Permisos
Se aplica a: Exchange Server 2013
Microsoft Exchange Server 2013 incluye un gran conjunto de permisos predefinidos, basados en el modelo de permisos de Access Control basada en roles (RBAC), que puede usar de inmediato para conceder permisos fácilmente a los administradores y usuarios. Puede usar las características de permisos de Exchange 2013 para que pueda poner en funcionamiento la nueva organización rápidamente.
Nota:
Varios conceptos y características de RBAC no se incluyen en este tema porque son características avanzadas. Si las funciones tratadas en este tema no se corresponden con sus necesidades y quiere personalizar más el modelo de permisos, vea Understanding Role Based Access Control.
Permisos basados en roles
En Exchange 2013, los permisos que concede a los administradores y usuarios se basan en roles de administración. Una función define el conjunto de tareas que un administrador o usuario puede realizar. Por ejemplo, un rol de administración denominado Mail Recipients define las tareas que alguien puede realizar en un conjunto de buzones, contactos y grupos de distribución. Cuando una función se asigna a un administrador o usuario, a dicha persona se conceden los permisos que proporciona la función en cuestión.
Existen dos tipos de funciones: las funciones administrativas y las funciones de usuario final:
- Roles administrativos: estos roles contienen permisos que se pueden asignar a administradores o usuarios especializados mediante grupos de roles que administran una parte de la organización de Exchange, como destinatarios, servidores o bases de datos.
- Roles de usuario final: estos roles, asignados mediante directivas de asignación de roles, permiten a los usuarios administrar aspectos de sus propios grupos de distribución y buzones de correo que poseen. Los roles de usuario final comienzan con el prefijo
My.
Los roles conceden a los administradores y usuarios permisos para realizar tareas poniendo cmdlets a disposición de aquellos usuarios que tienen asignados los roles en cuestión. Dado que el Centro de administración de Exchange (EAC) y el Shell de administración de Exchange usan cmdlets para administrar Exchange, la concesión de acceso a un cmdlet concede al administrador o al usuario permiso para realizar la tarea en cada una de las interfaces de administración de Exchange.
Exchange 2013 incluye aproximadamente 86 roles que puede usar para conceder permisos. Para obtener una lista de roles incluidos con Exchange 2013, consulte Roles de administración integrados.
Grupos de roles y directivas de asignación de roles
Los roles conceden permisos para realizar tareas en Exchange 2013, pero necesita una manera sencilla de asignarlas a administradores y usuarios. Exchange 2013 le proporciona lo siguiente para ayudarle a hacerlo:
- Grupos de roles: los grupos de roles permiten conceder permisos a administradores y usuarios especializados.
- Directivas de asignación de roles: las directivas de asignación de roles permiten conceder permisos a los usuarios finales para cambiar la configuración de sus propios grupos de distribución o buzón de correo que poseen.
Para obtener más información sobre los grupos de roles y las directivas de asignación de roles, consulte las secciones siguientes.
Grupos de funciones
A todos los administradores que administran Exchange 2013 se les debe asignar al menos uno o varios roles. Los administradores pueden tener más de un rol porque pueden realizar funciones de trabajo que abarcan varias áreas de Exchange. Por ejemplo, un administrador podría administrar los destinatarios y los servidores de Exchange. En este caso, a ese administrador se le podrían asignar los Mail Recipients roles y Exchange Servers .
Para facilitar la asignación de varios roles a un administrador, Exchange 2013 incluye grupos de roles. Los grupos de roles son grupos de seguridad universal (USG) especiales utilizados por Exchange 2013 que pueden contener usuarios de Active Directory, GRUPOS de seguridad universal (USG) y otros grupos de roles. Cuando se asigna un rol a un grupo de roles, los permisos concedidos por el rol se dan a todos los miembros del grupo de roles. De esta forma, puede asignar varios roles a varios miembros del grupo de roles a la vez. Los grupos de roles suelen abarcar áreas de administración más amplias, como la administración de destinatarios. Solo se usan con roles administrativos, es decir, no pueden usarse con roles de usuario final.
