設定分割許可權的Exchange Server

分割許可權可讓 Active Directory 系統管理員和 Exchange 系統管理員等兩個不同的群組管理其各自的服務、物件和屬性。 Active Directory Administrators 管理安全性主體 (例如使用者)，提供存取 Active Directory 樹系的權限。 Exchange Administrators 管理 Active Directory 物件上與 Exchange 相關的屬性，以及建立和管理 Exchange 特定的物件。

Exchange Server 2016 和 Exchange Server 2019 提供下列類型的分割許可權模型：

• RBAC 分割權限：在 Active Directory 網域分割區中建立安全性主體的許可權是由角色型存取控制 (RBAC) 所控制。 只有屬於適當角色群組成員的人員可以建立安全性主體。

• Active Directory 分割許可權：在 Active Directory 網域分割區中建立安全性主體的許可權會從任何 Exchange 使用者、服務或伺服器完全移除。 建立安全性主體的 RBAC 不提供的任何選項。 使用Active Directory管理工具必須執行Active Directory中的安全性主體的建立。

您選擇的模型取決於組織的結構和需求。 選擇下列適用于您想要設定之模型的程式。 建議您使用 RBAC 分割許可權模型。 RBAC 分割許可權模型提供更大的彈性，同時提供與 Active Directory 分割許可權相同的系統管理區隔。

如需共用許可權和分割許可權的詳細資訊，請參閱在Exchange Server中分割許可權。

如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊，請參閱下列主題：

• 了解角色型存取控制
• 了解管理角色群組
• 了解管理角色
• 了解管理角色指派

開始之前有哪些須知？

• 每項程序的預估完成時間：5 分鐘

• 您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的權限，請參閱 角色管理權限主題中的「Active Directory 分割權限」項目。

• 您選取的許可權模型將會套用至組織中的所有 Exchange 2010 或更新版本伺服器。

• 若要下載最新版的 Exchange，請參閱 Exchange Server 的更新。

• 若要開啟 Exchange 管理命令介面，請參閱 開啟 Exchange 管理命令介面。

提示

有問題嗎？ 在Exchange Server論壇中尋求協助。

切換至 RBAC 分割權限

切換至 RBAC 分割許可權之後，只有 Active Directory 系統管理員能夠建立 Active Directory 安全性主體。 這表示 Exchange 系統管理員將無法使用下列 Cmdlet：

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

Exchange 系統管理員只能管理現有 Active Directory 安全性主體上的 Exchange 屬性。 不過，他們可以建立和管理 Exchange 特定物件，例如郵件流程規則 (也稱為傳輸規則) 和通訊群組。 For more information, see the "RBAC Split Permissions" section in Split permissions in Exchange Server.

若要設定 Exchange 的分割許可權，您必須將郵件收件者建立角色和安全性群組建立和成員資格角色指派給包含 Active Directory 系統管理員成員的角色群組。 接著，您必須移除這些角色與任何角色群組或通用安全性群組之間的指派， (包含 Exchange 系統管理員的 USG) 。

若要設定 RBAC 分割許可權，請執行下列步驟：

1. 如果您的組織目前已設定 Active Directory 分割許可權，請執行下列步驟：

   1. 在目標伺服器上，開啟 [檔案總管]，以滑鼠右鍵按一下 Exchange ISO 影像檔案，然後選取 [掛接]。 請記下已指派的虛擬 DVD 光碟機號。

   2. 開啟 Windows 命令提示字元視窗。 例如：

      • 按 Windows 鍵 + 'R' 以開啟 [執行] 對話方塊中，輸入 cmd.exe，然後按 [確定]。
      • 按 [開始]。 在 [ 搜尋] 方 塊中，輸入 命令提示字元，然後在結果清單中選取 [ 命令提示字元]。

   3. 在 [命令提示字元] 視窗中，執行下列命令以停用 Active Directory 分割許可權：

      注意事項

      • 從 Exchange Server 2016 Exchange Server 和 2019 年 9 月 2019 年 9 月累積更新 (SU) 開始，先前的/IAcceptExchangeServerLicenseTerms參數將無法運作。 您現在必須使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 或 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF 進行自動和指令碼安裝。

      • 下列範例使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 切換。 您可將開關變更為 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF。

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. 重新開機您組織中的所有 Exchange 伺服器，或等候 Active Directory 存取權杖複寫到您的所有 Exchange 伺服器。

2. 在 Exchange 管理命令介面中執行下列步驟：

   1. 建立 Active Directory 系統管理員的角色群組。 除了建立角色群組之外，此命令還會在新角色群組與郵件收件者建立角色與安全性群組建立和成員資格角色之間建立一般角色指派。

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      注意事項

      如果您想要讓此角色群組的成員能夠建立角色指派，請包含角色管理角色。 您現在不需要新增此角色。 不過，如果您想要將郵件收件者建立角色或安全性群組建立和成員資格角色指派給其他角色指派者，則必須將角色管理角色指派給這個新的角色群組。 後續步驟會將 Active Directory 系統管理員角色群組設定為唯一可以委派這些角色的角色群組。

   2. 執行下列命令，在新的角色群組與郵件收件者建立角色與安全性群組建立與成員資格角色之間建立委派角色指派：

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. 執行下列命令，將成員新增至新角色群組：

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. 取代新角色群組上的委派清單，讓只有角色群組的成員可以執行下列命令來新增或移除成員：

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      重要事項

      組織管理角色群組的成員，或直接或透過另一個角色群組或 USG 指派角色管理角色的成員，都可以略過此委派安全性檢查。 如果您想要防止任何 Exchange 系統管理員加入新的角色群組，您必須移除角色管理角色與任何 Exchange 系統管理員之間的角色指派，並將其指派給另一個角色群組。

   5. 執行下列命令，尋找所有一般和委派的角色指派給郵件收件者建立角色：

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. 執行下列命令，移除與新角色群組或任何其他角色群組、USG 或您想要保留之直接指派相關聯之郵件收件者建立角色的所有一般和委派角色指派。

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      注意事項

      如果您想要在 Active Directory 系統管理員角色群組以外的任何角色指派者上移除所有一般和委派角色指派給郵件收件者建立角色，請使用下列命令。 WhatIf參數可讓您查看將移除哪些角色指派。 移除 WhatIf 參數，然後再次執行命令以移除角色指派。

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. 執行下列命令，尋找安全性群組建立和成員資格角色的所有一般和委派角色指派。

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. 執行下列命令，移除與新角色群組或任何其他角色群組、USG 或您想要保留之直接指派相關聯的安全性群組建立和成員資格角色的所有一般和委派角色指派：

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      注意事項

      您可以使用前面附註中的同一命令，針對任何角色受託人 (非 Active Directory Administrators 角色群組) 移除「安全性群組建立及成員資格」角色的所有一般和委派角色指派，如以下範例所示。

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

如需詳細的語法及參數資訊，請參閱下列主題：

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

切換至 Active Directory 分割權限

您可以為 Exchange 組織設定 Active Directory 分割許可權。 Active Directory 分割許可權會完全移除允許 Exchange 系統管理員和伺服器在 Active Directory 中建立安全性主體或修改這些物件上非 Exchange 屬性的許可權。 完成時，只有 Active Directory 系統管理員能夠建立 Active Directory 安全性主體。 這表示 Exchange 系統管理員將無法使用下列 Cmdlet：

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

Exchange 系統管理員和伺服器只能管理現有 Active Directory 安全性主體上的 Exchange 屬性。 不過，它們將能夠建立和管理 Exchange 特定物件，例如傳輸規則和整合通訊撥號對應表。

警告

啟用 Active Directory 分割許可權之後，Exchange 系統管理員和伺服器將無法再于 Active Directory 中建立安全性主體，而且他們將無法管理通訊群組成員資格。 這些工作必須使用具有必要 Active Directory 許可權的 Active Directory 管理工具來執行。 進行這項變更之前，您應該先瞭解它對系統管理程式以及與 Exchange 和 RBAC 許可權模型整合的協力廠商應用程式的影響。

如需詳細資訊，請參閱在Exchange Server 中分割許可權中的 Active Directory 分割許可權>一節。

若要從共用或 RBAC 分割許可權切換為 Active Directory 分割許可權，請執行下列步驟：

1. 在目標伺服器上，開啟 [檔案總管]，以滑鼠右鍵按一下 Exchange ISO 影像檔案，然後選取 [掛接]。 請記下已指派的虛擬 DVD 光碟機號。

2. 在 Windows 命令提示字元視窗中，執行下列命令以啟用 Active Directory 分割許可權：

   注意事項

   • 從 Exchange Server 2016 Exchange Server 和 2019 年 9 月 2019 年 9 月累積更新 (SU) 開始，先前的/IAcceptExchangeServerLicenseTerms參數將無法運作。 您現在必須使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 或 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF 進行自動和指令碼安裝。

   • 下列範例使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 切換。 您可將開關變更為 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF。

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. 如果您的組織中有多個 Active Directory 網域，您必須在 Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain 包含 Exchange 伺服器或物件的每個子域中執行，或 Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains 從每個網域具有 Active Directory 伺服器的網站執行。

4. 重新開機組織中的所有 Exchange 伺服器，或等候 Active Directory 存取權杖複寫到所有 Exchange 伺服器。