Descripción de los permisos divididos
Se aplica a: Exchange Server 2013
Las organizaciones que separan la administración de objetos de Microsoft Exchange Server 2013 y objetos de Active Directory usan lo que se denomina modelo de permisos divididos. Los permisos divididos permiten a las organizaciones asignar permisos específicos y tareas relacionadas a grupos específicos dentro de la organización. Esta separación de tareas ayuda a mantener estándares y flujos de trabajo, y a controlar los cambios en la organización.
El nivel más alto de permisos divididos es la separación entre la administración de Exchange y la administración de Active Directory. Muchas organizaciones tienen dos grupos: administradores que administran la infraestructura de Exchange de la organización, incluidos servidores y destinatarios, y administradores que administran la infraestructura de Active Directory. Se trata de una separación importante para muchas organizaciones, ya que la infraestructura de Active Directory suele abarcar muchas ubicaciones, dominios, servicios, aplicaciones e incluso bosques de Active Directory. Active Directory administradores deben asegurarse de que los cambios realizados en Active Directory no afecten negativamente a ningún otro servicio. Como resultado, normalmente solo un pequeño grupo de administradores puede administrar esa infraestructura.
Al mismo tiempo, la infraestructura de Exchange, incluidos los servidores y los destinatarios, también puede ser compleja y requerir conocimientos especializados. Además, Exchange almacena información extremadamente confidencial sobre el negocio de la organización. Los administradores de Exchange potencialmente pueden tener acceso a esta información. Al limitar la cantidad de administradores de Exchange, la organización limita quién puede realizar cambios a la configuración de Exchange y quién puede tener acceso a la información confidencial.
Los permisos divididos suelen distinguir entre la creación de entidades de seguridad en Active Directory, como usuarios y grupos de seguridad, y la configuración posterior de esos objetos. Esto ayuda a reducir la posibilidad de acceso no autorizado a la red mediante el control de quién puede crear objetos que le concedan acceso. A menudo, solo los administradores de Active Directory pueden crear entidades de seguridad, mientras que otros administradores, como los administradores de Exchange, pueden administrar atributos específicos en objetos de Active Directory existentes.
Para admitir las distintas necesidades para separar la administración de Exchange y Active Directory, Exchange 2013 le permite elegir si desea un modelo de permisos compartidos o un modelo de permisos divididos. Exchange 2013 ofrece dos tipos de modelos de permisos divididos: RBAC y Active Directory. Exchange 2013 tiene como valor predeterminado un modelo de permisos compartidos.
Explicación de la Access Control basada en roles y Active Directory
Para comprender los permisos divididos, debe comprender cómo funciona el modelo de permisos de Access Control basado en roles (RBAC) en Exchange 2013 con Active Directory. El modelo RBAC controla quién puede realizar qué acciones y en qué objetos se pueden realizar esas acciones. Para obtener más información sobre los distintos componentes de RBAC que se describen en este tema, vea Descripción de Access Control basadas en roles.
En Exchange 2013, todas las tareas que se realizan en objetos de Exchange deben realizarse a través del Shell de administración de Exchange o la interfaz del Centro de administración de Exchange (EAC). Ambas herramientas de administración usan RBAC para autorizar todas las tareas que se realizan.
RBAC es un componente que existe en todos los servidores que ejecutan Exchange 2013. RBAC comprueba si el usuario que realiza una acción está autorizado para hacerlo:
Si el usuario no está autorizado para realizar la acción, RBAC no permite que la acción continúe.
Si el usuario está autorizado para realizar la acción, RBAC comprueba si el usuario está autorizado para realizar la acción contra el objeto específico que se solicita:
Si el usuario está autorizado, RBAC permite que la acción continúe.
Si el usuario no está autorizado, RBAC no permite que continúe la acción.
Si RBAC permite que una acción continúe, la acción se realiza en el contexto del Subsistema de confianza de Exchange y no en el contexto del usuario. El Subsistema de confianza de Exchange es un grupo de seguridad universal (USG) con privilegios elevados que tiene acceso de lectura y escritura a todos los objetos relacionados con Exchange de la organización de Exchange. También es miembro del grupo de seguridad local Administradores y del Grupo de seguridad de permisos de Windows de Exchange, que permite a Exchange crear y administrar objetos de Active Directory.
Advertencia
No realice ningún cambio manual en la pertenencia al grupo de seguridad del Subsistema de confianza de Exchange. Además, no lo agregue ni lo quite de las listas de control de acceso a objetos (ACL). Al realizar cambios en el USG del Subsistema de confianza de Exchange usted mismo, podría causar daños irreparables a su organización de Exchange.
Es importante comprender que no importa qué permisos de Active Directory tenga un usuario al usar las herramientas de administración de Exchange. Si el usuario está autorizado, a través de RBAC, a realizar una acción en las herramientas de administración de Exchange, el usuario puede realizar la acción independientemente de sus permisos de Active Directory. Por el contrario, si un usuario es un Administración enterprise en Active Directory pero no está autorizado para realizar una acción, como crear un buzón, en las herramientas de administración de Exchange, la acción no se realizará correctamente porque el usuario no tiene los permisos necesarios según RBAC.
Importante
Aunque el modelo de permisos de RBAC no se aplica a la herramienta de administración de Usuarios y equipos de Active Directory, Usuarios y equipos de Active Directory no puede administrar la configuración de Exchange. Por lo tanto, aunque un usuario puede tener acceso para modificar algunos atributos en objetos de Active Directory, como el nombre para mostrar de un usuario, el usuario debe usar las herramientas de administración de Exchange y, por tanto, debe estar autorizado por RBAC para administrar los atributos de Exchange.
Permisos compartidos
El modelo de permisos compartidos es el modelo predeterminado para Exchange 2013. No es necesario cambiar nada si este es el modelo de permisos que desea usar. Este modelo no separa la administración de objetos de Exchange y Active Directory de dentro de las herramientas de administración de Exchange. Permite a los administradores usar las herramientas de administración de Exchange para crear entidades de seguridad en Active Directory.
En la tabla siguiente se muestran los roles que permiten crear entidades de seguridad en Exchange y los grupos de roles de administración a los que están asignadas de forma predeterminada.
| Rol de administración | Grupo de funciones |
|---|---|
| Rol Creación de destinatarios de correo | Administración de organizaciones |
| Rol Pertenencia y Creación de grupos de seguridad | Administración de organizaciones |
Solo los grupos de roles, los usuarios o los USG a los que se les asigna el rol de creación de destinatarios de correo pueden crear entidades de seguridad como los usuarios de Active Directory. De forma predeterminada, a los grupos de roles Administración de la organización y Administración de destinatarios se les asigna este rol. Por lo tanto, los miembros de estos grupos de roles pueden crear entidades de seguridad.
Solo los grupos de roles, usuarios o USG a los que se les asigna el rol Creación y pertenencia de grupos de seguridad pueden crear grupos de seguridad o administrar sus pertenencias. De forma predeterminada, solo se asigna este rol al grupo de roles Administración de la organización. Por lo tanto, solo los miembros del grupo de roles Administración de la organización pueden crear o administrar la pertenencia a grupos de seguridad.
Puede asignar el rol De creación de destinatarios de correo y el rol De pertenencia y creación de grupos de seguridad a otros grupos de roles, usuarios o USG si desea que otros usuarios puedan crear entidades de seguridad.
Para habilitar la administración de entidades de seguridad existentes en Exchange 2013, el rol Destinatarios de correo se asigna a los grupos de roles Administración de la organización y Administración de destinatarios de forma predeterminada. Solo los grupos de roles, usuarios o USG a los que se les asigna el rol Destinatarios de correo pueden administrar las entidades de seguridad existentes. Si desea que otros grupos de roles, usuarios o USG puedan administrar entidades de seguridad existentes, debe asignarles el rol Destinatarios de correo.
Para obtener más información sobre cómo agregar roles a grupos de roles, usuarios o USG, consulte los temas siguientes:
Si ha cambiado a un modelo de permisos divididos y quiere volver a cambiar a un modelo de permisos compartidos, consulte Configuración de Exchange 2013 para permisos compartidos.
Permisos divididos
Si su organización separa la administración de Exchange y la administración de Active Directory, debe configurar Exchange para admitir el modelo de permisos divididos. Cuando se haya configurado correctamente, solo los administradores que quiera crear entidades de seguridad, como los administradores de Active Directory, podrán hacerlo y solo los administradores de Exchange podrán modificar los atributos de Exchange en las entidades de seguridad existentes. Esta división de permisos también se encuentra aproximadamente en las líneas de las particiones de dominio y configuración de Active Directory. Las particiones también se denominan contextos de nomenclatura. La partición de dominio almacena los usuarios, grupos y otros objetos de un dominio específico. La partición de configuración almacena la información de configuración de todo el bosque para los servicios que usaron Active Directory, como Exchange. Los datos almacenados en la partición de dominio normalmente los administran los administradores de Active Directory, aunque los objetos pueden contener atributos específicos de Exchange que pueden administrar los administradores de Exchange. Los administradores administran los datos almacenados en la partición de configuración para cada servicio respectivo que almacena los datos en esta partición. Para Exchange, normalmente se trata de administradores de Exchange.
Exchange 2013 admite los dos tipos siguientes de permisos divididos:
Permisos divididos de RBAC: RBAC controla los permisos para crear entidades de seguridad en la partición de dominio de Active Directory. Solo los servicios, servidores de Exchange y aquellos que son miembros de los grupos de funciones pueden crear entidades de seguridad.
Permisos divididos de Active Directory: los permisos para crear entidades de seguridad en la partición de dominio de Active Directory se quitan por completo de cualquier usuario, servicio o servidor de Exchange. En el RBAC, no se brinda ninguna opción para crear entidades de seguridad. La creación de entidades de seguridad en Active Directory se debe realizar mediante el uso de las herramientas de administración de Active Directory.
Importante
Aunque los permisos divididos de Active Directory se pueden habilitar o deshabilitar mediante la ejecución del programa de instalación en un equipo con Exchange 2013 instalado, la configuración de permisos divididos de Active Directory se aplica a los servidores de Exchange 2013 y Exchange 2010. Sin embargo, no tiene ningún impacto en Microsoft Exchange Server servidores de 2007.
Si su organización decide usar un modelo de permisos divididos en lugar de permisos compartidos, se recomienda usar el modelo de permisos divididos de RBAC. El modelo de permisos divididos de RBAC proporciona una mayor flexibilidad al tiempo que proporciona la misma separación de administración que los permisos divididos de Active Directory, con la excepción de que los servidores y servicios de Exchange pueden crear entidades de seguridad en el modelo de permisos divididos de RBAC.
Se le pregunta si desea habilitar permisos divididos de Active Directory durante el programa de instalación. Si decide habilitar permisos divididos de Active Directory, solo puede cambiar a permisos compartidos o permisos divididos de RBAC si vuelve a ejecutar el programa de instalación y deshabilita los permisos divididos de Active Directory. Esta opción se aplica a todos los servidores de Exchange 2010 y Exchange 2013 de la organización.
En las secciones siguientes se describen con más detalle los permisos divididos de RBAC y Active Directory.
Permisos divididos de RBAC
El modelo de seguridad RBAC modifica las asignaciones de roles de administración predeterminadas para separar quién puede crear entidades de seguridad en la partición de dominio de Active Directory de las que administran los datos de la organización de Exchange en la partición de configuración de Active Directory. Los administradores que sean miembros de los roles creación de destinatarios de correo, creación de grupos de seguridad y pertenencia pueden crear entidades de seguridad, como usuarios con buzones de correo y grupos de distribución. Estos permisos permanecen separados de los permisos necesarios para crear entidades de seguridad fuera de las herramientas de administración de Exchange. Los administradores de Exchange que no tengan asignados los roles Creación de destinatarios de correo o Creación de grupos de seguridad y Pertenencia pueden modificar los atributos relacionados con Exchange en las entidades de seguridad. Active Directory administradores también tienen la opción de usar las herramientas de administración de Exchange para crear Active Directory entidades de seguridad.
Los servidores de Exchange y el Subsistema de confianza de Exchange también tienen permisos para crear entidades de seguridad en Active Directory en nombre de usuarios y programas de terceros que se integran con RBAC.
