사용 권한 고려 사항
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-07-12
Microsoft Exchange Server 2007을 Active Directory 디렉터리 서비스 구조에 통합하는 방법을 계획하는 경우 조직의 관리 모델을 고려해야 합니다. Exchange 2007에서는 다양한 방식으로 관리자에게 사용 권한을 할당할 수 있습니다. 일반적으로 Active Directory와 Exchange 2007의 다음 기능이 관리 역할을 구성하는 방법에 어떻게 영향을 주는지 고려하는 것이 좋습니다.
단일 관리자가 Microsoft Windows Server 2003 및 Exchange 모두에서 작업을 수행할 수 있습니다.
Exchange 관리자와 Windows 관리자의 사용 권한을 분리할 수 있습니다.
Exchange 리소스 포리스트를 사용하여 Exchange 관리자 역할과 Windows 관리자 역할을 격리시킬 수 있습니다.
이 항목의 섹션에서는 사용 권한 구성의 유연성과 Exchange 2007에서 사용할 수 있는 관리 역할에 대해 설명합니다.
Exchange 및 Active Directory 사용 권한 분할 모델 이해
중소 기업 및 대기업 같은 많은 Microsoft Exchange 조직에는 보통 둘 이상의 Exchange 관리자가 있습니다. 이러한 관리자는 각자 맡은 관리 작업을 수행하기 때문에 Exchange Server 2007은 미리 정의된 관리자 역할과 사용 권한 분할 모델을 제공하며 이를 사용해 조직의 다양한 관리 역할에 대해 Active Directory의 특정 사용 권한을 구성할 수 있습니다. Exchange 2007에서 Exchange 받는 사람 특성에 대한 사용 권한은 그룹화됩니다. 그러면 Exchange 사용 권한을 다른 관리 사용 권한에서 분할하기 위해 수행해야 하는 수동 사용 권한 구성 작업이 최소화됩니다. 사용 권한 모델의 계획 및 구현 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.
보안 및 사용 권한 모델의 변경 내용
Exchange Server 2003의 보안 및 권한 사용 모델이 Exchange 2007에 맞게 변경되었습니다. 이 섹션에서는 Exchange 사용 권한 모델의 변경 내용에 대한 정보를 제공하고 차이점을 설명합니다.
속성 집합
속성 집합은 Active Directory 특성의 그룹입니다. 각 속성에 대해 ACE(액세스 제어 항목)를 설정하는 대신 하나의 ACE를 설정하여 이 Active Directory 특성 그룹에 대한 액세스를 제어할 수 있습니다. 모든 Exchange 받는 사람 특성을 그룹화하는 속성 집합을 전자 메일 정보라고 합니다.
참고
Exchange Server 2003 서버의 받는 사람 속성에 액세스할 수 있는 권한이 있던 Exchange Server 2003 보안 그룹은 Exchange 2007 Setup.Com 또는 Setup.Com와 함께 /PrepareAD 매개 변수를 사용하여 Active Directory 스키마를 업데이트하는 경우 Exchange 2007 전자 메일 정보 속성 집합에 액세스할 수 있는 권한을 갖습니다.
속성 집합에 대한 자세한 내용은 Exchange 2007의 속성 집합을 참조하십시오.
Exchange 2003 보안 및 사용 권한 모델
사용 권한 관리를 간소화하기 위해 Exchange Server 2003은 Exchange 2003 관리 위임 마법사를 통해 미리 정의된 보안 역할을 제공했으며 이러한 역할은 조직 또는 관리 그룹 수준에서 적용할 수 있는 표준화된 사용 권한의 집합이었습니다.
Exchange 2003에서 Exchange System Manager의 위임 마법사를 통해 사용할 수 있는 보안 역할은 다음과 같습니다.
전체 Exchange 관리자
Exchange 관리자
Exchange 보기 권한만 있는 관리자
이 모델에는 다음과 같은 제한이 있습니다.
전문성이 부족했습니다. Exchange 관리자 그룹이 너무 거대했고 일부 고객은 보안 및 사용 권한 모델을 개별 서버 수준에서 관리하기를 원했습니다.
