Exchange Server 中的分割權限
分隔Exchange Server 2016 和 Exchange Server 2019 物件和 Active Directory 物件管理的組織,會使用所謂的分割許可權模型。 分割權限可以讓組織對組織內的特定群組指派特定權限和相關的工作。 此區分工作協助維護標準與工作流程,並協助控制變更組織中。
最高的分割權限層級是Exchange管理和Active Directory管理的區隔。 許多組織有兩個群組: 管理組織的Exchange基礎結構,包括伺服器與收件者的管理員與管理Active Directory基礎結構的管理員。 這是許多組織的重要分離因為Active Directory基礎結構通常跨越多位置、 網域、 服務、 應用程式以及即使Active Directory樹系。 Active Directory系統管理員必須確定Active Directory所做的變更不造成負面影響任何其他服務。 因此,通常只有一小群管理員允許來管理該基礎結構。
同時, Exchange,包括伺服器與收件者] 的基礎結構可以也會很複雜且需要專業的知識。 此外, Exchange儲存之組織的業務的極機密資訊。 Exchange管理員可能可以存取此資訊。 限制Exchange管理員數目、 組織限制誰可以對Exchange組態中的變更及可存取敏感資訊的人員。
分割權限通常會進行建立Active Directory,例如使用者和安全性群組,以及這些物件的後續組態中的安全性主體之間的差別。 這有助於減少未經授權存取的網路控制誰可以建立授與存取權給它的物件。 大部分通常只Active Directory系統管理員可以建立同時其他管理員,例如Exchange系統管理員的安全性主體,可以管理現有的Active Directory物件的特定屬性。
為了支援區分 Exchange 和 Active Directory 管理的不同需求,Exchange 可讓您選擇要共用許可權模型或分割許可權模型。 Exchange 提供兩種類型的分割許可權模型:RBAC 和 Active Directory。 Exchange 預設為共用許可權模型。
說明角色型存取控制及 Active Directory
若要瞭解分割許可權,您必須瞭解角色型存取控制 (RBAC) Exchange 中的許可權模型如何與 Active Directory 搭配運作。 RBAC 模型控制項誰可以執行的動作,以及哪些物件上都執行這些動作。 如需本主題中所討論之 RBAC 各種元件的詳細資訊,請參閱Exchange Server許可權。
在 Exchange 物件上執行的所有工作都必須透過 Exchange 管理命令介面或 Exchange 系統管理中心 (EAC) 介面來完成。 這兩種管理工具使用 RBAC 以授權所執行的所有工作。
RBAC 是存在於每個 Exchange 伺服器上的元件。 RBAC 會檢查是否要執行這項操作授權使用者執行的動作:
如果使用者不已授權可執行的動作,RBAC 不允許進行的動作。
如果使用者有權執行動作,RBAC 會檢查使用者是否有權執行對所要求的特定物件的動作:
如果使用者已獲得授權,RBAC 允許要繼續執行的動作。
如果未授權使用者,RBAC 不允許進行的動作。
如果 RBAC 允許繼續進行的動作,是Exchange受信任子系統的內容而不是使用者的內容中執行的動作。 Exchange受信任子系統是高權萬用安全性群組 (USG) 可讀取/寫入存取每個Exchange- Exchange組織中的相關的物件。 它也是系統管理員本機安全性群組與Exchange Windows 權限 USG,可讓Exchange來建立及管理Active Directory物件的成員。
警告
未變更任何手動對Exchange受信任子系統安全性群組的成員資格。 此外,不將它新增或移除物件的存取控制清單 (Acl)。 變更Exchange受信任子系統 USG 自行,您就會造成造成無法挽回的損害Exchange組織。
請務必了解並不重要Active Directory權限的使用者具有時使用Exchange管理工具。 若授權使用者,透過 RBAC,若要執行巨集指令中Exchange管理工具] 中上的使用者可以執行不論其Active Directory權限的巨集指令。 相反地,如果使用者是企業系統管理員在Active Directory中但不已授權可執行的動作,例如Exchange中管理工具] 建立信箱,巨集指令會將不會成功因為使用者沒有根據 RBAC 的必要權限。
