Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-04-15
Благодаря разделенным разрешениям можно включить две отдельные
группы, например администраторов Служба каталогов Active Directory
и администраторов Microsoft Exchange Server 2010, для управления
соответствующими службами, объектами и атрибутами. Администраторы
Служба каталогов Active Directory управляют участниками
безопасности, например пользователями, которые предоставляют
разрешения на доступ к лесу Служба каталогов Active Directory.
Администраторы Exchange управляют связанными с Exchange атрибутами
объектов Служба каталогов Active Directory, а также отвечают за
создание и контроль объектов, относящихся к Exchange.
Система Microsoft Exchange Server 2010 с пакетом обновления
1 (SP1) предлагает следующие типы моделей разделения
разрешений.
- Разделенные разрешения RBAC Разрешения
на создание участников безопасности в разделе домена Служба
каталогов Active Directory контролируются моделью управления
доступом на основе ролей (RBAC). Только члены соответствующих групп
ролей могут создавать участников безопасности.
- Разделенные разрешения Active
Directory Разрешения на создание субъектов
безопасности в разделе домена Служба каталогов Active
Directory полностью удаляются из настроек пользователя, службы или
сервера Exchange. В модели RBAC отсутствует возможность
создания участников безопасности. Эта процедура должна выполняться
в службе Служба каталогов Active Directory с помощью средств
управления Служба каталогов Active Directory.
 Примечание. |
| Разделенные разрешения Служба каталогов Active Directory будут
доступны начиная с версии Exchange 2010 с пакетом обновления 1
(SP1). |
Выбор модели зависит от структуры и потребностей организации.
Выберите процедуру, применимую к модели, которую необходимо
настроить. Рекомендуется использовать модель разделения разрешений
RBAC. Модель разделения разрешений RBAC обеспечивает значительно
большую гибкость при сохранении почти такого же разделения
администрирования, как при разделении разрешений Служба каталогов
Active Directory.
Дополнительные сведения о разрешениях на совместный и раздельный
доступ см. в разделе Общие сведения о
разделенных разрешениях.
Дополнительные сведения о группах ролей управления, ролях
управления, регулярных назначениях ролей управления и назначениях
делегирования ролей управления см. в следующих разделах:
Необходимы сведения о других задачах управления, связанных с
разрешениями? См. раздел Управление расширенными
разрешениями.
Переключение на разделение разрешений
RBAC
Для выполнения этой процедуры необходимы
соответствующие разрешения. Сведения о необходимых разрешениях см.
в разделе Запись «Разделенные разрешения Active Directory» в
разделе Разрешения управления
ролями.
| Примечание. |
| Невозможно использовать консоль управления Exchange для
переключения на разделение разрешений RBAC. |
В организации Exchange 2010 можно настроить разделение
разрешений RBAC. После завершения настройки только администраторы
Служба каталогов Active Directory смогут создавать участников
безопасности Служба каталогов Active Directory. Это означает, что
администраторы Exchange не смогут использовать следующие
командлеты:
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Администраторы Exchange будут управлять только
атрибутами Exchange для существующих участников безопасности Служба
каталогов Active Directory. Однако они смогут создавать объекты,
связанные с системой Exchange, например правила транспорта и группы
рассылки, а также управлять этими объектами. Дополнительные
сведения см. в подразделе «Разделение разрешений RBAC» в разделе
Общие сведения о
разделенных разрешениях.
Для настройки в Exchange 2010 разделения разрешений
необходимо группе ролей назначить роль создания получателей почты и
роль создания и участия в группе безопасности, которая также
содержит участников, являющихся администраторами Служба каталогов
Active Directory. После этого необходимо удалить назначения между
этими ролями и любой группой ролей или универсальной группой
безопасности (USG), содержащей администраторов Exchange.
Чтобы настроить разделение разрешений RBAC, выполните
следующие действия.
- Если в настоящий момент в организации настроено разделение
разрешений Служба каталогов Active Directory, в окне командной
строки Windows выполните следующие шаги.
- Отключите разделение разрешений Служба каталогов Active
Directory, выполнив с установочного носителя системы Exchange 2010
с пакетом обновления 1 (SP1) следующую команду:
|
|
 Скопировать код |
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
|
- Перезапустите серверы Exchange 2010 в организации или
подождите, пока маркер доступа к службе каталогов Служба каталогов
Active Directory не будет реплицирован на все серверы Exchange
2010.
- В командной консоли Exchange выполните следующие действия:
- Создайте группу ролей для администраторов Служба каталогов
Active Directory. Кроме создания группы ролей, команда создает
стандартные назначения ролей между новой группой ролей и ролью
создания получателей почты, а также ролью создания и участия в
группе безопасности.
|
|
Скопировать код |
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
|
| Примечание. |
| Если требуется, чтобы члены этой группы ролей могли создавать
назначения ролей, включите роль управления ролями. Нет
необходимости добавлять эту роль сейчас. Тем не менее, если в
какой-либо момент потребуется назначить роль создания получателей
почты (Mail Recipient Creation) или роль создания и участия в
группе безопасности (Security Group Creation and Membership) другим
уполномоченным ролей, то роль управления ролями должна быть
назначена этой новой группе ролей. Ниже приводится процедура
настройки группы ролей администраторов Служба каталогов Active
Directory в качестве единственной группы ролей, которая может
делегировать эти роли. |
- Создайте назначения ролей делегирования между новой группой
ролей, с одной стороны, и ролью создания получателей почты (Mail
Recipient Creation) и ролью создания и участия в группе
безопасности (Security Group Creation and Membership), с другой
стороны, с помощью следующих команд.
