設定 Exchange 2010 的共用權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
藉由共用權限,您可以作為 Microsoft Exchange Server 2010 的系統管理員來建立 Active Directory 安全性主體 (例如使用者),然後再將其設定為 Exchange 收件者。與分割權限 (這些權限在 Exchange 系統管理員和 Active Directory 系統管理員的群組之間分配管理工作) 不同,共用權限不存在工作的區隔。
如需共用與分割權限的相關資訊,請參閱瞭解分割權限。
如果您先前已經設定組織的分割權限,則可以設定 Exchange 2010 組織的共用權限。根據您目前使用的是應用角色的存取控制 (RBAC) 分割權限還是 Active Directory 分割權限,切換至共用權限的程序有所不同。請選擇遵循適用於您目前組態的程序。如果下列條件成立,則組織使用的是 Active Directory 分割權限:
存在 Microsoft Exchange 受保護群組組織單位 (OU)。
ExchangeWindows 權限安全性群組位於 Microsoft Exchange 受保護群組 OU 之內。
Exchange 受信任子系統安全性群組是 ExchangeWindows 權限安全性群組的成員。
沒有針對「建立郵件收件者」角色或「安全性群組建立及成員資格」角色的一般管理角色指派。
如果您未曾設定組織的分割權限,則不需要執行此程序。Exchange 2010 預設是設定爲共用權限。
如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊,請參閱下列主題:
要尋找與權限相關的其他管理工作嗎?請參閱管理進階權限。
必要條件
Exchange 2010 組織目前必須設定為使用 RBAC 或 Active Directory 分割權限。
您必須有權限可以將「建立郵件收件者」管理角色和「安全性群組建立及成員資格」管理角色指派到 組織管理 管理角色群組或另一個已指派「郵件收件者」角色的角色群組。
從 RBAC 分割權限切換至共用權限
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色群組」項目。
附註: |
---|
您無法使用 EMC 從 RBAC 分割權限切換至共用權限。 |
若要從 RBAC 分割權限切換至 Exchange 2010 共用權限,您必須將「建立郵件收件者」角色和「安全性群組建立及成員資格」角色指派給同時也指派了「郵件收件者」角色且其中具有 Exchange 2010 系統管理員為其成員的角色群組。在預設的共用權限組態中,組織管理 角色群組包含這些角色。因此,此程序中會包含 組織管理 角色群組。
設定共用權限
若要在 組織管理 角色群組上設定共用權限,請使用有權限可以委派「建立郵件收件者」角色和「安全性群組建立及成員資格」角色之角色指派的帳戶來執行下列動作:
使用以下命令將針對「建立郵件收件者」角色和「安全性群組建立及成員資格」角色的委派角色指派新增至 組織管理 角色群組。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
附註: 必須為具有「建立郵件收件者」角色和「安全性群組建立及成員資格」角色之委派角色指派的角色群組 (在本程序中是 Active Directory Administrators 角色群組) 指派「角色管理」角色,才能執行 New-ManagementRoleAssignment Cmdlet。可以委派「角色管理」角色的角色受託人必須將該角色指派給 Active Directory Administrators 角色群組。 使用以下命令將「建立郵件收件者」角色的一般角色指派新增到 組織管理 和 收件者管理 角色群組。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
使用下列命令來將「安全性群組建立及成員資格」角色的一般角色指派新增到 組織管理 角色群組。
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
移除 Active Directory 系統管理員的權限 (選用)
如果您想讓系統管理員無法再使用 Exchange 管理工具來建立或管理 Active Directory 物件,則可以選擇性移除授與 Active Directory 系統管理員的權限。如果您要移除 Active Directory 系統管理員的權限,請執行以下程序。
附註: |
---|
儘管您可以移除 Active Directory 系統管理員使用 Exchange 管理工具來管理 Active Directory 物件的權限,但如果其 Active Directory 權限允許,則 Active Directory 系統管理員仍舊可以使用 Active Directory 管理工具來管理 Active Directory 物件。不過,他們無法管理 Active Directory 物件上的 Exchange 特定屬性。如需詳細資訊,請參閱瞭解分割權限。 |
若要移除 Active Directory 系統管理員的 Exchange 相關分割權限,請執行下列動作:
使用以下命令移除指派「建立郵件收件者」角色給包含 Active Directory 系統管理員為其成員之角色群組或萬用安全性群組 (USG) 的一般和委派角色指派。此命令將 Active Directory Administrators 角色群組用作範例。藉由 WhatIf 參數,您可以查看將移除的角色指派。移除 WhatIf 參數並再次執行該命令以移除角色指派。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
使用以下命令移除指派「安全性群組建立及成員資格」角色給包含 Active Directory 系統管理員為其成員之角色群組或 USG 的一般和委派角色指派。此命令將 Active Directory Administrators 角色群組用作範例。藉由 WhatIf 參數,您可以查看將移除的角色指派。移除 WhatIf 參數並再次執行該命令以移除角色指派。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
選用。如果您要移除 Active Directory 系統管理員的所有 Exchange 權限,則可以將包含它們為其成員的角色群組或 USG 移除。如需如何移除角色群組的詳細資訊,請參閱移除角色群組。
如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment 或 Remove-ManagementRoleAssignment。
從 Active Directory 分割權限切換至共用權限
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「Active Directory 分割權限」項目。
附註: |
---|
您無法使用 EMC 從 Active Directory 分割權限切換至共用權限。 |
若要從 Active Directory 分割權限切換至 Exchange 2010 共用權限,您必須重新執行 Exchange 安裝程式以停用 Exchange 組織中的 Active Directory 分割權限,然後在角色群組和「建立郵件收件者」角色及「安全性群組建立及成員資格」角色之間建立角色指派。在預設的共用權限組態中,組織管理 角色群組包含這些角色。因此,此程序中會包含 組織管理 角色群組。
重要事項: |
---|
此程序中的 setup.com 命令可變更 Active Directory。您必須使用具有執行這些變更所需權限的帳戶。此帳戶與具有使用 New-ManagementRoleAssignment Cmdlet 建立角色指派之權限的帳戶可能並不相同。請使用具有成功完成本程序中每個步驟所需權限的一個或多個帳戶。 |
若要從 Active Directory 分割權限切換至共用權限,請執行以下動作:
在 Windows 命令介面中,從 Exchange 2010 SP1 安裝媒體執行以下命令,以停用 Active Directory 分割權限。
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
從 Exchange 管理命令介面執行以下命令,以便在「建立郵件收件者」角色及「安全性群組建立和管理」角色和 組織管理 及 收件者管理 角色群組之間新增一般角色指派。
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
在組織中重新啟動 Exchange 2010 伺服器。
如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。