Planificación e implementación de un modelo de permisos divididos

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2008-02-05

Las organizaciones que implementan un modelo de permisos divididos, normalmente desean restringir los permisos específicos concedidos a administradores para mejorar la responsabilidad y la seguridad. En Microsoft Exchange Server 2007, los permisos de atributos de destinatarios de Exchange se encuentran agrupados. De esta forma, se minimiza la configuración manual de permisos que debe realizar para separar los permisos de Exchange de otros permisos de administración.

De forma predeterminada, únicamente los administradores de organización de Exchange pueden administrar los datos de configuración y destinatarios de Exchange. Sin embargo, para administrar la creación, modificación y eliminación de objetos dentro de un dominio específico, estos administradores requieren también pertenecer al grupo de seguridad de operadores de cuentas de Windows o a un grupo de seguridad de nivel superior. Para obtener más información acerca de la concesión de permisos de operadores de cuentas, consulte Windows Server 2003: Ayuda del producto (en inglés).

Control de acceso

Para administrar atributos relativos a Exchange en objetos pertenecientes al contexto de nombres de dominio del bosque, debe concederse la modificación de permisos al grupo de administradores de servidores de Exchange. Esto se hace cambiando el descriptor de seguridad del objeto que contiene los atributos.

Un descriptor de seguridad contiene dos listas de control de acceso (ACL). Una ACL es una lista de objetos de grupos de usuarios o de seguridad que tienen acceso o a los que se les deniega el acceso a un recurso u objeto. Las ACL permiten aplicar permisos específicos a todo el objeto, a un conjunto de propiedades del objeto o a una propiedad individual de un objeto. Existen dos tipos de ACL en el descriptor de seguridad de un objeto:

  • Listas de control de acceso discrecional (DACL)   Las DACL determinan los usuarios y los grupos a los que se asignan o deniegan permisos de acceso en un objeto. Si una DACL no determina explícitamente un usuario o grupo del que es miembro un usuario, se deniega al usuario el acceso a ese objeto. De forma predeterminada, una DACL la controla el propietario de un objeto o la persona que creó el objeto, y contiene entradas de control de acceso (ACE) que determinan el acceso del usuario al objeto.

  • Listas de control de acceso del sistema (SACL)   Las SACL determinan los usuarios y grupos que desea auditar cuando tengan acceso correctamente o no puedan obtener acceso a un objeto. De forma predeterminada, una SACL la controla el propietario de un objeto o la persona que creó el objeto. Una SACL contiene entradas de control de acceso (ACE) que determinan si registrar el éxito o el error de un intento realizado por un usuario que utiliza un permiso específico, tal como Control total o Leer, para obtener acceso a un objeto.

Una ACE es una entrada en la DACL de un objeto que concede permisos a un usuario o grupo. Una ACE es también una entrada de la SACL de un objeto que especifica los eventos de seguridad que se auditarán para un usuario o un grupo.

Dónde aplicar permisos

Un bosque de servicio de directorio de Active Directory se compone de uno o más dominios que comparten una configuración y límite de esquemas comunes. Dentro de esos dominios, los objetos pueden disponerse en contenedores conocidos como unidades organizativas (OU). Los administradores de cada organización deben diseñar una estructura de OU que satisfaga las necesidades de su empresa y optimice la delegación de permisos administrativos.

Para obtener más información acerca de cómo diseñar una estructura de OU, consulte Prácticas recomendadas de diseño de Active Directory para la administración de redes de Windows (en inglés) y Prácticas recomendadas para delegar la administración de Active Directory (en inglés).

Al rediseñar un modelo de delegación, existen varios métodos para aplicar permisos. En este tema se explican únicamente los dos siguientes métodos:

  • Aplicación de permisos en el nivel de dominio

  • Aplicación de permisos en el nivel de OU

Aplicación de permisos en el nivel de dominio

Al aplicar permisos delegados en el nivel de dominio, todos los objetos heredan los permisos. Esto incluye a usuarios, contactos, grupos, DNS de dominio y equipos. En los controladores de dominio que ejecutan Microsoft Windows 2000 Server, la incorporación de una ACE heredable en el nivel de dominio hace que la DACL cambie para cada objeto dentro del dominio. Dependiendo del número de ACE agregadas y del número de objetos dentro de un dominio, estos cambios pueden derivar en lo que se conoce como sobredimensionamiento de ACL. Sobredimensionamiento de ACL significa que las ACE innecesarias en objetos aumentan el tamaño de la ACL. Un sobredimensionamiento de ACL aumenta el tamaño físico del archivo Ntds.dit en todos los controladores de dominio dentro del dominio. Esto puede causar problemas de rendimiento de Active Directory.

