Exportar (0) Imprimir
Expandir todo

Consideraciones sobre permisos

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-07-12

Al diseñar la integración de Microsoft Exchange Server 2007 en la estructura del servicio de directorio de Active Directory, hay que tener en cuenta el modelo administrativo de la organización. Con Exchange 2007, dispone de flexibilidad para asignar permisos a los administradores. En general, se recomienda que piense en cómo afectan las siguientes capacidades de Active Directory y Exchange 2007 al modo en el que organiza las funciones administrativas:

  • Un solo administrador puede realizar tareas para Microsoft Windows Server 2003 y Exchange.
  • Puede dividir permisos entre administradores de Exchange y administradores de Windows.
  • Puede aislar las funciones de administrador de Exchange y de Windows si utiliza un bosque de recursos de Exchange.

En las secciones de este tema se describen la flexibilidad de la configuración de permisos y de las funciones administrativas disponibles en Exchange 2007.

En muchas organizaciones de Microsoft Exchange, sobre todo en las grandes y medianas, puede haber más de un administrador de Exchange. Dado que estos administradores pueden realizar un conjunto específico de tareas de administración, Exchange Server 2007 contiene funciones de administrador predefinidas y un modelo de permisos divididos que permite configurar permisos específicos en Active Directory para realizar diversas tareas administrativas en la organización. En Exchange 2007, los permisos de atributos de destinatarios de Exchange se encuentran agrupados. De esta forma, se minimiza la configuración manual de permisos que debe realizar para separar los permisos de Exchange de otros permisos de administración. Para obtener más información acerca de cómo planear e implementar su modelo de permisos, consulte los siguientes temas.

El modelo de permisos y seguridad de Exchange Server 2003 ha cambiado en Exchange 2007. En esta sección, se proporciona información acerca de los cambios del modelo de permisos de Exchange y se describen las diferencias.

Un conjunto de propiedades es un grupo de atributos de Active Directory. Puede controlar el acceso a este grupo de atributos de Active Directory al configurar una entrada de control de acceso (ACE) en lugar de configurar una entrada de control de acceso en cada propiedad. El conjunto de propiedades que agrupa todos los atributos de Exchange de destinatario se llama información de correo electrónico.

noteNota:
Los grupos de seguridad de Exchange Server 2003 que tenían permiso de acceso a las propiedades de destinatario en los servidores de Exchange Server 2003 tendrán permiso para obtener acceso al conjunto de propiedades de correo electrónico de Exchange 2007, siempre que utilice Setup.com de Exchange 2007 o Setup.com con el parámetro /PrepareAD para actualizar el esquema Active Directory.

Para obtener más información acerca de conjuntos de propiedades, consulte Conjuntos de propiedades en Exchange Server 2007.

Para ayudar a simplificar la administración de los permisos, Exchange Server 2003 ofrecía funciones de seguridad predefinidas que estaban disponibles en el Asistente para delegar la administración de Exchange 2003. Estas funciones eran una colección de permisos estandarizados que se podían aplicar en el nivel de la organización o de grupos administrativos.

En Exchange 2003, las siguientes funciones de seguridad estaban disponibles a través del Asistente para delegar del Administrador del sistema de Exchange:

  • Administrador total de Exchange
  • Administrador de Exchange
  • Administrador con permiso de vista de Exchange

Este modelo tenía las siguientes limitaciones:

  • Falta de concreción. El grupo de administrador de Exchange era demasiado grande y algunos clientes deseaban administrar su modelo de permisos y seguridad a nivel de cada servidor.
  • La percepción de que las funciones de seguridad de Exchange Server 2003 sólo tenían diferencias muy sutiles.
  • No había una separación clara entre la administración de usuarios y grupos por parte de los administradores de Windows (Active Directory) y los administradores de destinatarios de Exchange. Por ejemplo, había que conceder a los administradores de Exchange permisos de alto nivel (permisos de operador de cuentas en los dominios de Exchange) para realizar tareas relacionadas con los destinatarios de Windows.

Para mejorar la administración de las funciones de administrador de Exchange, que se denominaban "grupos de seguridad" en Exchange 2003, se han incluido las siguientes características nuevas o mejoradas en el modelo de permisos y seguridad de Exchange:

  • Nuevas funciones de administrador que son similares a los grupos de seguridad integrados en Windows Server. Para obtener más información acerca de estas funciones de administrador, consulte "Funciones de administrador en Exchange 2007" más adelante en este tema.
  • Puede utilizar la Consola de administración de Exchange (anteriormente el Administrador del sistema de Exchange) y la Shell de administración de Exchange para ver, agregar y quitar miembros de cualquier función de administrador.

