Uso de permisos y funciones administrativas para controlar el acceso
Última modificación del tema: 2005-05-02
Como ocurre con cualquier aplicación de su entorno, al definir los permisos para Exchange debe tener en cuenta las funciones de los administradores de Exchange y asignarles únicamente los permisos necesarios. Para simplificar el proceso, Exchange 2003 utiliza funciones administrativas. Una función administrativa es un conjunto de objetos de Exchange 2003 destinados a administrar y delegar permisos. Una función administrativa puede contener directivas, grupos de enrutamiento, jerarquías de carpetas públicas y servidores.
Por ejemplo, si la organización tiene dos conjuntos de administradores para dos conjuntos de servidores de Exchange 2003, puede crear dos grupos administrativos que contengan ambos conjuntos de servidores. Según su modelo administrativo, puede elaborar un plan administrativo adecuado a sus necesidades.
Para asignar fácilmente permisos de función a los grupos administrativos (y a la organización de Exchange), puede utilizar el Asistente para delegar la administración de Exchange. Para poder utilizar el asistente debe haber iniciado sesión como un usuario con Control total sobre la organización de Exchange. Para iniciar el Asistente para delegar la administración de Exchange, en el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en la organización o en el grupo administrativo y, después, haga clic en Delegar control.
En la tabla siguiente se enumeran las funciones administrativas de Exchange 2003.
Funciones administrativas de servidor en Exchange Server 2003
| Función | Descripción |
|---|---|
Administrador con permiso de vista de Exchange |
Concede permisos para mostrar y leer las propiedades de todos los objetos que hay bajo ese contenedor. A menos que el administrador necesite modificar propiedades de los objetos, asigne siempre esta función. |
Administrador de Exchange |
Concede todos los permisos, excepto la posibilidad de tomar posesión, cambiar permisos o abrir buzones de usuarios. Si el administrador va a tener que agregar objetos o modificar propiedades de objetos, pero no va a tener que delegar permisos para los objetos, asigne esta función. |
Administrador total de Exchange |
Concede todos los permisos para todos los objetos que hay bajo ese contenedor, excepto la posibilidad de abrir buzones de usuarios o suplantar el buzón de un usuario, incluyendo la posibilidad de cambiar permisos. Asigne esta función sólo a los administradores que tengan que delegar permisos para objetos. La instalación de Exchange 2003 requiere los permisos Administrador total de Exchange. El primer servidor de cualquier dominio (incluyendo el primero del bosque) requiere privilegios Administrador total de Exchange en el nivel de organización. Los servidores adicionales del mismo dominio pueden instalarse con cuentas que tengan privilegios Administrador total de Exchange en el nivel de grupo administrativo. |
En algunos casos, el Asistente para delegar la administración de Exchange no ofrece suficiente granularidad para asignar permisos de seguridad. Por tanto, para los objetos individuales dentro de Exchange, puede modificar las opciones en la ficha Seguridad. Sin embargo, de manera predeterminada la ficha Seguridad sólo se muestra en los objetos siguientes:
- Listas de direcciones
- Listas globales de direcciones
- Bases de datos (almacenes de buzones y almacenes de carpetas públicas)
- Jerarquía de carpetas públicas de nivel superior
Normalmente no es necesario modificar las opciones de seguridad en otros objetos de Exchange; sin embargo, es posible mostrar la ficha Seguridad en todos los objetos de Exchange.
Para conocer con detalle los pasos, consulte "Cómo mostrar la ficha Seguridad en todos los objetos de Exchange".