Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-01-24
Модель разрешений в системе Microsoft Exchange Server 2010 улучшена по сравнению с моделями, используемыми в прежних версиях Exchange. Система Exchange 2010 включает в себя разрешения управления доступом на основе ролей (RBAC), которые заменяют модель авторизации на основе элемента управления доступом (ACE) Служба каталогов Active Directory, используемую в Microsoft Exchange Server 2007. Управление доступом на основе ролей (RBAC) — это механизм авторизации, используемый для выполнения большинства задач управления в системе Exchange 2010. Этот механизм включает в себя следующие области управления:
- командную консоль Exchange;
- панель управления Exchange;
- консоль управления Exchange (EMC);
- веб-службы Exchange;
- компонент MAPI на среднем уровне (MoMT).
Дополнительные сведения о планировании совместной работы между системой Exchange 2010 и более ранними версиями Exchange см. в разделе Общие сведения об обновлении до Exchange 2010.
Необходимы сведения о задачах управления, связанных с разрешениями? См. раздел Управление разрешениями.
Разрешения в системе Exchange 2010
Модель разрешений RBAC Exchange 2010 состоит из групп ролей управления, которым присваивается одна из ролей управления. Роли управления содержат разрешения, которые позволяют администраторам выполнять задачи в организации Exchange. Администраторы добавляются в качестве членов групп ролей. Им предоставляются все разрешения, присущие роли. В следующей таблице содержится пример групп ролей, некоторые присвоенные им роли, а также описание типа пользователя, который может быть членом группы ролей.
Примеры групп ролей и ролей в системе Exchange 2010
Группа ролей управления | Роли управления | Члены этой группы ролей |
---|---|---|
Управление организацией |
Ниже приведены некоторые роли, назначенные этой группе ролей.
|
Пользователи, управляющие всей организацией Exchange 2010, должны быть членами этой группы ролей. За некоторыми исключениями члены этой группы ролей могут управлять практически всеми аспектами организации Exchange 2010. Учетная запись пользователя, используемая для подготовки службы Служба каталогов Active Directory для Exchange 2010, по умолчанию является членом этой группы ролей. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление организацией. |
Управление организацией только с правом на просмотр |
Ниже перечислены роли, назначенные этой группе ролей.
|
Пользователи, просматривающие конфигурацию всей организации Exchange 2010, должны быть членами этой группы ролей. Эти пользователи должны иметь возможность просмотра конфигурации сервера и сведений о получателях, а также выполнения функций отслеживания без возможности изменения конфигурации организации или получателя. Дополнительные сведения об этой группе ролей см. в разделе Управление организацией с правами только на просмотр. |
Управление получателями |
Ниже перечислены роли, назначенные этой группе ролей.
|
Пользователи, управляющие получателями в организации Exchange 2010 (например, почтовыми ящиками, контактами и группами рассылки), должны быть членами этой группы ролей. Эти пользователи могут создавать получателей, изменять или удалять существующих получателей, а также перемещать почтовые ящики. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление получателями. |
Управление сервером |
Ниже приведены некоторые роли, назначенные этой группе ролей.
|
Пользователи, управляющие конфигурацией сервера Exchange (например, соединителями получения, сертификатами, базами данных и виртуальными каталогами), должны быть членами этой группы ролей. Эти пользователи могут изменять конфигурацию сервера Exchange, создавать базы данных, перезапускать и изменять очереди транспорта. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление сервером. |
Управление обнаружением |
Ниже перечислены роли, назначенные этой группе ролей.
|
Пользователи, выполняющие поиск почтовых ящиков для поддержки судебного разбирательства или настройки юридического удержания, должны быть членами этой группы ролей. Это пример группы ролей, которая может содержать администраторов, не работающих с серверами Exchange (например, сотрудников юридического отдела). Юристы могут выполнять свою работу без вмешательства администраторов Exchange. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление обнаружением. |
В этой таблице показано, что система Exchange 2010 обеспечивает возможность детального контроля разрешений, предоставляемых администраторам. В системе Exchange 2010 можно выбрать одну из 11 групп ролей. Полный список групп ролей и предоставляемых ими разрешений см. в разделе Встроенные группы ролей.
В связи с большим количеством групп ролей, предоставляемых в системе Exchange 2010, а также с возможностью дальнейшей настройки путем создания групп ролей с различными комбинациями ролей изменение списков управления доступом (ACL) для объектов Служба каталогов Active Directory больше не требуется и не приведет к желаемым результатам. Списки управления доступом больше не используются для применения разрешений к отдельным администраторам или группам на сервере Exchange 2010. Все возможные задачи (например, создание почтового ящика администратором или доступ пользователя к почтовому ящику) управляются с помощью модели управления доступом на основе ролей (RBAC). Механизм RBAC авторизует задачу на сервере Exchange, и в случае ее разрешения система Exchange выполняет задачу от имени пользователя в универсальной группе безопасности (USG) доверенной подсистемы Exchange. Практически все списки управления доступом для объектов Служба каталогов Active Directory, к которым система Exchange 2010 должна иметь доступ, разрешены в универсальной группе безопасности доверенной подсистемы Exchange. Это фундаментальное изменение процесса обработки разрешений по сравнению с версией Exchange 2007.
Разрешения, предоставленные пользователю в службе Служба каталогов Active Directory, отличаются от разрешений, предоставленных ему системой управления доступом на основе ролей, если этот пользователь использует средства управления Exchange 2010.
Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.
Разрешения в системе Exchange 2007
В административной модели Exchange 2007 используются леса Служба каталогов Active Directory для определения границ безопасности. В пределах одного леса не существует изоляции разрешений безопасности. Владельцы леса и администраторы предприятия могут получить доступ ко всем ресурсам в любом домене и в любое время. В системе Exchange 2007 можно только временно назначить права администратора предприятия и права администратора домена первого уровня.
В системе Exchange 2007 предусмотрены следующие предопределенные роли администраторов.
- Роль администратора организации
Exchange Эта роль предоставляет разрешения на
управление всеми аспектами организации Exchange 2007. Кроме того,
администратор, которому назначена эта роль, может предоставлять
разрешения другим администраторам Exchange. Эта роль назначается
учетной записи, используемой для установки системы Exchange
2007.
- Роль администратора Exchange с правами на
просмотр Эта роль предоставляет разрешения
только на просмотр конфигурации Exchange. Но администратор,
которому назначена эта роль, не может изменять объекты в
организации Exchange 2007.
- Роль администратора получателей
Exchange Эта роль предоставляет разрешения на
управление получателями электронной почты. Администратор, которому
назначена эта роль, может изменять связанные с Exchange элементы
для пользователей, групп, контактов и групп рассылки.
- Роль администратора сервера
Exchange Эта роль предоставляет разрешения на
управление определенным сервером. Однако эта роль не предоставляет
разрешения на выполнение действий, оказывающих глобальное влияние
на организацию Exchange 2007.
- Роль администратора общих папок
Exchange Эта роль добавлена в версию Exchange
2007 с пакетом обновления 1 (SP1). Она предоставляет
разрешения на управление общими папками в организации Exchange
2007.
В этой модели разрешений используются универсальные группы безопасности для всех ролей, кроме роли администратора сервера Exchange. При запуске команды Exchange 2007 Setup /PrepareAD программа установки создает универсальные группы безопасности (USG) в корневом домене и назначает им область всего леса. Группы USG назначаются спискам управления доступом (ACL) для управления объектами Exchange в службе каталогов Служба каталогов Active Directory.
В системе Exchange 2007 можно разграничивать администраторов путем назначения им различных ролей. Разрешения назначаются напрямую пользователю или универсальной группе безопасности, членом которой является пользователь. Все действия пользователя выполняются в контексте его учетной записи Служба каталогов Active Directory. В следующей таблице перечислены административные роли Exchange 2007 и соответствующие им разрешения Exchange.
Административные роли Exchange 2007
Административная роль | Члены | Член | Разрешения Exchange |
---|---|---|---|
Администратор организации Exchange |
Учетная запись «Администратор» или учетная запись, используемая для установки первого сервера Exchange 2007 |
Администратор получателей Exchange Локальная группа администраторов <имя_сервера> |
Полный контроль над контейнером Microsoft Exchange в службе Служба каталогов Active Directory |
Администратор Exchange с правом только на просмотр |
Администраторы получателей Exchange Администраторы сервера Exchange (<имя_сервера>) |
Администраторы получателей Exchange Администраторы сервера Exchange |
Доступ с правом на чтение к контейнеру Microsoft Exchange в службе Служба каталогов Active Directory Доступ с правом на чтение ко всем доменам Windows, имеющим получателей Exchange |
Администратор получателей Exchange |
Администраторы организации Exchange |
Администраторы Exchange с правом только на просмотр |
Полный контроль над свойствами Exchange объектов пользователей Служба каталогов Active Directory |
Администратор сервера Exchange |
Администраторы организации Exchange |
Администраторы Exchange с правом только на просмотр Локальная группа администраторов <имя_сервера> |
Полный контроль над сервером Exchange <имя_сервера> |
Сервер Exchange |
Каждая учетная запись компьютера Exchange 2007 |
Администраторы Exchange с правом только на просмотр |
Специальный |
Администратор общих папок Exchange |
Администраторы организации Exchange |
Администраторы Exchange с правом только на просмотр |
Полный контроль над управлением всеми общими папками (предоставляется расширенное право создания общих папок верхнего уровня) |
Чтобы выполнить более детальное назначение разрешений, можно изменить списки управления доступом для отдельных объектов Exchange 2007, например списков адресов или баз данных. Необходимо добавить пользователя или группу безопасности, членом которой является пользователь, непосредственно в список управления доступом, после чего действия будут выполняться в контексте определенного пользователя.
Дополнительные сведения об управлении разрешениями в системе Exchange 2007 см. в статье Настройка разрешений в системе Exchange Server 2007.
Разрешения совместной работы Exchange 2010 и Exchange 2007
Так как модели разрешений для версий Exchange 2010 и Exchange 2007 различаются, назначения разрешений Exchange 2010 отделяются от назначений разрешений Exchange 2007. Это справедливо даже в том случае, когда обе версии Exchange установлены в одном лесу. Без дополнительной настройки администраторы Exchange 2010 не имеют необходимых разрешений для управления серверами Exchange 2007, а администраторы Exchange 2007 — для управления серверами Exchange 2010. Необходимо принять во внимание следующие аспекты:
- Требуется ли предоставить администраторам Exchange 2010 доступ
на управление серверами Exchange 2007?
- Требуется ли предоставить администраторам Exchange 2007 доступ
на управление серверами Exchange 2010?
- Требуется ли настроить разрешения Exchange 2010 таким образом,
чтобы они соответствовали настройкам, выполненным по отношению к
спискам управления доступом Exchange 2007?
Предоставление разрешений Exchange 2010 администраторам Exchange 2007
Чтобы предоставить администраторам Exchange 2007 право управления серверами Exchange 2010, необходимо добавить администраторов Exchange 2007 в одну или несколько групп ролей Exchange 2010. В группы ролей можно добавить пользователей или универсальные группы безопасности. Разрешения, предоставленные группам ролей, будут затем применены к пользователям или универсальным группам безопасности, добавленным в качестве членов.
Важно! |
---|
При использовании локальных или глобальных групп безопасности Служба каталогов Active Directory необходимо заменить их на универсальные группы безопасности, чтобы добавить их в качестве членов группы ролей Exchange 2010. Система Exchange 2010 поддерживает только универсальные группы безопасности. |
В следующей таблице приведено сопоставление административных ролей Exchange 2007 и групп ролей Exchange 2010.
