Compartir a través de


Configurar Exchange 2010 para permisos compartidos

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2012-07-23

Los permisos compartidos le permiten, como administrador de Microsoft Exchange Server 2010, crear entidades de seguridad de Active Directory, tales como usuarios y, luego, configurarlos como destinatarios de Exchange. A diferencia de los permisos divididos, que dividen las tareas de administración entre grupos de administradores de Exchange y administradores de Active Directory, no existe la división de tareas con los permisos compartidos.

Para obtener más información acerca de los permisos compartidos y divididos, consulte Descripción de los permisos de división.

Puede configurar la organización de Exchange 2010 para permisos compartidos si ya estableció los permisos divididos en la organización. El procedimiento para cambiar los permisos compartidos es diferente según si está usando los permisos divididos del Control de acceso basado en roles (RBAC) o de Active Directory. Seleccione el procedimiento siguiente que se aplica a la configuración actual. Si se cumplen las siguientes condiciones, la organización usa permisos divididos de Active Directory:

  • La unidad de organización (OU) de grupos protegidos de Microsoft Exchange existe.

  • El grupo de seguridad de permisos de Exchange Windows se encuentra en la OU de los grupos protegidos de Microsoft Exchange.

  • El grupo de seguridad del subsistema de confianza de Exchange es miembro del grupo de permisos de Exchange Windows.

  • No hay asignaciones de funciones de administración regulares para la función Creación de destinatario de correo o la función Pertenencia y creación del grupo de seguridad.

Si nunca configuró los permisos divididos en la organización, no es necesario que realice este procedimiento. Exchange 2010 está configurado para permisos compartidos de forma predeterminada.

Para obtener más información acerca de grupos de funciones de administración, funciones de administración y asignaciones de funciones de administraciones regulares y delegadas, consulte los siguientes temas:

¿Está buscando otras tareas de administración relacionadas con permisos? Consulte Administración de permisos avanzados.

Requisitos previos

  • La organización de Exchange 2010 debe estar configurada para permisos divididos de RBAC o de Active Directory.

  • Debe tener permisos para delegar la función de administración Creación de destinatarios de correo y la función de administración Pertenencia y creación de grupos de seguridad en el grupo de funciones de administración de Administración de la organización o en otro grupo de funciones que tenga asignada la función Destinatarios de correo.

Cambie de los permisos divididos de RBAC a los permisos compartidos

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Grupos de funciones" en el tema Permisos de administración de funciones.

Nota

No puede usar la EMC para cambiar de los permisos divididos de RBAC a los permisos compartidos.

Para cambiar de los permisos divididos de RBAC a los permisos compartidos de Exchange 2010, debe asignar la función Creación de destinatarios de correo y la función Pertenencia y creación de grupos de seguridad a un grupo de funciones que tenga asignada además la función Destinatarios de correo y cuente con administradores de Exchange 2010 como miembros. En la configuración predeterminada de permisos compartidos, el grupo de funciones Administración de la organización incluye cada una de estas funciones. Es por ello que el grupo de funciones Administración de la organización figura en este procedimiento.

Configure permisos compartidos

Para configurar permisos compartidos en el grupo de funciones Administración de la organización, realice las siguientes acciones con una cuenta que tenga permisos para delegar asignaciones de funciones para la función Creación de destinatarios de correo y la función Pertenencia y creación de grupos de seguridad:

  1. Use los siguientes comandos para agregar asignaciones de funciones de delegación para la función Creación de destinatario de correo y Pertenencia y creación de grupos de seguridad al grupo de funciones de Administración de la organización.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    

    Nota

    El grupo de funciones (en este procedimiento, grupo de funciones de administradores de Active Directory) que tiene asignaciones de funciones delegadas para la función Creación de destinatario de correo y para la función Pertenencia y creación de grupo de seguridad debe tener asignada la función Administración de funciones para ejecutar el cmdlet New-ManagementRoleAssignment. Este usuario al que se le asignan funciones y que puede delegar la función Administración de funciones debe asignar dicha función al grupo de funciones Administradores de Active Directory.

  2. Con los siguientes comandos, agregue asignaciones de funciones regulares a la función Creación de destinatarios de correo a los grupos de funciones Administración de la organización y Recipient Management.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
    
  3. Agregue una asignación de función regular a la función Pertenencia y creación de grupos de seguridad al grupo de funciones Administración de la organización con el comando siguiente.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.

