設定 Exchange 2010 的分割權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
分割權限可讓兩個不同的群組 (例如 Active Directory Administrators 和 Microsoft Exchange Server 2010 Administrators) 管理各自的服務、物件和屬性。Active Directory Administrators 管理安全性主體 (例如使用者),提供存取 Active Directory 樹系的權限。Exchange Administrators 管理 Active Directory 物件上與 Exchange 相關的屬性,以及建立和管理 Exchange 特定的物件。
Microsoft Exchange Server 2010 Service Pack 1 (SP1) 提供以下類型的分割權限模型:
RBAC 分割權限 在 Active Directory 網域分割中建立安全性主體的權限由應用角色的存取控制 (RBAC) 來控制。只有適當角色群組的成員才可以建立安全性主體。
Active Directory 分割權限 在 Active Directory 網域分割中建立安全性主體的權限已完全從任何 Exchange 使用者、服務或伺服器移除。RBAC 中沒有提供建立安全性主體的任何選項。若要在 Active Directory 中建立安全性主體,必須使用 Active Directory 管理工具進行。
附註: 從 Active Directory SP1 開始將提供 Exchange 2010 分割權限。
您選擇的模型取決於組織的結構和需要。請選擇遵循適用於您希望設定之模型的程序。建議您使用 RBAC 分割權限模型。RBAC 分割權限模型可提供與 Active Directory 分割權限相同的管理分離功能,同時具有更大的彈性。
如需共用與分割權限的相關資訊,請參閱瞭解分割權限。
如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊,請參閱下列主題:
要尋找與權限相關的其他管理工作嗎?請參閱管理進階權限。
切換至 RBAC 分割權限
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限 主題中的「Active Directory 分割權限」項目。
附註: |
---|
您無法使用 EMC 切換至 RBAC 分割權限。 |
您可以設定 Exchange 2010 組織實作 RBAC 分割權限。完成後,只有 Active Directory 系統管理員能够建立 Active Directory 安全性主體。這表示 Exchange 系統管理員將無法使用下列 Cmdlet:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Exchange 系統管理員將只能够在現有 Active Directory 安全性主體上管理 Exchange 屬性。不過,他們可以建立及管理 Exchange 特定物件 (例如傳輸規則和通訊群組)。如需詳細資訊,請參閱瞭解分割權限中的<RBAC 分割權限>一節。
若要設定 Exchange 2010 實施分割權限,您必須將郵件收件者建立角色及安全性群組建立和成員資格角色指派給包含 Active Directory 系統管理員成員的角色群組。然後您必須移除這些角色與包含 Exchange 系統管理員的任何角色群組或萬用安全性群組 (USG) 之間的指派。
若要設定 RBAC 分割權限,請執行下列動作:
如果目前將組織設定為實作 Active Directory 分割權限,請從 Windows 命令介面提示字元執行以下動作:
從 Exchange 2010 SP1 安裝媒體執行以下命令,以停用 Active Directory 分割權限。
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
重新啟動組織中的 Exchange 2010 伺服器,或等候 Active Directory 存取 Token 複寫您的所有 Exchange 2010 伺服器。
從 Exchange 管理命令介面執行下列動作:
建立 Active Directory 系統管理員的角色群組。除了建立角色群組之外,此命令還會在新角色群組與郵件收件者建立角色以及安全性群組建立和成員資格角色之間建立規則角色指派。
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
附註: 如果您希望此角色群組的成員可以建立角色指派,請納入「角色管理」角色。您不必立即新增此角色。但是,如果您希望將「建立郵件收件者」角色或「安全性群組建立及成員資格」角色指派給其他角色受託人,必須為此新角色群組指派「角色管理」角色。以下步驟可將 Active Directory Administrators 角色群組設定為可委派這些角色的唯一的角色群組。 使用以下命令在新角色群組和「建立郵件收件者」角色及「安全性群組建立及成員資格」角色之間建立委派角色指派。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
使用下列命令將成員加入至新的角色群組。
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
取代新角色群組上的委派清單,如此就只有角色群組的成員可以新增或移除成員。
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
重要事項: 組織管理 角色群組的成員,或是直接或透過另一個角色群組或 USG 獲指派角色管理角色者,可以略過這項委派安全性檢查。如果您要防止任何 Exchange 系統管理員將自己新增至新的角色群組,則必須移除「角色管理」角色和任何 Exchange 系統管理員之間的角色指派,並且將該角色指派給其他角色群組。 使用以下命令尋找對郵件收件者建立角色的所有規則和委派角色指派。此命令僅顯示 Name、Role 和 RoleAssigneeName 內容。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
使用以下命令移除與新角色群組或任何其他角色群組不關聯之郵件收件者建立角色的所有規則和委派角色指派、USG 或是您要保留的直接指派。
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
附註: 如果要針對任何角色受託人 (非 Active Directory Administrators 角色群組) 移除「建立郵件收件者」角色的所有一般和委派角色指派,請使用以下命令。藉由 WhatIf 參數,您可以查看將移除的角色指派。移除 WhatIf 參數並再次執行該命令以移除角色指派。 Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
使用以下命令尋找對「安全性群組建立及成員資格」角色的所有一般和委派角色指派。此命令僅顯示 Name、Role 和 RoleAssigneeName 內容。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
使用以下命令移除與新角色群組或任何其他角色群組、USG 或是您要保留的直接指派無關聯之「安全性群組建立及成員資格」角色的所有一般和委派角色指派。
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
附註: 您可以使用前面附註中的同一命令,針對任何角色受託人 (非 Active Directory Administrators 角色群組) 移除「安全性群組建立及成員資格」角色的所有一般和委派角色指派,如以下範例所示。 Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
如需詳細的語法及參數資訊,請參閱下列主題:
切換至 Active Directory 分割權限
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限 主題中的「Active Directory 分割權限」項目。
附註: |
---|
您無法使用 EMC 切換至 Active Directory 分割權限。 |
您可以設定 Exchange 2010 組織實作 Active Directory 分割權限。Active Directory 分割權限完全移除了允許 Exchange 系統管理員和伺服器在 Active Directory 中建立安全性主體或修改這些物件上非 Exchange 屬性的權限。完成後,只有 Active Directory 系統管理員能够建立 Active Directory 安全性主體。這表示 Exchange 系統管理員將無法使用下列 Cmdlet:
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
Exchange 系統管理員和伺服器將只能够在現有 Active Directory 安全性主體上管理 Exchange 屬性。不過,他們可以建立及管理 Exchange 特定物件 (例如傳輸規則和整合通訊撥號對應表)。
注意: |
---|
啟用 Active Directory 分割權限之後,Exchange 系統管理員和伺服器將不再可以於 Active Directory 中建立安全性主體,也不可以管理通訊群組成員資格。必須藉由 Active Directory 管理工具使用所需的 Active Directory 權限來執行這些工作。進行此變更之前,您應瞭解其對管理程序及與 Exchange 2010 和 RBAC 權限模型整合之協力廠商應用程式產生的影響。 如需詳細資訊,請參閱瞭解分割權限中的<Active Directory 分割權限>一節。 |
若要從共用權限或 RBAC 分割權限切換至 Active Directory 分割權限,請執行以下動作:
在 Windows 命令介面中,從 Exchange 2010 SP1 安裝媒體執行以下命令,以啟用 Active Directory 分割權限。
setup.com /PrepareAD /ActiveDirectorySplitPermissions:true
重新啟動組織中的 Exchange 2010 伺服器,或等候 Active Directory 存取 Token 複寫您的所有 Exchange 2010 伺服器。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。