Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-11-24

В организациях, которые разграничивают управление объектами Microsoft Exchange Server 2010 и Служба каталогов Active Directory, используется модель разделения разрешений. Модель разделения разрешений позволяет организациям назначать определенные разрешения и связанные задачи для определенных групп в пределах организации. Такое разделение обязанностей помогает поддерживать соответствие стандартам и объемы рабочих процессов, а также управлять изменениями в организации.

Наивысший уровень разделения разрешений — это разграничение управления Exchange и управления Служба каталогов Active Directory. В состав многих организаций входят две группы: администраторы, управляющие инфраструктурой Exchange организации, в том числе серверами и получателями, и администраторы, управляющие инфраструктурой Служба каталогов Active Directory. Такое разграничение является очень важным во многих организациях, так как инфраструктура Служба каталогов Active Directory обычно охватывает различные местоположения, домены, службы, приложения и даже леса Служба каталогов Active Directory. Администраторы Служба каталогов Active Directory должны убедиться, что изменения, выполненные в службах Служба каталогов Active Directory, не окажут отрицательного влияния на другие службы. Поэтому обычно разрешение на управление такой инфраструктурой получает небольшая группа администраторов.

Инфраструктура Exchange, включающая в себя серверы и получателей, также может быть сложной и требовать специальных знаний. Кроме того, в Exchange хранятся конфиденциальные бизнес-сведения организации. Администраторы Exchange могут иметь к ним доступ. При ограничении числа администраторов Exchange в организации можно ограничить группу лиц, которым разрешено вносить изменения в конфигурацию Exchange и которые имеют доступ к конфиденциальным сведениям.

Модель разделения разрешений обычно подразумевает разграничение процессов создания участников безопасности в службах Служба каталогов Active Directory, таких как пользователи и группы безопасности, и последующей настройки этих объектов. Это позволяет уменьшить риск несанкционированного доступа к сети благодаря контролю над пользователями, которые могут создавать объекты, предоставляющие к ней доступ. Чаще всего субъектов безопасности могут создавать только администраторы Служба каталогов Active Directory. Другие администраторы, например администраторы Exchange, могут управлять определенными атрибутами существующих объектов Служба каталогов Active Directory.

В целях поддержки разнообразных потребностей по разделению управления сервером Exchange и службой Служба каталогов Active Directory система Exchange 2010 позволяет выбирать между моделью общих разрешений и моделью разделенных разрешений. Система Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1) предлагает две модели разделенных разрешений: RBAC и Служба каталогов Active Directory. По умолчанию в Exchange 2010 с пакетом обновления 1 (SP1) используется модель общих разрешений.

Содержание

Описание управления доступом на основе ролей и служб Active Directory

Разрешения общего доступа

Разделение разрешений

Разделенные разрешения RBAC

Разделенные разрешения Active Directory

Описание управления доступом на основе ролей и служб Active Directory

 

Для понимания сущности разделения разрешений необходимо понимать, как модель разрешений управления доступом на основе ролей (RBAC) в Exchange 2010 взаимодействует со службами Служба каталогов Active Directory. Модель RBAC позволяет управлять группой лиц, которые могут выполнять определенные действия, и объектами, по отношению к которым можно выполнять эти действия. Дополнительные сведения о различных компонентах модели RBAC, описанных в этом разделе, см. в разделе Общие сведения об управлении доступом на основе ролей.

В Exchange 2010 все задачи для объектов Exchange необходимо выполнять с помощью консоли управления Exchange, командной консоли Exchange или веб-интерфейса администрирования Exchange. Каждое из этих средств управления использует управление доступом на основе ролей для разрешения всех выполняемых задач.

Модель RBAC — это компонент, который имеется на каждом сервере под управлением Exchange 2010, за исключением пограничных транспортных серверов. Компонент RBAC проверяет, разрешено ли пользователю выполнять определенное действие.

  • Если пользователю запрещено выполнять действие, компонент RBAC не разрешит выполнять его.

  • Если пользователю разрешено выполнять действие, компонент RBAC проверит, разрешено ли этому пользователю выполнять его по отношению к запрошенному объекту.

    • Если пользователь имеет такое разрешение, RBAC разрешит выполнить действие.

    • Если пользователь не имеет такого разрешения, RBAC запретит выполнение действия.

