Entendendo a coexistência de permissões com o Exchange 2007
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
O modelo de permissões no Microsoft Exchange Server 2010 é aprimorado a partir dos modelos usados em versões anteriores do Exchange. O Exchange 2010 inclui permissões RBAC que substituem o modelo de autorização de acesso baseado em ACE do Active Directory usando no Microsoft Exchange Server 2007. O RBAC é o mecanismo de autorização usado para a maior parte do gerenciamento do Exchange 2010. Esse mecanismo inclui as seguintes áreas de gerenciamento:
Shell de Gerenciamento do Exchange
Painel de Controle do Exchange
Console de Gerenciamento do Exchange (EMC)
Serviços Web do Exchange
MAPI no componente de camada intermediária
Para mais informações sobre como planejar a coexistência entre o Exchange 2010 e versões anteriores do Exchange, consulte Noções Básicas de Atualização para o Exchange 2010.
Procurando tarefas de gerenciamento relacionadas a permissões? Consulte Gerenciando permissões.
Permissões do Exchange 2010
O modelo de permissões RBAC do Exchange 2010 consiste em grupos de funções de gerenciamento aos quais foram atribuídas várias funções de gerenciamento. As funções de gerenciamento contêm permissões que possibilitam aos administradores a execução de tarefas na organização do Exchange. Os administradores são adicionados como membros dos grupos de funções e recebem todas as permissões fornecidas pelas funções. A tabela a seguir fornece um exemplo dos grupos de funções, algumas das funções que foram atribuídas a eles e uma descrição do tipo de usuário que poderia ser um membro do grupo de funções.
Exemplos de grupos de funções e funções no Exchange 2010
| Grupo de funções de gerenciamento | Funções de gerenciamento | Membros deste grupo de funções |
|---|---|---|
Gerenciamento da Organização |
Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que gerenciam toda a organização do Exchange 2010 devem ser membros deste grupo de funções. Com algumas exceções, os membros deste grupo de funções conseguem gerenciar praticamente todos os aspectos da organização do Exchange 2010. Por padrão, a conta de usuário usada para preparar o Active Directory para o Exchange 2010 é um membro deste grupo de funções. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento da Organização. |
Gerenciamento de Organizações Somente Exibição |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que veem a configuração de toda a organização do Exchange 2010 devem ser membros deste grupo de funções. Estes usuários devem conseguir visualizar as configurações do servidor e as informações do destinatário, além de executar as funções de gerenciamento sem a habilidade de alterar a configuração da organização ou do destinatário. Para mais informações sobre este grupo de funções, consulte Gerenciamento da Organização Somente para Exibição. |
Gerenciamento de Destinatários |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que gerenciam destinatários, como caixas de correio, contatos e grupos de distribuição na organização do Exchange 2010, devem ser membros deste grupo de funções. Estes usuários podem criar destinatários, modificar ou excluir destinatários já existentes ou mover caixas de correio. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento de Destinatários. |
Gerenciamento do Servidor |
Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que gerenciam a configuração do servidor do Exchange, como conectores de Recebimento, certificados, bancos de dados e diretórios virtuais, devem ser membros deste grupo de funções. Estes usuários conseguem modificar a configuração do servidor do Exchange e criar bancos de dados, além de reiniciar e manipular filas de transporte. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento do Servidor. |
Gerenciamento de Descobertas |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que realizam pesquisas de caixas de correio, para dar suporte a procedimentos legais ou configurar guardas de documentos, devem ser membros deste grupo de funções. Este é um exemplo de um grupo de funções que pode conter administradores que não são do Exchange, como os funcionários do departamento jurídico. O pessoal do jurídico pode desempenhar suas funções sem a intervenção de administradores do Exchange. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento de Descoberta. |
Essa tabela mostra que o Exchange 2010 fornece um nível granular de controle sobre as permissões que você concede aos seus administradores. Você pode escolher entre 11 grupos de funções no Exchange 2010. Para uma lista completa dos grupos de funções e das permissões fornecidas, consulte Grupos de Função Integrados.
