权限注意事项
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-07-12
在计划如何将 Microsoft Exchange Server 2007 集成到 Active Directory 目录服务结构中时,应考虑组织中的管理模型。使用 Exchange 2007 可以灵活地为管理员分配权限。通常,建议考虑 Active Directory 和 Exchange 2007 的下列功能对管理角色组织方式的影响:
可以由单个管理员执行 Microsoft Windows Server 2003 和 Exchange 的任务。
可以划分开 Exchange 管理员和 Windows 管理员的权限。
可以使用 Exchange 资源林隔离 Exchange 管理员角色和 Windows 管理员角色。
本主题中各节介绍权限配置的灵活性以及 Exchange 2007 中可用的管理角色。
了解 Exchange 和 Active Directory 拆分权限模型
在许多 Microsoft Exchange 组织中,尤其在大中型组织中,可能有多个 Exchange 管理员。因为这些管理员可以执行一组特定的管理任务,Exchange Server 2007 提供了预定义的管理员角色和拆分权限模型,允许您在 Active Directory 中为组织中的各种管理角色配置特定权限。在 Exchange 2007 中,对 Exchange 收件人属性的权限分组在一起。这样最大程度地减少了将 Exchange 权限与其他管理权限拆分所必须进行的手动权限配置。有关如何规划和实现权限模型的详细信息,请参阅下列主题:
对安全和权限模型的更改
Exchange Server 2003 中的安全和权限模型在 Exchange 2007 中已发生更改。这一节提供了有关 Exchange 权限模型更改的信息,并描述了差异。
属性集
“属性集”是一组 Active Directory 属性。通过设置一个访问控制条目 (ACE),而不必设置每个属性的 ACE,就可以控制对这组 Active Directory 属性的访问权。将所有 Exchange 收件人属性组合在一起的属性集称为电子邮件信息。
.gif "note") 注意: |
|---|
| 只要使用包含 /PrepareAD 参数的 Exchange 2007 Setup.Com 或 Setup.Com 来更新 Active Directory 架构,就可以让有权访问 Exchange Server 2003 服务器上的收件人属性的 Exchange Server 2003 安全组有权访问 Exchange 2007 电子邮件信息属性集。 |
有关属性集的详细信息,请参阅 Exchange 2007 中的属性集。
Exchange 2003 安全和权限模型
为了帮助简化权限的管理,Exchange Server 2003 提供了预定义的安全角色,可以在 Exchange 2003 管理委派向导中使用这些角色。这些角色是可以在组织级别或管理组级别应用的标准权限的集合。
在 Exchange 2003 中,通过 Exchange 系统管理器中的委派向导可以使用下列安全角色:
Exchange 管理员(完全控制)
Exchange 管理员
Exchange 管理员(仅查看)
此模型的局限性如下:
缺少针对性。Exchange Administrator 组太大,而某些客户希望能够在单个服务器级别管理他们的安全和权限模型。
在感觉上,Exchange Server 2003 安全角色只有细微的差异。
Windows (Active Directory) 管理员和 Exchange 收件人管理员对用户和组的管理没有明显差别。例如,要执行 Exchange 收件人相关任务,必须授予 Exchange 管理员高级别权限(Windows 域的帐户操作员权限)。
Exchange 2007 安全和权限模型
为了改进对 Exchange 管理员角色(在 Exchange 2003 中称为“安全组”)的管理,已为 Exchange 安全和权限模型提供了下列新功能或改进的功能:
新的管理员角色类似于内置的 Windows Server 安全组。有关这些管理员角色的详细信息,请参阅本主题后面的“Exchange 2007 中的管理员角色”。
可以使用 Exchange 管理控制台(以前为 Exchange 系统管理器)和 Exchange 命令行管理程序来查看、添加和删除任何管理员角色中的成员。
Exchange 2007 中的管理员角色
Exchange 2007 拥有下列预定义组,用于管理 Exchange 配置数据:
Exchange 组织管理员
Exchange 收件人管理员
Exchange 仅查看管理员
Exchange 公用文件夹管理员(Exchange Server 2007 Service Pack 1 中的新增角色)
在 Exchange Setup/PrepareAD 阶段(组织准备阶段,与 Exchange 2003 ForestPrep 相似),这些 Exchange 管理员角色(除 Exchange Server Administrators 之外)在一个新 Microsoft Exchange 安全组的组织单位 (OU) 中创建,该单位位于运行 /PrepareAD 的域中。
向用户添加管理员角色时,该用户将继承此角色的权限。这些管理员角色有权管理 Active Directory 中的 Exchange 数据。这些组可以管理的 Exchange 数据有三种类型:
全局数据 这是在 Active Directory 配置容器内不与特定服务器关联的数据。此数据包括(但不限于)邮箱策略、地址列表和 Exchange 统一消息配置。全局数据通常会影响整个组织,并且会潜在影响所有用户。最佳做法是,只允许少量受信任的用户配置或更改全局数据。
收件人数据 Exchange 中的收件人是可以接收或发送电子邮件的 Active Directory 用户对象。收件人数据的示例包括已启用邮件的联系人、通讯组、邮箱以及公用文件夹代理对象之类的特定收件人类型。
服务器数据 Exchange 服务器数据包含在 Active Directory 中指定服务器的节点下面。这些数据的示例包括接收连接器、虚拟目录、每个服务器的设置以及邮箱和存储组数据。
Exchange 组织管理员角色