Exchange Server 2003 보안 역할 간에 거의 차이가 없다는 인식이 있었습니다.
Windows(Active Directory) 관리자와 Exchange 받는 사람 관리자에 의한 사용자 관리와 그룹 관리 간에 명확한 구분이 없었습니다. 예들 들어 Exchange 관리자에게 높은 수준의 사용 권한(Windows 도메인의 Account Operator 사용 권한)을 부여해야만 Exchange 받는 사람 관련 작업을 수행할 수 있었습니다.
Exchange 2007 보안 및 사용 권한 모델
Exchange 관리자 역할(Exchange 2003의 "보안 그룹")의 관리 능력을 향상시키기 위해 Exchange 보안 및 사용 권한 모델에 다음 기능이 새로 추가되거나 향상되었습니다.
기본 제공 Windows Server 보안 그룹과 유사한 새로운 관리자 역할이 추가되었습니다. 이러한 관리자 역할에 대한 자세한 내용은 이 항목 뒷부분의 "Exchange 2007의 관리자 역할"을 참조하십시오.
Exchange 관리 콘솔(이전의 Exchange System Manager)과 Exchange 관리 셸을 사용하여 어떤 관리자 역할에서든지 구성원을 보고 추가하고 제거할 수 있습니다.
Exchange 2007의 관리자 역할
Exchange 2007에는 Exchange 구성 데이터를 관리하는 다음과 같은 미리 정의된 그룹이 있습니다.
Exchange 조직 관리자
Exchange 받는 사람 관리자
Exchange 보기 권한만 있는 관리자
Exchange 공용 폴더 관리자(Exchange Server 2007 서비스 팩 1의 새로운 기능)
Exchange Setup /PrepareAD 단계(Exchange 2003 ForestPrep와 비슷한 조직 준비 단계) 동안 Exchange Server 관리자를 제외한 이들 Exchange 관리자 역할이 /PrepareAD가 실행된 도메인에 있는 새 Microsoft Exchange 보안 그룹의 OU(조직 구성 단위)에서 만들어졌습니다.
사용자에게 관리자 역할을 추가하면 사용자는 해당 역할에서 허용되는 사용 권한을 상속받습니다. 이 관리자 역할에는 Active Directory의 Exchange 데이터를 관리할 권한이 있으며 이 그룹이 관리할 수 있는 Exchange 데이터 형식은 세 가지가 있습니다.
전역 데이터 특정 서버에 연결되지 않은 Active Directory 구성 컨테이너에 있는 데이터입니다. 이 데이터에는 사서함 정책, 주소 목록, Exchange 통합 메시지 구성이 포함되지만 그 외의 항목도 포함될 수 있습니다. 일반적으로 전역 데이터는 전체 조직에 영향을 주고 모든 사용자에게 영향을 미칠 수도 있으므로 신뢰할 수 있는 소수의 사용자에게만 전역 데이터를 구성하거나 변경할 수 있도록 허용하는 것이 가장 좋습니다.
받는 사람 데이터 Exchange에서 받는 사람은 전자 메일 메시지를 보내고 받을 수 있는 Active Directory 사용자 개체입니다. 받는 사람 데이터의 예로는 메일 사용 가능 연락처, 메일 그룹, 사서함 그리고 공용 폴더 프록시 개체와 같은 특정 받는 사람 유형 등이 있습니다.
서버 데이터 Exchange 서버 데이터는 지정된 서버 노드의 Active Directory에 있습니다. 이 데이터의 예로는 수신 커넥터, 가상 디렉터리, 서버 단위 설정, 사서함, 저장소 그룹 데이터 등이 해당됩니다.
Exchange 조직 관리자 역할
Exchange 조직 관리자 역할을 통해 관리자는 Exchange 조직의 모든 Exchange 속성과 개체에 완전히 액세스할 수 있습니다. 루트 도메인에서 Exchange 설치 중에 Setup /PrepareAD가 Active Directory 사용자 및 컴퓨터의 Microsoft Exchange 보안 그룹 컨테이너에 이름이 Exchange 조직 관리자인 Active Directory 보안 그룹을 만듭니다.