重要事項
雖然的 RBAC 權限模型不會套用至Active Directory使用者和電腦管理工具, Active Directory使用者及電腦無法管理Exchange組態。 S,雖然使用者可以存取修改 Active Directory 物件上的某些屬性,例如使用者的顯示名稱,但使用者必須使用 Exchange 管理工具,因此必須經過 RBAC 授權才能管理 Exchange 屬性。
共用權限
共用許可權模型是 Exchange 的預設模型。 您不需要變更的任何項目如果這是您想要使用的權限模型。 此模型不會分隔Exchange和Active Directory物件從Exchange管理工具中的管理。 它可讓系統管理員使用Exchange管理工具在Active Directory中建立安全性主體。
下表顯示啟用的安全性主體Exchange和它們指定給預設管理角色群組中建立的角色。
| 管理角色 | 角色群組 |
|---|---|
| 郵件建立收件者角色 | 組織管理 |
| 安全群組建立與成員資格的角色 | 組織管理 |
角色群組、 使用者或 Usg 指派 「 建立郵件收件者 」 角色可以建立例如Active Directory使用者的安全性主體。 依預設, 組織管理和收件者管理角色群組是指派給此角色。 因此這些角色群組的成員可以建立安全性主體。
角色群組、 使用者或 Usg 指派安全性群組建立與成員資格角色可以建立安全性群組或管理其成員資格。 根據預設,只有組織管理角色群組指定給此角色。 因此只有組織管理角色群組的成員可以建立及管理安全性群組的成員資格。
您可以建立郵件收件者角色與安全性群組建立與成員資格角色至其他角色群組、 使用者或 Usg 如果您想指派其他使用者可以建立安全性主體。
若要在 Exchange 中啟用現有安全性主體的管理,預設會將郵件收件者角色指派給組織管理和收件者管理角色群組。 角色群組、 使用者或 Usg 指派 「 郵件收件者 」 角色可以管理現有的安全性主體。 如果您想要能夠管理現有的安全性主體其他角色群組、 使用者或 Usg,您必須指派 「 郵件收件者 」 角色給他們。
如需如何將角色新增至角色群組、 使用者或 Usg 的詳細資訊,請參閱下列主題:
如果您切換至分割許可權模型,並想要變更回共用許可權模型,請參閱設定共用許可權的Exchange Server。
分割權限
如果貴組織所分隔Exchange管理和Active Directory管理,您需要設定Exchange支援分割權限模式。 當設定正確,只想要建立的安全性主體,例如Active Directory管理員、 管理員將能夠達成和只有Exchange系統管理員可以修改現有的安全性主體的Exchange屬性。 此分割權限也都屬於大致上沿著Active Directory中的網域和組態分割區的線條。 分割區也稱為命名內容。 網域磁碟分割可儲存使用者、 群組及其他物件的特定網域。 組態磁碟分割可儲存使用Active Directory,例如Exchange服務的整個樹系的組態資訊。 雖然物件可能包含Exchange網域分割區中儲存的資料通常由Active Directory管理員所管理- Exchange管理員可以管理的特定屬性。 將資料儲存在此分割區中每個個別服務的系統管理員管理儲存在組態分割資料。 Exchange,這是一般Exchange系統管理員。
Exchange 支援下列兩種類型的分割許可權:
RBAC 分割權限:在 Active Directory 網域分割區中建立安全性主體的許可權是由 RBAC 控制。 僅限Exchange伺服器、 服務及適當的角色群組之成員的使用者可以建立安全性主體。
Active Directory 分割許可權:在 Active Directory 網域分割區中建立安全性主體的許可權會從任何 Exchange 使用者、服務或伺服器完全移除。 建立安全性主體的 RBAC 不提供的任何選項。 使用Active Directory管理工具必須執行Active Directory中的安全性主體的建立。
重要事項
在共存案例中,Active Directory 分割許可權設定也適用于組織中的任何 Exchange 2010 或更新版本伺服器。
如果您的組織選擇使用分割權限模式,而不是共用的權限,我們建議您使用的 RBAC 分割權限模型。 RBAC 分割權限模型會提供大幅更大的彈性同時提供幾乎相同管理分離為Active Directory分割權限、 例外狀況的Exchange伺服器和服務可以 RBAC 分割權限模式中建立安全性主體。
您正在詢問您是否要啟用Active Directory在安裝期間分割權限。 如果您選擇啟用Active Directory分割權限,您只能變更至共用的權限或 RBAC 分割來重新執行安裝程式的權限並停用Active Directory分割權限。 此選項適用于組織中的所有 Exchange 2010 或更新版本伺服器。
下列各節說明 RBAC 和Active Directory分割權限的詳細資訊。
RBAC 分割權限
RBAC 的安全性模型修改分隔誰可以管理Exchange組織中的資料Active Directory組態磁碟分割的使用者可以從Active Directory網域分割區中建立安全性主體的預設管理角色指派。 安全性主體,例如與信箱和通訊群組的使用者可以建立由系統管理員建立郵件收件者和安全性群組建立與成員資格角色的成員。 這些權限保持分開建立Exchange外部安全性主體管理工具所需的權限。 未指派的建立郵件收件者或安全性群組建立與成員資格角色Exchange系統管理員仍可修改Exchange-相關安全性主體的屬性。 Active Directory系統管理員也可以使用Exchange管理工具來建立Active Directory安全性主體的選項。
Exchange伺服器和Exchange受信任子系統也有Active Directory中建立安全性主體代表使用者和整合 RBAC 的協力廠商程式的權限。
RBAC 分割權限,則您的組織很好的選擇下屬實:
您的組織不需要建立安全性主體是執行使用Active Directory管理工具,以及只對其指派特定Active Directory權限的使用者。
貴組織可讓服務,例如Exchange伺服器,以建立安全性主體。
您想要簡化允許從其建立內Exchange管理工具中建立信箱、 擁有郵件功能的使用者、 通訊群組和角色群組所需的程序。
您想要管理通訊群組和Exchange管理工具中的角色群組的成員資格。
您必須與協力廠商程式需要Exchange伺服器要能夠在其代理上建立安全性主體。
如果您的組織需要完整的 Exchange 和 Active Directory 管理區隔,而無法使用 Exchange 管理工具或 Exchange 服務來執行 Active Directory 管理,請參閱本主題稍後的 Active Directory 分割許可權一節。
從共用的權限切換到 RBAC 分割權限是您用來移除建立安全性主體授與它們預設角色群組所需的權限手動程序。 下表顯示啟用的安全性主體Exchange和它們指定給預設管理角色群組中建立的角色。
| 管理角色 | 角色群組 |
|---|---|
| 郵件建立收件者角色 | 組織管理 |
| 安全群組建立與成員資格的角色 | 組織管理 |
根據預設, 組織管理和收件者管理角色群組的成員可以建立安全性主體。 您必須將建立從內建角色群組的安全性主體至您建立新角色群組的功能。
若要設定 RBAC 分割權限,您必須執行下列動作:
如果已啟用停用Active Directory分割權限。
建立角色群組,其會包含將能夠建立安全性主體Active Directory系統管理員。
建立 「 建立郵件收件者 」 角色與新角色群組之間的一般和委派角色指派。
建立安全性群組建立與成員資格角色與新角色群組之間的一般和委派角色指派。
移除一般和委派 「 建立郵件收件者 」 角色和組織管理和收件者管理角色群組之間的管理角色指派。
移除一般和委派的安全性群組建立與成員資格的角色與組織管理角色群組之間的角色指派。
完成這些步驟之後,只有您建立的新角色群組成員才能建立安全性主體,例如信箱。 新的群組只可以建立的物件。 將無法在新的物件上設定Exchange屬性。 Active Directory系統管理員,為新群組的成員,會需要建立物件,然後Exchange管理員必須在物件上設定Exchange屬性。 Exchange系統管理員將無法使用下列 cmdlet:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
不過,Exchange 系統管理員將能夠建立和管理 Exchange 特定的物件,例如郵件流程規則 (也稱為傳輸規則) 、通訊群組等等,以及管理任何物件上的 Exchange 相關屬性。