Exchange 组织管理员角色向管理员授予对 Exchange 组织中所有 Exchange 属性和对象的完全访问权限。在安装 Exchange 期间,在根域中,Setup /PrepareAD 在“Active Directory 用户和计算机”的“Microsoft Exchange 安全组”容器中创建名为 Exchange Organization Administrators 的 Active Directory 安全组。
将用户添加到 Exchange 组织管理员角色后,该用户就会成为名为 Exchange 组织管理员的管理员角色的成员。Exchange 2007 将在准备 Active Directory 期间创建此角色。Exchange 组织管理员角色的成员具有下列权限:
Active Directory 的配置容器中的 Exchange 组织的所有者。作为所有者,该角色的成员对 Active Directory 中配置容器中的 Exchange 组织数据和本地 Exchange 服务器 Administrator 组拥有完全控制权。
对 Active Directory 内的所有域用户容器的读取访问权。在域中安装第一个 Exchange 2007 服务器期间,Exchange 将为组织内的每个域授予此权限。成为 Exchange 收件人管理员角色的成员即会被授予这些权限。
对 Active Directory 内的所有域用户容器中的所有特定于 Exchange 的属性的写入访问权。在域中安装第一个 Exchange 2007 服务器期间,Exchange 2007 将为组织内的每个域授予此权限。成为 Exchange 收件人管理员角色的成员即会被授予这些权限。
所有本地服务器配置数据的所有者。作为所有者,成员拥有对本地 Exchange 服务器的完全控制权。在安装每个 Exchange 服务器期间,Exchange 2007 将授予此权限。
作为 Exchange 组织管理员角色成员的用户拥有 Exchange 组织中最高级别的权限。所有影响整个 Exchange 组织的任务都要求使用此组中的成员身份。要求使用 Exchange 组织管理员权限的任务示例包括创建或删除连接器、更改服务器策略以及更改任何全局配置设置。
| 注意: |
|---|
| 安装 Exchange 2007 时,安装程序将添加 Exchange 组织管理员角色,作为要安装 Exchange 的计算机上的本地 Administrators 组成员。请注意,域控制器上的本地 Administrators 组拥有的权限和成员服务器上的本地 Administrators 组拥有的权限不一样。如果将 Exchange 2007 安装在域控制器上,则 Exchange 组织管理员角色的用户将拥有一些额外的 Windows 权限,如果将 Exchange 2007 安装在不是域控制器的计算机上,则他们不会拥有这些权限。 |
Exchange 收件人管理员角色
Exchange 收件人管理员角色拥有修改 Active Directory 用户、联系人、组、动态通讯组列表或公用文件夹对象的任何 Exchange 属性的权限。在 Exchange Setup /PrepareAD 期间,Exchange 收件人管理员角色在 Active Directory 的 Microsoft Exchange 安全组容器中创建。此角色还允许您管理统一消息邮箱设置和客户端访问邮箱设置。Exchange Organization 收件人管理员角色的成员拥有下列权限:
对 Active Directory 内已在相应域中运行 Setup /PrepareDomain 的所有域用户容器拥有读取访问权限。
对 Active Directory 内已在相应域中运行 Setup /PrepareDomain 的域用户容器的所有 Exchange 特定属性拥有写入访问权限。
Exchange 仅查看管理员角色中的成员身份。
作为 Exchange 收件人管理员角色成员的用户对尚未运行 Setup /PrepareDomain 的域没有权限。当添加新 Exchange 域时,请确保在新域中运行 Setup /PrepareDomain,以向该域中的 Exchange 管理员角色授予权限。
Exchange Server 管理员角色
Exchange Server 管理员角色只能访问在 Active Directory 中或在已安装 Exchange 2007 的物理计算机上的本地服务器 Exchange 配置数据。作为 Exchange Server 管理员角色的成员的用户有权管理特定的服务器,但无权执行在 Exchange 组织中有全局影响的操作。
Exchange 2007 将在安装期间创建此管理员角色。Exchange 服务器管理员角色的成员拥有下列权限:
所有本地服务器配置数据的所有者。作为所有者,该角色的成员对本地服务器配置数据拥有完全控制权。
安装 Exchange 的计算机的本地管理员。
Exchange 仅查看管理员角色的成员。
Exchange 仅查看管理员
Exchange 仅查看管理员角色对 Active Directory 配置容器中的整个 Exchange 组织树拥有只读访问权限,并对包含 Exchange 收件人的所有 Windows 域容器拥有只读访问权限。
在 Exchange Setup /PrepareAD 期间,将在 Active Directory 内的 Microsoft Exchange 安全组容器中创建 Exchange 仅查看管理员角色。
Exchange 公用文件夹管理员
Exchange 2007 Service Pack 1 (SP1) 中的新增角色
Exchange 公用文件夹管理员角色具有管理所有公用文件夹的管理权限。为此管理员角色授予“创建顶级公用文件夹”扩展权限。此角色的成员可以创建并删除公用文件夹,以及管理副本、配额、期限限制、管理权限和客户端权限等公用文件夹设置。此管理员角色可以为公用文件夹启用邮件,但是不能为公用文件夹修改与邮件收件人有关的属性,例如代理地址。该功能要求使用 Exchange 收件人管理员角色中的成员身份。
管理员角色和权限摘要
下表列出了 Exchange 2007 管理员角色及其相关 Exchange 权限。
| 管理员角色 | 成员 | 成员属于 | Exchange 权限 |
|---|---|---|---|
Exchange 组织管理员 |
管理员,即安装第一个 Exchange 2007 服务器时使用的帐户 |
Exchange 收件人管理员 <服务器名> 的管理员本地组 |
对 Active Directory 中的 Microsoft Exchange 容器拥有完全控制权 |
Exchange 收件人管理员 |
Exchange 组织管理员 |
Exchange 仅查看管理员 |
对 Active Directory 用户对象的 Exchange 属性拥有完全控制权 |
Exchange Server 管理员 |
|
Exchange 仅查看管理员 <服务器名> 的管理员本地组 |
对 Exchange <服务器名> 拥有完全控制权 |
Exchange 仅查看管理员 |
Exchange 收件人管理员 Exchange 公用文件夹管理员 |
Exchange 收件人管理员 Exchange Server 管理员 |
对 Active Directory 中的 Microsoft Exchange 容器拥有读取访问权。 对包含 Exchange 收件人的所有 Windows 域拥有读取访问权。 |
Exchange Servers |
每个 Exchange 2007 计算机帐户 |
Exchange 仅查看管理员 |
特殊 |
Exchange 公用文件夹管理员 |
Exchange 组织管理员 |
Exchange 仅查看管理员 |
管理公用文件夹的能力。 |
通讯簿属性
Exchange 使用许多属性来存储 Exchange 数据。Exchange 还使用其他使用 Exchange 数据的目录感知应用程序可以使用的其他收件人属性。因此,这些属性不会添加到 Exchange 特定的属性集中。这些属性可能包含在 Active Directory 安装期间创建的其他属性集中,也可能不属于任何属性集。
下表中列出的属性是在全局地址列表 (GAL) 中通过 Microsoft Office Outlook 向最终用户提供的数据。如果 Exchange 管理员要求可以更新这些属性,但又不是域级安全组(例如 Account Operators 组)的成员,则 Active Directory 管理员必须授予读/写权限。
| 适用于对象 | Exchange 管理控制台位置 | 属性 | 说明 |
|---|---|---|---|
用户、联系人 |
用户属性或联系人属性中的“用户信息”或“联系人信息”选项卡 |
givenName |
名 |
用户、联系人 |
用户属性或联系人属性中的“用户信息”或“联系人信息”选项卡 |
initials |
中间名首字母 |
用户、联系人 |
用户属性或联系人属性中的“用户信息”或“联系人信息”选项卡 |
sn |
姓 |
用户、联系人 |
用户属性或联系人属性中的“用户信息”或“联系人信息”选项卡 |
info |
“注释”字段 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
streetAddress |
街道地址 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
l |
城市 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
st |
省/市/自治区 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
postalCode |
邮政编码 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
countryCode |
国家/地区 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
telephoneNumber |
业务电话 |
用户、联系人 |
只能在 Exchange 命令行管理程序中使用 |
otherTelephoneNumber |
备选业务电话 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
pager |
寻呼机 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
facsimileTelephoneNumber |
传真 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
homePhone |
住宅电话 |
用户、联系人 |
只能在 Exchange 命令行管理程序中使用 |
otherHomePhone |
备选住宅电话 |
用户、联系人 |
用户属性或联系人属性中的“地址和电话”选项卡 |
mobile |
移动电话 |
用户、联系人 |
只能在 Exchange 命令行管理程序中使用 |
otherfacsimileTelephoneNumber |
备选传真 |
联系人 |
只能在 Exchange 命令行管理程序中使用 |
telephoneAssistant |
助理电话 |
联系人 |
ADSI(Active Directory 服务接口)编辑/LDAP |
telephoneAssistant |
助理电话 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
title |
职务 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
company |
公司 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
department |
部门 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
physicalDeliveryOfficeName |
办公室 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
manager |
主管 |
用户、联系人 |
用户属性或联系人属性中的“组织”选项卡 |
directReports |
直接下属 |
用户、联系人 |
只能在 Exchange 命令行管理程序中使用 |
msExchAssistantName |
助理姓名 |
组 |
组属性中的“组信息”选项卡 |
managedBy |
组所有者 |
组 |
组属性中的“组信息”选项卡 |
info |
“注释”字段 |
详细信息
有关如何使用 Exchange 管理角色委派权限的信息,请参阅 Add-ExchangeAdministrator。
有关如何为 Exchange 2007 准备 Active Directory 和域的信息,请参阅如何准备 Active Directory 和域。