permisos de Exchange Server
Microsoft Exchange Server incluye un gran conjunto de permisos predefinidos, basados en el modelo de permisos de Access Control basado en rol (RBAC), que puede usar de inmediato para conceder permisos fácilmente a los administradores y usuarios. Puede usar las características de permisos de Exchange Server para que pueda poner en funcionamiento la nueva organización rápidamente.
Nota:
No se admite la deshabilitación de la herencia de permisos en objetos de Active Directory (AD), en un dominio de AD preparado para hospedar Exchange. La eliminación de permisos relacionados con Exchange en objetos de AD hará que las tareas y funciones de Exchange se interrumpan o puedan provocar problemas desconocidos.
Permisos basados en roles
En Exchange Server, los permisos que concede a los administradores y usuarios se basan en roles de administración. Una función define el conjunto de tareas que un administrador o usuario puede realizar. Por ejemplo, un rol de administración denominado Mail Recipients define las tareas que alguien puede realizar en un conjunto de buzones, contactos y grupos de distribución. Cuando una función se asigna a un administrador o usuario, a dicha persona se conceden los permisos que proporciona la función en cuestión.
Hay dos tipos de roles, es decir, roles administrativos y roles de usuario final:
Roles administrativos: estos roles contienen permisos que se pueden asignar a administradores o usuarios especializados mediante grupos de roles que administran una parte de la organización de Exchange, como destinatarios, servidores o bases de datos.
Roles de usuario final: estos roles, asignados mediante directivas de asignación de roles, permiten a los usuarios administrar los aspectos del buzón y los grupos de distribución que poseen. Los roles de usuario final comienzan con el prefijo
My.
Cuando los roles se asignan a administradores y usuarios, se les conceden los permisos para realizar tareas haciendo que los cmdlets estén disponibles para ellos. Dado que el Centro de administración de Exchange (EAC) y el Shell de administración de Exchange usan cmdlets para administrar Exchange, la concesión de acceso a un cmdlet concede al administrador o al usuario permiso para realizar la tarea en cada una de las interfaces de administración de Exchange.
Grupos de roles y directivas de asignación de roles
Los roles conceden permisos para realizar tareas en Exchange Server, pero necesita una manera sencilla de asignar los roles a administradores y usuarios. Exchange Server proporciona los métodos siguientes para ayudarle a hacerlo:
Grupos de roles: los grupos de roles permiten conceder permisos a administradores y usuarios especializados.
Directivas de asignación de roles: las directivas de asignación de roles permiten conceder permisos a los usuarios finales para cambiar la configuración en el buzón o grupos de distribución que poseen.
Para obtener más información sobre los grupos de roles y las directivas de asignación de roles, consulte las secciones siguientes.
Grupos de funciones
A todos los administradores que administran Exchange Server se les debe asignar al menos uno o varios roles. Los administradores pueden tener más de un rol porque pueden realizar funciones de trabajo que abarcan varias áreas de Exchange. Por ejemplo, un administrador podría administrar los destinatarios y los servidores de Exchange. En este caso, a ese administrador se le podrían asignar los Mail Recipients roles y Exchange Servers .
Para facilitar la asignación de varios roles a un administrador, Exchange Server incluye grupos de roles. Los grupos de roles son grupos de seguridad universal (USG) especiales utilizados por Exchange Server que pueden contener usuarios de AD, GRUPOS DE US Y otros grupos de roles. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se dan a todos los miembros del grupo de roles. Esta característica le permite asignar muchos roles a muchos miembros del grupo de roles a la vez. Los grupos de roles suelen abarcar áreas de administración más amplias, como la administración de destinatarios. Solo se usan con roles administrativos y no con roles de usuario final.
Nota:
Es posible asignar un rol directamente a un usuario o USG sin usar un grupo de roles. Sin embargo, este método de asignación de roles es un procedimiento avanzado y no se trata en este tema. Se recomienda usar grupos de roles para administrar los permisos.
En la figura siguiente se ve la relación entre usuarios, grupos de roles y roles.