Если компонент RBAC разрешит выполнение действия, это действие будет выполнено в контексте доверенной подсистемы Exchange, но не в контексте пользователя. Доверенная подсистема Exchange — это универсальная группа безопасности с широкими правами, участники которой обладают правами на чтение и запись всех связанных с Exchange объектов в организации Exchange. Она также является членом локальной группы безопасности администраторов и универсальной группы безопасности разрешений Windows Exchange, которая позволяет создавать объекты Служба каталогов Active Directory и управлять ими в Exchange.

Внимание!
Не следует вручную вносить изменения в состав группы безопасности доверенной подсистемы Exchange. Не рекомендуется также добавлять эту группу в списки управления доступом к объектам или удалять ее из него. Самостоятельное внесение изменений в универсальную группу безопасности доверенной подсистемы Exchange может привести к неисправимым повреждениям организации Exchange.

Необходимо понимать, что не имеет значения, какие разрешения Служба каталогов Active Directory имеет пользователь при использовании средств управления Exchange. Если компонент RBAC разрешает пользователю выполнять действие с помощью средств управления Exchange, этот пользователь сможет выполнить его независимо от наличия разрешений Служба каталогов Active Directory. И наоборот, если пользователь является администратором предприятия в Служба каталогов Active Directory, но ему запрещено выполнять действие, например создавать почтовые ящики, с помощью средств управления Exchange, ему не удастся выполнить это действие из-за отсутствия необходимых разрешений согласно проверке RBAC.

Важно!
Несмотря на то что модель разрешений RBAC не применяется к средству управления Служба каталогов Active Directory «Пользователи и компьютеры», с помощью средства Служба каталогов Active Directory «Пользователи и компьютеры» невозможно управлять конфигурацией Exchange. Поэтому, даже если пользователь имеет разрешение на изменение некоторых атрибутов объектов Служба каталогов Active Directory, например отображаемого имени пользователя, он должен использовать средства управления Exchange (и пройти проверку RBAC) для управления атрибутами Exchange.

#rtt

Разрешения общего доступа

В системе Exchange 2010 по умолчанию используется модель общих разрешений. Если в организации планируется использовать такую модель разрешений, то изменение каких-либо параметров не требуется. Эта модель не разграничивает управление объектами Exchange и Служба каталогов Active Directory с помощью средств управления Exchange. Она позволяет администраторам использовать средства управления Exchange для создания субъектов безопасности в Служба каталогов Active Directory.

В следующей таблице перечислены роли, разрешающие создание субъектов безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.

Роли управления участниками безопасности

Роль управления Группа ролей

Роль создания получателя электронной почты

Управление организацией

Управление получателями

Роль создания и членства в группе безопасности

Управление организацией

Разрешение на создание участников безопасности, например пользователей Служба каталогов Active Directory, имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания получателей почты. По умолчанию эта роль назначена группам ролей Управление организацией и Управление получателями. Поэтому участники этих групп ролей могут создавать участников безопасности.

Разрешение на создание групп безопасности или управление их участниками имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания и членства в группе безопасности. По умолчанию эта роль назначена только группе ролей Управление организацией. Поэтому только члены группы ролей Управление организацией могут создавать группы безопасности и управлять ее составом.

Можно назначить роль создания получателей почты и роль создания и членства в группе безопасности другим группам ролей, пользователям или универсальным группам безопасности, чтобы разрешить другим пользователям создавать участников безопасности.

Для разрешения управления существующими участниками безопасности в Exchange 2010 роль получателей почты назначается по умолчанию группам ролей Управление организацией и Управление получателями. Разрешение на управление существующими участниками безопасности имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль получателей почты. Чтобы разрешить другим группам ролей, пользователям и универсальным группам безопасности управлять существующими участниками безопасности, необходимо назначить им роль получателей почты.

Дополнительные сведения о добавлении ролей для групп ролей, пользователей или универсальных групп безопасности см. в следующих разделах.

Сведения об переключении модели разделения разрешений на модель разрешений общего доступа см. в разделе Настройка разрешений совместного доступа в Exchange 2010.

