Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-08-31
Разрешения Microsoft Exchange Server 2010 и Exchange Server 2003 являются раздельными. Это вызвано тем, что модели разрешений, используемые Exchange 2010 и Exchange 2003, различаются. Необходимо выполнить действия, чтобы предоставить существующим администраторам Exchange 2003 разрешения на серверы Exchange 2010 и наоборот. Кроме того, управление Exchange 2010 и Exchange 2003 выполняется раздельно с помощью средств управления, предоставляемых в каждой версии. Разрешения можно предоставить администраторам, чтобы они смогли управлять смешанной структурой Exchange 2010 и Exchange 2003 в организации.
Дополнительные сведения о планировании сосуществования Exchange 2010 и Exchange 2003 см. в разделе Exchange 2003 — схема планирования обновления и совместного использования.
Разрешения в Exchange 2010
Exchange 2010 использует модель разрешений с управлением доступом на основе ролей. Эта модель состоит из групп ролей управления, которым присваивается одна из ролей управления. Роли управления содержат разрешения, которые позволяют администраторам выполнять задачи в организации Exchange. Администраторы добавляются в качестве участников групп ролей. Им предоставляются все разрешения, присущие роли. В следующей таблице представлен пример групп ролей, некоторые присвоенные им роли, а также описание типа пользователя, который может быть участником группы ролей.
Примеры групп ролей и ролей в Exchange 2010
| Группа ролей управления | Роли управления | Члены этой группы ролей |
|---|---|---|
|
Управление организацией |
Ниже приведены некоторые роли, назначенные данной группе ролей.
|
Пользователи, которым необходимо управлять всей организацией Exchange 2010, должны быть членами этой группы ролей. За некоторыми исключениями члены этой группы ролей могут управлять практически всеми аспектами организации Exchange 2010. Учетная запись, используемая для подготовки Служба каталогов Active Directory для Exchange 2010, является членом группы ролей. Дополнительные сведения об этой группе ролей, а также полный список ролей, назначенных этой группе ролей, см. в разделе Управление организацией. |
|
Управление организацией только с правом на просмотр |
Ниже перечислены роли, назначенные данной группе ролей.
|
Пользователи, которым необходимо просматривать конфигурацию всей организации Exchange 2010, должны быть членами этой группы ролей. Эти пользователи должны иметь возможность просмотра конфигурации сервера, а также выполнения функций мониторинга без возможности изменения конфигурации организации или получателя. Дополнительные сведения об этой группе ролей см. в разделе Управление организацией с правами только на просмотр. |
|
Управление получателями |
Ниже перечислены роли, назначенные данной группе ролей.
|
Пользователи, которым необходимо управлять получателями в организации Exchange 2010 (например, почтовыми ящиками, контактами и группами рассылки), должны быть членами этой группы ролей. Эти пользователи могут создавать получателей, изменять или удалять существующих получателей, а также перемещать почтовые ящики. Дополнительные сведения об этой группе ролей, а также полный список ролей, назначенных этой группе ролей, см. в разделе Управление получателями. |
|
Управление сервером |
Ниже приведены некоторые роли, назначенные данной группе ролей.
|
Пользователи, которым необходимо управлять конфигурацией сервера Exchange (например, соединителями получения, сертификатами, базами данных и виртуальными каталогами), должны быть членами этой группы ролей. Эти пользователи могут изменять конфигурацию сервера Exchange, создавать базы данных, перезапускать и изменять очереди транспорта. Дополнительные сведения об этой группе ролей, а также полный список ролей, назначенных этой группе ролей, см. в разделе Управление сервером. |
|
Управление обнаружением |
Ниже перечислены роли, назначенные данной группе ролей.
|
В эту группу ролей должны входить пользователи, которым необходимо выполнять поиск почтовых ящиков для поддержки судебного разбирательства или настройки юридического удержания. Это пример группы ролей, которая может содержать администраторов, не работающих с Exchange (например, сотрудников юридического отдела). Это позволяет юристам выполнять свою работу без участия администраторов Exchange. Дополнительные сведения об этой группе ролей, а также полный список ролей, назначенных этой группе ролей, см. в разделе Управление обнаружением. |
Как показано в предыдущей таблице, Exchange 2010 предоставляет возможности подробного контроля разрешений, предоставляемых администраторам. В Exchange 2010 можно выбрать одну из 11 групп ролей. Полный список групп ролей и предоставляемых ими разрешений см. в разделе Встроенные группы ролей.
Из-за количества групп ролей, предоставляемых Exchange 2010, а также в связи с возможностью дальнейшей настройки путем создания групп ролей с различными комбинациями ролей применение списков управления доступом с объектами Служба каталогов Active Directory больше не требуется и не приведет к желаемым результатам. Списки управления доступом больше не используются для применения разрешений к отдельным администраторам и группам Exchange 2010. Все возможные задачи (например, создание почтового ящика администратором или доступ к почтовому ящику со стороны пользователя) управляются с помощью технологии доступа на основе ролей. Система управления доступом на основе ролей RBAC авторизует задачу и в случае разрешения Exchange выполняет задачу от имени пользователя в универсальной группе безопасности доверенной подсистемы Exchange. Практически все списки управления доступом в Служба каталогов Active Directory, необходимые Exchange 2010, разрешены в универсальной группе безопасности доверенной подсистемы Exchange. Это фундаментальное изменение процесса обработки разрешений по сравнению с версией Exchange 2003.
Разрешения, предоставленные пользователю в Служба каталогов Active Directory, отличаются от разрешений, предоставленных пользователю системой управления доступом на основе ролей, если этот пользователь использует средства управления Exchange 2010.
Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.
Разрешения в Exchange 2003
Exchange 2003 содержит следующие административные роли.
- Только просмотр Exchange Эта роль
предоставляет разрешения на просмотр сведений сервера и получателя
Exchange 2003 администратору Exchange 2003.
- Администратор Exchange Эта роль
предоставляет все разрешения на серверы и получателей Exchange 2003
администраторам Exchange 2003, кроме полномочий принятия владения,
изменения разрешений или открытия почтовых ящиков пользователей.
Если администратору необходимо добавлять объекты или изменять
свойства объекта, но не требуется делегировать разрешения для
объектов, то присваивается эта роль.
- Полноправный администратор Exchange Эта
роль предоставляет все разрешения на серверы и получателей Exchange
2003 администраторам Exchange 2003, включая полномочия принятия
владения, изменения разрешений или открытия почтовых ящиков
пользователей. Роль назначается администраторам, которым необходимо
делегировать разрешения на объекты.
Exchange 2003 позволяет распределить администраторов по этим ролям. Разрешения назначаются напрямую пользователю или универсальной группе безопасности, членом которой является пользователь. Все действия, выполненные пользователем, выполняются в контексте учетной записи Служба каталогов Active Directory этого пользователя.
Чтобы назначить разрешения на более подробном уровне, следует изменить списки управления доступом для отдельных объектов Exchange 2003 (например, для списков адресов и баз данных). Как и для административных ролей, пользователь или группа безопасности, членом которой является пользователь, добавляется в список управления доступом напрямую, а действия выполняются в контексте пользователя.
Дополнительные сведения об административных группах Exchange 2003 см. в статье 823018 базы знаний Майкрософт Overview of Exchange administrative role permissions in Exchange 2003 (на английском языке).
Разрешения в Exchange 2010 и
сосуществование Exchange 2003
Как описано ранее в этом разделе, модели разрешений для Exchange 2010 и Exchange 2003 различаются. Exchange 2010 использует группы ролей для предоставления разрешений, а Exchange 2003 использует сочетание административных групп и списков управления доступом для предоставления разрешений. Разрешения Exchange 2010 и Exchange 2003 существуют раздельно даже несмотря на то, что версии существуют в одном лесу. Это означает, что по умолчанию без дополнительной настройки администраторы Exchange 2003 не будут иметь разрешений на управление серверами Exchange 2010, а администраторы Exchange 2010 не смогут управлять серверами Exchange 2003. В связи с этим возникают следующие вопросы:
- Нужно ли предоставить администраторам Exchange 2010 доступ к
администрированию серверов Exchange 2003 и наоборот?
- Следует ли настроить разрешения Exchange 2010 в соответствии с
настройками Exchange 2003?
Предоставление разрешений Exchange 2010 администраторам Exchange 2003
Чтобы предоставить администраторам Exchange 2003 право администрирования серверов Exchange 2010, необходимо добавить администраторов Exchange 2003 в одну или несколько групп ролей Exchange 2010. В группы ролей можно добавить пользователей или универсальные группы безопасности. Разрешения, предоставленные группам ролей, будут затем применены к пользователям или универсальным группам безопасности, которые будут добавлены в качестве участников.
 Важно! |
|---|
| При использовании локальных или глобальных групп безопасности домена Служба каталогов Active Directory необходимо заменить их на универсальные группы безопасности, чтобы добавить их в качестве участников группы ролей Exchange 2010. Exchange 2010 поддерживает только универсальные группы безопасности. |
В следующей таблице приведено сопоставление административных ролей Exchange 2003 и групп ролей Exchange 2010.
Административные роли Exchange 2003 и группы ролей Exchange 2010
| Административная роль Exchange 2003 | Группа ролей Exchange 2010 |
|---|---|
|
Полноправный администратор Exchange |
Управление организацией |
|
Администратор Exchange |
В Exchange 2010 отсутствует соответствующая группа ролей. Чтобы получить группу, эквивалентную группе ролей Exchange «Администратор», следует создать в Exchange 2010 пользовательскую группу ролей, основанную на группе Управление организацией. Дополнительные сведения о создании пользовательских групп ролей см. в разделе Создание группы ролей. |
|
Только просмотр Exchange |
Управление организацией только с правом на просмотр |
Если все администраторы Exchange 2003 входят в одну из трех административных ролей Exchange 2003, необходимо добавить членов каждой из административных групп в соответствующую группу ролей Exchange 2010. Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Добавление участников в группу роли.
Если для предоставления более подробных разрешений администраторам Exchange 2003 были изменены списки управления доступом Exchange 2003 и этим администраторам необходимо предоставить схожие разрешения на серверы Exchange 2010, необходимо выполнить следующие действия.
- Составьте список изменений списков управления доступом для
объектов Exchange 2003 и определите разрешения, предоставленные
каждому из администраторов.
- Классифицируйте каждый объект Exchange 2003 (например, отнесите
его к базам данных, серверам или объектам получателя).
- Сопоставьте объекты с соответствующей группой ролей Exchange
2010. Список встроенных групп ролей см. в разделе Встроенные группы
ролей.
- Добавьте универсальные группы безопасности для каждого типа
объекта в соответствующие группы ролей Exchange 2010.
Дополнительные сведения о добавлении пользователей и универсальных
групп безопасности в группы ролей см. в разделе Добавление участников в
группу роли.
После выполнения этих действий администраторы Exchange 2003 будут входить в группу ролей, которая сопоставляется с администрируемыми объектами Exchange 2010. Теперь они смогут использовать средства управления Exchange 2010 для управления серверами и получателями Exchange 2010.
| Важно! |
|---|
| В общем случае управление серверами и получателями Exchange 2003 должно осуществляться с помощью средств управления Exchange 2003, а управление серверами и получателями Exchange 2010 должно осуществляться средствами управления Exchange 2010. Дополнительные сведения см. в разделе Exchange 2003 — схема планирования обновления и совместного использования. |
Если встроенные группы ролей не предоставляют определенный набор разрешений, который необходимо предоставить некоторым администраторам, можно создать пользовательские группы ролей. При создании пользовательской группы ролей можно выбрать роли, которые необходимо добавить. Это позволяет определить компоненты, которыми должны управлять члены этой группы ролей. Например, если администраторы должны управлять только группами рассылки, то можно создать пользовательскую группу ролей и выбрать только роль «Группы рассылки». Члены этой группы ролей смогут управлять только группами рассылки. Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Создание группы ролей.
Если определенным объектам Exchange 2003 предоставлены отдельные разрешения (например, администраторам разрешено администрировать только определенные базы данных), а к серверам Exchange 2010 также необходимо применить такую же конфигурацию, обратитесь к разделу ниже «Повторное создание настройки списка управления доступом Exchange 2003 с помощью областей управления в Exchange 2010».
Предоставление разрешений Exchange 2003 администраторам Exchange 2010
Чтобы предоставить администраторам Exchange 2010 право администрировать серверы Exchange 2003, следует добавить администраторов Exchange 2010 в одну из трех административных групп Exchange 2003 или в соответствующие списки управления доступом, если настроены разрешения Exchange 2003. В административные группы Exchange 2003 можно добавить пользователей или универсальные группы безопасности. Группы ролей являются универсальными группами безопасности, что позволяет добавить их напрямую в административные группы Exchange 2003. В этом разделе описывается добавление администраторов Exchange 2010 во встроенные административные группы Exchange 2003.
Применяется сопоставление между группами ролей Exchange 2010 и административными ролями Exchange 2003, представленное выше в таблице «Административные роли Exchange 2003 и группы ролей Exchange 2010». Чтобы предоставить администраторам организации Exchange 2010 полный доступ к административным ролям Exchange 2003, добавьте группу ролей Управление организацией к административной группе «Полноправные администраторы Exchange». Выполните те же действия для группы ролей Управление организацией только с правом на просмотр и административной группы «Только просмотр Exchange».
После выполнения этих действий администраторы Exchange 2010 должны входить в административную группу, которая сопоставляется с их группой ролей. При этом администраторы могут использовать средства управления Exchange 2003 для управления серверами и получателями Exchange 2003.
| Важно! |
|---|
| В общем случае управление серверами и получателями Exchange 2003 должно осуществляться с помощью средств управления Exchange 2003, а управление серверами и получателями Exchange 2010 должно осуществляться средствами управления Exchange 2010. Дополнительные сведения см. в разделе Exchange 2003 — схема планирования обновления и совместного использования. |
Дополнительные сведения о добавлении пользователей или универсальных групп безопасности в административные группы Exchange 2003 см. в статье 823018 базы знаний Майкрософт Overview of Exchange administrative role permissions in Exchange 2003 (на английском языке).