Exchange 2007 dispone de los grupos predefinidos siguientes que administran los datos de configuración de Exchange:

  • Administradores de la organización de Exchange
  • Administradores de destinatarios de Exchange
  • Administrador con permisos de sólo vista de Exchange
  • Exchange Administradores de carpeta pública (Novedad en el Service Pack 1 de Exchange Server 2007)

Durante la fase Instalación /PrepareAD de Exchange (la fase de organización y preparación que es similar a ForestPrep de Exchange 2003), estas funciones de administrador de Exchange (excepto la de administrador de servidor de Exchange) se crean en una nueva unidad de organización de grupos de seguridad (OU) de Microsoft Exchange que se encuentra ubicada en el dominio en que se ejecuta /PrepareAD.

Cuando se agrega una función de administrador a un usuario, ese usuario hereda los permisos que permiten esa función. Estas funciones de administrador tienen permisos para administrar datos de Exchange en Active Directory. Existen tres tipos de datos de Exchange que pueden administrar estos grupos:

  • Datos globales Se trata de datos de un contenedor de configuración de Active Directory que no están asociados a ningún servidor en particular. Estos datos incluyen (aunque sin limitarse a ellos) directivas de buzón, listas de direcciones y la configuración de mensajería unificada de Exchange. Generalmente, los datos globales afectan a toda la organización y, potencialmente, pueden afectar a todos los usuarios. Es recomendable permitir únicamente unos pocos usuarios de confianza para configurar o cambiar datos globales.
  • Datos de destinatarios Los destinatarios de Exchange son objetos de usuario de Active Directory que pueden recibir o enviar mensajes de correo electrónico. Entre algunos ejemplos de datos de destinatarios, se incluyen contactos habilitados para correo, grupos de distribución, buzones y tipos de destinatarios específicos como, por ejemplo, objetos proxy de carpeta pública.
  • Datos de servidor Los datos de servidor de Exchange se encuentran en Active Directory, en el nodo del servidor especificado. Entre algunos ejemplos de estos datos, se incluyen conectores de recepción, directorios virtuales, configuraciones por servidor y datos de grupos de almacenamiento y buzones.

La función de administradores de la organización de Exchange ofrece a los administradores acceso completo a todas las propiedades y objetos de Exchange en la organización de Exchange. Durante la instalación de Exchange, en el dominio raíz, Instalación /PrepareAD crea el grupo de seguridad de Active Directory denominado Administradores de la organización de Exchange en el contenedor Grupos de seguridad de Microsoft Exchange de Usuarios y equipos de Active Directory.

Cuando se agrega un usuario al grupo de la función Administradores de la organización de Exchange, ese usuario se convierte en miembro del grupo de funciones de administrador denominado Administradores de la organización de Exchange. Exchange 2007 crea este grupo durante la preparación de Active Directory. Los miembros de la función de Administradores de la organización de Exchange tienen los permisos siguientes:

  • Propietarios de la organización de Exchange en el contenedor de configuración de Active Directory. Como propietarios, los miembros de la función tienen completo control sobre los datos de la organización de Exchange en el contenedor de configuración de Active Directory y el grupo de administradores de servidor de Exchange.
  • Permiso de lectura en todos los contenedores de usuario de dominio de Active Directory. Exchange concede este permiso durante la instalación del primer servidor de Exchange 2007 en el dominio, por cada dominio de la organización. Estos permisos se conceden al ser miembro de la función Administrador de destinatarios de Exchange. 
  • Permiso de escritura en todos los atributos específicos de Exchange en todos los contenedores de usuario de dominio de Active Directory. Exchange 2007 concede este permiso durante la instalación del primer servidor de Exchange 2007 en el dominio, por cada dominio de la organización. Estos permisos se conceden al ser miembro de la función Administrador de destinatarios de Exchange. 
  • Propietario de todos los datos de configuración de servidores locales. Como propietarios, los miembros tienen control completo sobre el servidor local de Exchange. Exchange 2007 concede este permiso durante la instalación de cada servidor de Exchange.