此外,EAC 和 Outlook 網頁版 (中先前稱為 Outlook Web App) 的相關功能,例如 [新增信箱精靈] 也無法再使用,或如果您嘗試使用它們,則會產生錯誤。
如果您想要也能夠管理的新物件的Exchange屬性新的角色群組、 郵件收件者角色也必須指派給新角色群組。
如需設定分割權限模式的詳細資訊,請參閱設定 Exchange 2013 分割權限。
Active Directory 分割權限
Active Directory分割權限,以建立Active Directory網域磁碟分割,例如信箱及通訊群組中的安全性主體必須執行使用Active Directory管理工具。 授與權限Exchange受信任的子系統及Exchange伺服器來限制Exchange系統管理員和伺服器可以執行的動作來進行數項變更。 功能的下列變更發生當您啟用Active Directory分割權限:
建立信箱、 擁有郵件功能的使用者、 通訊群組及其他安全性主體已從Exchange管理工具。
無法從Exchange管理工具完成新增和移除通訊群組成員。
會移除所有建立的權限授與給Exchange受信任的子系統及Exchange伺服器安全性主體。
Exchange伺服器和Exchange管理工具只能修改現有的安全性主體中Active DirectoryExchange屬性。
例如,建立信箱與Active Directory啟用分割權限,使用者必須先建立使用Active Directory工具所具有的必要的Active Directory權限的使用者。 然後,使用者可以擁有信箱功能使用Exchange管理工具。 僅限Exchange-相關Exchange使用Exchange管理工具的系統管理員可以修改信箱的屬性。
Active Directory分割權限,則您的組織很好的選擇下屬實:
貴組織需要安全性主體是建立使用僅限Active Directory管理工具或僅由會授與Active Directory特定的權限的使用者。
您想要完全分開管理Exchange組織的使用者可以從建立安全性主體的功能。
您想要執行所有通訊群組管理,包括建立通訊群組並新增和移除使用Active Directory管理工具的這些群組的成員。
您不想Exchange伺服器或使用Exchange其代理,建立安全性主體的協力廠商程式]。
附註:
使用安裝精靈或 /ActiveDirectorySplitPermissions 命令列參數搭配 Setup.exe (來安裝 Exchange 時,您可以選擇切換至 Active Directory 分割許可權,而且您必須一律指定 /PrepareAD 參數以及 /ActiveDirectorySplitPermissions 參數) 。
您也可以在安裝 Exchange 之後 ,從命令列重新執行Setup.exe,以啟用或停用 Active Directory 分割許可權。 若要啟用 Active Directory 分割許可權,請使用 值
/ActiveDirectorySplitPermissions:True。 若要停用它,請使用 值/ActiveDirectorySplitPermissions:False。如果您在相同的樹系中有多個網域,您也必須執行下列其中一個步驟:
當您套用 Active Directory 分割許可權時,請指定 /PrepareAllDomains 參數。
在每個網域中使用 /PrepareDomain 參數執行 Setup.exe。 您必須準備包含 Exchange 伺服器、啟用郵件功能的物件或 Exchange 伺服器可存取之通用類別目錄伺服器的每個網域。
如果您已在網域控制站上安裝 Exchange 2010 或更新版本,則無法啟用 Active Directory 分割許可權。
啟用或停用 Active Directory 分割許可權之後,建議您重新開機組織中的 Exchange 伺服器,強制它們使用更新的許可權來挑選新的 Active Directory 存取權杖。
Exchange 會從 Exchange Windows 許可權安全性群組移除許可權和成員資格,以達到 Active Directory 分割許可權。 此安全性] 群組中共用的權限與 RBAC 分割權限] 權限授許多非Exchange物件和整個Active Directory中的屬性。 移除的權限及此安全性群組的成員資格、 Exchange管理員及服務會禁止建立或修改這些非ExchangeActive Directory物件。
如需變更時,發生ExchangeWindows權限安全性群組及其他Exchange元件啟用或停用Active Directory分割權限的清單,請參閱下表。
注意事項
啟用Active Directory分割權限時移除角色指派給角色群組可讓Exchange系統管理員建立安全性主體。 這是要移除的存取權時他們正在執行,因為沒有建立關聯的Active Directory物件的權限否則會產生錯誤的 cmdlet。
| 動作 | Exchange 所做的變更 |
|---|---|
| 在第一次安裝Exchange Server期間啟用 Active Directory 分割許可權 | 當您透過安裝精靈或使用 /PrepareAD 和 /ActiveDirectorySplitPermissions:true 命令列參數執行Setup.exe來啟用 Active Directory 分割許可權時,就會發生下列動作:
如果您使用 /PrepareAllDomains 或 /PrepareDomain 參數執行Setup.exe,則會在每個備妥的子域中執行下列動作:
|
| 從共用的權限或分割Active Directory分割權限的權限的 RBAC 切換 | 當您使用 /PrepareAD 和 /ActiveDirectorySplitPermissions:true 命令列參數執行 setup.exe 命令時,會發生下列動作:
如果您使用 /PrepareAllDomains 或 /PrepareDomain 參數執行Setup.exe,則會在每個備妥的子域中執行下列動作:
|
| 切換從Active Directory分割共用權限或 RBAC 分割權限的權限 | 當您使用 /PrepareAD 和 /ActiveDirectorySplitPermissions:false 參數執行Setup.exe時,會發生下列動作:
如果您使用 /PrepareAllDomains 或 /PrepareDomain 參數來執行安裝程式,則會在每個備妥的子網域中執行下列動作:
建立郵件收件者安全性群組建立和成員資格角色的角色指派未自動建立時從Active Directory切換 split 共用權限。 如果委派角色指派自訂前Active Directory分割要啟用的權限,這些自訂項目會保留不變。 若要在這些角色與組織管理角色群組之間建立角色指派,請參閱設定共用許可權的Exchange Server。 |
啟用Active Directory分割權限後,已不再提供下列 cmdlet:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
啟用 Active Directory 分割許可權之後,即可存取下列 Cmdlet,但您無法使用這些 Cmdlet 來建立通訊群組或修改通訊群組成員資格:
Add-DistributionGroupMember
New-DistributionGroup
Remove-DistributionGroup
Remove-DistributionGroupMember
Update-DistributionGroupMember
某些指令程式,但仍然可以使用可能會提供僅限於的功能Active Directory分割權限搭配使用時。 這是因為它們可能會讓您設定收件者位於網域Active Directory分割區和Exchange組態Active Directory分割區中的組態物件的物件。 他們也可能會讓您設定Exchange-相關的網域分割中儲存的物件的屬性。 嘗試使用 cmdlet 來建立物件,或修改非Exchange-相關網域分割中的物件的屬性將會產生錯誤。 例如,如果您嘗試將許可權新增至信箱, Add-ADPermission Cmdlet 會傳回錯誤。 不過,如果您設定接收連接器的許可權, Add-ADPermission Cmdlet 將會成功。 這是因為信箱儲存在網域磁碟分割時接收連接器會儲存在組態磁碟分割。
此外,EAC 和 Outlook 網頁版 中相關聯的功能,例如 [新增信箱精靈] 也不再可用,或如果您嘗試使用它們,則會產生錯誤。
不過,Exchange 系統管理員將能夠建立和管理 Exchange 特定的物件,例如郵件流程規則等等。
如需關於設定Active Directory分割權限模式,請參閱設定 Exchange 2013 分割權限。