Roles, grupos de roles y miembros de grupos de roles
Exchange Server incluye varios grupos de roles integrados, cada uno de los cuales proporciona permisos para administrar áreas específicas en Exchange Server. Algunos grupos de roles pueden solaparse con otros. En la tabla siguiente se enumera cada uno de los grupos de roles con una descripción de su uso. Si desea ver los roles asignados a cada grupo de roles, haga clic en el nombre del grupo de roles en la columna "Grupo de roles" y, a continuación, vaya a la sección "Roles de administración asignados a este grupo de roles".
Importante
Si un administrador es miembro de más de un grupo de roles, Exchange Server concede al administrador todos los permisos proporcionados por esos grupos de roles.
Grupos de funciones integradas
| Grupo de funciones | Descripción |
|---|---|
| Administración de organizaciones | Los administradores que son miembros del grupo de roles administración de la organización tienen acceso administrativo a toda la organización Exchange Server y pueden realizar casi cualquier tarea en cualquier objeto Exchange Server, con algunas excepciones, como el Discovery Management rol. Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios o USG que realizan tareas administrativas de nivel organizativo que pueden afectar potencialmente a toda la organización de Exchange deben ser miembros de este grupo de roles. |
| View-Only Organization Management | Los administradores que son miembros del grupo de funciones Ver solamente la administración de la organización pueden ver las propiedades de todos los objetos de la organización de Exchange. |
| Administración de destinatarios | Los administradores que son miembros del grupo de roles Administración de destinatarios tienen acceso administrativo para crear o modificar Exchange Server destinatarios dentro de la organización Exchange Server. |
| Administración de MU | Los administradores que son miembros del grupo de roles UM Management pueden administrar características en la organización Exchange, como la configuración del servicio de mensajería unificada, las propiedades de Mensajería unificada en los buzones, los mensajes de Mensajería unificada y la configuración del operador automático para Mensajería unificada. (Nota: La mensajería unificada no está disponible en Exchange 2019). |
| Servicio de asistencia | De forma predeterminada, el grupo de roles del Departamento de soporte técnico permite a los miembros ver y modificar las opciones de "Outlook en la Web" (anteriormente conocidas como Outlook Web App) de cualquier usuario de la organización. Entre otras cosas, se puede modificar el nombre para mostrar, la dirección o el teléfono del usuario. Estas opciones no incluyen opciones que no están disponibles en las opciones de "Outlook en la Web", como modificar el tamaño de un buzón o configurar la base de datos de buzones en la que se encuentra un buzón. |
| Administración de higiene | Los administradores que son miembros del grupo de roles de Administración de higiene pueden configurar las características antivirus y antispam de Exchange Server. Los programas de terceros que se integran con Exchange Server pueden agregar cuentas de servicio a este grupo de roles para conceder a esos programas acceso a los cmdlets necesarios para recuperar y configurar la configuración de Exchange. |
| Administración de registros | Los usuarios que son miembros del grupo de roles Administración de registros pueden configurar características de cumplimiento, como etiquetas de directiva de retención, clasificaciones de mensajes y reglas de flujo de correo (también conocidas como reglas de transporte). |
| Administración de la detección | Los administradores o usuarios que son miembros del grupo de roles Administración de detección pueden realizar búsquedas de buzones en la organización de Exchange en busca de datos que cumplan criterios específicos y también pueden configurar retenciones legales en buzones. |
| Administración de carpetas públicas | Los administradores que son miembros del grupo de roles Administración de carpetas públicas pueden administrar carpetas públicas en los servidores que ejecuten Exchange Server. |
| Administración de servidores | Los administradores que son miembros del grupo de roles Administración de servidor pueden establecer la configuración específica de servidor del transporte, la mensajería unificada, el acceso de clientes y las características de buzón, como copias de las bases de datos, certificados, colas de transporte y conectores de envío, directorios virtuales y protocolos de acceso de cliente. (Nota: La mensajería unificada no está disponible en Exchange 2019). |
| Configuración delegada | Los administradores que pertenecen al grupo de funciones Configuración delegada pueden implementar servidores que ejecutan Exchange Server que ya han sido aprovisionados por un miembro del grupo de funciones Administración de la organización. |
| Administración de cumplimiento | Los usuarios que son miembros del grupo de roles Administración de cumplimiento pueden configurar y administrar la configuración de cumplimiento de Exchange de acuerdo con la directiva de su organización. |
Si trabaja en una organización pequeña que solo tiene unos pocos administradores, es posible que solo use el grupo de roles Administración de la organización y ninguno de los demás grupos de roles. Si trabaja en una organización mayor, es posible que tenga administradores que realicen tareas específicas de administración de Exchange, como la administración de destinatarios o servidores. En esos casos, puede agregar un administrador al grupo de roles Administración de destinatarios y otro administrador al grupo de roles Administración del servidor. Estos administradores pueden administrar sus áreas específicas de Exchange Server, pero no tendrán permisos para administrar las áreas de las que no son responsables.