Административные роли Exchange 2007 и группы ролей Exchange 2010
Административная роль Exchange 2007 | Группа ролей Exchange 2010 |
---|---|
Администратор организации Exchange |
Управление организацией |
Администратор получателей Exchange |
Управление получателями |
Администратор сервера Exchange |
Управление сервером |
Администратор Exchange с правом только на просмотр |
Управление организацией только с правом на просмотр |
Сервер Exchange |
В системе Exchange 2010 отсутствует соответствующая группа ролей (Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Создание группы ролей.) |
Администратор общих папок Exchange |
Управление общими папками |
Если все администраторы Exchange 2007 являются членами одной из административных ролей Exchange 2007, можно добавить членов каждой из административных групп в соответствующую группу ролей Exchange 2010. Например, чтобы предоставить всем администраторам организации Exchange 2007 полный доступ к объектам Exchange 2010, добавьте универсальную группу безопасности «Администраторы организации Exchange» в группу ролей Управление организацией.
Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Добавление участников в группу роли.
Если для предоставления более детальных разрешений администраторам Exchange 2007 были изменены списки управления доступом для объектов Exchange 2007 и необходимо назначить этим администраторам аналогичные разрешения на управление серверами Exchange 2010, выполните следующие действия:
- Просмотрите изменения настроек списков управления доступом для
объектов Exchange 2007 и определите тех администраторов, которым
были предоставлены разрешения для каждого объекта.
- Классифицируйте каждый объект Exchange 2007. Например,
определите, является ли объект базой данных, сервером или
получателем.
- Сопоставьте объекты с соответствующей группой ролей Exchange
2010. Список встроенных групп ролей см. в разделе Встроенные группы
ролей.
- Добавьте универсальные группы безопасности или пользователей
для каждого типа объекта в соответствующие группы ролей Exchange
2010. Дополнительные сведения о добавлении пользователей и
универсальных групп безопасности в группы ролей см. в разделе
Добавление
участников в группу роли.
После выполнения этих шагов администраторы Exchange 2007 будут входить в определенную группу ролей, сопоставленную с соответствующими объектами Exchange 2010. Администраторы Exchange 2007 могут использовать средства управления Exchange 2010 для управления серверами и получателями Exchange 2010.
Важно! |
---|
В общем случае управление серверами и получателями Exchange 2007 должно осуществляться с помощью средств управления Exchange 2007, а управление серверами и получателями Exchange 2010 — с помощью средств управления Exchange 2010. |
Если встроенные группы ролей не предоставляют определенный набор разрешений, который необходимо предоставить некоторым администраторам, можно создать настраиваемые группы ролей. При создании настраиваемой группы ролей можно выбрать роли, которые необходимо добавить. Можно определить компоненты, которыми должны управлять члены этой группы ролей. Например, если администраторы должны управлять только группами рассылки, можно создать настраиваемую группу ролей и выбрать только роль «Группы рассылки». После этого члены этой группы ролей смогут управлять только группами рассылки. Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Создание группы ролей.
Если определенным объектам Exchange 2007 предоставлены отдельные разрешения (например, администраторам разрешено управлять только определенными базами данных) и необходимо применить такую же конфигурацию к серверам Exchange 2010, обратитесь к подразделу «Повторное создание настройки списка управления доступом Exchange 2007 с помощью областей управления в версии Exchange 2010» далее в этом разделе.
Предоставление разрешений Exchange 2007 администраторам Exchange 2010
Чтобы предоставить администраторам Exchange 2010 право управления серверами Exchange 2007, добавьте администраторов Exchange 2010 в универсальные группы безопасности или в группу безопасности, соответствующую определенной административной роли Exchange 2007. Или, если существуют настроенные параметры списков управления доступом, добавьте администраторов в соответствующие списки ACL. Группы ролей относятся к универсальным группам безопасности, поэтому их можно добавлять непосредственно в универсальные группы безопасности административных ролей Exchange 2007.
После выполнения указанных выше действий администраторы Exchange 2010 будут входить в соответствующую административную роль (или роли) Exchange 2007. Администраторы Exchange 2010 могут использовать средства управления Exchange 2007 для управления серверами и получателями Exchange 2007.