Los usuarios que son miembros de esta función de administrador de organización de Exchange tienen el nivel de permisos más alto de la organización de Exchange. Todas las tareas que afectan a toda la organización de Exchange requieren pertenecer a este grupo. Entre algunos ejemplos de tareas que requieren permisos de administrador de la organización de Exchange se encuentran la creación o eliminación de conectores, el cambio de directivas de servidor y el cambio de valores de configuración globales.

noteNota:
Cuando instale Exchange 2007, el programa de instalación agregará la función Administradores de la organización de Exchange como miembro del grupo local de administradores en el equipo donde esté instalando Exchange. Tenga en cuenta que el grupo local de administradores de un controlador de dominio tiene permisos diferentes a los del grupo local de administradores de un servidor miembro. Si instala Exchange 2007 en un controlador de dominio, los usuarios en la función Administradores de la organización de Exchange tendrán permisos de Windows adicionales de los que carecerían si instalara Exchange 2007 en un equipo que no sea un controlador de dominio.

La función de administradores de destinatarios de Exchange tiene permisos para modificar cualquier propiedad de Exchange en un usuario, contacto, grupo, lista de distribución dinámica u objeto de carpeta pública de Active Directory. Durante la ejecución del programa de Instalación /PrepareAD de Exchange, el grupo de funciones de administradores de destinatarios de Exchange se crea en el contenedor de grupos de seguridad de Microsoft Exchange de Active Directory. Esta función también le permite administrar la configuración de buzones de mensajería unificada y la configuración de buzones de acceso de cliente. Los miembros de la función de administradores de destinatarios de la organización de Exchange tienen los permisos siguientes:

  • Permiso de lectura en todos los contenedores de usuario de dominio de Active Directory en los que se ha ejecutado el programa de Instalación /PrepareDomain en dichos dominios.
  • Permiso de escritura en todos los atributos específicos de Exchange en los contenedores de usuario de dominio de Active Directory en los que se ha ejecutado Instalación /PrepareDomain en dichos dominios.
  • Pertenencia a la función de administradores de sólo vista de Exchange.

Los usuarios que son miembros de esta función de administrador de destinatarios de Exchange no tienen permisos sobre los dominios en los que no se ha ejecutado Instalación /PrepareDomain . Al agregar un nuevo dominio de Exchange, asegúrese de ejecutar Instalación /PrepareDomain en el nuevo dominio para conceder permisos a los grupos de funciones de administrador de Exchange en ese dominio.

La función de administradores de servidores de Exchange sólo tiene acceso a los datos de configuración de Exchange del servidor local, ya sea en Active Directory o en el equipo físico en el cual está instalado Exchange 2007. Los usuarios que pertenecen a la función de administradores de servidores de Exchange tienen permisos para administrar un servidor en particular, pero no tienen permisos para realizar operaciones que tengan un impacto global en la organización de Exchange.

Exchange 2007 crea esta función de administrador durante la instalación. Los miembros de la función Administrador de servidor de Exchange tienen los siguientes permisos:

  • Propietario de todos los datos de configuración de servidores locales. Como propietarios, los miembros de la función tienen control completo sobre los datos de configuración del servidor local.
  • Administrador local en el equipo en el que está instalado Exchange.
  • Miembros de la función de administradores de sólo vista de Exchange.

La función de administradores de sólo vista de Exchange tiene permiso de sólo lectura en todo el árbol de la organización de Exchange en el contenedor de configuración de Active Directory y permiso de sólo lectura en todos los contenedores de dominio de Windows que tienen destinatarios de Exchange.

Durante la ejecución del programa de Instalación /PrepareAD de Exchange, la función de administradores de sólo vista de Exchange se crea en el contenedor de grupos de seguridad de Microsoft Exchange en Active Directory.

Novedades en el Service Pack 1 (SP1) de Exchange 2007 

La función de Administradores de carpetas públicas de Exchange tiene permisos administrativos para administrar todas las carpetas públicas. Esta función de administrador tiene concedido el derecho extendido "Crear carpeta pública de alto nivel". Los miembros de esta función pueden crear e eliminar carpetas públicas y administrar configuraciones de carpeta pública como réplicas, cuotas, límites de edad, permisos administrativos y permisos de cliente. Esta función de administrador puede habilitar el correo de carpetas públicas, pero no puede modificar propiedades de correo relacionadas con los destinatarios, como las direcciones proxy. Esta capacidad requiere la pertinencia a la función de administradores de destinatarios de Exchange.

En la siguiente tabla, se enumeran las funciones de administrador de Exchange 2007 y sus permisos de Exchange relacionados.

 

Función de administrador Usuarios Miembro de Permisos de Exchange

Administradores de la organización de Exchange

Administrador o la cuenta que se ha utilizado para instalar el primer servidor de Exchange 2007.