Quite permisos de administradores de Active Directory (opcional)

Como opción, puede quitar los permisos concedidos a los administradores de Active Directory si ya no desea que puedan crear o administrar objetos de Active Directory con las herramientas de administración de Exchange. Si desea quitar los permisos de los administradores de Active Directory, lleve a cabo este procedimiento.

Nota

Aunque puede quitarle a los administradores de Active Directory los permisos para administrar objetos de Active Directory con herramientas de administración de Exchange, los administradores de Active Directory pueden continuar administrando objetos de Active Directory con herramientas de administración de Active Directory si sus permisos de Active Directory así lo permiten. No obstante, no podrán administrar atributos específicos de Exchange en objetos de Active Directory. Para obtener más información, consulte Descripción de los permisos de división.

Para quitar permisos divididos relacionados con Exchange a los administradores de Active Directory, realice las siguientes acciones:

  1. Quite las asignaciones de funciones regulares y de delegación que asignan la función Creación de destinatarios de correo al grupo de funciones o al grupo de seguridad universal (USG) que incluye a los administradores de Active Directory como usuarios con el siguiente comando. Este comando usa el grupo de funciones Administradores de Active Directory como un ejemplo. El conmutador WhatIf permite ver cuáles asignaciones de roles se quitarán. Quite el conmutador WhatIf y ejecute nuevamente el comando para quitar las asignaciones de roles.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  2. Quite las asignaciones de funciones regulares y de delegación que asignan la función Pertenencia y creación de grupos de seguridad al grupo de funciones o al USG que incluye a los administradores de Active Directory como miembros con el siguiente comando. Este comando usa el grupo de funciones Administradores de Active Directory como ejemplo. El conmutador WhatIf permite ver cuáles asignaciones de roles se quitarán. Quite el conmutador WhatIf y ejecute nuevamente el comando para quitar las asignaciones de roles.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  3. Opcional. Si desea quitarles todos los permisos de Exchange a los administradores de Active Directory, puede quitar el grupo de funciones o el USG del cual son miembros. Si desea obtener más información sobre cómo quitar un grupo de funciones, consulte Quitar un grupo de funciones.

Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-ManagementRoleAssignment o Remove-ManagementRoleAssignment.

Cambie de los permisos divididos de Active Directory a los permisos compartidos

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el La entrada "Permisos divididos de Active Directory" en el tema Permisos de administración de funciones.

Nota

No puede usar la EMC para cambiar de los permisos divididos de Active Directory a los permisos compartidos.

Para cambiar de los permisos divididos de Active Directory a los permisos compartidos de Exchange 2010, debe volver a ejecutar el Asistente de instalación de Exchange para deshabilitar los permisos divididos de Active Directory en la organización de Exchange y, luego, crear asignaciones de funciones entre un grupo de funciones y la función Creación de destinatario de correo y la función Pertenencia y creación de un grupo de seguridad. En la configuración predeterminada de permisos compartidos, el grupo de funciones Administración de la organización incluye cada una de estas funciones. Es por ello que el grupo de funciones Administración de la organización figura en este procedimiento.

Importante

El comando setup.com en este procedimiento realiza cambios en Active Directory. Debe usar una cuenta que disponga de los permisos requeridos para realizar estos cambios. Es posible que esta cuenta no sea la misma cuenta que tiene permisos para crear asignaciones de roles con el cmdlet New-ManagementRoleAssignment. Use la cuenta o las cuentas con los permisos necesarios para completar de manera satisfactoria cada paso de este procedimiento.

Para cambiar de permisos divididos de Active Directory a permisos compartidos, realice lo siguiente:

  1. Desde un shell de comando de Windows, ejecute el siguiente comando desde los medios de instalación de Exchange 2010 SP1 para deshabilitar los permisos divididos de Active Directory.

    setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
    
  2. Desde el Shell de administración de Exchange, ejecute los siguientes comandos para agregar asignaciones de funciones regulares entre la función Creación de destinatario de correo y la función Administración y creación de grupos de seguridad y los grupos de funciones Administración de la organización y Recipient Management.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
    
  3. Reinicie los servidores Exchange 2010 en la organización.

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.

 © 2010 Microsoft Corporation. Reservados todos los derechos.