Exchange 조직 관리자 역할에 사용자를 추가하면 해당 사용자는 Exchange 조직 관리자라는 관리자 역할의 구성원이 됩니다. Exchange 2007은 Active Directory 준비 과정에서 이 역할을 만듭니다. Exchange 조직 관리자 역할의 구성원은 다음과 같은 사용 권한이 있습니다.
Active Directory의 구성 컨테이너에 있는 Exchange 조직의 소유자. 소유자가 되면 역할의 구성원은 Active Directory의 구성 컨테이너에 있는 Exchange 조직 데이터와 로컬 Exchange 서버 관리자 그룹에 대한 모든 권한을 소유합니다.
Active Directory의 모든 도메인 사용자 컨테이너에 대한 읽기 권한. 조직의 각 도메인에 대해 해당 도메인에서 첫 번째 Exchange 2007 서버를 설치하는 동안 Exchange에서 이 사용 권한을 부여합니다. 이러한 사용 권한은 Exchange 받는 사람 관리자 역할의 구성원에게 부여됩니다.
Active Directory의 모든 도메인 사용자 컨테이너에 있는 모든 Exchange 관련 특성에 대한 쓰기 권한. 조직의 각 도메인에 대해 해당 도메인에서 첫 번째 Exchange 2007 서버를 설치하는 동안 Exchange 2007에서 이 사용 권한을 부여합니다. 이러한 사용 권한은 Exchange 받는 사람 관리자 역할의 구성원에게 부여됩니다.
모든 로컬 서버 구성 데이터의 소유자. 소유자가 되면 구성원은 로컬 Exchange 서버에 대한 모든 권한을 소유하며 이 사용 권한은 각 Exchange 서버를 설치하는 동안 Exchange 2007에서 부여합니다.
Exchange 조직 관리자 역할의 구성원인 사용자는 Exchange 조직에서 가장 높은 수준의 사용 권한을 소유하며 Exchange 조직 전체에 영향을 주는 모든 작업은 이 그룹의 구성원만 수행할 수 있습니다. Exchange 조직 관리자 사용 권한이 필요한 작업의 예로는 커넥터 만들기 또는 삭제, 서버 정책 변경, 전역 구성 설정 변경 등이 있습니다.
참고
Exchange 2007을 설치하면 Exchange 조직 관리자 역할이 Exchange를 설치 중인 컴퓨터에 로컬 관리자 그룹의 구성원으로 추가됩니다. 도메인 컨트롤러의 로컬 관리자 그룹은 구성원 서버의 로컬 관리자 그룹과 다른 권한을 가집니다. 도메인 컨트롤러에 Exchange 2007을 설치하는 경우 Exchange 조직 관리자 역할의 사용자에게는 도메인 컨트롤러가 아닌 컴퓨터에 Exchange 2007을 설치할 경우 부여되지 않는 추가 Windows 권한이 부여됩니다.
Exchange 받는 사람 관리자 역할
Exchange 받는 사람 관리자 역할에는 Active Directory 사용자, 연락처, 그룹, 동적 메일 그룹, 공용 폴더 개체에 대한 Exchange 속성을 수정할 수 있는 권한이 있습니다. Exchange Setup /PrepareAD 실행 시 Exchange 받는 사람 관리자 역할이 Active Directory의 Microsoft Exchange 보안 그룹 컨테이너에 만들어지며 이 역할을 통해 통합 메시징 사서함 설정과 클라이언트 액세스 사서함 설정을 관리할 수 있습니다. Exchange 조직 받는 사람 관리자 역할의 구성원은 다음과 같은 사용 권한이 있습니다.
해당 도메인에서 Setup /PrepareDomain을 실행한 Active Directory의 모든 도메인 사용자 컨테이너에 대한 읽기 권한
해당 도메인에서 Setup /PrepareDomain을 실행한 Active Directory에 있는 도메인 사용자 컨테이너의 모든 Exchange 특정 특성에 대한 쓰기 권한
Exchange 보기 권한만 있는 관리자 역할의 구성원
Exchange 받는 사람 관리자 역할의 구성원인 사용자에게는 Setup /PrepareDomain이 실행되지 않은 도메인에 대한 사용 권한이 없습니다. 새 Exchange 도메인을 추가할 때 새 도메인에서 반드시 Setup /PrepareDomain을 실행하여 해당 도메인의 Exchange 관리자 역할에 사용 권한을 부여해야 합니다.