En controladores de dominio que ejecuten Microsoft Windows Server 2003, un descriptor de seguridad exclusivo se almacena sólo una vez en lugar de almacenarse para cada objeto que lo hereda. Este cambio reduce la redundancia de datos y el crecimiento de la base de datos que puede derivarse de los cambios en las ACE heredables.

Aplicación de permisos en el nivel de OU

La práctica recomendada para la aplicación de permisos es aplicar los permisos en una OU principal. Con ello se aísla la aplicación de los permisos para objetos de una clase específica que están incluidos dentro de la OU y sus contendores secundarios. Este método requiere que todos los objetos administrados estén colocados dentro de una OU principal. Los requisitos de la empresa pueden impedir que su organización aplique este método. Si los requisitos de la empresa lo impiden, puede aplicar los permisos en múltiples OU.

Cómo aplicar permisos

Microsoft proporciona dos herramientas para aplicar permisos:

  • Edición de ADSI (AdsiEdit.msc)

  • DSACLS (Dsacls.exe)

Ambas herramientas se incluyen en el CD de Windows Server 2003 en Soporte técnico\Herramientas. También pueden utilizarse varios productos de otros fabricantes para aplicar permisos.

Nota

Si modifica los atributos de objetos de Active Directory de forma incorrecta al utilizar la edición de Interfaces del servicio de Active Directory (ADSI), DSACLS, la herramienta LDP (Ldp.exe) u otro cliente de la versión 3 del Protocolo ligero de acceso a directorios (LDAP), podrían producirse problemas graves. Es posible que estos problemas requieran que se vuelva a instalar Windows Server, Exchange 2007, o ambos. Modifique los atributos de objetos de Active Directory bajo su propia responsabilidad.

Para obtener más información acerca de cómo utilizar la edición de ADSI, consulte Cómo utilizar la edición de ADSI para aplicar permisos (en inglés).

La práctica recomendada para aplicar permisos en Exchange 2007 es utilizar el cmdlet Add-ADPermission del Shell de administración de Exchange. Para obtener más información, consulte Add-ADPermission. Para obtener más información acerca del Shell de administración de Exchange, consulte Uso del Shell de administración de Exchange.

Ejemplos de cómo aplicar permisos

Debido a la implementación de conjuntos de propiedades en Exchange 2007, la implementación de un modelo de permisos divididos requiere muchas menos ACE que en versiones anteriores de Exchange Server.

Para que un administrador de Exchange 2007 administre todas las propiedades relativas al correo, el administrador debe tener los siguientes permisos dentro de la partición de dominio:

  • Acceso de escritura a los siguientes conjuntos de propiedades:

    • Información personal de Exchange

    • Información de Exchange

  • Acceso de escritura a los siguientes atributos:

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • Crear permiso para objetos de msExchDynamicDistributionList

  • Eliminar permiso para objetos de msExchDynamicDistributionList

  • Permiso de control total para objetos de msExchDynamicDistributionList

  • Permiso de lectura genérico. Esto incluye Permisos de lectura, Contenidos de lista, Objetos de lista y Todas las propiedades de lectura.

Además de estos permisos, el administrador de destinatarios debe tener también los siguientes permisos en la organización de Exchange:

  • Función Administrador con permiso de vista de Exchange o superior

    Nota

    Determinadas operaciones, como mover buzones, requieren la función Administrador de Exchange Server o superior.

  • El acceso de escritura a los atributos msExchLastAppliedRecipientFilter y msExchRecipientFilterFlags del contenedor Listas de direcciones de la organización de Exchange. Estos permisos son necesarios para que el administrador de destinatarios puedan ejecutar el cmdlet Update-AddressList.

  • El acceso de escritura a los atributos msExchLastAppliedRecipientFilter y msExchRecipientFilterFlags del contenedor Directivas de destinatarios de la organización de Exchange. Estos permisos son necesarios para que el administrador de destinatarios pueda ejecutar el cmdlet Update-AddressList.

  • El derecho extendido del servicio de actualización de destinatarios del grupo administrativo de Exchange 2007. Este derecho extendido se requiere porque en Exchange 2007, la información relativa a la dirección se marca en el destinatario durante el proceso de aprovisionamiento.

Nota

Estos permisos se utilizan para administrar atributos que son específicos para Exchange. Los administradores de Exchange no pueden administrar los atributos que se crearon fuera de Exchange a no ser que se hayan delegado a los administradores los permisos apropiados.

Cómo utilizar el Shell de administración de Exchange para aplicar permisos

En esta sección se proporciona un ejemplo de cómo usar el Shell de administración de Exchange para delegar permisos.

Los comandos de este ejemplo permiten a los administradores del grupo de seguridad de OU1AdminGroup habilitar y deshabilitar correo para destinatarios, administrar direcciones de correo electrónico y mostrar nombres para todos los usuarios, grupos y contactos incluidos en la jerarquía de OU de Container1 del bosque Contoso.com que contiene la organización ContosoOrg Exchange. 