|
|
Скопировать код |
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
|
- Добавьте участников в новую группу ролей с помощью следующей
команды.
|
|
Скопировать код |
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
|
- Замените список делегатов на новую группу ролей, чтобы только
участники группы ролей могли добавлять или удалять участников.
|
|
Скопировать код |
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
|
 Важно! |
| Члены группы ролей Управление организацией, а также те, которым
назначена роль управления ролями напрямую или через другую группу
ролей либо универсальную группу безопасности, могут пропускать
проверку безопасности делегатов. Чтобы запретить администратору
Exchange добавлять себя в новую группу ролей, необходимо удалить
назначение роли между ролью управления ролями и любым
администратором Exchange, а затем назначить ее другой группе. |
- Найдите все назначения стандартных ролей и ролей делегирования
для роли создания получателей почты с помощью следующей команды.
Данная команда отображает только свойства Name, Role
и RoleAssigneeName.
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
|
- Удалите все назначения стандартных ролей и ролей делегирования
для роли создания получателей почты, не связанные с новой группой
ролей или с любыми другими группами, универсальными группами
безопасности или прямыми назначениями, которые необходимо
сохранить, с помощью следующей команды.
|
|
Скопировать код |
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
|
| Примечание. |
| Если требуется удалить все назначения обычной роли и роли
делегирования для роли создания получателей почты (Mail Recipient
Creation) по отношению к уполномоченному роли, не связанному с
группой ролей администраторов Служба каталогов Active Directory,
используйте следующую команду. Параметр WhatIf позволяет
увидеть, какие назначения ролей будут удалены. Удалите параметр
WhatIf и снова запустите команду, чтобы удалить назначения
ролей. |
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
|
- Найдите все назначения стандартных ролей и назначения ролей
делегирования для роли создания и участия в группе безопасности
(Security Group Creation and Membership) с помощью следующей
команды. Данная команда отображает только свойства Name,
Role и RoleAssigneeName.
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
|
- Удалите все назначения стандартных ролей и ролей делегирования
для роли создания и участия в группе безопасности (Security Group
Creation and Membership), не связанные с новой группой ролей или с
любыми другими группами, универсальными группами безопасности или
прямыми назначениями, которые необходимо сохранить, с помощью
следующей команды:
|
|
Скопировать код |
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
|
| Примечание. |
| Такую же команду из предыдущего замечания можно использовать с
целью удаления всех назначений стандартных ролей и ролей
делегирования для роли создания и участия в группе безопасности по
отношению к любому уполномоченному роли, не связанному с группой
ролей администраторов Служба каталогов Active Directory, как
показано в этом примере. |
|
|
Скопировать код |
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
|
Подробные сведения о синтаксисе и параметрах см. в
следующих разделах:
Переключение на разделение разрешений
Active Directory
Для выполнения этой процедуры необходимы
соответствующие разрешения. Сведения о необходимых разрешениях см.
в разделе Запись «Разделенные разрешения Active Directory» в
разделе Разрешения управления
ролями.
| Примечание. |
| Невозможно использовать консоль управления Exchange для
переключения на разделение разрешений Служба каталогов Active
Directory. |
Организацию Exchange 2010 можно настроить на разделение
разрешений Служба каталогов Active Directory. При разделении
разрешений Служба каталогов Active Directory полностью удаляются
разрешения, которые позволяют администраторам и серверам Exchange
создавать участников безопасности в службе Служба каталогов Active
Directory или изменять не связанные с системой Exchange атрибуты
этих объектов. После завершения настройки только администраторы
Служба каталогов Active Directory смогут создавать участников
безопасности Служба каталогов Active Directory. Это означает, что
администраторы Exchange не смогут использовать следующие
командлеты:
- Add-DistributionGroupMember
- New-DistributionGroup
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
- Update-DistributionGroupMember
Администраторы и серверы Exchange будут управлять
только атрибутами Exchange для существующих участников безопасности
Служба каталогов Active Directory. Однако они смогут создавать
объекты, связанные с системой Exchange, например правила транспорта
и абонентские группы единой системы обмена сообщениями, а также
управлять этими объектами.
 Внимание! |
После включения разделения разрешений Служба каталогов Active
Directory администраторы и серверы Exchange больше не смогут
создавать участников безопасности в службе Служба каталогов Active
Directory, а также управлять составом групп рассылки. Эти задачи
должны выполняться с помощью средств управления Служба каталогов
Active Directory с необходимыми разрешениями Служба каталогов
Active Directory. Прежде чем вносить эти изменения, необходимо
понять, какое влияние они окажут на процессы администрирования и
сторонние приложения, которые интегрируются в систему Exchange 2010
и модель разрешений RBAC.
Дополнительные сведения см. в подразделе «Разделение разрешений
Служба каталогов Active Directory» в разделе Общие сведения о
разделенных разрешениях. |
Чтобы переключиться с разрешений общего доступа или
разделения разрешений RBAC на разделение разрешений Служба
каталогов Active Directory, выполните следующие действия:
- В командной консоли Windows запустите следующую команду с
установочного носителя Exchange 2010 с пакетом обновления 1 (SP1),
чтобы включить разделение разрешений Служба каталогов Active
Directory.
|
|
Скопировать код |
setup.com /PrepareAD /ActiveDirectorySplitPermissions:true
|
- Перезапустите серверы Exchange 2010 в организации или
подождите, пока маркер доступа к Служба каталогов Active Directory
не будет реплицирован на все серверы Exchange 2010.
