Descripción de la coexistencia de permisos en Exchange 2007
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
El modelo de permisos de Microsoft Exchange Server 2010 ha sido mejorado en comparación con los modelos usados en las versiones anteriores de Exchange. Exchange 2010 incluye permisos de control de acceso basados en roles (RBAC) que reemplazan al modelo de autorización basado en la entrada de control de acceso (ACE) de Active Directory utilizado en Microsoft Exchange Server 2007. RBAC es el mecanismo de autorización usado para la mayor parte de la administración de Exchange 2010. Este mecanismo incluye las siguientes áreas de administración:
Shell de administración de Exchange
Panel de control de Exchange
Consola de administración de Exchange (EMC)
Servicios Web Exchange
MAPI en el componente de nivel intermedio
Para obtener más información acerca de cómo planear la coexistencia entre Exchange 2010 y las versiones anteriores de Exchange, consulte Descripción de la actualización a Exchange 2010.
¿Está buscando las tareas de administración relacionadas con permisos? Consulte Administración de permisos.
Permisos de Exchange 2010
El modelo de permisos RBAC de Exchange 2010 consta de grupos de roles de administración a los que se asigna uno de varios roles de administración. Estos roles contienen permisos que habilitan a los administradores para realizar tareas en la organización de Exchange. Los administradores se agregan como miembros de los grupos de roles y reciben todos los permisos que conceden los roles. La siguiente tabla proporciona un ejemplo de los grupos de roles, algunos de los roles asignados a dichos grupos y una descripción del tipo de usuario que puede formar parte del grupo de roles.
Ejemplos de grupos de roles y roles de Exchange 2010
| Grupo de roles de administración | Roles de administración | Miembros de este grupo de roles |
|---|---|---|
Administración de la organización |
Estos son algunos de los roles asignados a este grupo:
|
Los usuarios que administran toda la organización de Exchange 2010 deben ser miembros de este grupo de roles. Con algunas excepciones, los miembros de este grupo de roles pueden administrar casi cualquier aspecto de la organización Exchange 2010. De forma predeterminada, la cuenta de usuario utilizada para preparar Active Directory para Exchange 2010 pertenece a este grupo de roles. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de organizaciones. |
Ver solamente la administración de la organización |
Estos son los roles asignados a este grupo:
|
Los usuarios que ven la configuración de toda la organización de Exchange 2010 deben ser miembros de este grupo de roles. Esos usuarios deben poder ver la configuración del servidor y la información del destinatario y ejecutar funciones de supervisión sin cambiar la configuración de la organización o de los destinatarios. Para obtener más información acerca de este grupo de roles, consulte Administración de organizaciones con permiso de vista |
Recipient Management |
Estos son los roles asignados a este grupo:
|
Los usuarios que administran destinatarios, así como buzones, contactos y grupos de distribución en la organización de Exchange 2010, deben ser miembros de este grupo de roles. Esos usuarios pueden crear destinatarios, modificar o borrar los destinatarios existentes o mover buzones. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de destinatarios. |
Administración de servidor |
Estos son algunos de los roles asignados a este grupo:
|
Los usuarios que administran la configuración del servidor de Exchange, como conectores de recepción, certificados, bases de datos y directorios virtuales, deben ser miembros de este grupo de roles. Estos usuarios pueden modificar la configuración del servidor de Exchange, crear bases de datos y reiniciar y manipular colas de transporte. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de servidor. |
Discovery Management |
Estos son los roles asignados a este grupo:
|
Los usuarios que realizan búsquedas en buzones para permitir procedimientos legales o para configurar retenciones legales deben ser miembros de este grupo de roles. Este es un ejemplo de grupo de roles que puede incluir usuarios que no sean administradores de Exchange, como el personal del departamento legal. El personal del departamento legal puede llevar a cabo sus tareas sin la intervención de los administradores de Exchange. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de la detección. |
Esta tabla muestra que Exchange 2010 proporciona un nivel granular de control sobre los permisos concedidos a los administradores. Puede elegir entre 11 grupos de roles en Exchange 2010. Si desea una lista completa de los grupos de roles y los permisos que proporcionan, consulte Grupos de funciones integradas.
Dado que Exchange 2010 proporciona muchos grupos de roles y debido a que es posible personalizarlo más creando grupos que tengan combinaciones de roles diferentes, no es necesario manipular listas de control de acceso (ACL) en los objetos de Active Directory ni surte ningún efecto. Las ACL ya no se utilizan para aplicar permisos a los administradores individuales o grupos de Exchange 2010. Todas las tareas, como un administrador que crea un buzón o un usuario que tiene acceso a un buzón, se administran mediante RBAC. RBAC autoriza la tarea y, a continuación, Exchange realiza la tarea en nombre del usuario, si está permitida. Exchange realiza la tarea del grupo de seguridad universal (USG) del subsistema de confianza de Exchange. Con algunas excepciones, todas las ACL de objetos de Active Directory a las que Exchange 2010 tiene que obtener acceso se conceden al USG del subsistema de confianza de Exchange. Se trata de un cambio fundamental respecto a cómo se controlan los permisos en Exchange 2007.
Los permisos concedidos a un usuario en Active Directory son independientes de los que concede el RBAC cuando el usuario utiliza las herramientas de administración de Exchange 2010.
Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.
Permisos de Exchange 2007
El modelo administrativo de Exchange 2007 aprovecha los bosques de Active Directory para definir límites de seguridad. No existe aislamiento de los permisos de seguridad dentro un bosque específico. Los propietarios del bosque y los administradores de la empresa siempre pueden tener acceso a todos los recursos de cualquier dominio. En Exchange 2007, es posible que deba otorgar derechos de administrador de empresa y de administrador de dominio de nivel superior, únicamente de manera temporaria.
Exchange 2007 proporciona los siguientes roles de administrador predefinidos:
Rol de administrador de la organización de Exchange Este rol otorga permisos para controlar todos los aspectos de la organización de Exchange 2007. Además, un administrador con este rol puede otorgar permisos a otros administradores de Exchange. Este rol se otorga a la cuenta que se usa para instalar Exchange 2007.
Rol Administrador de Exchange con permiso de vista Este rol concede permiso a un administrador de la configuración de Exchange. No obstante, un administrador con este rol no puede modificar objetos de la organización de Exchange 2007.
Rol de administrador de destinatarios de Exchange Este rol otorga permisos para administrar destinatarios de correo electrónico. Un administrador con este rol puede modificar elementos relacionados con Exchange para usuarios, grupos, contactos y grupos de distribución.
Rol de administrador de servidor de Exchange Este rol otorga permisos para administrar un servidor específico. No obstante, este rol no otorga permisos para realizar acciones que tengan un impacto global sobre la organización de Exchange 2007.
Rol Administrador de carpetas públicas de Exchange Este rol se agregó en el Service Pack 1 de Exchange 2007**.** Este rol otorga permisos para administrar carpetas públicas en la organización de Exchange 2007.
Este modelo de permisos emplea grupos de seguridad universal para todos los roles, salvo para el rol de administrador de servidor de Exchange. Cuando se ejecuta el comando Setup /PrepareAD de Exchange 2007, el programa de instalación crea grupos de seguridad universal en el dominio raíz y le da un ámbito de bosque a los grupos de seguridad universal. A los USG se les asigna ACL para que administren objetos de Exchange en todo Active Directory.
En Exchange 2007, puede separar a los administradores asignándoles diversos roles. Los permisos se asignan directamente al usuario o al USG al que pertenece. Las acciones realizadas por el usuario se llevan a cabo en el contexto de su cuenta de Active Directory. En la siguiente tabla, se enumeran los roles de administrador de Exchange 2007, junto con sus permisos de Exchange relacionados.
Roles de administrador de Exchange 2007
| Rol de administrador | Miembros | Miembro de | Permisos de Exchange |
|---|---|---|---|
Administrador de organización de Exchange |
La cuenta de administrador o la cuenta que se ha utilizado para instalar el primer servidor de Exchange 2007. |
Administrador de destinatarios de Exchange Grupo local de administradores de <nombre de servidor> |
Control completo del contenedor de Microsoft Exchange en Active Directory |
Administrador con permiso de vista de Exchange |
Administradores de destinatarios de Exchange Administradores de servidores de Exchange (<nombre de servidor>) |
Administradores de destinatarios de Exchange Administradores de servidores de Exchange |
Permiso de lectura en el contenedor de Microsoft Exchange en Active Directory. Permiso de lectura en todos los dominios de Windows que tienen destinatarios de Exchange |
Administrador de destinatarios de Exchange |
Administradores de organización de Exchange |
Administradores de Exchange con permiso de vista |
Control completo de las propiedades de Exchange en los objetos de usuario de Active Directory |
Administrador de Exchange Server |
Administradores de organización de Exchange |
Administradores de Exchange con permiso de vista Grupo local de administradores de <nombre de servidor> |
Control completo de Exchange <nombre de servidor> |
Exchange Servidor |
Cada cuenta de equipo de Exchange 2007 |
Administradores de Exchange con permiso de vista |
Especial |
Administrador de carpeta pública de Exchange |
Administradores de organización de Exchange |
Administradores de Exchange con permiso de vista |
Control completo para administrar todas las carpetas públicas (se otorgó el derecho extendido Crear carpeta pública de nivel superior) |
Si necesita realizar más asignaciones de permisos granulares, puede modificar las ACL de objetos individuales de Exchange 2007, como listas de direcciones o bases de datos. Debe añadir el usuario o el grupo de seguridad al que pertenece el usuario, directamente a la ACL. A continuación, las acciones se realizan en el contexto del usuario en concreto.
Para obtener más información acerca de cómo administrar permisos en Exchange 2007, consulte Configurar permisos en Exchange Server 2007.
Permisos de coexistencia de Exchange 2010 y Exchange 2007
Dado que el modelo de permisos de Exchange 2010 difiere del de Exchange 2007, las asignaciones de permisos de Exchange 2010 son independientes de las asignaciones de permisos de Exchange 2007. Esto es cierto incluso si están instaladas las dos versiones de Exchange en el mismo bosque. Sin una configuración adicional, los administradores de Exchange 2010 no tienen los permisos necesarios para administrar los servidores basados en Exchange 2007 y los administradores de Exchange 2007 no tienen los permisos necesarios para administrar los servidores basados en Exchange 2010. Debe considerar las siguientes preguntas:
¿Desea conceder a los administradores de Exchange 2010 acceso para administrar servidores de Exchange 2007?
¿Desea conceder a los administradores de Exchange 2007 acceso para administrar servidores de Exchange 2010?
¿Desea personalizar los permisos de Exchange 2010 para que coincidan con todas las personalizaciones realizadas en las ACL de Exchange 2007?
Conceder permisos de Exchange 2010 a los administradores de Exchange 2007
Si desea que los administradores de Exchange 2007 administren los servidores de Exchange 2010, debe añadir administradores de Exchange 2007 a uno o más grupos de roles de Exchange 2010. Puede agregar usuarios o USG a grupos de roles. Los permisos concedidos a los grupos de roles se aplican a los usuarios o a los USG que agregue como miembros.
Importante
Si utiliza grupos de seguridad de Active Directory locales o globales, debe convertirlos en USG para agregarlos como miembros de un grupo de roles de Exchange 2010. Exchange 2010 solo admite USG.
En la siguiente tabla se describen las correspondencias entre los roles de administradores de Exchange 2007 y los grupos de roles de Exchange 2010.
Roles de administradores de Exchange 2007 y grupos de roles de Exchange 2010
| Rol de administrador de Exchange 2007 | Grupo de roles de Exchange 2010 |
|---|---|
Administrador de organización de Exchange |
Administración de la organización |
Administrador de destinatarios de Exchange |
Recipient Management |
Administrador de Exchange Server |
Administración de servidor |
Administrador con permiso de vista de Exchange |
Ver solamente la administración de la organización |
Exchange Server |
No hay ningún grupo de roles equivalente en Exchange 2010. (Para obtener más información acerca de cómo crear grupos de roles personalizados, consulte Crear un grupo de funciones.) |
Administrador de carpeta pública de Exchange |
Administración de carpetas públicas |
Si todos los administradores de Exchange 2007 son miembros de uno de los tres roles administrativos de Exchange 2007, podrá agregar a los miembros de cada uno de los grupos administrativos al grupo de roles de Exchange 2010 equivalente. Por ejemplo, si desea dar a todos los administradores de la organización de Exchange 2007 acceso total a los objetos de Exchange 2010, agregue el grupo de seguridad universal Administradores de la organización de Exchange al grupo de roles Administración de la organización.
Para obtener más información acerca de cómo agregar usuarios y grupos de seguridad universal a grupos de roles, consulte Agregar miembros a un grupo de funciones.
Si modifica las ACL de los objetos de Exchange 2007 para conceder permisos más granulares a los administradores de Exchange 2007 y desea asignar permisos similares a los servidores de Exchange 2010 para esos administradores, siga estos pasos:
Revise las personalizaciones de ACL que se han realizado a los objetos de Exchange 2007 y ubique los administradores a los que se les concedieron permisos para cada objeto.
Asigne una categoría a cada objeto de Exchange 2007. Por ejemplo, determine si el objeto es una base de datos, un servidor o un objeto de destinatario.
Asigne los objetos al grupo de roles de Exchange 2010 correspondiente. Para obtener una lista de grupos de roles integrados, consulte Grupos de funciones integradas.
Agregue los USG o los usuarios de cada tipo de objeto a los grupos de roles de Exchange 2010 correspondientes. Para obtener más información acerca de cómo agregar usuarios y grupos de seguridad universal a grupos de roles, consulte Agregar miembros a un grupo de funciones.
Después de completar estos pasos, los administradores de Exchange 2007 serán miembros del grupo de roles específico que está asignado a los objetos de Exchange 2010 correspondientes. Ahora, los administradores de Exchange 2007 podrán utilizar las herramientas de Exchange 2010 para administrar los servidores y destinatarios de Exchange 2010.
Importante
En general, los servidores y destinatarios de Exchange 2007 deben administrarse con herramientas de Exchange 2007 y los de Exchange 2010, con las herramientas de Exchange 2010.
Si los grupos de roles integrados no proporcionan el conjunto de permisos que desea conceder a determinados administradores, puede crear grupos de roles personalizados. Cuando crea un grupo de roles personalizado puede seleccionar qué roles agregarle. Puede definir las características específicas que desea que administren los miembros del grupo. Por ejemplo, si quiere que los administradores administren sólo grupos de distribución, puede crear un grupo de roles personalizado y elegir solo el rol Grupos de distribución. Después de hacerlo, los miembros de dicho grupo de roles personalizado podrán administrar solamente los grupos de distribución. Para obtener más información acerca de cómo crear grupos de roles personalizados, consulte Crear un grupo de funciones.
Si asigna permisos selectivos a determinados objetos de Exchange 2007 (como por ejemplo, permitir que los administradores administren sólo bases de datos específicas) y desea aplicar la misma configuración a los servidores de Exchange 2010, consulte "Volver a crear la personalización de ACL de Exchange 2007 mediante los ámbitos de administración de Exchange 2010", más adelante en este tema.
Conceder permisos de Exchange 2007 a los administradores de Exchange 2010
Si desea que administradores de Exchange 2010 administren servidores de Exchange 2007, agregue los administradores de Exchange 2010 a los grupos de seguridad universal o al grupo de seguridad que corresponda para el rol de administrador de Exchange 2007 que corresponda. De manera alternativa, si personalizó la configuración de ACL, agregue los administradores a las ACL correspondientes. Los grupos de roles son los grupos de seguridad universal, por lo que los grupos de roles pueden agregarse directamente a los USG del rol de administrador de Exchange 2007.
Una vez finalizado, los administradores de Exchange 2010 serán miembros del rol o los roles de administrador de Exchange 2007 correspondiente(s). Ahora, los administradores de Exchange 2010 podrán utilizar las herramientas de Exchange 2007 para administrar los servidores y destinatarios de Exchange 2007.
Volver a crear la personalización de ACL de Exchange 2007 mediante los ámbitos de administración de Exchange 2010
En Exchange 2007, cuando desea limitar quién puede administrar un almacén de buzones específico, administrar usuarios específicos o controlar en qué almacén se crean los buzones, tendrá que modificar las ACL de los objetos que desea restringir. Exchange 2010 proporciona las mismas capacidades, pero sin tener que modificar las ACL. Para eso utiliza los ámbitos de administración, que son un componente de RBAC.