#rtt

Разделение разрешений

Если в организации существует разграничение управления системой Exchange и управления службой Служба каталогов Active Directory, то необходимо настроить Exchange на поддержку модели разделения разрешений. Если настройка выполнена правильно, только администраторы, которым разрешено создавать участников безопасности, например администраторы Служба каталогов Active Directory, смогут создавать их, а также только администраторы Exchange смогут изменять атрибуты Exchange существующих участников безопасности. Разделение разрешений происходит примерно вдоль линий разделов домена и конфигурации в службе Служба каталогов Active Directory. Разделы также называются контекстами именования. В разделе домена хранятся пользователи, группы и другие объекты для определенного домена. В разделе конфигурации хранятся сведения о конфигурации для всего леса по тем службам, которые использовали Служба каталогов Active Directory, например Exchange. Данными, которые хранятся в разделе домена, обычно управляют администраторы Служба каталогов Active Directory, хотя объекты могут содержать специфические для системы Exchange атрибуты, которыми могут управлять администраторы Exchange. Данными, которые хранятся в разделе конфигурации, управляют администраторы каждой соответствующей службы, хранящей данные в этом разделе. Для Exchange это, как правило, администраторы Exchange.

Система Exchange 2010 с пакетом обновления 1 (SP1) поддерживает следующие два типа разделенных разрешений:

  • Разделенные разрешения RBAC   Разрешения на создание субъектов безопасности в разделе домена Служба каталогов Active Directory контролируются моделью управления доступом на основе ролей. Только серверы Exchange, службы и члены соответствующих групп ролей могут создавать субъекты безопасности.

  • Разделенные разрешения Active Directory   Разрешения на создание субъектов безопасности в разделе домена Служба каталогов Active Directory полностью удаляются из настроек пользователя, службы или сервера Exchange. В модели RBAC отсутствует возможность создания участников безопасности. Эта процедура должна выполняться в службе Служба каталогов Active Directory с помощью средств управления Служба каталогов Active Directory.

    Важно!
    Хотя разделенные разрешения Служба каталогов Active Directory можно включать либо отключать только путем запуска программы установки на компьютере с установленной системой Exchange 2010 с пакетом обновления 1 (SP1), конфигурация разделенных разрешений Служба каталогов Active Directory применяется к серверам Exchange 2010 окончательной первоначальной версии (RTM) и серверам Exchange 2010 SP1. Тем не менее, это не оказывает никакого влияния на серверы Microsoft Exchange Server 2003 или Microsoft Exchange Server 2007.

Если в организации используется модель разделения разрешений вместо разрешений общего доступа, рекомендуется применять модель разделения разрешений RBAC. Модель разделенных разрешений RBAC обеспечивает значительно большую гибкость при сохранении почти такого же разделения администрирования, как при модели разделенных разрешений Служба каталогов Active Directory, за исключением того, что серверы и службы Exchange в модели RBAC могут создавать субъекты безопасности.

Будет задан вопрос, следует ли включить разделение разрешений Служба каталогов Active Directory во время установки. Если выбрать разделение разрешений Служба каталогов Active Directory, то изменить модель на разрешения общего доступа или разделенные разрешения RBAC можно будет только путем перезапуска программы установки и отключения разделения разрешений Служба каталогов Active Directory. Этот параметр применяется ко всей организации Exchange 2010.

В следующих разделах разделенные разрешения RBAC и Служба каталогов Active Directory описаны более подробно.

#rtt

Разделенные разрешения RBAC

В модели безопасности RBAC осуществляется изменение назначений ролей управления по умолчанию для разделения пользователей, которые могут создавать субъекты безопасности в разделе домена Служба каталогов Active Directory, и которые имеют права на администрирование данных организации Exchange в разделе конфигурации Служба каталогов Active Directory. Субъекты безопасности, такие как пользователи с почтовыми ящиками и группы рассылки, могут создаваться администраторами с назначенными ролями создания получателей почты, создания и членства в группе безопасности. Эти разрешения остаются отделенными от разрешений, необходимых для создания субъектов безопасности без применения средств управления Exchange. Администраторы Exchange, которым не назначены роли создания получателей почты, создания и членства в группе безопасности, могут по-прежнему изменять связанные с Exchange атрибуты субъектов безопасности. Администраторы Служба каталогов Active Directory также могут использовать средства управления Exchange для создания субъектов безопасности Служба каталогов Active Directory.

Серверы Exchange и доверенная подсистема Exchange также имеют разрешения на создание субъектов безопасности в службе Служба каталогов Active Directory от имени пользователей и сторонних программ, которые интегрированы в модель RBAC.

Разделенные разрешения RBAC — это хороший выбор для организации, если выполняются следующие условия.

  • В организации не требуется создание участников безопасности только с помощью средств управления Служба каталогов Active Directory и только теми пользователями, которым назначены определенные разрешения Служба каталогов Active Directory.

