Share via

Configurazione di Exchange 2010 per le autorizzazioni suddivise

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2012-07-23

Le autorizzazioni suddivise consentono a due gruppi separati, ad esempio gli amministratori di Active Directory e di Microsoft Exchange Server 2010, di gestire i relativi servizi, oggetti e attributi. Gli amministratori di Active Directory gestiscono le entità di sicurezza, ad esempio gli utenti, che forniscono le autorizzazioni per accedere a una foresta di Active Directory. Gli amministratori di Exchange gestiscono gli attributi relativi a Exchange per gli oggetti Active Directory e la creazione e la gestione degli oggetti specifici di Exchange.

Microsoft Exchange Server 2010 Service Pack 1 (SP1) offre i seguenti tipi di modelli per le autorizzazioni suddivise:

  • Autorizzazioni suddivise RBAC   Le autorizzazioni per creare le entità di sicurezza nella partizione di dominio di Active Directory vengono verificate dal controllo di accesso basato sui ruoli (RBAC). Le entità di sicurezza possono essere create solo dai membri dei gruppi di ruoli appropriati.

  • Autorizzazioni suddivise Active Directory   Le autorizzazioni per la creazione delle entità di sicurezza nella partizione di dominio di Active Directory vengono completamente rimosse da qualsiasi utente, servizio o server Exchange. Per creare le entità di sicurezza, non viene fornita alcuna opzione in RBAC. La creazione delle entità di sicurezza in Active Directory deve essere eseguita utilizzando gli strumenti di gestione di Active Directory.

    Nota

    Le autorizzazioni suddivise di Active Directory sono disponibili a partire da Exchange 2010 SP1.

La scelta del modello dipende dalla struttura e dalle esigenze dell'organizzazione. Selezionare la procedura seguente, applicabile al modello che si desidera configurare. Si consiglia di utilizzare il modello delle autorizzazioni suddivise RBAC. Il modello delle autorizzazioni suddivise RBAC fornisce una maggiore flessibilità, mantenendo la stessa separazione amministrativa delle autorizzazioni suddivise di Active Directory.

Per ulteriori informazioni sulle autorizzazioni condivise e suddivise, vedere Informazioni sulla divisione delle autorizzazioni.

Per ulteriori informazioni sui gruppi del ruolo di gestione, i ruoli di gestione e le assegnazioni del ruolo di gestione regolari e di delega, vedere i seguenti argomenti:

Per informazioni sulle altre attività di gestione relative alle autorizzazioni, vedere Gestione delle autorizzazioni avanzate.

Passaggio alle autorizzazioni suddivise RBAC

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Autorizzazioni suddivise di Active Directory" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per passare alle autorizzazioni suddivise RBAC.

L'organizzazione di Exchange 2010 può essere configurata per le autorizzazioni suddivise RBAC. Al termine dell'operazione, solo gli amministratori di Active Directory saranno in grado di creare le entità di protezione di Active Directory. Ciò significa che gli amministratori di Exchange non potranno utilizzare i cmdlet seguenti:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Gli amministratori di Exchange potranno gestire solo gli attributi di Exchange sulle entità di protezione esistenti di Active Directory. Tuttavia, potranno creare e gestire oggetti specifici di Exchange, ad esempio le regole di trasporto e i gruppi di distribuzione. Per ulteriori informazioni, vedere la sezione "Autorizzazioni suddivise RBAC" in Informazioni sulla divisione delle autorizzazioni.

Per configurare le autorizzazioni suddivise su Exchange 2010, è necessario assegnare il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli contenente gli amministratori di Active Directory. Quindi, è necessario rimuovere le assegnazioni tra questi ruoli e qualsiasi gruppo di ruoli o gruppo di protezione universale contenente gli amministratori di Exchange.

Per configurare le autorizzazioni suddivise RBAC, effettuare le seguenti operazioni:

  1. Se l'organizzazione è attualmente configurata per le autorizzazioni suddivise di Active Directory, effettuare le seguenti operazioni da un prompt dei comandi di Windows: 

    1. Disabilitare le autorizzazioni suddivise di Active Directory eseguendo il seguente comando dal supporto di installazione di Exchange 2010 SP1.

      setup.com /PrepareAD /ActiveDirectorySplitPermissions:false

    2. Riavviare i server Exchange 2010 dell'organizzazione o attendere il token di accesso di Active Directory per la replica su tutti i server Exchange 2010.

  2. Eseguire le seguenti operazioni da Exchange Management Shell:

    1. Creare un gruppo di ruoli per gli amministratori di Active Directory. Oltre a creare il gruppo di ruoli, il comando crea assegnazioni di ruolo regolari tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica e Creazione e appartenenza a un gruppo di sicurezza.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"

      Nota

      Se si desidera consentire la creazione delle assegnazioni di ruolo da parte dei membri di questo gruppo di ruoli, includere il ruolo Gestione ruoli. Non è necessario aggiungere il ruolo in questa fase. Tuttavia, se si desidera assegnare il ruolo Creazione destinatario di posta elettronica o il ruolo Creazione e appartenenza a un gruppo di sicurezza ad altri assegnatari, il ruolo Gestione ruoli deve essere assegnato a questo nuovo gruppo di ruoli. La procedura seguente consente di configurare il gruppo di ruoli Administrators di Active Directory come l'unico gruppo di ruoli che può delegare questi ruoli.

    2. Creare le assegnazioni del ruolo di delega tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza utilizzando i comandi seguenti.

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating

    3. Aggiungere membri al nuovo gruppo di ruoli utilizzando il comando seguente.

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>

    4. Sostituire l'elenco di delegati sul nuovo gruppo di ruoli in modo che solo i membri del gruppo possono aggiungere o rimuovere i membri.

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"

      Importante

      I membri del gruppo di ruoli Gestione organizzazione o quelli assegnati al ruolo Gestione ruolo direttamente o mediante un altro gruppo di ruoli o gruppo di sicurezza universale, possono ignorare questo controllo di sicurezza delegato. Se si desidera impedire a qualsiasi amministratore di Exchange di aggiungersi al nuovo gruppo di ruoli, è necessario rimuovere l'assegnazione di ruolo tra il ruolo Gestione ruoli e qualsiasi amministratore di Exchange e attribuirla a un altro gruppo di ruoli.

    5. Individuare tutte le assegnazione di ruolo di delega e regolari per il ruolo Creazione destinatario di posta elettronica utilizzando il comando seguente. Il comando visualizza solo le proprietà NameRole e RoleAssigneeName.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto

    6. Rimuovere tutte le assegnazioni di ruolo di delega e regolari per il ruolo Creazione destinatario di posta elettronica non associate al nuovo gruppo di ruoli o a qualsiasi altro gruppo di ruoli o gruppo di protezione universale o le assegnazioni dirette che si desidera mantenere utilizzando il comando seguente.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>

      Nota

      Se si desidera rimuovere tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione destinatario di posta elettronica per ogni assegnatario diverso dal gruppo di ruoli Administrators di Active Directory, utilizzare il comando seguente. L'opzione WhatIf consente di visualizzare le assegnazioni di ruolo che verranno rimosse. Rimuovere l'opzione WhatIf ed eseguire di nuovo il comando per rimuovere le assegnazioni di ruolo.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf

    7. Individuare tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione e appartenenza a un gruppo di sicurezza utilizzando il comando seguente. Il comando visualizza solo le proprietà NameRole e RoleAssigneeName.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto

    8. Rimuovere tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione e appartenenza a un gruppo di sicurezza non associate al nuovo gruppo di ruoli o a qualsiasi altro gruppo di ruoli, gruppo di sicurezza universale o assegnazione diretta che si desidera mantenere utilizzando il comando seguente.

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>

      Nota

      È possibile utilizzare lo stesso comando della nota precedente per rimuovere tutte le assegnazioni di ruolo regolari e di delega al ruolo Creazione e appartenenza a un gruppo di sicurezza per qualsiasi assegnatario diverso dal gruppo di ruoli Administrators di Active Directory, come illustrato in questo esempio.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf

Per ulteriori informazioni sulla sintassi e sui parametri, vedere gli argomenti seguenti:

Passaggio alle autorizzazioni suddivise di Active Directory

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Autorizzazioni suddivise di Active Directory" nell'argomento Autorizzazioni per la gestione del ruolo.

Nota

Non è possibile utilizzare EMC per passare alle autorizzazioni suddivise di Active Directory.

È possibile configurare l'organizzazione di Exchange 2010 per le autorizzazioni suddivise di Active Directory. Le autorizzazioni suddivise di Active Directory rimuovono completamente le autorizzazioni che consentono agli amministratori e ai server Exchange di creare le entità di sicurezza in Active Directory o di modificare gli attributi non Exchange per tali oggetti. Al termine dell'operazione, solo gli amministratori di Active Directory saranno in grado di creare le entità di sicurezza di Active Directory. Ciò significa che gli amministratori di Exchange non potranno utilizzare i cmdlet seguenti:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

  • Update-DistributionGroupMember

Gli amministratori e i server Exchange potranno gestire solo gli attributi di Exchange per le entità di sicurezza esistenti di Active Directory. Tuttavia, potranno creare e gestire gli oggetti specifici di Exchange, ad esempio le regole di trasporto e i dial plan di messaggistica unificata.

Avviso

Una volta abilitate le autorizzazioni suddivise di Active Directory, gli amministratori e i server Exchange non potranno più creare le entità di sicurezza in Active Directory, né potranno gestire l'appartenenza ai gruppi di distribuzione. Queste attività devono essere eseguite utilizzando gli strumenti di gestione di Active Directory con le autorizzazioni di Active Directory necessarie. Prima di apportare questa modifica, è necessario valutare l'effetto che avrà sui processi amministrativi e sulle applicazioni di terze parti integrate con Exchange 2010 e il modello di autorizzazioni RBAC.
Per ulteriori informazioni, vedere la sezione "Autorizzazioni suddivise di Active Directory" in Informazioni sulla divisione delle autorizzazioni.

Per passare dalle autorizzazioni suddivise RBAC o condivise alle autorizzazioni suddivise di Active Directory, effettuare le seguenti operazioni:

  1. Da una shell comandi di Windows, eseguire il comando seguente dal supporto di installazione di Exchange 2010 SP1 per abilitare le autorizzazioni suddivise di Active Directory.

    setup.com /PrepareAD /ActiveDirectorySplitPermissions:true

  2. Riavviare i server Exchange 2010 dell'organizzazione o attendere il token di accesso di Active Directory per la replica su tutti i server Exchange 2010.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.