Los ámbitos de administración permiten usar ámbitos integrados y personalizados para definir los objetos que pueden administrar los administradores. Aplicando ámbitos de administración, es posible definir qué destinatarios se administran, en qué bases de datos pueden crearse buzones y qué destinatarios o servidores debe administrar exclusivamente un pequeño grupo de administradores.
Puede crear los siguientes tipos de ámbitos de administración:
Relativos predefinidos Exchange 2010 incluye ámbitos relativos predefinidos. Permiten controlar lo que un usuario ve y modifica. Por ejemplo, los ámbitos relativos predefinidos pueden controlar si los usuarios ven solo su propia información o información sobre toda la organización.
Destinatario Los ámbitos de destinatarios controlan los destinatarios que un administrador puede crear, modificar o eliminar. Estas selecciones pueden basarse en una unidad organizativa (OU), en un filtro de destinatarios o en ambos. Los filtros de destinatarios especifican los criterios que un destinatario debe cumplir para estar incluido en el ámbito. Por ejemplo, podría crear un ámbito de filtro de destinatarios que incluye a todos los usuarios de una ubicación determinada o de un departamento específico. También podría combinar filtros de OU y destinatarios para que devuelva solo los usuarios de una OU específica que trabajan para un jefe concreto.
Servidor Los ámbitos del servidor controlan qué servidores puede administrar un administrador. Puede especificar listas de servidores o filtros de servidores. En el caso de las listas, se define una lista estática de servidores que pueden administrarse. Los filtros de servidor funcionan igual que los de destinatario: se especifican criterios que deben cumplirse. Por ejemplo, podría crear un ámbito de servidor que coincida con todos los servidores de un sitio de Active Directory particular.
Base de datos Los ámbitos de base de datos controlan qué bases de datos puede administrar un administrador. También controlan en qué bases de datos es posible crear buzones o a cuáles bases de datos pueden moverse los buzones. Al igual que los ámbitos del servidor, se pueden definir como listas o como filtros. Por ejemplo, podría crear una lista o un filtro que permita a los administradores crear buzones en bases de datos de buzones administradas por una subsidiaria específica o mover buzones a ella.
Exclusivos Los ámbitos de destinatarios, servidor o base de datos también pueden crearse como ámbitos exclusivos. Los ámbitos exclusivos funcionan de la misma manera que las ACE de denegación en las ACL. Si algo coincide con un ámbito exclusivo, sólo los administradores asignados al ámbito exclusivo pueden administrar el objeto. Esto es así incluso si el mismo objeto coincide con otro ámbito que no sea exclusivo. Esto es especialmente útil cuando se desea que solo un pequeño grupo de personas de confianza puedan administrar el buzón de un ejecutivo. Aunque haya otro ámbito normal de destinatarios más amplio que incluya el buzón del ejecutivo, los administradores asignados al ámbito más amplio no podrán administrar el buzón de ese ejecutivo a no ser que tengan asignado también el ámbito exclusivo.
Los ámbitos de administración se usan con roles de administración, asignaciones de roles de administración y grupos de roles de administración para controlar qué objetos puede administrar cada persona y de qué manera puede hacerlo. Para obtener más información al respecto, consulte los temas siguientes:
Para crear el mismo modelo de permisos en Exchange 2010 utilizando ámbitos de administración que ha definido utilizando ACL personalizadas, debe realizar un inventario de las ACL que haya personalizado y, a continuación, crear ámbitos de administración coincidentes. Puede utilizar las propiedades que se filtran y estén disponibles en objetos de destinatario, servidor y base de datos para crear ámbitos de administración que incluyan los objetos a los que desee que cada ámbito de administración controle el acceso. Para obtener más información acerca de las propiedades que desea usar con los filtros de ámbitos de administración, consulte Descripción de filtros de ámbito de funciones de administración.
Para obtener más información acerca de cómo crear ámbitos de administración, consulte Crear un ámbito regular o exclusivo.
© 2010 Microsoft Corporation. Reservados todos los derechos.