  • Используемые в организации службы, например серверы Exchange, могут создавать субъекты безопасности.

  • Требуется упростить процесс создания почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и групп ролей, разрешив эти процессы в средствах управления Exchange.

  • Необходимо управлять членством групп рассылки и групп ролей в средствах управления Exchange.

  • Имеются программы сторонних производителей, для которых требуется, чтобы серверы Exchange могли создавать субъекты безопасности от их имени.

Если в организации требуется полное разделение администрирования Exchange и Служба каталогов Active Directory, при котором администрирование Служба каталогов Active Directory не может осуществляться с помощью средств управления Exchange или служб Exchange, см. подраздел Разделенные разрешения Active Directory далее в этом разделе.

Переключение с разрешений общего доступа на разделенные разрешения RBAC — это ручной процесс, при котором удаляются разрешения, необходимые для создания участников безопасности, из групп ролей, которым они предоставлены по умолчанию. В следующей таблице перечислены роли, разрешающие создание субъектов безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.

Роли управления субъектами безопасности

Роль управления Группа ролей

Роль создания получателя электронной почты

Управление организацией

Управление получателями

Роль создания и членства в группе безопасности

Управление организацией

По умолчанию члены групп ролей Управление организацией и Управление получателями могут создавать участников безопасности. Необходимо передать разрешение на создание участников безопасности из встроенных групп ролей в новую созданную группу ролей.

Чтобы настроить модель разделения разрешений RBAC, выполните следующие действия.

  1. Отключите разделение разрешений Служба каталогов Active Directory, если оно включено.

  2. Создайте группу ролей, содержащую администраторов Служба каталогов Active Directory, которым будет разрешено создавать участников безопасности.

  3. Создайте назначения обычной роли и роли делегирования между ролью создания получателей почты и новой группой ролей.

  4. Создайте назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и новой группой ролей.

  5. Удалите назначения обычной роли и роли делегирования между ролью создания получателей почты и группами ролей Управление организацией и Управление получателями.

  6. Удалите назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и группой ролей Управление организацией.

Теперь только участники новой созданной группы ролей смогут создавать участников безопасности, например почтовые ящики. Участники новой группы смогут только создавать объекты. Они не смогут настраивать атрибуты Exchange нового объекта. Администратору Служба каталогов Active Directory, который является членом новой группы, потребуется создать объект, а затем администратору Exchange потребуется настроить атрибуты Exchange этого объекта. Администраторы Exchange не смогут использовать следующие командлеты:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Тем не менее, администраторы Exchange смогут создавать специфические для Exchange объекты, такие как правила транспорта и группы рассылки, а также управлять ими. Также они смогут управлять связанными с Exchange атрибутами любого объекта.

Кроме того, связанные функции в консоли управления Exchange и панели управления Exchange, например мастер создания почтовых ящиков, больше не будут доступны или будут выдавать сообщение об ошибке при попытках их использования.

Чтобы разрешить новой группе ролей управлять атрибутами Exchange нового объекта, этой группе необходимо назначить роль получателей почты.

Дополнительные сведения о настройке модели разделения разрешений см. в разделе Настройка разделенных разрешений в Exchange 2010.

#rtt

Разделенные разрешения Active Directory

При использовании разделенных разрешений Служба каталогов Active Directory создание участников безопасности в разделе домена Служба каталогов Active Directory, например почтовых ящиков и групп рассылки, должно выполняться с помощью средств управления Служба каталогов Active Directory. В разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange, вносится несколько изменений по ограничению действий, которые могут выполнять администраторы и серверы Exchange. При включении разделенных разрешений Служба каталогов Active Directory происходят следующие изменения в функциях.

  • Создание почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и других субъектов безопасности удаляется из средств управления Exchange.

  • Добавление и удаление членов групп рассылки в средствах управления Exchange становится невозможным.

  • Удаляются все разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange на создание субъектов безопасности.

  • Серверы Exchange и средства управления Exchange могут изменять только атрибуты Exchange существующих субъектов безопасности в службе Служба каталогов Active Directory.

Например, для создания почтового ящика с включенным разделением разрешений Служба каталогов Active Directory сначала необходимо создать пользователя с помощью средств Служба каталогов Active Directory с требуемыми разрешениями Служба каталогов Active Directory. Затем для пользователя можно включить поддержку почтового ящика с помощью средств управления Exchange. Администраторы Exchange с помощью средств управления Exchange могут изменять только связанные с Exchange атрибуты почтового ящика.