Повторное создание настройки списка управления доступом Exchange 2007 с помощью областей управления в версии Exchange 2010
Чтобы ограничить число администраторов определенного хранилища почтовых ящиков или пользователей в версии Exchange 2007, а также определить хранилище, в котором создаются почтовые ящики, необходимо изменить списки управления доступом для ограничиваемых объектов. Версия Exchange 2010 предоставляет такие же возможности, но не требует изменения списков ACL. Эта процедура осуществляется с помощью областей управления, которые являются компонентом системы управления доступом на основе ролей.
Области управления включают в себя встроенные и настраиваемые области для определения объектов, управляемых администраторами. Применение областей управления позволяет определить администрируемых получателей, базы данных, в которых разрешено создавать почтовые ящики, а также получателей и серверы, которые могут администрироваться только небольшой группой администраторов.
Можно создать следующие типы областей управления:
- Предварительно определенная
относительная Предварительно определенные
относительные области входят в состав системы Exchange 2010. Можно
управлять всеми видимыми и доступными для изменения компонентами.
Например, в предварительно определенных относительных областях
можно определить необходимость отображения для пользователя только
сведений о нем самом или сведений обо всей организации.
- Получатель Области получателей
определяют получателей, которых администратор может создавать,
изменять или удалять. Указать получателей можно на основе
подразделения и/или фильтра получателей. Фильтры получателей
определяют критерии, которым должны соответствовать все получатели
области. Например, можно создать область фильтра получателей,
которая содержит всех пользователей в определенном местоположении
или отделе. Можно даже совмещать подразделения и фильтры
получателей, чтобы выбирать пользователей в определенном
подразделении, которые отправляют отчеты определенному
менеджеру.
- Сервер Области серверов определяют
серверы, которыми может управлять администратор. Можно указать
списки или фильтры серверов. Списки серверов позволяют определить
статический список управляемых серверов. Фильтры серверов работают
как фильтры получателей. В них можно указать критерии, которым
должен соответствовать сервер. Например, можно создать область
серверов, которая соответствует всем серверам на определенном сайте
Служба каталогов Active Directory.
- База данных В областях баз данных
определяются те базы данных, которыми может управлять
администратор. Они также могут определять базы данных, в которых
разрешено создавать или в которые разрешено перемещать почтовые
ящики. Подобно областям серверов, их можно определить в виде
списков или фильтров. Например, можно создать список или фильтр,
позволяющий администраторам создавать или перемещать почтовые ящики
в определенные базы данных, управляемые отдельным
подразделением.
- Эксклюзивная область Области
получателей, серверов и баз данных можно создавать как
эксклюзивные. Эксклюзивные области работают как запрещающие
элементы управления доступом в списках управления доступом. Если
какой-либо компонент входит в эксклюзивную область, то управление
этим объектом осуществляется только администраторами, которым
назначена эта эксклюзивная область. Это справедливо даже в том
случае, если этот компонент соответствует другой неэксклюзивной
области. Такая функция особенно полезна, если требуется поручить
управление почтовым ящиком руководителя только нескольким надежным
сотрудникам. Даже если более широкая обычная область получателей
включает в себя почтовый ящик руководителя, администраторы с более
широкой обычной областью не смогут управлять этим почтовым ящиком,
если им не назначена эксклюзивная область.
Области управления используются вместе с ролями управления, их назначениями, а также с группами таких ролей для определения администраторов объектов и способа управления этими объектами. Дополнительные сведения см. в следующих разделах:
- Общие
сведения об областях применения ролей управления
- Общие
сведения об исключительных областях
- Общие
сведения о назначениях ролей управления
- Общие
сведения о группах ролей управления
- Общие
сведения о ролях управления
Чтобы создать модель разрешений, определенную через настроенные списки управления доступом, в системе Exchange 2010 с помощью областей управления, необходимо определить настроенные списки ACL и создать соответствующие им области управления. Фильтруемые свойства объектов получателей, серверов и баз данных можно использовать для создания области управления, включающей в себя объекты, доступ к которым должен контролироваться этой областью. Дополнительные сведения о свойствах, для которых можно использовать фильтры областей управления, см. в разделе Общие сведения о фильтрах областей ролей управления.
Дополнительные сведения о создании областей управления см. в разделе Создание регулярной или монопольной области.