Como o Exchange 2010 fornece muitos grupos de funções e a personalização posterior é possível com a criação de grupos de funções com combinações de funções diferentes, a manipulação das ACLs nos objetos do Active Directory não é mais necessária e não tem nenhum efeito. As ACLs não são mais usadas para aplicar permissões a administradores individuais ou grupos no Exchange 2010. Todas as tarefas, como um administrador que cria uma caixa de correio ou um usuário que acessa uma caixa de correio, são gerenciadas pelo RBAC. O RBAC autoriza a tarefa e, se permitido, o Exchange realiza a tarefa em nome do usuário. O Exchange executa a tarefa no grupo de segurança universal (USG) do Subsistema Confiável do Exchange. Com algumas exceções, todas as ACLs nos objetos do Active Directory que o Exchange 2010 precisa acessar são concedidas ao USG do subsistema confiável do Exchange. Esta é uma alteração fundamental na maneira como as permissões são manipuladas no Exchange 2007.
As permissões concedidas a um usuário no Active Directory são separadas das permissões concedidas ao usuário pelo RBAC quando esse usuário está usando as ferramentas de gerenciamento do Exchange 2010.
Para mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Permissões do Exchange 2007
O modelo administrativo do Exchange 2007 utiliza as florestas do Active Directory para definir os limites de segurança. Não existe nenhum isolamento das permissões de segurança em uma determinada floresta. Os proprietários de floresta e os administradores corporativos podem sempre ganhar acesso a todos os recursos em qualquer domínio. No Exchange 2007, pode ser preciso conceder direitos de administrador corporativo e direitos de administrador de domínio de nível superior apenas temporariamente.
O Exchange 2007 fornece as seguintes funções de administrador predefinidas:
Função de Administrador da Organização do Exchange Essa função concede permissões para controlar todos os aspectos da organização do Exchange 2007. Além disso, um administrador que tem essa função pode conceder permissões a outros administradores do Exchange. Essa função é concedida à conta que você usa para instalar o Exchange 2007.
Função de Administrador Somente para Exibição do Exchange Essa função concede permissões para exibir a configuração do Exchange. Entretanto, um administrador que tem essa função não pode modificar objetos na organização do Exchange 2007.
Função de Administrador de Destinatários do Exchange Essa função concede permissões para gerenciar destinatários de email. Um administrador que tem essa função pode modificar itens relacionados ao Exchange para usuários, grupos, contatos e grupos de distribuição.
Função de Administrador de Servidores do Exchange Essa função concede permissões para gerenciar um servidor específico. Entretanto, essa função não concede permissões para executar ações que tenham um impacto global na organização do Exchange 2007.
Função de Administrador de Pasta Pública do Exchange Essa função foi adicionada no Exchange 2007 Service Pack 1**.** Essa função concede permissões para gerenciar pastas públicas na organização do Exchange 2007.
Esse modelo de permissões usa USGs para todas as funções, exceto para a função de Administrador de Servidor do Exchange. Ao executar o comando Exchange 2007Setup /PrepareAD, o programa de Instalação cria os USGs no domínio raiz e apresenta um escopo de toda a floresta aos USGs. Os USGs recebem ACLs para gerenciar objetos do Exchange em todo o Active Directory.
No Exchange 2007, você pode separar administradores atribuindo a eles várias funções. As permissões são atribuídas diretamente ao usuário ou ao USG do qual o usuário é membro. Quaisquer ações realizadas pelo usuário acontecem no contexto da conta do Active Directory desse usuário. A tabela a seguir lista as funções de administrador do Exchange 2007 e as permissões relacionadas do Exchange.
Funções de administrador do Exchange 2007
| Função de administrador | Membros | Membro de | Permissões do Exchange |
|---|---|---|---|
Administrador da organização do Exchange |
A conta Administrador ou a conta usada para instalar o primeiro servidor Exchange 2007 |
Administrador de destinatários do Exchange Grupo local de administradores do <nome do servidor> |
Total controle sobre o contêiner do Microsoft Exchange no Active Directory |
Administrador somente para exibição do Exchange |
Administradores de Destinatários do Exchange Administradores de servidor Exchange (<nome do servidor>) |
Administradores de Destinatários do Exchange Administradores do Exchange Server |
Acesso de leitura ao contêiner do Microsoft Exchange no Active Directory. Acesso de leitura a todos os domínios do Windows que têm destinatários do Exchange. |
Administrador de destinatários do Exchange |
Administradores da Organização do Exchange |
Administradores Somente para Exibição do Exchange |
Total controle sobre propriedades do Exchange nos objetos de usuário do Active Directory |
Administrador de servidor Exchange |
Administradores da Organização do Exchange |
Administradores Somente para Exibição do Exchange Grupo local de administradores do <nome do servidor> |
Total controle sobre o Exchange <nome do servidor> |
Servidor do Exchange |
Cada conta de computador do Exchange 2007 |
Administradores Somente para Exibição do Exchange |
Especial |
Administrador de pasta pública do Exchange |
Administradores da Organização do Exchange |
Administradores Somente para Exibição do Exchange |
Controle total para gerenciar todas as pastas públicas (concedido o direito estendido Criar pasta pública de nível superior) |
Se precisar criar atribuições de permissão mais granulares, você poderá modificar as ACLs em objetos do Exchange 2007 individuais, como lista de endereços ou bancos de dados. Você deve adicionar o usuários ou o grupo de segurança de que o usuário é membro diretamente à ACL. Em seguida, as ações são executadas no contexto de um usuário específico.
Para mais informações sobre como gerenciar permissões no Exchange 2007, consulte Configurando permissões no Exchange Server 2007.
Permissões coexistentes do Exchange 2010 e do Exchange 2007
Como os modelos de permissões do Exchange 2010 e do Exchange 2007 são diferentes, as atribuições de permissão do Exchange 2010 são separadas das atribuições de permissão do Exchange 2007. Isso é verdadeiro mesmo que ambas as versões do Exchange estejam instaladas na mesma floresta. Sem configuração adicional, os administradores do Exchange 2010 não têm as permissões solicitadas para gerenciar os servidores baseados no Exchange 2007 e os administradores do Exchange 2007 não têm as permissões solicitadas para gerenciar os servidores baseados no Exchange 2010. Você deve considerar as seguintes perguntas:
Você deseja conceder acesso aos administradores do Exchange 2010 para que gerenciem os servidores do Exchange 2007?
Você deseja conceder acesso aos administradores do Exchange 2007 para que gerenciem os servidores do Exchange 2010?
Você deseja personalizar as permissões do Exchange 2010 para que elas correspondam às personalizações feitas para as ACLs do Exchange 2007?
Concedendo permissões do Exchange 2010 para administradores do Exchange 2007
Se quiser que os administradores do Exchange 2007 gerenciem servidores do Exchange 2010, os administradores do Exchange 2007 deverão ser adicionados como membros de um ou mais grupos de funções do Exchange 2010. Você pode adicionar tanto usuários quanto USGs a grupos de funções. Desta maneira, as permissões concedidas aos grupos de funções são aplicadas aos usuários ou USGs que você adicionar como membros.
Importante
Se você usar grupos de segurança do Active Directory de domínio local ou global, será necessário mudá-los para USGs caso você queira adicioná-los como membros de um grupo de funções do Exchange 2010. O Exchange 2010 suporta apenas USGs.
A tabela a seguir descreve o mapeamento entre as funções de administrador do Exchange 2007 e os grupos de funções do Exchange 2010.
Funções de administrador do Exchange 2007 e grupos de funções do Exchange 2010
| Funções de administrador do Exchange 2007 | Grupo de funções do Exchange 2010 |
|---|---|
Administrador da organização do Exchange |
Gerenciamento da Organização |
Administrador de destinatários do Exchange |
Gerenciamento de Destinatários |
Administrador de servidor Exchange |
Gerenciamento do Servidor |
Administrador somente para exibição do Exchange |
Gerenciamento de Organizações Somente Exibição |
Servidor do Exchange |
Nenhum grupo de funções equivalente no Exchange 2010 (Para mais informações sobre como criar grupos de funções personalizados, consulte Criar um Grupo de Função.) |
Administrador de pasta pública do Exchange |
Gerenciamento de Pasta Pública |
Se todos os seus administradores do Exchange 2007 forem membros de uma das três funções administrativas do Exchange 2007, você poderá adicionar os membros de cada um dos grupos administrativos ao seu grupo de funções do Exchange 2010 equivalente. Por exemplo, se quiser conceder a todos os administradores da organização do Exchange 2007 acesso total aos objetos do Exchange 2010, adicione o USG de administradores da organização do Exchange ao grupo de funções Gerenciamento da Organização.
Para mais informações sobre como adicionar usuários e USGs aos grupos de funções, consulte Adicionar Membros a um Grupo de Função.
Se modificar as ACLs nos objetos do Exchange 2007 a fim de conceder mais permissões granulares aos administradores do Exchange 2007 e quiser atribuir permissões similares para os servidores Exchange 2010 desses administradores, siga estas etapas:
Verifique as personalizações da ACL que foram feitas nos objetos do Exchange 2007 e identifique os administradores aos quais foram concedidas permissões para cada um desses objetos.
Categorize cada objeto do Exchange 2007. Por exemplo, determine se o objeto é um banco de dados, servidor ou objeto de destinatário.
Mapeie os objetos para o grupo de funções do Exchange 2010 correspondente. Para obter uma lista de grupos de funções internos, consulte Grupos de Função Integrados.
Adicione os USGs ou os usuários de cada tipo de objeto aos grupos de funções do Exchange 2010 correspondentes. Para mais informações sobre como adicionar usuários e USGs aos grupos de funções, consulte Adicionar Membros a um Grupo de Função.
Após concluir essas etapas, o administradores do Exchange 2007 serão os membros do grupo de funções específico mapeado para os objetos do Exchange 2010 apropriados. Os administradores do Exchange 2007 podem usar as ferramentas de gerenciamento do Exchange 2010 para administrar os destinatários e servidores do Exchange 2010.
Importante
Em geral, os destinatários e servidores do Exchange 2007 devem ser administrados pelas uso das ferramentas de gerenciamento do Exchange 2007, enquanto os destinatários e servidores do Exchange 2010 devem ser administrados pelo uso das ferramentas de gerenciamento do Exchange 2010.
Se os grupos de funções internos não fornecerem o conjunto específico de permissões que você deseja conceder para determinados administradores, você poderá criar grupos de funções personalizados. Ao criar um grupo de funções personalizado, é possível escolher quais funções adicionar a ele. Você pode definir os recursos específicos que os membros do grupo de funções gerenciarão. Por exemplo, se quiser que os administradores gerenciem apenas os grupos de distribuição, você poderá criar um grupo de funções personalizado e escolher somente a função de Grupos de Distribuição. Após você fazer isso, os membros desse grupo de funções personalizado poderão gerenciar apenas os grupos de distribuição. Para mais informações sobre como criar grupos de funções personalizados, consulte Criar um Grupo de Função.
Se você atribuir permissões seletivas a certos objetos do Exchange 2007 (por exemplo, permitir que administradores administrem somente bancos de dados específicos) e se quiser aplicar a mesma configuração aos seus servidores do Exchange 2010, consulte "Recriar a personalização de ACL do Exchange 2007 usando os escopos de gerenciamento do Exchange 2010" posteriormente neste tópico.
Concedendo permissões do Exchange 2007 para administradores do Exchange 2010
Se quiser que os administradores do Exchange 2010 gerenciem servidores do Exchange 2007, adicione os administradores do Exchange 2010 aos USGs ou ao grupo de segurança correspondente à função de administrador do Exchange 2007 em particular. Como alternativa, se você tiver configurações de ACL personalizadas, adicione os administradores às ACLs apropriadas. Os grupos de funções são USGs, portanto, os grupos de funções podem ser adicionados diretamente aos USGs da função de administrador do Exchange 2007.
Quando você terminar, os administradores do Exchange 2010 serão membros da função ou das funções de administrador do Exchange 2007. Os administradores do Exchange 2010 podem usar as ferramentas de gerenciamento do Exchange 2007 para administrar os destinatários e servidores do Exchange 2007.
Recriando a personalização de ACL do Exchange 2007 usando os escopos de gerenciamento do Exchange 2010
No Exchange 2007, se você quiser restringir quem poderá administrar um armazenamento de caixa de correio específico, administrar usuários específicos ou controlar em qual armazenamento de caixa de correio serão criadas as caixas de correio, será necessário modificar as ACLs nos objetos que você deseja restringir. O Exchange 2010 oferece as mesmas capacidades, mas sem a necessidade de modificar quaisquer ACLs Isso é feito por meio do uso de escopos de gerenciamento, que são um componente do RBAC.
Os escopos de gerenciamento oferecem escopos internos e escopos personalizados para definir quais objetos os administradores podem gerenciar. Ao aplicar escopos de gerenciamento, você pode definir quais destinatários podem ser administrados, em quais bancos de dados de caixa de correio as caixas de correio podem ser criadas e quais destinatários ou servidores devem ser administrados somente por um pequeno grupo de administradores.
É possível criar os seguintes tipos de escopos de gerenciamento:
Relativo predefinido Os escopos relativos predefinidos estão incluídos no Exchange 2010. Você pode controlar o que um usuário pode ver e modificar. Por exemplo, os escopos relativos predefinidos podem controlar se os usuários veem somente informações sobre eles mesmos ou sobre toda a organização.
Destinatário Os escopos de destinatário controlam quais destinatários podem ser criados, modificados ou excluídos por um administrador. Essas seleções podem estar baseados em uma UO (Unidade Organizacional), um filtro de destinatário ou em ambos. Os filtros de destinatário especificam os critérios que um destinatário precisa cumprir a fim de ser incluído em um escopo. Por exemplo, você pode criar um escopo de filtro de destinatário que inclua todos os usuários em determinado local ou em um departamento específico. Você pode até mesmo combinar UOs e filtros de destinatários para correspondência apenas com usuários que estejam em uma UO específica e se reportam somente para um determinado administrador.
Servidor Os escopos de servidor controlam quais servidores podem ser administrados por um administrador. Você pode especificar listas de servidores ou filtros de servidores. Para listas de servidores, você define uma lista estática de servidores que podem ser gerenciados. Os filtros de servidores funcionam da mesma forma que filtros de destinatários em que você pode especificar os critérios que precisam ter correspondência. Por exemplo, você pode criar um escopo de servidor que vise todos os servidores em um site do Active Directory em particular.
Banco de dados Os escopos de banco de dados controlam quais bancos de dados podem ser gerenciados por um administrador. Eles também controlam em quais bancos de dados as caixas de correio podem ser criadas ou para quais serão movidas. Como escopos de servidor, eles podem ser definidos como listas ou filtros. Por exemplo, é possível criar uma lista ou filtro que possibilite aos administradores criar caixas de correio em determinados bancos de dados de caixa de correio (ou mover essas caixas para eles) gerenciadas por uma subsidiária específica.
Exclusivo Os escopos de destinatário, servidor e banco de dados podem também ser criados como escopos exclusivos. Os escopos exclusivos trabalham do mesmo modo que negar acesso de ACEs em ACLs. Se alguma coisa correspondem a um escopo exclusivo, somente os administradores atribuídos a um escopo exclusivo podem gerenciar esse objeto. Isso será verdadeiro se outro escopo que não é exclusivo corresponder ao mesmo objeto. Isso é útil especialmente quando você decidir que apenas poucas pessoas de alta confiança podem gerenciar a caixa de correio de um executivo. Mesmo que outro escopo de destinatário regular seja mais amplo e inclua a caixa de correio do executivo no escopo, os administradores aos quais foi atribuído esse escopo regular mais amplo não poderão gerenciar a caixa de correio desse executivo, a menos que seja atribuído a eles o escopo exclusivo.
Os escopos de gerenciamento são usados com funções de gerenciamento, atribuições de função de gerenciamento e grupos de funções de gerenciamento a fim de controlar quem pode gerenciar quais objetos e de qual maneira. Para mais informações, consulte estes tópicos:
Para criar o mesmo modelo de permissões do Exchange 2010, usando os escopos de gerenciamento que podem ter sido definidos com o uso de ACLs personalizadas, você terá que fazer o inventário das ACLs personalizadas e criar escopos de gerenciamento correspondentes a elas. Você pode usar as propriedades filtráveis que estão disponíveis nos objetos de banco de dados, servidor ou destinatário a fim de criar escopos de gerenciamento que incluam os objetos aos quais você deseja que cada escopo de gerenciamento possa controlar o acesso. Para mais informações sobre as propriedades que você pode usar com os filtros de escopo de gerenciamento, consulte Noções Básicas Sobre Filtros de Escopo de Função de Gerenciamento.
Para obter mais informações sobre como criar escopos de gerenciamento, consulte Criar um Escopo Normal ou Exclusivo.
© 2010 Microsoft Corporation. Todos os direitos reservados.