Si desea realizar estas tareas para su organización, ejecute los siguientes comandos para cada contenedor en el que desea conceder acceso. Sustituya el nombre de dominio, la organización de Exchange y la información de la cuenta por su propia información de dominio.

Debe ejecutar los siguientes comandos en este orden para conceder los permisos.

  1. Ejecute el siguiente comando para administrar los atributos relativos a Exchange en objetos dentro de la OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail

  2. Ejecute el siguiente comando para proporcionar un permiso de lectura genérico para todos los objetos dentro de la OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead

  3. Ejecute los siguientes comandos para conceder el permiso apropiado para administrar grupos de distribución dinámicos dentro de la OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList

    Para Exchange 2007 Service Pack 1 (SP1), ejecute el siguiente comando:

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList

  4. Ejecute el siguiente comando para conceder el derecho extendido del grupo de seguridad OU1AdminGroup para obtener acceso al servicio de actualización de destinatarios.

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents

  5. Ejecute los siguientes comandos para conceder al grupo de seguridad OU1AdminGroup la posibilidad de actualizar las listas de direcciones y las directivas de direcciones de correo electrónico.

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags

Si se realiza correctamente, cada comando mostrará las ACE que se agregaron al objeto.

Cómo utilizar DSACLS para aplicar permisos

En esta sección se indica un ejemplo de cómo utilizar DSACLS (Dsacls.exe) para aplicar permisos.

DSACLS es una herramienta de la línea de comandos que puede utilizarse para consultar y cambiar permisos y atributos de seguridad de objetos de Active Directory. DSACLS se incluye con las herramientas de soporte técnico de Windows Server 2003. Asimismo, es el equivalente de la línea de comandos de la ficha Seguridad en las herramientas de los complementos de Windows 2000 Server Active Directory, tales como Usuarios y equipos de Active Directory y Sitios y servicios de Active Directory.

Los comandos de este ejemplo permiten a los administradores del grupo de seguridad de OU1AdminGroup habilitar y deshabilitar correo para destinatarios, administrar direcciones de correo electrónico y mostrar nombres para todos los usuarios, grupos y contactos incluidos en la jerarquía de OU de OUContainer1 del bosque Contoso.com que contiene la organización ContosoOrg Exchange. 

Nota

DSACLS distingue entre mayúsculas y minúsculas. La sintaxis que se pase a DSACLS debe ser precisa, ya que todos los caracteres se pasan literalmente. Esto incluye espacios en blanco y retornos de carro. Si recibe errores de DSACLS, revise el comando para asegurarse de que es correcto o intente romper el comando en segmentos más pequeños. Para obtener más información acerca de cómo usar DSACLS, consulte el artículo 281146 de Microsoft Knowledge Base, Cómo utilizar Dsacls.exe en Windows Server 2003 y Windows 2000.

Debe ejecutar los siguientes comandos en este orden para conceder los permisos.

  1. Inicie la sesión en un equipo dentro del bosque que tenga las herramientas de soporte técnico de Windows instaladas mediante el uso de una cuenta que pueda realizar las tareas, como el administrador del dominio. Sustituya el nombre del dominio, la organización de Exchange y la información de la cuenta por su propia información de dominio.

  2. Abra una ventana del símbolo del sistema y escriba los siguientes comandos para administrar los atributos relativos a Exchange en objetos dentro de la OU.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"

  3. Abra una ventana del símbolo del sistema y escriba el siguiente comando para conceder los derechos apropiados para administrar grupos de distribución dinámicos dentro de la OU.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"

  4. Abra una ventana del símbolo del sistema y escriba el siguiente comando para conceder el derecho extendido del grupo de seguridad OU1AdminGroup para obtener acceso al servicio de actualización de destinatarios.

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"

  5. Abra una ventana del símbolo del sistema y escriba los siguientes comandos para conceder al grupo de seguridad OU1AdminGroup la posibilidad de actualizar las listas de direcciones y las directivas de direcciones de correo electrónico.

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"

Si se realiza de forma correcta, el comando mostrará el descriptor de seguridad de Windows revisado y aparecerá The command completed successfully en el símbolo del sistema.

Configurar el script de permisos divididos

En el directorio \Exchange Server\Scripts encontrará un script de ayuda para configurar el modelo de permisos divididos.

Con el Shell de administración de Exchange, puede ejecutar el siguiente script:

  • ConfigureSplitPerms.ps1   Puede usar el script ConfigureSplitPerms.ps1 para configurar los permisos necesarios que se tratan en este tema.

Para obtener más información acerca de los scripts, consulte Uso del Shell de administración de Exchange.

Información adicional

Para obtener más información acerca de permisos divididos, los atributos relativos a Exchange y las tareas relativas al usuario, al contacto y al grupo, consulte Referencia del modelo de permisos divididos.