Nota:
Es posible asignar un rol directamente a un usuario o USG sin usar un grupo de roles. Sin embargo, este método de asignación de roles es un procedimiento avanzado y no se trata en este tema. Se recomienda usar grupos de roles para administrar los permisos.
En la figura siguiente se ve la relación entre usuarios, grupos de roles y roles.
.gif "Rol, grupo de roles y relación de miembro")
Exchange 2013 incluye varios grupos de roles integrados, cada uno de los cuales proporciona permisos para administrar áreas específicas en Exchange 2013. Algunos grupos de roles pueden solaparse con otros. En la tabla siguiente se enumera cada uno de los grupos de roles con una descripción de su uso. Si desea ver los roles asignados a cada grupo de roles, haga clic en el nombre del grupo de roles en la columna "Grupo de roles" y, a continuación, abra la sección "Roles de administración asignados a este grupo de roles".
| Grupo de funciones | Descripción |
|---|---|
| Administración de organizaciones | Los administradores que son miembros del grupo de roles Administración de la organización tienen acceso administrativo a toda la organización de Exchange 2013 y pueden realizar casi cualquier tarea en cualquier objeto de Exchange 2013, con algunas excepciones, como el Discovery Management rol. Importante: Dado que el grupo de roles Administración de la organización es un rol eficaz, solo los usuarios o USG que realizan tareas administrativas de nivel organizativo que pueden afectar potencialmente a toda la organización de Exchange deben ser miembros de este grupo de roles. |
| Administración de organización de solo lectura | Los administradores que son miembros del grupo de funciones Ver solamente la administración de la organización pueden ver las propiedades de todos los objetos de la organización de Exchange. |
| Administración de destinatarios | Los administradores miembros del grupo de funciones Recipient Management tienen acceso administrativo para crear o modificar destinatarios de Exchange 2013 dentro de la organización de Exchange 2013. |
| Administración de MU | Los administradores que son miembros del grupo de roles UM Management pueden administrar características en la organización Exchange, como la configuración del servicio de mensajería unificada, las propiedades de Mensajería unificada en los buzones, los mensajes de Mensajería unificada y la configuración del operador automático para Mensajería unificada. |
| Servicio de asistencia | De forma predeterminada, el grupo de roles del Departamento de soporte técnico permite a los miembros ver y modificar las opciones de Microsoft Office Outlook Web App de cualquier usuario de la organización. Entre otras cosas, se puede modificar el nombre para mostrar, la dirección o el teléfono del usuario. No incluyen opciones que no están disponibles en las opciones de Outlook Web App, como la modificación del tamaño de un buzón o la configuración de la base de datos de buzones de correo en la que se encuentra un buzón. |
| Administración de higiene | Los administradores que son miembros del grupo de roles De administración de higiene pueden configurar las características antivirus y antispam de Exchange 2013. Los programas de terceros que se integran con Exchange 2013 pueden agregar cuentas de servicio a este grupo de roles para que dichos programas puedan tener acceso a los cmdlets que se requieren para recuperar y establecer la configuración de Exchange. |
| Administración de registros | Los usuarios que son miembros del grupo de funciones Records Management pueden configurar las características de cumplimiento, como las etiquetas de directiva de retención, las clasificaciones de mensajes y las reglas de transporte. |
| Administración de la detección | Los administradores o usuarios que son miembros del grupo de roles Administración de detección pueden realizar búsquedas de buzones en la organización de Exchange para obtener datos que cumplan criterios específicos y también puedan configurar retenciones legales en buzones. |
| Administración de carpetas públicas | Los administradores que son miembros del grupo de roles Administración de carpetas públicas pueden administrar carpetas públicas en los servidores que ejecuten Exchange 2013. |
| Administración de servidores | Los administradores que son miembros del grupo de roles Administración de servidor pueden establecer la configuración específica de servidor del transporte, la mensajería unificada, el acceso de clientes y las características de buzón, como copias de las bases de datos, certificados, colas de transporte y conectores de envío, directorios virtuales y protocolos de acceso de cliente. |
| Configuración delegada | Los administradores que pertenecen al grupo de funciones Configuración delegada pueden implementar servidores que ejecutan Exchange 2013 que ya han sido aprovisionados por un miembro del grupo de funciones Administración de la organización. |
| Administración de cumplimiento | Los usuarios que son miembros del grupo de roles Administración de cumplimiento pueden configurar y administrar la configuración de cumplimiento de Exchange de acuerdo con la directiva de su organización. |
Si trabaja en una organización pequeña que tiene pocos administradores, es posible que solo necesite agregarlos al grupo de roles Administración de la organización y que nunca tenga que usar el resto de los grupos de roles. Si trabaja en una organización mayor, es posible que tenga administradores que realicen tareas específicas de administración de Exchange, como la administración de destinatarios o servidores. En esos casos, puede agregar un administrador al grupo de roles Administración de destinatarios y otro administrador al grupo de roles Administración del servidor. Estos administradores pueden administrar sus áreas específicas de Exchange 2013, pero no tendrán permisos para administrar las áreas de las que no son responsables.
Si los grupos de roles integrados de Exchange 2013 no coinciden con la función de trabajo de los administradores, puede crear grupos de roles y agregarles roles. Para obtener más información, vea Trabajar con grupos de roles más adelante en este tema.
Directivas de asignación de funciones
Exchange 2013 proporciona directivas de asignación de roles para que pueda controlar qué configuración pueden configurar los usuarios en sus propios buzones y en los grupos de distribución que poseen. Estas opciones incluyen el nombre para mostrar, la información de contacto, la configuración del correo de voz y la pertenencia a grupos de distribución.
La organización de Exchange 2013 puede tener varias directivas de asignación de roles que proporcionan distintos niveles de permisos para los distintos tipos de usuarios de las organizaciones. Algunos usuarios pueden tener permiso para cambiar su dirección o crear grupos de distribución, mientras que otros no; esto depende de la directiva de asignación de roles que esté asociada a sus buzones. Las directivas de asignación de roles se agregan directamente a los buzones y cada uno de estos solamente puede asociarse con una directiva de asignación de roles a la vez.
Una de las directivas de asignación de roles de la organización se marca como predeterminada. La directiva de asignación de roles predeterminada se asocia con los nuevos buzones a los que no se asigna de forma explícita una directiva de asignación de roles en el momento de su creación. La directiva de asignación de roles predeterminada tiene que contener los permisos que deben aplicarse a la mayoría de los buzones.
Los permisos se agregan a las directivas de asignación de roles usando roles de usuario final. Los roles de usuario final comienzan con My y conceden permisos para que los usuarios administren solo sus buzones o grupos de distribución que poseen. No pueden usarse para administrar ningún otro buzón de correo. A las directivas de asignación de roles solo pueden asignarse roles de usuario final.
Cuando se asigna un rol de usuario final a una directiva de asignación de roles, todos los buzones asociados con la directiva de asignación de roles reciben los permisos concedidos por el rol. Esto permite agregar o quitar permisos a conjuntos de usuarios sin tener que configurar buzones por separado. En la figura siguiente vemos que:
Los roles de usuario final se asignan a las directivas de asignación de roles. Las directivas de asignación de roles pueden compartir los mismos roles de usuario final.
Las directivas de asignación de roles se asocian con buzones. Cada buzón puede asociarse con una única directiva de asignación de roles.
Después de asociar un buzón con una directiva de asignación de roles, los roles de usuario final se aplican al buzón en cuestión. Los permisos concedidos por los roles se conceden al usuario del buzón.
.gif "Rol, directiva de asignación de roles, relación de buzón")
La directiva de asignación de roles predeterminada se incluye con Exchange 2013. Como su nombre indica, es la directiva que se usa de forma predeterminada. Si desea cambiar los permisos proporcionados por esta directiva de asignación de roles o si desea crear directivas de asignación de roles, consulte Trabajar con directivas de asignación de roles más adelante en este tema.
Trabajar con grupos de roles
Para administrar los permisos mediante grupos de roles en Exchange 2013, se recomienda usar el Centro de administración de Exchange. Al usar el EAC para administrar grupos de roles, es posible agregar y quitar roles y miembros, crear grupos de roles y copiar los grupos de roles con unos clics del mouse. El EAC tiene cuadros de diálogo sencillos, como el cuadro nuevo grupo de roles, que se muestra en la figura siguiente, para realizar estas tareas.
.jpg "Cuadro de diálogo Nuevo grupo de roles en el EAC")
Exchange 2013 incluye varios grupos de roles que separan permisos en áreas administrativas específicas. Si estos grupos de roles existentes proporcionan los permisos que los administradores necesitan para administrar la organización de Exchange 2013, solo necesita agregar los administradores como miembros de los grupos de roles adecuados. Después de agregar a los administradores a un grupo de roles, podrán administrar las características que estén relacionadas con el grupo de roles. Para agregar o quitar miembros de un grupo de roles, abra el grupo de roles en el EAC y luego agregue o quite los miembros de la lista de pertenencia. Para obtener una lista de grupos de roles integrados, vea Grupos de funciones integradas.
Importante
Si un administrador es miembro de más de un grupo de roles, Exchange 2013 concede al administrador todos los permisos proporcionados por los grupos de roles de los que es miembro.
Si ninguno de los grupos de roles incluidos en Exchange 2013 tiene los permisos que necesita, puede usar el EAC para crear un grupo de roles y agregar los roles que tienen los permisos que necesita. Para el nuevo grupo de roles, deberá:
- Asignar un nombre al grupo de roles.
- Seleccionar los roles que quiere agregar al grupo de roles.
- Agregar miembros al grupo de roles.
- Guardar el grupo de roles.
Después de crear el grupo de roles, podrá administrarlo como cualquier otro grupo.
Si existe algún grupo de roles que tiene algunos de los permisos que necesita, pero no todos, puede copiarlo y realizar cambios para crear un grupo de roles. Puede copiar un grupo de roles existente y realizar cambios en él, sin que ello afecte al grupo de roles original. Al copiar el grupo de roles, puede agregar un nombre y una descripción nuevos, agregar y quitar roles del nuevo grupo de roles, y agregar miembros nuevos. Para crear o copiar un grupo de roles, se usa el mismo cuadro de diálogo que aparece en la figura anterior.
Los grupos de roles existentes también pueden modificarse. Puede agregar y quitar roles de los grupos de roles existentes, así como agregar y quitar miembros al mismo tiempo, desde un cuadro de diálogo del EAC parecido al cuadro de diálogo que se ve en la figura anterior. Al agregar y quitar roles de los grupos de roles, se activan y desactivan características administrativas para los miembros de ese grupo de roles. Para obtener una lista de roles que puede agregar a un grupo de roles, consulte Roles de administración integrados.
Nota:
A pesar de que puede cambiar los roles que se asignan a los grupos de roles integrados, se recomienda copiar los grupos de roles integrados, modificar la copia del grupo de roles y luego agregar los miembros a la copia del grupo de roles.
Trabajar con directivas de asignación de roles
Para administrar los permisos que concede a los usuarios finales para administrar su propio buzón en Exchange 2013, se recomienda usar el EAC. Si usa el EAC para administrar los permisos de usuario final, puede agregar roles, quitarlos y crear directivas de asignación de roles con unos pocos clics. El EAC tiene cuadros de diálogo sencillos, como el cuadro directiva de asignación de roles, que se muestra en la figura siguiente, para hacer estas tareas.
.jpg "Cuadro de diálogo Directiva de asignación de roles en el EAC")
Exchange 2013 incluye una directiva de asignación de roles denominada Directiva de asignación de roles predeterminada. Esta directiva de asignación de roles permite a los usuarios cuyos buzones estén asociados con ella hacer lo siguiente:
- Abandonar o unirse a grupos de distribución que permiten a los miembros administrar su propia pertenencia.
- Ver y modificar configuraciones de buzón básicas en su propio buzón de correo, como reglas de la Bandeja de entrada, comportamiento de la corrección ortográfica, configuración del correo no deseado y dispositivos de Microsoft ActiveSync.
- Modificar la información de contacto, como la dirección de trabajo y los números telefónicos y del localizador.
- Crear, modificar o ver la configuración de los mensajes de texto.
- Ver o modificar la configuración del correo de voz.
- Ver y modificar sus aplicaciones del catálogo de soluciones.
- Crear buzones de equipo y conectarlos a listas de Microsoft SharePoint.
Si quiere agregar o quitar permisos de la Directiva de asignación de roles predeterminada o de cualquier otra directiva de asignación de roles, puede usar el EAC. El cuadro de diálogo que debe usar es parecido al cuadro de diálogo que aparece en la figura anterior. Cuando abra la directiva de asignación de roles en el EAC, active la casilla de los roles que quiera asignarle o desactive la casilla de los roles que quiera quitar. El cambio que haga en la directiva de asignación de roles se aplica a todos los buzones asociados.
Si quiere asignar permisos de usuario final distintos a los diferentes tipos de usuario de la organización, puede crear directivas de asignación de roles. Al crear una directiva de asignación de roles, se ve un cuadro de diálogo parecido al de la figura anterior. Puede especificar un nombre nuevo para la directiva de asignación de roles y luego seleccionar los roles que quiere asignar a la directiva. Después de crear una directiva de asignación de roles, puede asociarla con buzones usando el EAC.
Si desea cambiar la directiva de asignación de roles predeterminada, debe usar el Shell. Al cambiar la directiva de asignación de roles predeterminada, todos los buzones de correo que se creen se asociarán a la nueva directiva de asignación de roles predeterminada, si todavía no se había especificado ninguna de forma explícita. La directiva de asignación de roles asociada con los buzones existentes no cambia al seleccionar una nueva directiva de asignación de roles predeterminada.
Nota:
Si activa la casilla de verificación de un rol con roles secundarios, las casillas de los roles secundarios también se activarán. Si desactiva la casilla de verificación de un rol con roles secundarios, las casillas de verificación de los roles secundarios también se desactivarán.
Para obtener los pasos detallados sobre cómo crear directivas de asignación de roles o realizar cambios en las directivas de asignación de roles existentes, consulte los temas siguientes:
Documentación de permisos
La tabla siguiente contiene vínculos a temas que le ayudarán a obtener información sobre los permisos y administrarlos en Exchange 2013.
| Tema | Descripción |
|---|---|
| Understanding Role Based Access Control | Infórmese sobre los componentes que constituyen el RBAC y cómo crear modelos de permisos avanzados si los grupos de roles y los roles de administración no son suficientes. |
| Descripción de permisos de bosques múltiples | Obtenga información sobre la implementación de permisos de RBAC en organizaciones con bosques de cuentas y recursos. |
| Descripción de los permisos divididos | Obtenga información sobre cómo dividir la administración de Exchange y la entidad de seguridad mediante RBAC y permisos divididos de Active Directory. |
| Descripción de la coexistencia de permisos en Exchange 2007 y Exchange 2010 | Configure los permisos para habilitar la administración de Exchange 2013 en organizaciones existentes de Exchange 2007 y Exchange 2010. |
| Administrar grupos de roles | Configure los permisos para administradores de Exchange y usuarios especializados mediante grupos de roles. |
| Administrar miembros de grupos de roles | Agregue y quite miembros a grupos de roles. Al agregar y quitar miembros hacia y desde grupos de roles, se configura quién puede administrar las características de Exchange. |
| Administrar grupos de funciones vinculadas | Configure los permisos para administradores de Exchange y usuarios especializados en implementaciones de Exchange de varios bosques. |
| Administrar directivas de asignación de funciones | Configure a qué características tienen acceso los usuarios finales en sus buzones mediante directivas de asignación de roles. |
| Cambiar la directiva de asignación en un buzón | Configure qué directiva de asignación de roles se aplica a uno o más buzones. |
| Crear grupos de funciones vinculadas que reflejan grupos de funciones integradas | Vuelva a crear los grupos de roles integrados como grupos de roles vinculados en implementaciones de Exchange de varios bosques. |
| Ver permisos efectivos | Ver quién tiene permisos para administrar las características de Exchange. |
| Permisos de características | Obtenga más información sobre los permisos necesarios para administrar las características y los servicios de Exchange. |
| Permisos avanzados | Use características avanzadas de RBAC para crear modelos de permisos altamente personalizados que se ajusten a las necesidades de cualquier organización. |