Noções Básicas Sobre a Coexistência de Permissões com o Exchange 2003
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2016-11-28
As permissões no Microsoft Exchange Server 2010 e no Exchange Server 2003 são completamente separadas. A razão é que os modelos de permissão usados pelo Exchange 2010 e pelo Exchange 2003 são diferentes. Você deve seguir algumas etapas para conceder permissões de administradores existentes do Exchange 2003 para os servidores do Exchange 2010 e vice-versa. Além disso, o gerenciamento do Exchange 2010 e do Exchange 2003 é realizado separadamente, usando as ferramentas de gerenciamento oferecidas por cada versão. Você pode conceder permissões a seus administradores para que eles possam gerenciar a organização com o Exchange 2010 e o Exchange 2003 combinados.
Para mais informações sobre a coexistência de planejamento entre o Exchange 2010 e o Exchange 2003, consulte Exchange 2003 - Mapa de planejamento para atualização e coexistência.
Permissões do Exchange 2010
Exchange 2010 O usa o modelo de permissões RBAC (Controle de acesso baseado em função). Este modelo consiste em grupos de funções de gerenciamento aos quais foi atribuída uma de uma série de funções de gerenciamento. As funções de gerenciamento contêm permissões que possibilitam aos administradores a execução de tarefas na organização do Exchange. Os administradores são adicionados como membros dos grupos de funções e recebem todas as permissões fornecidas pelas funções. A tabela a seguir fornece um exemplo dos grupos de funções, algumas das funções que foram atribuídas a eles e uma descrição do tipo de usuário que poderia ser um membro do grupo de funções.
Exemplos de grupos de funções e funções no Exchange 2010
| Grupo de funções de gerenciamento | Funções de gerenciamento | Membros deste grupo de funções |
|---|---|---|
Gerenciamento da Organização |
Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que tenham que gerenciar toda a organização do Exchange 2010 devem ser membros deste grupo de funções. Com algumas exceções, os membros deste grupo de funções conseguem gerenciar praticamente todos os aspectos da organização do Exchange 2010. Por padrão, a conta de usuário usada para preparar o Active Directory para o Exchange 2010 é um membro deste grupo de funções. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento da Organização. |
Gerenciamento de Organizações Somente Exibição |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que tenham que visualizar a configuração de toda a organização do Exchange 2010 devem ser membros deste grupo de funções. Estes usuários devem conseguir visualizar as configurações do servidor e as informações do destinatário, além de conseguirem executar as funções de gerenciamento sem a habilidade de alterar a configuração da organização ou do destinatário. Para mais informações sobre este grupo de funções, consulte Gerenciamento da Organização Somente para Exibição. |
Gerenciamento de Destinatários |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que tenham que gerenciar destinatários, como caixas de correio, contatos e grupos de distruibuição na organização do Exchange 2010, devem ser membros deste grupo de funções. Estes usuários podem criar destinatários, modificar ou excluir destinatários já existentes ou mover caixas de correio. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento de Destinatários. |
Gerenciamento do Servidor |
Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que tenham que gerenciar a configuração do servidor do Exchange, como conectores de Recebimento, certificados, bancos de dados e diretórios virtuais, devem ser membros deste grupo de funções. Estes usuários conseguem modificar a configuração do servidor do Exchange e criar bancos de dados, além de reiniciar e manipular filas de transporte. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento do Servidor. |
Gerenciamento de Descobertas |
As funções atribuídas a este grupo de funções são mostradas a seguir:
|
Os usuários que tenham que realizar pesquisas de caixas de correio, para darem suporte a procedimentos legais ou para configurarem guardas de documentos, devem ser membros deste grupo de funções. Este é um exemplo de um grupo de funções que pode conter administradores que não são do Exchange, como os funcionários de seu departamento jurídico. Isso permite que funcionários do departamento jurídico desempenhem suas funções sem a intervenção de administradores do Exchange. Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Gerenciamento de Descoberta. |
Como mostrado na tabela anterior, o Exchange 2010 fornece um nível granular de controle sobre as permissões que você concede aos seus administradores. Você pode escolher entre 11 grupos de funções no Exchange 2010. Para uma lista completa dos grupos de funções e das permissões fornecidas, consulte Grupos de Função Integrados.
Por causa do número de grupos de funções oferecidos pelo Exchange 2010, e considerando que é possível personalizá-los posteriormente criando grupos de funções com diferentes combinações de função, não é mais necessário manipular as ACLs (listas de controle de acesso) nos objetos do Active Directory, e isso não terá nenhum efeito. As ACLs não são mais usadas para aplicar permissões a administradores individuais ou grupos no Exchange 2010. Todas as tarefas, como um administrador que cria uma caixa de correio ou um usuário que acessa uma caixa de correio, são gerenciadas pelo RBAC. O RBAC autoriza a tarefa e, se permitido, o Exchange realiza a tarefa em nome do usuário no USG (Grupo de segurança universal) do subsistema confiável do Exchange. Com algumas exceções, todas as ACLs nos objetos do Active Directory que o Exchange 2010 precisa acessar são concedidas ao USG do subsistema confiável do Exchange. Esta é uma alteração fundamental na maneira como as permissões são manipuladas no Exchange 2003.
As permissões concedidas a um usuário no Active Directory são separadas das permissões concedidas ao usuário pelo RBAC quando esse usuário está usando as ferramentas de gerenciamento do Exchange 2010.
Para mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Permissões do Exchange 2003
Exchange 2003 O possui as seguintes funções administrativas:
Somente para Exibição do Exchange Esta função concede a um administrador do Exchange 2003 as permissões para exibir as informações de destinatário e de servidor do Exchange 2003.
Administrador do Exchange Esta função concede a administradores do Exchange 2003 todas as permissões para destinatários e servidores do Exchange 2003, exceto a capacidade de tomar posse, alterar permissões e abrir caixas de correio de usuários. Esta função será concedida caso o administrador tenha que adicionar objetos ou modificar as propriedades de objeto, mas não tenha que delegar permissões a objetos.
Administrador Completo do Exchange Esta função concede a um administrador do Exchange 2003 todas as permissões para destinatários e servidores do Exchange 2003, incluindo a capacidade de alterar permissões. Esta função é atribuída aos administradores que precisam delegar permissões a objetos.
Exchange 2003 O permite que você segmente seus administradores em uma destas funções. As permissões são atribuídas diretamente ao usuário ou ao USG do qual o usuário é membro. Quaisquer ações realizadas pelo usuário acontecem no contexto da conta do Active Directory desse usuário.
Se precisar criar atribuições de permissão em um nível mais granular, você poderá modificar as ACLs em objetos do Exchange 2003 individuais, como lista de endereços e bancos de dados. Como no caso das funções administrativas, o usuário ou o grupo de segurança do qual o usuário é membro será adicionado diretamente à ACL e as ações serão realizadas no contexto do usuário.
Para mais informações sobre os grupos administrativos do Exchange 2003, consulte o artigo 823018 da Base de Dados de Conhecimento Microsoft, Visão geral das permissões de funções administrativas do Exchange 2003.
Permissões na coexistência do Exchange 2010 e Exchange 2003
Como descrito anteriormente neste tópico, os modelos de permissão do Exchange 2010 e do Exchange 2003 são diferentes. O Exchange 2010 usa grupos de funções para conceder permissões, já o Exchange 2003 usa uma combinação de grupos administrativos e ACLs para fazer o mesmo. Embora existam na mesma floresta, ambas as permissões do Exchange 2010 e do Exchange 2003 são completamente separadas. Isso significa que, por padrão e sem qualquer configuração adicional, os administradores do Exchange 2003 não têm permissões para gerenciar os servidores do Exchange 2010 e os administradores do Exchange 2010 não têm permissões para gerenciar os servidores do Exchange 2003. Esta situação levanta questões que você precisa considerar:
Você deseja conceder acesso aos administradores do Exchange 2010 para que administrem os servidores do Exchange 2003 e vice-versa?
Você deseja personalizar as permissões do Exchange 2010 para que elas correspondam às personalizações feitas para o Exchange 2003?
Conceder permissões do Exchange 2010 para administradores do Exchange 2003
Se você desejar que os administradores do Exchange 2003 gerenciem servidores do Exchange 2010, os administradores do Exchange 2003 devem ser adicionados como membros de um ou mais grupos de funções do Exchange 2010. Você pode adicionar tanto usuários quanto USGs a grupos de funções. Desta maneira, as permissões concedidas aos grupos de funções serão aplicadas aos usuários ou USGs que você adicionar como membros.
Importante
Se você usar grupos de segurança do Active Directory de domínio local ou global, será necessário mudá-los para USGs caso você queira adicioná-los como membros de um grupo de funções do Exchange 2010. O Exchange 2010 suporta apenas USGs.
A tabela a seguir fornece um mapeamento entre as funções administrativas do Exchange 2003 e os grupos de funções do Exchange 2010.
Funções administrativas do Exchange 2003 e grupos de funções do Exchange 2010
| Função administrativa do Exchange 2003 | Grupo de funções do Exchange 2010 |
|---|---|
Exchange Administrador Completo do |
Gerenciamento da Organização |
Exchange Administrador do |
Não há um grupo de funções equivalente incluído no Exchange 2010. Um grupo de funções personalizado que está baseado no grupo de funções Gerenciamento da Organização, mas sem quaisquer atribuições de função de delegação, deve ser criado no Exchange 2010 para ter um grupo de funções equivalente ao grupo de funções de Administrador do Exchange. Para mais informações sobre a criação de grupos de funções personalizados, consulte Criar um Grupo de Função. |
Exchange Somente para Exibição do |
Gerenciamento de Organizações Somente Exibição |
Se todos os seus administradores do Exchange 2003 forem membros de uma das três funções administrativas do Exchange 2003, será necessário adicionar os membros de cada um dos grupos administrativos ao seu grupo de funções do Exchange 2010 equivalente. Para mais informações sobre como adicionar usuários e USGs aos grupos de funções, consulte Adicionar Membros a um Grupo de Função.
Se você tiver modificado as ACLs nos objetos do Exchange 2003 a fim de conceder mais permissões granulares aos administradores do Exchange 2003 e quiser atribuir permissões similares para os servidores do Exchange 2010 desses administradores, será necessário fazer o seguinte:
Faça o inventário da personalização de ACL desempenhada nos objetos do Exchange 2003 e identifique os administradores aos quais foram concedidas permissões para cada um deles.
Classifique cada objeto do Exchange 2003, por exemplo, se trata-se de um banco de dados, servidor ou objeto de destinatário.
Mapeie os objetos para o grupo de funções do Exchange 2010 correspondente. Para obter uma lista de grupos de funções internos, consulte Grupos de Função Integrados.
Adicionar os USGs ou os usuários de cada tipo de objeto aos grupos de funções do Exchange 2010 correspondentes. Para mais informações sobre como adicionar usuários e USGs aos grupos de funções, consulte Adicionar Membros a um Grupo de Função.
Ao final, os administradores do Exchange 2003 devem ser membros do grupo de funções que mapeia para os objetos do Exchange 2010 que eles precisam administrar. Agora eles poderão usar as ferramentas de gerenciamento do Exchange 2010 para administrar os destinatários e servidores do Exchange 2010.
Importante
Em geral, os destinatários e servidores do Exchange 2003 devem ser administrados pelas ferramentas de gerenciamento do Exchange 2003, enquanto os destinatários e servidores do Exchange 2010 devem ser administrados pelas ferramentas de gerenciamento do Exchange 2010. Para mais informações, consulte Exchange 2003 - Mapa de planejamento para atualização e coexistência.
Se os grupos de funções internos não fornecerem o conjunto específico de permissões que você deseja conceder para determinados administradores, você poderá criar grupos de funções personalizados. Ao criar um grupo de funções personalizado, é possível escolher quais funções você quer adicionar a ele. Isto permite que você defina os recursos específicos que os membros do grupo de funções gerenciarão. Por exemplo, se você deseja que os administradores gerenciem apenas os grupos de distribuição, é possível criar um grupo de funções personalizado e escolher somente a função de Grupos de distribuição. Os membros desse grupo de funções personalizado poderão gerenciar apenas os grupos de distribuição. Para mais informações sobre como criar grupos de funções personalizados, consulte Criar um Grupo de Função.
Se você fornecer permissões seletivas para determinados objetos do Exchange 2003, como permitir que administradores gerenciem apenas bancos de dados específicos, e quiser aplicar a mesma configuração aos seus servidores do Exchange 2010, consulte "Recriar a personalização de ACL do Exchange 2003 usando os escopos de gerenciamento do Exchange 2010" posteriormente neste tópico.
Conceder permissões do Exchange 2003 para administradores do Exchange 2010
Se você desejar que os administradores do Exchange 2010 gerenciem os servidores do Exchange 2003, será necessário adicionar seus administradores do Exchange 2010 a um dos três grupos administrativos do Exchange 2003 ou adicioná-los às ACLs apropriadas caso você tenha personalizado suas permissões do Exchange 2003. Você pode adicionar tanto usuários quanto USGs aos grupos administrativos do Exchange 2003. Os grupos de funções são USGs, por isso eles podem ser adicionados diretamente aos grupos administrativos do Exchange 2003 Este tópico aborda a adição de administradores do Exchange 2010 aos grupos administrativos internos do Exchange 2003.
Aplica-se o mesmo mapeamento entre os grupos de funções do Exchange 2010 e as funções administrativas do Exchange 2003 exibidas na tabela "Funções administrativas do Exchange 2003 e grupos de funções do Exchange 2010" apresentada anteriormente neste tópico. Se você quiser que os administradores da organização do Exchange 2010 tenham acesso completo às funções administrativas do Exchange 2003, adicione o grupo de funções Gerenciamento da Organização ao grupo administrativo de Administradores completos do Exchange. Faça o mesmo com o grupo de funções Gerenciamento de Organizações Somente Exibição e com o grupo administrativo Somente para Exibição do Exchange.
Ao final, seus administradores do Exchange 2010 devem ser membros do grupo administrativo que mapeia para o grupo de funções em que eles estão. Agora eles poderão usar as ferramentas de gerenciamento do Exchange 2003 para administrar os destinatários e servidores do Exchange 2003.
Importante
Em geral, os destinatários e servidores do Exchange 2003 devem ser administrados pelas ferramentas de gerenciamento do Exchange 2003, enquanto os destinatários e servidores do Exchange 2010 devem ser administrados pelas ferramentas de gerenciamento do Exchange 2010. Para mais informações, consulte Exchange 2003 - Mapa de planejamento para atualização e coexistência.
Para mais informações sobre adicionar usuários ou USGs aos grupos administrativos do Exchange 2003, consulte o artigo 823018 da Base de Dados de Conhecimento, Visão geral das permissões de funções administrativas do Exchange 2003.
Recriar a personalização de ACL do Exchange 2003 usando os escopos de gerenciamento do Exchange 2010
No Exchange 2003, se você quiser restringir quem poderá administrar um armazenamento de caixa de correio específico, administrar usuários específicos ou controlar em qual armazenamento de caixa de correio serão criadas as caixas de correio, será necessário modificar as ACLs nos objetos que você deseja restringir. O Exchange 2010 oferece as mesmas capacidades, mas sem a necessidade de modificar quaisquer ACLs Isso é feito por meio do uso de escopos de gerenciamento, que são um componente do RBAC.
Os escopos de gerenciamento oferecem a possibilidade de usar escopos internos e escopos personalizados para definir quais objetos os administradores podem gerenciar. Ao aplicar escopos de gerenciamento, você pode definir quais destinatários podem ser administrados, em quais bancos de dados de caixa de correio as caixas de correio podem ser criadas e quais destinatários ou servidores devem ser administrados somente por um pequeno grupo de administradores.
Os seguintes tipos de escopos de gerenciamento podem ser criados:
Relativo predefinido Os escopos relativos predefinidos estão incluídos no Exchange 2010. Você pode controlar o que um usuário pode ver e modificar. Por exemplo, os escopos relativos predefinidos podem controlar se os usuários veem somente informações sobre eles mesmos ou sobre toda a organização.
Destinatário Os escopos de destinatário controlam quais destinatários podem ser criados, modificados ou excluídos por um administrador. Estes podem estar baseados em uma UO (Unidade Organizacional), um filtro de destinatário ou em ambos. Os filtros de destinatário especificam os critérios que um destinatário precisa cumprir a fim de ser incluído em um escopo. Por exemplo, você pode criar um escopo de filtro de destinatário que inclua todos os usuários em determinado local ou em um departamento específico. Você pode até mesmo combinar UOs e filtros de destinatários para visarem apenas usuários que estejam em uma UO específica e reportarem somente para um determinado administrador.
Servidor Os escopos de servidor controlam quais servidores podem ser administrados por um administrador. Você pode especificar listas de servidores ou filtros de servidores. Com listas de servidores, você define uma lista estática de servidores que podem ser gerenciados. Os filtros de servidores funcionam da mesma maneira que os filtros de destinatário, nos quais é possível especificar critérios que precisam ser atendidos. Por exemplo, você pode criar um escopo de servidor que vise todos os servidores em um site do Active Directory em particular.
Banco de dados Os escopos de banco de dados controlam quais bancos de dados podem ser gerenciados por um administrador. Eles também controlam em quais bancos de dados as caixas de correio podem ser criadas ou para qual serão movidas. Como escopos de servidor, eles podem ser definidos como listas ou filtros. Por exemplo, você talvez queira criar uma lista ou filtro que possibilite aos administradores criar ou mover caixas de correios em determinados bancos de dados de caixa de correio gerenciados por um subsidiário em particular.
Exclusivo Com a exceção de escopos relativos predefinidos, todos os escopos anteriores podem ser criados também como escopos exclusivos. Os escopos exclusivos funcionam como ACEs (entradas de controle de acesso) de negação nas ACLs. Se algo corresponder a um escopo exclusivo, apenas os administradores a que foram atribuídos um escopo exclusivo poderão gerenciar esse objeto, mesmo que outro escopo que não seja exclusivo esteja visando o mesmo objeto. Isto é útil especialmente para executivos, quando você decidir que apenas poucas pessoas de alta confiança podem gerenciar suas caixas de correio. Mesmo que outro escopo de destinatário regular ou mais amplo inclua a caixa de correio do executivo em seu escopo, os administradores aos quais foi atribuído este escopo regular ou mais amplo não poderão gerenciar a caixa de correio deste executivo, a menos que seja atribuído a eles o escopo exclusivo.
Os escopos de gerenciamento são usados com funções de gerenciamento, atribuições de função de gerenciamento e grupos de funções de gerenciamento a fim de controlar quem poderá gerenciar quais objetos e em que lugar. Para obter mais informações, consulte os tópicos a seguir:
Para criar o mesmo modelo de permissões do Exchange 2010, usando os escopos de gerenciamento que podem ter sido definidos no Exchange 2003 ao utilizar ACLs personalizadas, você terá de fazer o inventário das ACLs personalizadas e criar escopos de gerenciamento correspondentes a elas. Você pode usar as propriedades filtráveis que estão disponíveis nos objetos de banco de dados, servidor ou destinatário a fim de criar escopos de gerenciamento que incluam os objetos aos quais você deseja que cada escopo de gerenciamento possa controlar o acesso. Para mais informações sobre as propriedades que você pode usar com os filtros de escopo de gerenciamento, consulte Noções Básicas Sobre Filtros de Escopo de Função de Gerenciamento.
Para mais informações sobre a criação de escopos de gerenciamento, consulte Criar um Escopo Normal ou Exclusivo.
© 2010 Microsoft Corporation. Todos os direitos reservados.