Exchange Server 관리자 역할
Exchange Server 관리자 역할은 로컬 서버 Exchange 구성 데이터만 액세스할 수 있으며 이 구성 데이터는 Active Directory 또는 Exchange 2007이 설치된 실제 컴퓨터에 있습니다. Exchange Server 관리자 역할의 구성원인 사용자는 특성 서버를 관리할 권한이 있지만 Exchange 조직 전체에 영향을 주는 작업을 수행할 권한은 없습니다.
이 관리자 역할은 설치 시 Exchange 2007에서 만듭니다. Exchange Server 관리자 역할의 구성원은 다음과 같은 사용 권한이 있습니다.
모든 로컬 서버 구성 데이터의 소유자. 소유자가 되면 해당 역할의 구성원은 로컬 서버 구성 데이터에 대한 모든 권한을 소유합니다.
Exchange가 설치된 컴퓨터의 로컬 관리자
Exchange 보기 권한만 있는 관리자 역할의 구성원
Exchange 보기 권한만 있는 관리자
Exchange 보기 권한만 있는 관리자 역할에는 Active Directory 구성 컨테이너의 Exchange 조직 트리 전체에 대한 읽기 전용 권한과 Exchange 받는 사람이 있는 모든 Windows 도메인 컨테이너에 대한 읽기 전용 권한이 있습니다.
Exchange Setup /PrepareAD 실행 시 Exchange 보기 권한만 있는 관리자 역할이 Active Directory의 Microsoft Exchange 보안 그룹 컨테이너에 만들어집니다.
Exchange 공용 폴더 관리자
Exchange 2007 SP1(서비스 팩 1)의 새로운 기능
Exchange 공용 폴더 관리자 역할에는 모든 공용 폴더를 관리할 수 있는 관리 권한이 있습니다. 이 관리자 역할에는 "최상위 공용 폴더 만들기" 확장 권한이 부여됩니다. 이 역할을 가진 구성원은 공용 폴더를 만들고 삭제할 수 있으며, 복제본, 할당량, 보존 기간, 관리 권한, 클라이언트 권한 등의 공용 폴더 설정을 관리할 수 있습니다. 이 관리자 역할을 통해 공용 폴더에 메일을 사용하도록 설정할 수는 있지만 프록시 주소 등 공용 폴더에 대한 메일 받는 사람 관련 속성을 수정할 수는 없습니다. 이 기능을 사용하려면 Exchange 받는 사람 관리자 역할 구성원 자격이 있어야 합니다.
관리자 역할 및 사용 권한 요약
다음 표에서는 Exchange 2007 관리자 역할 및 관련 Exchange 사용 권한의 목록을 보여줍니다.
| 관리자 역할 | 구성원 | 소속 그룹 | Exchange 사용 권한 |
|---|---|---|---|
Exchange 조직 관리자 |
관리자 또는 처음 Exchange 2007 서버를 설치할 때 사용한 계정 |
Exchange 받는 사람 관리자 <Server Name>의 관리자 로컬 그룹 |
Active Directory의 Microsoft Exchange 컨테이너에 대한 전체 사용 권한 |
Exchange 받는 사람 관리자 |
Exchange 조직 관리자 |
Exchange 보기 권한만 있는 관리자 |
Active Directory 사용자 개체의 Exchange 속성에 대한 전체 사용 권한 |
Exchange Server 관리자 |
|
Exchange 보기 권한만 있는 관리자 <Server Name>에 대한 관리자 로컬 그룹 |
Exchange <Server Name>에 대한 전체 사용 권한 |
Exchange 보기 권한만 있는 관리자 |
Exchange 받는 사람 관리자 Exchange 공용 폴더 관리자 |
Exchange 받는 사람 관리자 Exchange Server 관리자 |
Active Directory의 Microsoft Exchange 컨테이너에 대한 읽기 권한 Exchange 받는 사람이 있는 모든 Windows 도메인에 대한 읽기 권한 |
Exchange Server |
각 Exchange 2007 컴퓨터 계정 |
Exchange 보기 권한만 있는 관리자 |
특별 권한 |
Exchange 공용 폴더 관리자 |
Exchange 조직 관리자 |
Exchange 보기 권한만 있는 관리자 |
공용 폴더 관리 기능 |
주소록 특성
Exchange에서는 많은 특성을 사용하여 Exchange 데이터를 저장합니다. Exchange에서는 Exchange 데이터를 사용하는 다른 디렉터리 인식 응용 프로그램에 사용될 수 있는 기타 받는 사람 특성도 사용합니다. 따라서 이러한 특성은 Exchange 특정 속성 집합에 추가되지 않았습니다. 이러한 특성은 Active Directory 설치 중에 만들어진 다른 속성 집합에 포함되거나 어떤 속성 집합에도 속하지 않을 수 있습니다.
다음 표에 나열된 특성은 Microsoft Office Outlook을 통해 GAL(전체 주소 목록)의 최종 사용자에게 제공되는 데이터입니다. 계정 운영자 그룹과 같이 도메인에서 허가한 보안 그룹의 구성원이 아닌 Exchange 관리자가 이러한 특성을 업데이트할 수 있게 하려면 Active Directory 관리자가 읽기/쓰기 권한을 부여해야 합니다.
| 적용 대상 개체 | Exchange 관리 콘솔 위치 | 특성 | 설명 |
|---|---|---|---|
사용자, 연락처 |
사용자 또는 연락처 속성의 사용자 정보 또는 연락처 정보 탭 |
givenName |
이름 |
사용자, 연락처 |
사용자 또는 연락처 속성의 사용자 정보 또는 연락처 정보 탭 |
initials |
중간 이니셜 |
사용자, 연락처 |
사용자 또는 연락처 속성의 사용자 정보 또는 연락처 정보 탭 |
sn |
성 |
사용자, 연락처 |
사용자 또는 연락처 속성의 사용자 정보 또는 연락처 정보 탭 |
info |
메모 필드 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
streetAddress |
주소 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
l |
구/군/시 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
st |
시/도 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
postalCode |
우편 번호 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
countryCode |
국가/지역 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
telephoneNumber |
근무처 전화 |
사용자, 연락처 |
Exchange 관리 셸에서만 사용 가능 |
otherTelephoneNumber |
대체 근무처 전화 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
pager |
호출기 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
facsimileTelephoneNumber |
팩스 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
homePhone |
집 전화 |
사용자, 연락처 |
Exchange 관리 셸에서만 사용 가능 |
otherHomePhone |
대체 집 전화 |
사용자, 연락처 |
사용자 또는 연락처 속성의 주소 및 전화 번호 탭 |
mobile |
휴대폰 |
사용자, 연락처 |
Exchange 관리 셸에서만 사용 가능 |
otherfacsimileTelephoneNumber |
대체 팩스 |
연락처 |
Exchange 관리 셸에서만 사용 가능 |
telephoneAssistant |
비서 전화 |
연락처 |
ADSI(Active Directory 서비스 인터페이스) 편집/LDAP |
telephoneAssistant |
비서 전화 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
title |
직함 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
company |
회사 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
department |
부서 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
physicalDeliveryOfficeName |
사무실 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
manager |
관리자 |
사용자, 연락처 |
사용자 또는 연락처 속성의 조직 탭 |
directReports |
부하 직원 |
사용자, 연락처 |
Exchange 관리 셸에서만 사용 가능 |
msExchAssistantName |
비서 이름 |
그룹 |
그룹 속성의 그룹 정보 탭 |
managedBy |
그룹 소유자 |
그룹 |
그룹 속성의 그룹 정보 탭 |
info |
메모 필드 |
자세한 내용
Exchange 관리 역할을 사용하여 사용 권한을 위임하는 방법에 대한 자세한 내용은 Add-ExchangeAdministrator를 참조하십시오.
Exchange 2007용 Active Directory 및 도메인을 준비하는 방법에 대한 자세한 내용은 Active Directory 및 도메인을 준비하는 방법을 참조하십시오.