Los permisos divididos de RBAC son una buena opción para su organización si se cumplen los siguientes pasos:
La organización no requiere que la creación de entidades de seguridad se realice solo con herramientas de administración de Active Directory y solo con usuarios a los que se les asignen permisos específicos de Active Directory.
Su organización permite que los servicios, como los servidores de Exchange, creen entidades de seguridad.
Quiere simplificar el proceso necesario para crear buzones de correo, usuarios habilitados para correo, grupos de distribución y grupos de roles al permitir su creación desde las herramientas de administración de Exchange.
Quiere administrar la pertenencia de grupos de distribución y grupos de roles dentro de las herramientas de administración de Exchange.
Tiene programas de terceros que requieren que los servidores de Exchange puedan crear entidades de seguridad en su nombre.
Si su organización requiere una separación completa de la administración de Exchange y Active Directory en la que no se puede realizar ninguna administración de Active Directory mediante las herramientas de administración de Exchange o los servicios de Exchange, consulte la sección Permisos divididos de Active Directory más adelante en este tema.
Cambiar de permisos compartidos a permisos divididos de RBAC es un proceso manual en el que se quitan los permisos necesarios para crear entidades de seguridad de los grupos de roles que se les conceden de forma predeterminada.
En la tabla siguiente se muestran los roles que permiten crear entidades de seguridad en Exchange y los grupos de roles de administración a los que están asignadas de forma predeterminada.
| Rol de administración | Grupo de funciones |
|---|---|
| Rol Creación de destinatarios de correo | Administración de organizaciones |
| Rol Pertenencia y Creación de grupos de seguridad | Administración de organizaciones |
De forma predeterminada, los miembros de los grupos de roles Administración de la organización y Administración de destinatarios pueden crear entidades de seguridad. Debe transferir la capacidad de crear entidades de seguridad de los grupos de roles integrados a un nuevo grupo de roles que cree.
Para configurar los permisos de división de RBAC, debe hacer lo siguiente:
Deshabilite Active Directory permisos divididos si está habilitado.
Cree un grupo de roles, que contendrá los administradores de Active Directory que podrán crear entidades de seguridad.
Cree asignaciones de roles regulares y de delegación entre el rol creación de destinatarios de correo y el nuevo grupo de roles.
Cree asignaciones de roles regulares y de delegación entre el rol Pertenencia y creación de grupos de seguridad y el nuevo grupo de roles.
Elimine las asignaciones de roles de administración regulares y de delegación entre el rol Creación de destinatarios de correo y los grupos de roles Administración de organización y Administración de destinatarios.
Elimine las asignaciones de roles regulares y de delegación entre el rol Pertenencia y creación de grupos de seguridad y el grupo de roles de administración de la organización.
Después de hacerlo, solo los miembros del nuevo grupo de roles que cree podrán crear entidades de seguridad, como buzones de correo. El nuevo grupo solo podrá crear los objetos. No podrá configurar los atributos de Exchange en el nuevo objeto. Un administrador de Active Directory, que es miembro del nuevo grupo, deberá crear el objeto y, a continuación, un administrador de Exchange tendrá que configurar los atributos de Exchange en el objeto. Los administradores de Exchange no podrán usar los siguientes cmdlets:
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Sin embargo, los administradores de Exchange podrán crear y administrar objetos específicos de Exchange, como reglas de transporte, grupos de distribución, etc., y administrar atributos relacionados con Exchange en cualquier objeto.
Además, las características asociadas en el EAC y Outlook Web App, como el Asistente para nuevo buzón de correo, tampoco estarán disponibles o generarán un error si intenta usarlas.
Si desea que el nuevo grupo de roles también pueda administrar los atributos de Exchange en el nuevo objeto, el rol Destinatarios de correo también debe asignarse al nuevo grupo de roles.
Para obtener más información sobre cómo configurar un modelo de permisos divididos, vea Configurar Exchange 2013 para permisos divididos.
Permisos divididos de Active Directory
Con Active Directory permisos divididos, la creación de entidades de seguridad en la partición de dominio Active Directory, como buzones y grupos de distribución, debe realizarse con Active Directory herramientas de administración. Se realizan varios cambios en los permisos concedidos al subsistema de confianza de Exchange y a los servidores de Exchange para limitar lo que pueden hacer los administradores y servidores de Exchange. Los siguientes cambios en la funcionalidad se producen al habilitar Active Directory permisos divididos:
Se quitan la creación de buzones de correo, los usuarios habilitados para correo electrónico, los grupos de distribución y otras entidades de seguridad de las herramientas de administración de Exchange.
No se puede agregar ni quitar miembros de grupos de distribución desde las herramientas de administración de Exchange.
Se quitan todos los permisos otorgados al subsistema de confianza de Exchange y a los servidores de Exchange para crear entidades de seguridad.
Los servidores de Exchange y las herramientas de administración de Exchange solo pueden modificar los atributos de Exchange de las entidades de seguridad existentes en Active Directory.
Por ejemplo, para crear un buzón con permisos divididos de Active Directory habilitados, primero debe crearse un usuario mediante las herramientas de Active Directory por un usuario con los permisos de Active Directory necesarios. A continuación, el usuario puede estar habilitado para buzones mediante las herramientas de administración de Exchange. Solo los administradores de Exchange pueden modificar los atributos relacionados con Exchange del buzón mediante las herramientas de administración de Exchange.
Los permisos divididos de Active Directory son una buena opción para su organización si se cumple lo siguiente:
La organización requiere que las entidades de seguridad se creen solo con las herramientas de administración de Active Directory o solo con los usuarios a los que se conceden permisos específicos en Active Directory.
Quiere separar completamente la capacidad de crear entidades de seguridad de las que administran la organización de Exchange.
Quiere realizar toda la administración de grupos de distribución, incluida la creación de grupos de distribución y la adición y eliminación de miembros de esos grupos, mediante herramientas de administración de Active Directory.
No quiere que los servidores de Exchange, ni los programas de terceros que usan Exchange en su nombre, creen entidades de seguridad.
Importante
Cambiar a permisos divididos de Active Directory es una opción que puede tomar al instalar Exchange 2013 mediante el Asistente para la instalación o mediante el parámetro ActiveDirectorySplitPermissions mientras se ejecuta setup.exe desde la línea de comandos. También puede habilitar o deshabilitar los permisos divididos de Active Directory después de instalar Exchange 2013 volviendo a ejecutar setup.exe desde la línea de comandos.
Para habilitar los permisos divididos de Active Directory, establezca el parámetro ActiveDirectorySplitPermissions en true. Para deshabilitarlo, establézcalo en false. Siempre debe especificar el modificador PrepareAD junto con el parámetro ActiveDirectorySplitPermissions .
Si tiene varios dominios dentro del mismo bosque, también debe especificar el modificador PrepareAllDomains al aplicar permisos divididos de Active Directory o ejecutar el programa de instalación con el modificador PrepareDomain en cada dominio. Si decide ejecutar el programa de instalación con el modificador PrepareDomain en cada dominio en lugar de usar el modificador PrepareAllDomains , debe preparar todos los dominios que contengan servidores exchange, objetos habilitados para correo o servidores de catálogo global a los que pueda acceder un servidor exchange.
No puede habilitar permisos divididos de Active Directory si ha instalado Exchange 2010 o Exchange 2013 en un controlador de dominio.
Después de habilitar o deshabilitar los permisos divididos de Active Directory, se recomienda reiniciar los servidores de Exchange 2010 y Exchange 2013 de su organización para forzarles a que seleccionen el nuevo token de acceso de Active Directory con los permisos actualizados.
Exchange 2013 logra permisos divididos de Active Directory mediante la eliminación de permisos y pertenencia del grupo de seguridad Permisos de Windows de Exchange. Este grupo de seguridad, en permisos compartidos y permisos divididos de RBAC, tiene permisos para muchos objetos y atributos que no son de Exchange en Active Directory. Al quitar los permisos y la pertenencia a este grupo de seguridad, se impide que los administradores y servicios de Exchange creen o modifiquen esos objetos que no son de Exchange Active Directory.
Para obtener una lista de los cambios que se producen en el grupo de seguridad Permisos de Windows de Exchange y otros componentes de Exchange al habilitar o deshabilitar los permisos divididos de Active Directory, consulte la tabla siguiente.
Nota:
Las asignaciones de roles a grupos de roles que permiten a los administradores de Exchange crear entidades de seguridad se quitan cuando se habilitan los permisos de división de Active Directory. Esto se hace para quitar el acceso a los cmdlets que, de lo contrario, generarían un error cuando se ejecuten porque no tienen permisos para crear el objeto de Active Directory asociado.
Cambios en los permisos divididos de Active Directory
| Acción | Cambios realizados por Exchange |
|---|---|
| Habilitación de permisos divididos de Active Directory durante la primera instalación del servidor de Exchange 2013 | Lo siguiente sucede cuando se habilitan los permisos divididos de Active Directory mediante el Asistente para la instalación o mediante la ejecución setup.exe con los /PrepareAD parámetros y /ActiveDirectorySplitPermissions:true :
Si ejecuta el programa de instalación con el modificador PrepareAllDomains o PrepareDomain , ocurre lo siguiente en cada dominio secundario preparado:
|
| Cambio de permisos compartidos o permisos divididos de RBAC a permisos divididos de Active Directory | Lo siguiente sucede cuando se ejecuta el setup.exe comando con los /PrepareAD parámetros y /ActiveDirectorySplitPermissions:true :
Si ejecuta el programa de instalación con el modificador PrepareAllDomains o PrepareDomain , ocurre lo siguiente en cada dominio secundario preparado:
|
| Cambio de permisos divididos de Active Directory a permisos compartidos o permisos divididos de RBAC | Lo siguiente sucede cuando se ejecuta el setup.exe comando con los /PrepareAD parámetros y /ActiveDirectorySplitPermissions:false :
Si ejecuta el programa de instalación con el modificador PrepareAllDomains o PrepareDomain , ocurre lo siguiente en cada dominio secundario preparado:
Las asignaciones de roles a los roles de creación y pertenencia de grupos de seguridad y creación de destinatarios de correo no se crean automáticamente al cambiar de la división de Active Directory a permisos compartidos. Si las asignaciones de roles de delegación se personalizaron antes de habilitar los permisos divididos de Active Directory, esas personalizaciones se dejan intactas. Para crear asignaciones de roles entre estos roles y el grupo de roles administración de la organización, consulte Configuración de Exchange 2013 para permisos compartidos. |
Después de habilitar los permisos divididos de Active Directory, los siguientes cmdlets ya no estarán disponibles:
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Después de habilitar los permisos divididos de Active Directory, se puede acceder a los siguientes cmdlets, pero no puede usarlos para crear grupos de distribución ni modificar la pertenencia a grupos de distribución:
- Add-DistributionGroupMember
- New-DistributionGroup
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Update-DistributionGroupMember
Algunos cmdlets, aunque todavía están disponibles, solo pueden ofrecer una funcionalidad limitada cuando se usan con permisos divididos de Active Directory. Esto se debe a que pueden permitirle configurar objetos de destinatario que se encuentran en la partición de Active Directory del dominio y objetos de configuración de Exchange que se encuentran en la partición de Active Directory de configuración. También pueden permitirle configurar atributos relacionados con Exchange en objetos almacenados en la partición de dominio. Los intentos de usar los cmdlets para crear objetos o modificar atributos no relacionados con Exchange en objetos, en la partición de dominio producirán un error. Por ejemplo, el cmdlet Add-ADPermission devolverá un error si intenta agregar permisos a un buzón. Sin embargo, el cmdlet Add-ADPermission se realizará correctamente si configura permisos en un conector de recepción. Esto se debe a que un buzón de correo se almacena en la partición de dominio mientras los conectores de recepción se almacenan en la partición de configuración.
Además, las características asociadas en el Centro de administración de Exchange y Outlook Web App, como el Asistente para nuevo buzón, tampoco estarán disponibles o generarán un error si intenta usarlas.
Sin embargo, los administradores de Exchange podrán crear y administrar objetos específicos de Exchange, como reglas de transporte, etc.
Para obtener más información sobre cómo configurar un modelo de permisos divididos de Active Directory, consulte Configuración de Exchange 2013 para permisos divididos.