瞭解多重樹系的權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
許多組織都會部署多個樹系,來建立自己的組織中的安全性界限。系統管理員可以藉由多重樹系來定義更符合自身需求的安全性界限,不管是用以確保只有必要的人才能存取資源,還是將組織分成多個部門都很實用。
Microsoft Exchange Server 2010 支援下列兩種類型的多重樹系拓撲:
跨樹系 跨樹系拓樸可以包含多個樹系,而每個樹系裡各有所屬的 Exchange 安裝。
資源樹系 資源樹系拓撲內含一個 Exchange 樹系與一或多個帳戶樹系。
為方便解說本主題,包含萬用安全性群組 (USG) 的樹系,以及位於安裝有 Exchange 2010 的樹系外部的使用者,不管該樹系屬於帳戶樹系或其他資源樹系,都統稱為外部樹系。
要在多重樹系拓撲中設定權限時,需視樹系信任關係是否已正確設定,以及是否同步全域通訊清單 (GAL) 以便建立連結的信箱。Exchange 2010 樹系所信任的外部樹系,必須包含與連結的角色群組關聯的 USG,以及與連結的信箱關聯的使用者。如需多個樹系的相關資訊,請參閱部署多重樹系拓撲。
Exchange 2010 使用應用角色的存取控制 (RBAC) 權限模型。系統管理員隸屬的管理角色群組,以及指派給使用者的管理角色指派原則,決定每一位系統管理員和使用者可以執行的工作。若要了解多重樹系權限,必須先熟悉 RBAC。如需 RBAC、角色群組和角色指派原則的相關資訊,請參閱下列主題:
要尋找與管理權限相關的管理工作嗎?請參閱 管理權限。
目錄
多個樹系拓撲中的權限
跨界限權限
設定跨界限的權限
多個樹系拓撲中的權限
RBAC 會將權限套用至單一樹系中的所有 Exchange 物件,而每個樹系中的 RBAC 組態,可以在其他所有樹系以外進行單獨設定。當您在某個樹系中建立角色群組時,該角色群組不會存在其他任何樹系當中,且該角色群組所授與的權限,僅能套用至建立此角色群組的樹系。例如,賦予建立信箱權限的角色群組成員,只能在包含該角色群組的樹系中建立信箱。
如果您有多重 Exchange 樹系,而且想要在每個樹系當中設定完全一樣的權限時,必須明確地在每個樹系當中套用相同的組態。例如,當您有兩個 Exchange 2010 樹系,而且想要建立 Compliance Management 角色群組以管理法務部門的權限時,必須執行下列動作:
在每個樹系中建立名為 Compliance Management 的角色群組。如果您的系統管理員屬於個別的外部樹系 (不屬於 Exchange 樹系),請將這兩個角色群組同時建立為連結的角色群組。如需有關角色群組的相關資訊,請參閱跨界限權限一節。
在每個樹系當中,請針對新的角色群組,以及您要使用的角色建立角色指派項目。
在新的角色指派作業中,您可以選擇性新增管理範圍以涵蓋每個樹系中的伺服器與收件者物件。
當您將角色群組建立為連結的群組時,請將成員新增至外部樹系中關聯的 USG。
下圖顯示在 Exchange 2010 樹系中設定的角色群組,如何繫結至其各自的樹系。Exchange 2010 樹系 A 中的 Organization Management 角色群組會授與權限,只是要管理該樹系中的信箱與伺服器。同樣地,Exchange 2010 樹系 B 中的角色群組會授與權限,也只是要管理該樹系中的信箱與伺服器。
此圖同時顯示每個樹系中,都會建立一個 Custom 角色群組 A。即使這些角色群組都以相同名稱建立,但都是各自獨立的實體。事實上,如此圖所示,個別樹系都可以針對每個角色群組指派不同的管理角色。Exchange 2010 樹系 A 將信箱搜尋與郵件追蹤角色,指派給 Custom 角色群組 A,而 Exchange 2010 樹系 B 則是將信箱搜尋與保留管理角色,指派給 Custom 角色群組 A。
最後,在每個樹系中建立的管理範圍,也會與樹系進行繫結。每個樹系中的伺服器範圍,只能包含隸屬該樹系的伺服器。伺服器範圍 A 只能包含 Exchange 2010 樹系 A 中的伺服器,而伺服器範圍 B 則只能包含 Exchange 2010 樹系 B 中的伺服器。同樣地,Exchange 2010 樹系 B 中的收件者範圍,只能包含 Exchange 2010 樹系 B 中的信箱。
RBAC 和樹系界限範圍關係
.gif "RBAC 和樹系界限範圍關係")
回到頁首
跨界限權限
RBAC 所授與的權限,只能允許使用者檢視或修改特定樹系內的 Exchange 物件。不過,您可以將檢視與修改樹系內 Exchange 物件的權限,授與該樹系外部的使用者。透過跨界限權限,您可以將所有 Exchange 管理帳戶集中在同一個樹系中,無須針對個別樹系逐一驗證才能執行相關工作。
.gif "注意事項") 附註: |
|---|
| 授與位於 Exchange 樹系外部使用者的權限,只能套用至該特定的 Exchange 樹系。例如,當外部樹系中的使用者屬於位在樹系 A 中的 Organization Management 連結角色群組時,該使用者只能管理樹系 A 中內含的 Exchange 物件。您必須將使用者變成每個 Exchange 樹系中連結的角色群組成員,才能授與管理個別樹系的權限。 |
跨界限權限還能讓您將角色指派原則套用至在 Exchange 樹系中擁有信箱,但其使用者帳戶卻位於帳戶樹系中的使用者所屬信箱。Exchange 2010 支援使用連結的角色群組與連結的信箱的跨界限權限,詳細資訊將於下列章節中進行討論。
系統管理的權限
您可以使用連結的角色群組與連結的信箱,將跨樹系界限授與系統管理權限。
連結的角色群組會在 Exchange 2010 組織中建立,並跨越樹系界限連結至外部樹系中的 USG。連結的角色群組所連結的 USG,可為下列任一項目:
適用連結的角色群組特定用途的專屬 USG
在多個 Exchange 2010 樹系中連結的角色群組所連結的 USG
另一個 Exchange 2010 樹系中的角色群組 USG
與 Exchange Server 2007 系統管理角色相關聯的 USG
用來授與權限以管理 Exchange Server 2003 組織的 USG
連結的角色群組所連結的 USG,必須位於另一個樹系。您無法將連結的角色群組連結至相同樹系中的某個 USG。
下圖顯示帳戶樹系中的 USG,可以關聯至一或多個 Exchange 2010 資源樹系中的角色群組。帳戶樹系中的 USG 成員,可以透過 USG 有效地成為角色群組的成員。
在個別的樹系中與 USG 相關聯之連結的角色群組
.gif "連結的角色群組和 USG 關係")
當您建立連結的角色群組時,需要將角色指派給 Exchange 2010 樹系中連結的角色群組。必要時,在將角色與連結的角色群組產生關聯的指派作業中,可以包含管理範圍。這些範圍僅限於建立連結的角色群組的樹系。
您可以在外部樹系中來回新增與移除 USG 中的成員,藉此管理連結的角色群組成員資格。一旦您將成員新增至此 USG,會將指派給 Exchange 2010 樹系中連結的角色群組之權限授與這些成員。如果您已使用相同的 USG 連結多個連結的角色群組,便會將指派給每個 Exchange 2010 樹系中個別連結的角色群組的權限,授與該 USG 的成員。
您無法管理來自 Exchange 2010 樹系連結的角色群組成員資格。
將系統管理權限進行跨樹系界限指派的第二種方式,就是透過連結的信箱。為了讓帳戶樹系中的使用者使用位於個別 Exchange 2010 資源樹系中的 Exchange 2010 部署,您必須針對每位使用者設定連結的信箱。連結的信箱可以新增為 Exchange 2010 樹系中角色群組的成員。一旦連結的信箱成為角色群組成員,則角色群組會將權限授與該連結的信箱,以及帳戶樹系中與該連結之信箱關聯的使用者。
如需連結的信箱的相關資訊,請參閱了解收件者。
下圖顯示帳戶樹系中各個使用者、與這些使用者關聯的連結的信箱,以及這些使用者隸屬的角色群組之間的關係。
在帳戶樹系中,與隸屬角色群組之連結的信箱關聯的使用者
.gif "角色群組和連結信箱關係")
使用連結的角色群組與連結的信箱進行跨界限的系統管理權限指派作業時,會具有一些優缺點。下表說明其中的一部份。
連結的角色群組和連結的信箱之優點與缺點
| 連結的角色群組或連結的信箱 | 優點 | 缺點 |
|---|---|---|
連結的角色群組 |
您可以將來自多個 Exchange 2010 樹系的多重連結的角色群組,關聯至某個帳戶樹系或是其他 Exchange 資源樹系中的單一 USG。此舉可讓您過單一樹系中小型 USG 集合,來管理複雜的 Exchange 樹系拓撲。 |
一般的角色群組,無法轉換為連結的角色群組。您必須手動建立連結的角色群組,以取代具備您要跨樹系界限授與之權限的每個一般角色群組。如需相關資訊,請參閱設定跨界限的權限。 |
連結的信箱 |
連結的信箱,可讓您使用 Exchange 樹系中現有的角色群組。連結的信箱可以新增為現有的角色群組成員,就像是相同 Exchange 樹系中的一般信箱、USG 與使用者。 |
如果您使用連結的信箱 (與帳戶樹系中單一使用者連結) 將權限授與多個 Exchange 2010 樹系,則當您想要修改授與使用者的權限時,必須修改每個 Exchange 2010 樹系中的角色群組成員資格。 |
如果您打算擁有多個 Exchange 資源樹系,建議您使用連結的角色群組進行跨樹系界限的權限授與。
使用者權限
使用者權限會指派給使用角色指派原則的個別信箱。當您將 Exchange 2010 安裝到資源樹系中時,就會在資源樹系中建立連結的信箱,並將該樹系關聯至帳戶樹系中的使用者帳戶。
如需連結的信箱的相關資訊,請參閱了解收件者。
連結的信箱建立好之後,會指派預設的角色指派原則,就像是一般信箱一樣。角色指派原則可決定對哪些使用者權限授與信箱。使用者可透過這些權限,來檢視與修改有關下列與其他功能的設定:
一般使用者設定檔資訊
使用者語音信箱
使用者通訊群組成員資格和擁有權
當角色指派原則已經指派給連結的信箱時,便會將管理該使用者可用功能的權限,授與帳戶樹系中與連結的信箱關聯的使用者。這些權限只會套用至連結之信箱所在 Exchange 樹系中的資源。下圖顯示帳戶樹系與其關聯的連結的信箱,以及指派給連結的信箱之角色指派原則等三方之間的關係。此外,帳戶樹系中與系統管理使用者關聯之所有連結的信箱,還可與多個角色群組產生關聯 (不只和角色指派原則關聯)。
帳戶樹系中與連結的信箱關聯 (這些信箱個別指派一個角色指派原則) 的使用者
.gif "角色群組和指派原則關係")
如需連結的信箱的相關資訊,請參閱了解收件者。
回到頁首
設定跨界限的權限
若要在多重樹系拓撲中設定跨界限權限,必須針對外部樹系中每個您想要連結到 USG 的角色群組,建立連結的角色群組。也就是說,您必須針對每個內建的角色群組建立連結的角色群組。您需要:
請在外部樹系中,針對每個要建立的連結的角色群組建立一個 USG。將成員新增此至 USG,以便授與權限。
針對每一個內建角色群組建立連結的角色群組。下列情況會在建立連結的角色群組時發生:
將指派給內建角色群組的相同角色,指派給新連結的角色群組。
連結的角色群組與外部樹系中的 USG 產生關聯。
針對任何您所建立的自訂角色群組,建立連結的角色群組。
選擇性地將自訂的範圍指派給新的連結的角色群組。
如需如何執行這些設定的詳細步驟,請參閱下列主題:
如果您需要變更與連結的角色群組關聯的 USG,請參閱變更連結的角色群組上連結的外部 USG。
建立連結的信箱之後,就會自動指派角色指派原則。您可以變更指派給連結的信箱之角色指派原則,或是變更當信箱建立時預設會指派的角色指派原則。如需相關資訊,請參閱下列主題:
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。