Si no encuentra un grupo de roles integrado que se ajuste a los trabajos que deben realizar los administradores, puede crear grupos de roles y agregarles roles. Para más información, vea Trabajar con grupos de roles más adelante en este tema.
Directivas de asignación de funciones
Exchange Server proporciona directivas de asignación de roles para que pueda controlar la configuración que los usuarios pueden configurar en los buzones y grupos de distribución que poseen. Estas opciones incluyen el nombre para mostrar, la información de contacto, la configuración del correo de voz y la pertenencia a grupos de distribución.
La organización Exchange Server puede tener varias directivas de asignación de roles que proporcionan distintos niveles de permisos para los distintos tipos de usuarios de las organizaciones. Algunos usuarios pueden cambiar su dirección o crear grupos de distribución, mientras que otros no. Todo depende de la directiva de asignación de roles asociada a su buzón de correo. Las directivas de asignación de roles se agregan directamente a los buzones y cada uno de estos solamente puede asociarse con una directiva de asignación de roles a la vez.
Una de las directivas de asignación de roles de la organización se marca como predeterminada. La directiva de asignación de roles predeterminada se asocia con los nuevos buzones a los que no se asigna de forma explícita una directiva de asignación de roles en el momento de su creación. La directiva de asignación de roles predeterminada tiene que contener los permisos que deben aplicarse a la mayoría de los buzones.
Los permisos se agregan a las directivas de asignación de roles usando roles de usuario final. Los roles de usuario final comienzan con My y conceden permisos para que los usuarios administren solo el buzón o los grupos de distribución que poseen. No pueden usarse para administrar ningún otro buzón de correo. A las directivas de asignación de roles solo pueden asignarse roles de usuario final.
Cuando se asigna un rol de usuario final a una directiva de asignación de roles, todos los buzones asociados con la directiva de asignación de roles reciben los permisos concedidos por el rol. Por lo tanto, puede agregar o quitar permisos a conjuntos de usuarios sin tener que configurar buzones individuales. En la ilustración siguiente se muestra que:
Los roles de usuario final se asignan a las directivas de asignación de roles. Las directivas de asignación de roles pueden compartir los mismos roles de usuario final.
Las directivas de asignación de roles se asocian con buzones. Cada buzón puede asociarse con una única directiva de asignación de roles.
Después de asociar un buzón con una directiva de asignación de roles, los roles de usuario final se aplican al buzón en cuestión. Los permisos concedidos por los roles se conceden al usuario del buzón.
Roles, directivas de asignación de roles y buzones
La directiva de asignación de roles predeterminada se incluye con Exchange Server. Como su nombre indica, es la directiva que se usa de forma predeterminada. Si quiere cambiar los permisos proporcionados por esta directiva de asignación de roles o quiere crear directivas de asignación de roles, vea Trabajar con directivas de asignación de roles más adelante en este tema.
Trabajar con grupos de roles
Para administrar los permisos mediante grupos de roles en Exchange Server, se recomienda usar el Centro de administración de Exchange (EAC). Al usar el EAC para administrar grupos de roles, es posible agregar y quitar roles y miembros, crear grupos de roles y copiar los grupos de roles con unos clics del mouse. El EAC tiene cuadros de diálogo sencillos, como el cuadro nuevo grupo de roles, que se muestra en la figura siguiente, para realizar estas tareas.
Cuadro de diálogo Nuevo grupo de roles en el EAC
Si ninguno de los grupos de roles incluidos con Exchange Server tiene los permisos que necesita, puede usar el EAC para crear un grupo de roles y agregar los roles que tienen los permisos que necesita. Para el nuevo grupo de roles, deberá hacer lo siguiente:
Elija un nombre.
Seleccione los roles que desea agregar.
Agregar miembros.
Guárdelo.
Después de crear el grupo de roles, podrá administrarlo como cualquier otro grupo.
Si existe algún grupo de roles que tiene algunos de los permisos que necesita, pero no todos, puede copiarlo y hacer cambios para crear un grupo de roles. Copiar un grupo de roles existente le permite realizar cambios en él sin afectar al grupo de roles original. Al copiar el grupo de roles, puede agregar un nombre y una descripción nuevos, agregar y quitar roles del nuevo grupo de roles, y agregar miembros nuevos. Para crear o copiar un grupo de roles, se usa el mismo cuadro de diálogo que aparece en la figura anterior.
Los grupos de roles existentes también pueden modificarse. Puede agregar y quitar roles de los grupos de roles existentes, así como agregar y quitar miembros al mismo tiempo, desde un cuadro de diálogo del EAC parecido al cuadro de diálogo que se ve en la figura anterior. Al agregar y quitar roles de los grupos de roles, se activan y desactivan características administrativas para los miembros de ese grupo de roles.
Nota:
Aunque puede determinar qué roles se asignan a los grupos de roles integrados, se recomienda copiar grupos de roles integrados, modificar la copia del grupo de roles y, a continuación, agregar miembros a la copia del grupo de roles.
Trabajar con directivas de asignación de roles
Para administrar los permisos que concede a los usuarios finales para que administren su propio buzón en Exchange Server, se recomienda usar el EAC. Si usa el EAC para administrar los permisos de usuario final, puede agregar roles, quitarlos y crear directivas de asignación de roles con unos pocos clics. El EAC tiene cuadros de diálogo sencillos, como el cuadro directiva de asignación de roles, que se muestra en la figura siguiente, para hacer estas tareas.
Cuadro de diálogo Directiva de asignación de roles en el EAC
Exchange Server incluye una directiva de asignación de roles denominada Directiva de asignación de roles predeterminada. Esta directiva de asignación de roles permite a los usuarios cuyos buzones estén asociados con ella hacer lo siguiente:
Abandonar o unirse a grupos de distribución que permiten a los miembros administrar su propia pertenencia.
Ver y modificar configuraciones de buzón básicas en su propio buzón de correo, como reglas de la Bandeja de entrada, comportamiento de la corrección ortográfica, configuración del correo no deseado y dispositivos de Microsoft ActiveSync.
Modificar la información de contacto, como la dirección de trabajo y los números telefónicos y del localizador.
Crear, modificar o ver la configuración de los mensajes de texto.
Ver o modificar la configuración del correo de voz.
Ver y modificar sus aplicaciones del catálogo de soluciones.
Crear buzones de equipo y conectarlos a listas de Microsoft SharePoint.
Si quiere agregar o quitar permisos de la Directiva de asignación de roles predeterminada o de cualquier otra directiva de asignación de roles, puede usar el EAC. Al abrir la directiva de asignación de roles en el EAC, active la casilla situada junto a los roles que desea asignarle o desactive la casilla situada junto a los roles que desea quitar. El cambio que haga en la directiva de asignación de roles se aplica a todos los buzones asociados.
Si quiere asignar permisos de usuario final distintos a los diferentes tipos de usuario de la organización, puede crear directivas de asignación de roles. Puede especificar un nombre nuevo para la directiva de asignación de roles y luego seleccionar los roles que quiere asignar a la directiva. Después de crear una directiva de asignación de roles, puede asociarla con buzones usando el EAC.
Si desea determinar qué directiva de asignación de roles es la predeterminada, debe usar el Shell de administración de Exchange. Al cambiar la directiva de asignación de roles predeterminada, todos los buzones que se creen se asociarán a la nueva directiva de asignación de roles predeterminada si todavía no se había especificado ninguna de forma explícita. La directiva de asignación de roles asociada con los buzones existentes no cambia al seleccionar una nueva directiva de asignación de roles predeterminada.
Notas:
Si activa una casilla para un rol que tiene roles secundarios, también se seleccionan las casillas de los roles secundarios. Si desactiva la casilla de un rol con roles secundarios, también se desactivan las casillas de los roles secundarios.
Para obtener los pasos detallados sobre cómo crear directivas de asignación de roles o realizar cambios en las directivas de asignación de roles existentes, consulte los temas siguientes: