Exchange Server 2003 中的安全和权限模型在 Exchange 2007 中已发生更改。这一节提供了有关 Exchange 权限模型更改的信息,并描述了差异。
属性集
“属性集”是一组 Active Directory 属性。通过设置一个访问控制条目 (ACE),而不必设置每个属性的 ACE,就可以控制对这组 Active Directory 属性的访问权。将所有 Exchange 收件人属性组合在一起的属性集称为电子邮件信息。
.gif) 注意: |
|---|
|
只要使用包含 /PrepareAD 参数的 Exchange 2007 Setup.Com 或 Setup.Com 来更新 Active Directory 架构,就可以让有权访问 Exchange Server 2003 服务器上的收件人属性的 Exchange Server 2003 安全组有权访问 Exchange 2007 电子邮件信息属性集。
|
有关属性集的详细信息,请参阅 Exchange 2007 中的属性集。
Exchange 2003 安全和权限模型
为了帮助简化权限的管理,Exchange Server 2003 提供了预定义的安全角色,可以在 Exchange 2003 管理委派向导中使用这些角色。这些角色是可以在组织级别或管理组级别应用的标准权限的集合。
在 Exchange 2003 中,通过 Exchange 系统管理器中的委派向导可以使用下列安全角色:
-
Exchange 管理员(完全控制)
-
Exchange 管理员
-
Exchange 管理员(仅查看)
此模型的局限性如下:
-
缺少针对性。Exchange Administrator 组太大,而某些客户希望能够在单个服务器级别管理他们的安全和权限模型。
-
在感觉上,Exchange Server 2003 安全角色只有细微的差异。
-
Windows (Active Directory) 管理员和 Exchange 收件人管理员对用户和组的管理没有明显差别。例如,要执行 Exchange 收件人相关任务,必须授予 Exchange 管理员高级别权限(Windows 域的帐户操作员权限)。
Exchange 2007 安全和权限模型
为了改进对 Exchange 管理员角色(在 Exchange 2003 中称为“安全组”)的管理,已为 Exchange 安全和权限模型提供了下列新功能或改进的功能:
-
新的管理员角色类似于内置的 Windows Server 安全组。有关这些管理员角色的详细信息,请参阅本主题后面的“Exchange 2007 中的管理员角色”。
-
可以使用 Exchange 管理控制台(以前为 Exchange 系统管理器)和 Exchange 命令行管理程序来查看、添加和删除任何管理员角色中的成员。
Exchange 2007 中的管理员角色
Exchange 2007 拥有下列预定义组,用于管理 Exchange 配置数据:
-
Exchange 组织管理员
-
Exchange 收件人管理员
-
Exchange 仅查看管理员
-
Exchange 公用文件夹管理员(Exchange Server 2007 Service Pack 1 中的新增角色)
在 Exchange Setup/PrepareAD 阶段(组织准备阶段,与 Exchange 2003 ForestPrep 相似),这些 Exchange 管理员角色(除 Exchange Server Administrators 之外)在一个新 Microsoft Exchange 安全组的组织单位 (OU) 中创建,该单位位于运行 /PrepareAD 的域中。
向用户添加管理员角色时,该用户将继承此角色的权限。这些管理员角色有权管理 Active Directory 中的 Exchange 数据。这些组可以管理的 Exchange 数据有三种类型:
-
全局数据 这是在 Active Directory 配置容器内不与特定服务器关联的数据。此数据包括(但不限于)邮箱策略、地址列表和 Exchange 统一消息配置。全局数据通常会影响整个组织,并且会潜在影响所有用户。最佳做法是,只允许少量受信任的用户配置或更改全局数据。
-
收件人数据 Exchange 中的收件人是可以接收或发送电子邮件的 Active Directory 用户对象。收件人数据的示例包括已启用邮件的联系人、通讯组、邮箱以及公用文件夹代理对象之类的特定收件人类型。
-
服务器数据 Exchange 服务器数据包含在 Active Directory 中指定服务器的节点下面。这些数据的示例包括接收连接器、虚拟目录、每个服务器的设置以及邮箱和存储组数据。
Exchange 组织管理员角色
Exchange 组织管理员角色向管理员授予对 Exchange 组织中所有 Exchange 属性和对象的完全访问权限。在安装 Exchange 期间,在根域中,Setup /PrepareAD 在“Active Directory 用户和计算机”的“Microsoft Exchange 安全组”容器中创建名为 Exchange Organization Administrators 的 Active Directory 安全组。
将用户添加到 Exchange 组织管理员角色后,该用户就会成为名为 Exchange 组织管理员的管理员角色的成员。Exchange 2007 将在准备 Active Directory 期间创建此角色。Exchange 组织管理员角色的成员具有下列权限:
-
Active Directory 的配置容器中的 Exchange 组织的所有者。作为所有者,该角色的成员对 Active Directory 中配置容器中的 Exchange 组织数据和本地 Exchange 服务器 Administrator 组拥有完全控制权。
-
对 Active Directory 内的所有域用户容器的读取访问权。在域中安装第一个 Exchange 2007 服务器期间,Exchange 将为组织内的每个域授予此权限。成为 Exchange 收件人管理员角色的成员即会被授予这些权限。
-
对 Active Directory 内的所有域用户容器中的所有特定于 Exchange 的属性的写入访问权。在域中安装第一个 Exchange 2007 服务器期间,Exchange 2007 将为组织内的每个域授予此权限。成为 Exchange 收件人管理员角色的成员即会被授予这些权限。
-
所有本地服务器配置数据的所有者。作为所有者,成员拥有对本地 Exchange 服务器的完全控制权。在安装每个 Exchange 服务器期间,Exchange 2007 将授予此权限。
作为 Exchange 组织管理员角色成员的用户拥有 Exchange 组织中最高级别的权限。所有影响整个 Exchange 组织的任务都要求使用此组中的成员身份。要求使用 Exchange 组织管理员权限的任务示例包括创建或删除连接器、更改服务器策略以及更改任何全局配置设置。
| 注意: |
|---|
|
安装 Exchange 2007 时,安装程序将添加 Exchange 组织管理员角色,作为要安装 Exchange 的计算机上的本地 Administrators 组成员。请注意,域控制器上的本地 Administrators 组拥有的权限和成员服务器上的本地 Administrators 组拥有的权限不一样。如果将 Exchange 2007 安装在域控制器上,则 Exchange 组织管理员角色的用户将拥有一些额外的 Windows 权限,如果将 Exchange 2007 安装在不是域控制器的计算机上,则他们不会拥有这些权限。
|
Exchange 收件人管理员角色
Exchange 收件人管理员角色拥有修改 Active Directory 用户、联系人、组、动态通讯组列表或公用文件夹对象的任何 Exchange 属性的权限。在 Exchange Setup /PrepareAD 期间,Exchange 收件人管理员角色在 Active Directory 的 Microsoft Exchange 安全组容器中创建。此角色还允许您管理统一消息邮箱设置和客户端访问邮箱设置。Exchange Organization 收件人管理员角色的成员拥有下列权限:
-
对 Active Directory 内已在相应域中运行 Setup /PrepareDomain 的所有域用户容器拥有读取访问权限。
-
对 Active Directory 内已在相应域中运行 Setup /PrepareDomain 的域用户容器的所有 Exchange 特定属性拥有写入访问权限。
-
Exchange 仅查看管理员角色中的成员身份。
作为 Exchange 收件人管理员角色成员的用户对尚未运行 Setup /PrepareDomain 的域没有权限。当添加新 Exchange 域时,请确保在新域中运行 Setup /PrepareDomain,以向该域中的 Exchange 管理员角色授予权限。
Exchange Server 管理员角色
Exchange Server 管理员角色只能访问在 Active Directory 中或在已安装 Exchange 2007 的物理计算机上的本地服务器 Exchange 配置数据。作为 Exchange Server 管理员角色的成员的用户有权管理特定的服务器,但无权执行在 Exchange 组织中有全局影响的操作。
Exchange 2007 将在安装期间创建此管理员角色。Exchange 服务器管理员角色的成员拥有下列权限:
-
所有本地服务器配置数据的所有者。作为所有者,该角色的成员对本地服务器配置数据拥有完全控制权。
-
安装 Exchange 的计算机的本地管理员。
-
Exchange 仅查看管理员角色的成员。
Exchange 仅查看管理员
Exchange 仅查看管理员角色对 Active Directory 配置容器中的整个 Exchange 组织树拥有只读访问权限,并对包含 Exchange 收件人的所有 Windows 域容器拥有只读访问权限。
在 Exchange Setup /PrepareAD 期间,将在 Active Directory 内的 Microsoft Exchange 安全组容器中创建 Exchange 仅查看管理员角色。
Exchange 公用文件夹管理员
Exchange 2007 Service Pack 1 (SP1) 中的新增角色
Exchange 公用文件夹管理员角色具有管理所有公用文件夹的管理权限。为此管理员角色授予“创建顶级公用文件夹”扩展权限。此角色的成员可以创建并删除公用文件夹,以及管理副本、配额、期限限制、管理权限和客户端权限等公用文件夹设置。此管理员角色可以为公用文件夹启用邮件,但是不能为公用文件夹修改与邮件收件人有关的属性,例如代理地址。该功能要求使用 Exchange 收件人管理员角色中的成员身份。