Разделенные разрешения Служба каталогов Active Directory — это хороший выбор для организации, если выполняются следующие условия.

  • Условия организации требуют, чтобы участники безопасности создавались только с помощью средств управления Служба каталогов Active Directory или только теми пользователями, которым предоставлены определенные разрешения в службе Служба каталогов Active Directory.

  • Необходимо полностью отделить возможность создания субъектов безопасности от пользователей, управляющих организацией Exchange.

  • Все управление группами рассылки, в том числе создание групп рассылки, добавление членов в группы и удаление членов из них, должно выполняться с помощью средств управления Служба каталогов Active Directory.

  • Серверы Exchange или программы сторонних производителей, которые используют систему Exchange от своего имени, не должны создавать субъекты безопасности.

Важно!
Переключиться на разделение разрешений Служба каталогов Active Directory можно при установке системы Exchange 2010 с пакетом обновления 1 (SP1), используя мастер установки или параметр ActiveDirectorySplitPermissions при запуске программы setup.com из командной строки. Разделение разрешений Служба каталогов Active Directory можно также включить либо отключить после установки системы Exchange 2010 путем перезапуска программы setup.com из командной строки. Чтобы включить разделение разрешений Служба каталогов Active Directory, установите для параметра ActiveDirectorySplitPermissions значение true. Чтобы отключить его, установите значение false. Всегда следует задавать параметр PrepareAD вместе с параметром ActiveDirectorySplitPermissions.

Если в одном лесу используется несколько доменов, необходимо также указать параметр PrepareAllDomains во время применения разделенных разрешений Служба каталогов Active Directory или выполнить установку с включенным параметром PrepareDomain на каждом домене. При установке системы с включенным параметром PrepareDomain на каждом домене вместо использования параметра PrepareAllDomains необходимо подготовить все домены, содержащие серверы Exchange, объекты с включенной поддержкой почты или серверы глобальных каталогов, доступные для сервера Exchange.
Важно!
Невозможно включить разделение разрешений Служба каталогов Active Directory, если на контроллере домена установлена система Exchange 2010.

После включения либо отключения разделения разрешений Служба каталогов Active Directory рекомендуется перезапустить в организации серверы Exchange 2010, чтобы они в принудительном порядке приняли новый маркер доступа к службе Служба каталогов Active Directory с обновленными разрешениями.

В системе Exchange 2010 с пакетом обновления 1 (SP1) разделение разрешений Служба каталогов Active Directory достигается путем удаления разрешений и сведений о членстве из группы безопасности разрешений Exchange Windows. Этой группе безопасности, в разрешениях общего доступа и разделенных разрешениях RBAC, предоставляются разрешения на многие не связанные с системой Exchange объекты и атрибуты через службу Служба каталогов Active Directory. Путем удаления разрешений и сведений о членстве этой группы безопасности администраторам и службам Exchange запрещается создавать или изменять объекты Служба каталогов Active Directory, не связанные с Exchange.

Список изменений, которые происходят в группе безопасности разрешений Exchange Windows и других компонентах Exchange при включении либо отключении разделенных разрешений Служба каталогов Active Directory, см. в следующей таблице.

Примечание.
Назначения ролей для групп ролей, которые позволяют администраторам Exchange создавать субъекты безопасности, удаляются при включении разделенных разрешений Служба каталогов Active Directory. Это делается для отключения доступа к командлетам, которые могут вызвать ошибку при их запуске, так как они не имеют разрешений на создание связанного объекта Служба каталогов Active Directory.

Изменения в разделенных разрешениях Active Directory

Действие Изменения, вносимые системой Exchange

Включение разделения разрешений Служба каталогов Active Directory во время первой установки сервера Exchange 2010 с пакетом обновления 1 (SP1)

При включении разделения разрешений Служба каталогов Active Directory через мастер установки или путем запуска программы setup.com с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true:

  • Создается подразделение под названием Защищенные группы Microsoft Exchange.

  • Создается группа безопасности Разрешения Windows для Exchange в подразделении Защищенные группы Microsoft Exchange.

  • При этом группа безопасности Доверенная подсистема Exchange не добавляется в группу безопасности Разрешения Windows для Exchange.

  • Пропускается создание назначений для неделегирующих ролей управления следующих типов:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Элементы управления доступом (ACE), которые могут быть назначены группе безопасности Разрешения Windows для Exchange, не добавляются в объект домена Служба каталогов Active Directory.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

  • Элементы управления доступом (ACE) устанавливаются на всех доменах, как указано в разделе Справочник по разрешениям развертывания Exchange 2010, за исключением элементов ACE, назначенных группе безопасности Разрешения Windows для Exchange.

Переключение с разрешений общего доступа или разделенных разрешений RBAC на разделенные разрешения Служба каталогов Active Directory

При запуске команды setup.com с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true происходит следующее:

  • Создается подразделение под названием Защищенные группы Microsoft Exchange.

  • Группа безопасности Разрешения Windows для Exchange перемещается в подразделение Защищенные группы Microsoft Exchange.

  • При этом группа безопасности Доверенная подсистема Exchange удаляется из группы безопасности Разрешения Windows для Exchange.

  • Удаляются все назначения для неделегирующих ролей управления следующих типов:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

  • Элементы управления доступом (ACE) устанавливаются на всех доменах, как указано в разделе Справочник по разрешениям развертывания Exchange 2010, за исключением элементов ACE, назначенных группе безопасности Разрешения Windows для Exchange.

Переключение с разделенных разрешений Служба каталогов Active Directory на разрешения общего доступа или разделенные разрешения RBAC

При запуске команды setup.com с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:false происходит следующее:

  • Группа безопасности Разрешения Windows для Exchange перемещается в подразделение Защищенные группы Microsoft Exchange.

  • Подразделение Защищенные группы Microsoft Exchange удаляется.

  • При этом группа безопасности Доверенная подсистема Exchange добавляется в группу безопасности Разрешения Windows для Exchange.

  • Элементы управления доступом добавляются в объект домена для группы безопасности Разрешения Windows для Exchange.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Элементы управления доступом добавляются в объект домена для группы безопасности Разрешения Windows для Exchange.

  • Элементы управления доступом (ACE) устанавливаются на всех доменах, как указано в разделе Справочник по разрешениям развертывания Exchange 2010, включая элементы ACE, назначенные группе безопасности Разрешения Windows для Exchange.

Назначения для ролей создания получателей почты и ролей создания и членства в группе безопасности не создаются автоматически при переключении с разделенных разрешений Служба каталогов Active Directory на разрешения общего доступа. Если назначения ролей делегирования были настроены до включения разделения разрешений Служба каталогов Active Directory, то эти настройки остаются неизменными. Дополнительные сведения о создании назначений ролей между этими ролями и группой ролей Управление организацией см. в разделе Настройка разрешений совместного доступа в Exchange 2010.

После включения разделения разрешений Служба каталогов Active Directory следующие командлеты больше недоступны:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

После включения разделения разрешений Служба каталогов Active Directory следующие командлеты остаются доступными, но их невозможно будет использовать для создания групп рассылки или изменения их членства:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

Некоторые командлеты, хотя и остаются доступными, могут оказаться ограниченными в функциях при использовании с разделенными разрешениями Служба каталогов Active Directory. Это связано с тем, что они могут допускать настройку объектов получателей, которые находятся в разделе домена Служба каталогов Active Directory, и объектов конфигурации Exchange, располагающихся в разделе конфигурации Служба каталогов Active Directory. Они также могут позволять настраивать связанные с системой Exchange атрибуты объектов, хранящихся в разделе домена. Попытки использовать командлеты для создания объектов или изменения не связанных с Exchange атрибутов объектов в разделе домена может привести к ошибке. Например, командлет Add-ADPermission при попытке добавления разрешений в почтовый ящик возвратит ошибку. Тем не менее, командлет Add-ADPermission будет работать правильно, если настроить разрешения на соединителе получения. Это происходит потому, что почтовый ящик хранится в разделе домена, в то время как соединители получения хранятся в разделе конфигурации.

Кроме того, связанные функции в консоли управления Exchange и панели управления Exchange, например мастер создания почтовых ящиков, больше не будут доступны или будут выдавать сообщение об ошибке при попытках их использования.

Тем не менее, администраторы Exchange смогут создавать объекты, связанные с Exchange, например правила транспорта, а также управлять этими объектами.

Дополнительные сведения о настройке модели разделения разрешений Служба каталогов Active Directory см. в разделе Настройка разделенных разрешений в Exchange 2010.

#rtt