При планировании интеграции Microsoft Exchange Server 2007 в структуру службы каталогов Active Directory необходимо учесть административную модель, используемую в организации. Exchange 2007 обеспечивает гибкие возможности предоставления полномочий администраторам. В общем случае рекомендуется оценить влияние перечисленных ниже возможностей Active Directory и Exchange 2007 на организацию административных ролей.
- Один администратор может выполнять задачи для Microsoft
Windows Server 2003 и Exchange.
- Можно разделить полномочия между администраторами Exchange и
администраторами Windows.
- Можно изолировать административные роли Exchange и Windows с
помощью леса ресурсов Exchange.
В этом разделе описываются гибкие возможности настройки разрешений и административные роли, доступные в Exchange 2007.
Общие сведения о модели разделенных разрешений Exchange и Active Directory
Во многих организациях Microsoft Exchange, особенно в средних и крупных организациях, могут работать несколько администраторов Exchange. Поскольку эти администраторы могут выполнять конкретный набор задач администрирования, в Exchange Server 2007 предоставляются предопределенные роли администраторов и модель разделенных разрешений, которые используются для настройки специальных разрешений Active Directory для различных ролей администраторов в организации. В Exchange 2007 разрешения на атрибуты получателя Exchange группируются вместе. Это минимизирует настройку разрешений вручную, которую необходимо выполнять для отделения разрешений Exchange от других административных разрешений. Дополнительные сведения о планировании и реализации модели разрешения см. в следующих разделах:
Изменения в модели «Безопасность и разрешения»
Модель «Безопасность и разрешения» из Exchange Server 2003 была изменена для Exchange 2007. В этой части предоставляются сведения об изменениях в модели разрешений Exchange и описываются отличия от предыдущей модели.
Наборы свойств
Набор свойств — это объединение атрибутов Active Directory. Доступом к этому объединению атрибутов Active Directory можно управлять посредством установки одной записи управления доступом (элемент управления доступом, ACE) вместо установки записи управления доступом для каждого свойства. Набор свойств, объединяющих все атрибуты получателя Exchange, называется информацией электронной почты.
Примечание. |
---|
Группы безопасности Exchange Server 2003, которые имели разрешение на доступ к свойствам получателей на серверах Exchange Server 2003, будут иметь разрешение на доступ к набору свойств информации электронной почты Exchange 2007, до тех пор пока используется программа Setup.com Exchange 2007 или Setup.com с параметром /PrepareAD для обновления схемы Active Directory. |
Дополнительные сведения о наборах свойств см. в разделе Наборы свойств в сервере Exchange Server 2007.
Модель «Безопасность и разрешения» в Exchange 2003
Чтобы упростить процесс управления разрешениями, в Exchange Server 2003 предоставлялись предопределенные роли безопасности, которые были доступны в мастере делегирования административных полномочий Exchange 2003. Эти роли были набором стандартизированных разрешений, которые могли применяться или на уровне организации, или на уровне административной группы.
В Exchange 2003 через мастер делегирования в диспетчере системы Exchange были доступны следующие роли безопасности:
- Полноправный администратор Exchange;
- Администратор Exchange;
- Администратор просмотра Exchange.
Эта модель имела указанные ниже ограничения.
- Отсутствие специфики. Группа администраторов Exchange была
слишком большой, и некоторые клиенты хотели иметь возможность
управлять своей моделью «Безопасность и разрешения» на уровне
отдельного сервера.
- Существовало понимание, что роли системы безопасности
Exchange Server 2003 имели лишь слабые различия.
- Отсутствовало четкое разделение между администрированием
пользователей и групп администраторами Windows
(Active Directory) и администраторами получателей Exchange.
Например, для выполнения задач, касающихся получателей Exchange,
администраторам Exchange требовалось предоставлять высокий уровень
разрешений (разрешения оператора учетных записей для доменов
Windows).
Модель «Безопасность и разрешения» в Exchange 2007
Чтобы улучшить управление ролями администраторов Exchange (которые в Exchange 2003 назывались «группами безопасности»), в модель безопасности и разрешений Exchange были введены перечисленные ниже новые и улучшенные возможности.
- Новые роли администраторов, которые сходны со встроенными
группами безопасности Windows Server. Дополнительные сведения
об этих ролях администраторов см. в пункте «Роли администраторов в
Exchange 2007» ниже.
- Имеется возможность использования консоли управления Exchange
(ранее диспетчера системы Exchange) и командной консоли Exchange
для просмотра, добавления и удаления членов из любой
административной роли.
Административные роли в Exchange 2007
В Exchange 2007 имеются следующие предопределенные группы, которые управляют данными конфигурации Exchange:
- Администраторы организации Exchange;
- Администраторы получателей Exchange;
- Администраторы просмотра Exchange.
- Администраторы общих папок Exchange (новая группа в
Exchange Server 2007 с пакетом обновления
1 (SP1))
Во время этапа Exchange Setup /PrepareAD (этап подготовки организации, аналогичный Exchange 2003 ForestPrep) эти роли администраторов Exchange (кроме администраторов сервера Exchange) создаются в новом подразделении группы безопасности Microsoft Exchange, расположенном в домене, в котором была выполнена команда /PrepareAD.
При добавлении пользователю административной роли этот пользователь наследует полномочия, разрешаемые этой ролью. Эти административные роли имеют разрешения для управления данными Exchange в Active Directory. Существует три типа данных Exchange, которые могут управляться этими группами:
- Глобальные данные. Это данные в конфигурации контейнера
Active Directory, которые не связаны с конкретным сервером.
Помимо другой информации эти данные включают почтовые политики,
списки адресов и конфигурацию единой системы обмена сообщениями
Exchange. Глобальные данные обычно оказывают влияние на всю
организацию и могут потенциально относиться ко всем пользователям.
Рекомендуется разрешать настройку или изменение глобальных данных
только небольшому числу доверенных пользователей.
- Данные получателей. Получатели в Exchange — это объекты
пользователей Active Directory, которые могут получать или
отправлять сообщения электронной почты. Примерами данных
получателей являются контакты, поддерживающие почту, группы
рассылки, почтовые ящики, а также определенные типы получателей,
такие как объекты прокси-серверов общих папок.
- Данные сервера. Данные сервера Exchange содержатся в
Active Directory в узле указанного сервера. Примерами этих
данных являются соединители приема, виртуальные каталоги, параметры
отдельных серверов, а также данные почтовых ящиков и групп
хранения.
Роль администраторов организации Exchange
Роль администраторов организации Exchange предоставляет администраторам полный доступ ко всем объектам и свойствам Exchange в организации Exchange. Во время установки сервера Exchange в корневом домене операция Setup /PrepareAD создает группу безопасности Active Directory с именем «Администраторы организации Exchange» в контейнере Группы безопасности Microsoft Exchange оснастки «Пользователи и компьютеры Active Directory».
При добавлении пользователя к роли администраторов организации Exchange этот пользователь становится членом роли администраторов под названием «Администраторы организации Exchange». В Exchange 2007 эта роль создается во время подготовки Active Directory. Члены роли администраторов организации Exchange обладают следующими разрешениями:
- Владельцы организации Exchange в контейнере конфигурации в
Active Directory. В качестве владельцев члены роли
осуществляют полный контроль над данными организации Exchange в
контейнере конфигурации в Active Directory и над локальной
группой администраторов сервера Exchange.
- Доступ с правом на чтение ко всем контейнерам пользователей
домена в Active Directory. Exchange предоставляет это
разрешение для каждого домена в организации во время установки
первого сервера Exchange 2007 в домене. Эти разрешения
предоставляются членам роли администратора получателей
Exchange.
- Доступ с правом записи ко всем атрибутам, относящимся к
Exchange, во всех контейнерах пользователей домена в
Active Directory. Exchange 2007 предоставляет это
разрешение для каждого домена в организации во время установки
первого сервера Exchange 2007 в домене. Эти разрешения
предоставляются членам роли администратора получателей
Exchange.
- Владелец всех данных конфигурации локального сервера. В
качестве владельцев члены имеют полный контроль над локальным
сервером Exchange. Exchange 2007 предоставляет это разрешение
во время установки каждого сервера Exchange.
Пользователи, являющиеся членами роли «Администраторы организации Exchange» имеют наивысший уровень разрешений в организации Exchange. Для всех задач, оказывающих влияние на всю организацию Exchange, требуется членство в этой группе. Примеры задач, которые требуют разрешений администратора организации Exchange, включают создание и удаление соединителей, изменение политик серверов, а также изменение любых глобальных параметров конфигурации.
Примечание. |
---|
При установке Exchange 2007 программа установки добавляет роль «Администраторы организации Exchange» в качестве члена локальной группы «Администраторы» на компьютере, на котором устанавливается сервер Exchange. Обратите внимание на то, что разрешения локальной группы «Администраторы» на контроллере домена и локальной группы «Администраторы» на рядовом сервере различаются При установке Exchange 2007 на контроллере домена пользователи с ролью «Администраторы организации Exchange» имеют дополнительные разрешения Windows, которые отсутствуют при установке Exchange 2007 на компьютер, который не является контроллером домена. |
Роль администраторов получателей Exchange
Роль администраторов получателей Exchange имеет разрешения на изменение любого свойства Exchange для пользователя, контакта, группы, динамического списка рассылки или объекта общей папки Active Directory. Во время выполнения команды Exchange Setup /PrepareAD роль администраторов получателей Exchange создается в контейнере групп безопасности Microsoft Exchange в Active Directory. Эта роль также позволяет управлять параметрами почтового ящика единой системы обмена сообщениями и параметрами почтового ящика роли клиентского доступа. Члены роли администраторов получателей организации Exchange обладают следующими разрешениями:
- Доступ с правом на чтение ко всем контейнерам пользователей
домена в Active Directory, для которых выполнялась
команда Setup /PrepareDomain в этих доменах.
- Доступ с правом на запись ко всем атрибутам, относящимся к
серверу Exchange, для контейнеров пользователей домена в
Active Directory, для которых выполнялась команда Setup
/PrepareDomain в этих доменах.
- Членство в роли администраторов Exchange с правами на
просмотр.
Пользователи, являющиеся членами роли администраторов получателей Exchange, не будут иметь разрешений для доменов, в которых команда Setup /PrepareDomain не выполнялась. При добавлении нового домена Exchange убедитесь, что команда Setup /PrepareDomain выполнена в новом домене для предоставления разрешений ролям администраторов Exchange в этом домене.
Роль администраторов сервера Exchange
Роль администраторов сервера Exchange имеет доступ только к данным конфигурации Exchange локального сервера или в Active Directory, или на физическом компьютере, на котором выполнена установка Exchange 2007. Пользователи, являющиеся членами роли администраторов сервера Exchange, обладают разрешениями на администрирование конкретного сервера, но не имеют разрешений на выполнение операций, оказывающих глобальное воздействие на организацию Exchange.
В сервере Exchange 2007 эта роль администратора создается во время установки. Члены роли администраторов сервера Exchange обладают перечисленными ниже разрешениями.
- Владелец всех данных конфигурации локального сервера. В
качестве владельцев члены роли имеют полный контроль над данными
конфигурации локального сервера.
- Локальный администратор на компьютере, на котором выполнена
установка Exchange.
- Члены роли администраторов Exchange с правами только на
просмотр.
Администраторы просмотра Exchange
Роль администраторов Exchange с правами на просмотр имеет доступ с правом на чтение к дереву всей организации Exchange в контейнере конфигурации Active Directory, а также доступ с правом на чтение ко всем контейнерам доменов Windows, в которых существуют получатели Exchange.
Во время выполнения команды Exchange Setup /PrepareAD роль администраторов просмотра Exchange создается в контейнере групп безопасности Microsoft Exchange в Active Directory.
Администраторы общих папок Exchange
Новая возможность в Exchange Server 2007 с пакетом обновления 1 (SP1)
Роль администраторов общих папок Exchange обладает административными разрешениям на управление всеми общими папками. Это роли администратора предоставлено расширенное право создания общих папок верхнего уровня. Пользователи с этой ролью могут создавать и удалять общие папки, а также управлять параметрами общих папок, такими как реплики, квоты, время хранения, административные разрешения и разрешения для клиентов. Такие пользователи могут включать поддержку почты для общих папок, но не могут изменять свойства общих папок, связанные с получателями почты, например адреса прокси-серверов. Для таких действий требуется членство в группе администраторов получателей Exchange.
Сводка административных ролей и разрешений
В следующей таблице перечисляются административные роли Exchange 2007 и соответствующие им разрешения Exchange.
Административная роль | Члены | Член | Разрешения Exchange |
---|---|---|---|
Администраторы организации Exchange |
Администратор или учетная запись, использовавшаяся для установки первого сервера Exchange 2007 |
Администратор получателей Exchange Локальная группа администраторов <Имя сервера> |
Полный контроль над контейнером Microsoft Exchange в Active Directory |
Администраторы получателей Exchange |
Администраторы организации Exchange |
Администраторы просмотра Exchange |
Полный контроль над свойствами Exchange объекта пользователя Active Directory |
Администраторы сервера Exchange |
|
Администраторы просмотра Exchange Локальная группа администраторов <Имя сервера> |
Полный контроль над Exchange <Имя сервера> |
Администраторы просмотра Exchange |
Администраторы получателей Exchange Администраторы общих папок Exchange |
Администраторы получателей Exchange Администраторы сервера Exchange |
Доступ с правом на чтение к контейнеру Microsoft Exchange в Active Directory. Доступ с правом на чтение ко всем доменам Windows, имеющим получателей Exchange. |
Серверы Exchange |
Каждая учетная запись компьютера Exchange 2007 |
Администраторы просмотра Exchange |
Специальный |
Администраторы общих папок Exchange |
Администраторы организации Exchange |
Администраторы Exchange с правами на просмотр |
Возможность административного управления общими папками. |
Атрибуты адресной книги
В Exchange используется большое количество атрибутов для хранения данных Exchange. В Exchange также существуют другие атрибуты получателей, которые могут применяться другими приложениями с поддержкой каталогов, использующими данные Exchange. Поэтому данные атрибуты не были добавлены в наборы свойств, относящиеся к Exchange. Эти атрибуты могут находиться в других наборах свойств, создаваемых при установке Active Directory, или не принадлежать ни к одному набору свойств.
Атрибуты, приведенные в следующей таблице, представляют собой данные, которые предоставляются пользователям через Microsoft Office Outlook в глобальном списке адресов. Если администратору Exchange необходимо обновлять эти атрибуты, не являясь членом привилегированной группы безопасности домена, такой как группа операторов учета, администратору Active Directory следует предоставить разрешение на чтение и запись.
Объект | Расположение в консоли управления Exchange | Атрибут | Описание |
---|---|---|---|
Пользователь, контакт |
Вкладка Сведения о пользователе или Сведения о контактах в свойствах пользователя или контакта |
givenName |
Имя |
Пользователь, контакт |
Вкладка Сведения о пользователе или Сведения о контактах в свойствах пользователя или контакта |
initials |
Буква отчества |
Пользователь, контакт |
Вкладка Сведения о пользователе или Сведения о контактах в свойствах пользователя или контакта |
sn |
Фамилия |
Пользователь, контакт |
Вкладка Сведения о пользователе или Сведения о контактах в свойствах пользователя или контакта |
info |
Поле для заметок |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
streetAddress |
Улица, дом |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
l |
Город |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
st |
Область, край |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
postalCode |
Почтовый индекс |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
countryCode |
Страна |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
telephoneNumber |
Рабочий телефон |
Пользователь, контакт |
Доступно только в командной консоли Exchange |
otherTelephoneNumber |
Дополнительный рабочий телефон |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
pager |
Пейджер |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
facsimileTelephoneNumber |
Факс |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
homePhone |
Домашний телефон |
Пользователь, контакт |
Доступно только в командной консоли Exchange |
otherHomePhone |
Дополнительный домашний телефон |
Пользователь, контакт |
Вкладка Адрес и телефон в свойствах пользователя или контакта |
mobile |
Мобильный телефон |
Пользователь, контакт |
Доступно только в командной консоли Exchange |
otherfacsimileTelephoneNumber |
Дополнительный факс |
Контакт |
Доступно только в командной консоли Exchange |
telephoneAssistant |
Телефон помощника |
Контакт |
Редактор ADSI, LDAP |
telephoneAssistant |
Телефон помощника |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
title |
Должность |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
company |
Организация |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
department |
Отдел |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
physicalDeliveryOfficeName |
Комната |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
manager |
Руководитель |
Пользователь, контакт |
Вкладка Организация в свойствах пользователя или контакта |
directReports |
Подчиненные |
Пользователь, контакт |
Доступно только в командной консоли Exchange |
msExchAssistantName |
Имя помощника |
Группа |
Вкладка Сведения о группе в свойствах группы |
managedBy |
Владелец группы |
Группа |
Вкладка Сведения о группе в свойствах группы |
info |
Поле для заметок |
Дополнительные сведения
Дополнительные сведения о делегировании разрешений с помощью административных ролей Exchange см. в разделе Add-ExchangeAdministrator.
Дополнительные сведения о подготовке Active Directory и доменов для Exchange 2007 см. в разделе Инструкции по подготовке службы Active Directory и доменов.