Повторное создание настройки списка управления доступом Exchange 2003 с помощью областей управления в Exchange 2010
Чтобы ограничить число администраторов определенного хранилища почтовых ящиков или пользователей в Exchange 2003, а также определить хранилище, в котором создаются почтовые ящики, необходимо изменить списки управления доступом для ограничиваемых объектов. Exchange 2010 предоставляет те же возможности, но без необходимости изменять списки управления доступом. Это осуществляется при помощи областей управления, которые являются компонентом системы управления доступом на основе ролей.
Области управления предоставляют возможность использования встроенных и пользовательских областей для определения объектов, управляемых администратором. Применение областей управления позволяет определить администрируемых получателей, базы данных, в которых могут создаваться почтовые ящики, а также получателей и серверы, которые могут администрироваться только небольшой группой администраторов.
Можно создавать следующие типы областей управления:
- Предварительно определенная
относительная Предварительно определенные
относительные области входят в состав Exchange 2010. Можно
управлять всеми видимыми и доступными для изменения компонентами.
Например, предварительно определенные относительные области могут
определить необходимость показа пользователю только сведений о нем
самом или сведений обо всей организации.
- Получатель Области получателей
определяют получателей, которых администратор может создавать,
изменять или удалять. Указание может быть основано на
подразделении, фильтре получателей или обоих компонентах. Фильтры
получателей определяют критерии, которым должны соответствовать все
получатели области. Например, можно создать область фильтра
получателей, которая содержит всех пользователей в определенном
расположении или в определенном отделе. Можно даже совмещать
подразделения и фильтры получателей, чтобы выбирать пользователей в
определенном подразделении, которые отправляют отчеты определенному
менеджеру.
- Сервер Области серверов определяют
серверы, которыми может управлять администратор. Можно указать
список или фильтры серверов. Списки сервера позволяют определить
статический список управляемых серверов. Фильтры серверов работают
точно так же, как и фильтры получателей. В них можно указать
критерии, которым должен соответствовать сервер. Например, можно
создать область сервера, которая соответствует всем серверам с
определенным узлом Служба каталогов Active Directory.
- База данных Области баз данных
определяют базы данных, которыми может управлять администратор. Они
также могут определять базы, в которых могут создаваться или
перемещаться почтовые ящики. Подобно областям сервера их можно
определить в виде списков или фильтров. Например, можно создать
список или фильтр, позволяющий администраторам создавать или
перемещать почтовые ящики в определенные базы данных, управляемые
отдельным подразделением.
- Эксклюзивная За исключением
предварительно определенных относительных областей все указанные
выше области можно создать как эксклюзивные. Эксклюзивные области
работают как записи управления доступом «Запретить» в списках
управления доступом. Если какой-либо компонент входит в
эксклюзивную область, то управление этим объектом осуществляется
только администраторами, которым назначена эта эксклюзивная
область. Это справедливо даже в том случае, если этот компонент
соответствует другой неэксклюзивной области. Такая функция особенно
полезна для руководителей, управление почтовыми ящиками которых
следует поручать только нескольким надежным сотрудникам. Даже в том
случае, если более широкая область получателя соответствует
почтовому ящику руководителя, администраторы с более широкой
областью не смогут управлять этим почтовым ящиком, если им не
назначена более узкая область.
Области управления используются вместе с ролями управления, назначениями ролей и группами ролей управления, чтобы определить круг лиц и место управления определенными объектами. Дополнительные сведения приведены в следующих разделах:
- Общие
сведения об областях применения ролей управления
- Общие
сведения об исключительных областях
- Общие
сведения о назначениях ролей управления
- Общие
сведения о группах ролей управления
- Общие
сведения о ролях управления
Чтобы создать эту модель разрешений в Exchange 2010 с помощью областей управления, определенных в Exchange 2003 через пользовательские списки управления доступом, необходимо определить настроенные списки и создать соответствующие им области управления. Фильтруемые свойства объектов получателя, сервера и базы данных можно использовать для создания областей управления, включающих в себя объекты, доступ к которым должен контролироваться данной областью. Дополнительные сведения о свойствах, используемых вместе с фильтрами областей управления, см. в разделе Общие сведения о фильтрах областей ролей управления.
Дополнительные сведения о создании областей управления см. в разделе Создание регулярной или монопольной области.