理 角色组之间的常规角色分配。

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

3. 重新启动组织中的 Exchange 2010 服务器。

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

 © 2010 Microsoft Corporation。保留所有权利。