Administrador de destinatarios de Exchange

Grupo local de administradores de <Nombre de servidor>

Control completo del contenedor de Microsoft Exchange en Active Directory

Administradores de destinatarios de Exchange

Administradores de la organización de Exchange

Administrador con permisos de sólo vista de Exchange

Control completo de las propiedades de Exchange en el objeto de usuario de Active Directory

Administradores de servidores de Exchange

 

Administrador con permisos de sólo vista de Exchange

Grupo local de administradores de <Nombre de servidor>

Control completo de Exchange <Nombre de servidor>

Administrador con permisos de sólo vista de Exchange

Administradores de destinatarios de Exchange

Administradores de carpetas públicas de Exchange

Administradores de destinatarios de Exchange

Administradores de servidores de Exchange

Permiso de lectura en el contenedor de Microsoft Exchange en Active Directory.

Permiso de lectura en todos los dominios de Windows que tienen destinatarios de Exchange.

Servidores de Exchange

Cada cuenta de equipo de Exchange 2007

Administrador con permisos de sólo vista de Exchange

Especial

Administradores de carpetas públicas de Exchange

Administradores de la organización de Exchange

Administrador con permiso de vista de Exchange

Capacidad de administrar de forma administrativa las carpetas públicas.

Exchange utiliza muchos atributos para almacenar los datos de Exchange. Exchange utiliza también otros atributos de destinatarios que pueden utilizarse con otras aplicaciones compatibles con directorios que utilizan los datos de Exchange. Por lo tanto, estos atributos no se agregaron a los conjuntos de propiedades específicas de Exchange. Estos atributos pueden residir en otros grupos de propiedades creados durante la instalación de Active Directory o puede que no pertenezcan a ningún grupo de propiedades.

Los atributos enumerados en la siguiente tabla son los datos que se proporcionan a los usuarios finales a través de Microsoft Office Outlook en la lista global de direcciones (GAL). Si un administrador de Exchange requiere la capacidad de actualizar estos atributos y no es miembro de ningún grupo de seguridad privilegiado de un dominio como, por ejemplo, el grupo de operadores de cuenta, el administrador de Active Directory debe conceder permiso de lectura/escritura.

 

Se aplica a un objeto Ubicación de la consola de administración de Exchange Atributo Descripción

Usuario, Contacto

Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto

givenName

Nombre

Usuario, Contacto

Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto

initials

Inicial del segundo nombre

Usuario, Contacto

Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto

sn

Apellidos

Usuario, Contacto

Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto

info

Campo de notas

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

streetAddress

Dirección

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

l

City

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

st

Estado/Provincia

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

postalCode

Código postal

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

countryCode

País o región

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

telephoneNumber

Teléfono de la oficina

Usuario, Contacto

Sólo disponible en el Shell de administración de Exchange

otherTelephoneNumber

Teléfono de la oficina alternativo

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

pager

Pager

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

facsimileTelephoneNumber

Fax

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

homePhone

Teléfono de casa

Usuario, Contacto

Sólo disponible en el Shell de administración de Exchange

otherHomePhone

Teléfono de casa alternativo

Usuario, Contacto

Ficha Dirección y teléfono en las propiedades de usuario o contacto

mobile

Teléfono móvil

Usuario, Contacto

Sólo disponible en el Shell de administración de Exchange

otherfacsimileTelephoneNumber

Fax alternativo

Contacto

Sólo disponible en el Shell de administración de Exchange

telephoneAssistant

Teléfono del ayudante

Contacto

edición de Interfaces del servicio Active Directory (ADSI)/LDAP

telephoneAssistant

Teléfono del ayudante

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

title

Title

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

company

Company

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

department

Department

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

physicalDeliveryOfficeName

Office

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

manager

Administrador

Usuario, Contacto

Ficha Organización en las propiedades de usuario o contacto

directReports

Informes directos

Usuario, Contacto

Sólo disponible en el Shell de administración de Exchange

msExchAssistantName

Nombre del ayudante

Grupo

Ficha Información de grupo en propiedades de grupo

managedBy

Propietario del grupo

Grupo

Ficha Información de grupo en propiedades de grupo

info

Campo de notas

Para más información acerca de cómo delegar permisos mediante las funciones administrativas de Exchange, consulte Add-ExchangeAdministrator

Para obtener información acerca de cómo preparar Active Directory y sus dominios para Exchange 2007, consulte Cómo preparar Active Directory y dominios.

Para asegurar que lee la información más actualizada y para buscar documentación adicional de Exchange Server 2007, visite Exchange Server TechCenter.
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft