В Microsoft Exchange Server 2007 администраторы Exchange могут делегировать ответственность за администрирование и управление сервером отдельному лицу или группе лиц (в ситуации распределенного управления операциями). В этом разделе объясняется, как делегировать ответственность за администрирование и управление сервером с помощью консоли управления Exchange или командной консоли Exchange.
Делегированная роль администратора сервера Exchange имеет доступ только к данным конфигурации локального сервера Exchange (либо в службе каталогов Active Directory, либо на физическом компьютере с установленным сервером Exchange 2007). Пользователи, имеющие роль администратора сервера Exchange, обладают разрешениями на администрирование конкретного сервера, но не имеют разрешений на выполнение операций, оказывающих глобальное влияние на организацию Exchange.
Кроме того, администраторы сервера Exchange могут добавлять или удалять роли сервера Exchange. Тем не менее они не могут удалить последнюю роль сервера. Поэтому администраторы сервера Exchange не могут удалить сервер Exchange.
При делегировании пользователю или группе роли администратора сервера Exchange происходит назначение разрешений, после которого данный пользователь или группа являются владельцами всех данных конфигурации локального сервера. В качестве владельца администратор сервер имеет полный доступ к данным конфигурации локального сервера для объекта сервера в разделе конфигурации.
Делегированной учетной записи предоставляются следующие элементы управления доступом для объекта сервера в разделе конфигурации:
- «Полный доступ» для объекта сервера и его потомков;
- элемент управления доступом «Запретить» для расширенного права
«Отправить как»;
- элемент управления доступом «Запретить» для расширенного права
«Получить как»;
- значение «Запретить» для разрешений CreateChild и DeleteChild
для объектов хранилища общих папок Exchange. Общие папки находятся
в ведении организации, поэтому создавать и удалять хранилища общих
папок могут только администраторы организации Exchange.
Делегированная учетная запись автоматически добавляется в локальную группу администраторов целевого сервера на компьютере с установленным сервером Microsoft Exchange.
Делегированная учетная запись также становится членом группы безопасности администраторов организации Exchange с правами на просмотр.
Для делегирования разрешений на администрирование сервера можно использовать консоль управления Exchange или командную консоль Exchange.
Важно! |
---|
Как указано выше, роль администратора сервера Exchange представляет собой набор делегированных разрешений, которые позволяют пользователю или группе администрировать определенный компьютер с Exchange. Не следует путать роль администратора сервера Exchange с группой безопасности сервера Exchange в Active Directory. Группа безопасности сервера Exchange содержит объекты компьютеров с Exchange в организации. |
Предварительная подготовка
Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать роль администратора организации Exchange.
Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями.
Процедура
Делегирование роли администратора сервера пользователю или группе с помощью консоли управления Exchange
-
В консоли управления Exchange выберите пункт Конфигурация организации.
-
На панели действий выберите ссылку Добавить администратора Exchange.
-
На странице Добавить администратора Exchange нажмите кнопку Обзор и выберите пользователя или группу, которым необходимо делегировать управление, а затем выберите роль Администратор сервера Exchange Server.
-
В разделе Выберите серверы, к которым эта роль имеет доступ нажмите кнопку Добавить и выберите сервер, для которого необходимо делегировать управление. Нажмите кнопку ОК. Нажмите кнопку Добавить.
-
На странице Завершение нажмите кнопку Готово.
Делегирование роли администратора сервера пользователю или группе с помощью командной консоли Exchange
-
Выполните следующую команду:
Копировать код Add-ExchangeAdministrator -Identity "contoso.com/Users/KwekuA" -Role ServerAdmin -Scope server1.contoso.com
"contoso.com/Users/KwekuA"
— это полный путь к пользователю или группе, которым необходимо делегировать разрешение, аserver1.contoso.com
— это полное доменное имя сервера, который необходимо подготовить.
Дополнительные сведения о синтаксисе и параметрах см. в разделе Add-ExchangeAdministrator.
Дополнительные сведения
Дополнительные сведения см. в следующих разделах: