Pianificazione e implementazione di un modello di divisione delle autorizzazioni

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2008-02-05

Le organizzazioni che implementano un modello di divisione delle autorizzazioni desiderano in genere restringere specifiche autorizzazioni concesse agli amministratori, per aumentare il livello di responsabilità e la protezione. In Microsoft Exchange Server 2007, le autorizzazioni sugli attributi del destinatario di Exchange vengono raggruppate. In questo modo, viene ridotta al minimo la configurazione manuale delle autorizzazioni necessaria per dividere le autorizzazioni di Exchange dalle altre autorizzazioni amministrative.

Per impostazione predefinita, solo i membri del gruppo Exchange Organization Administrators possono gestire sia i dati sui destinatari sia i dati di configurazione di Exchange. Tuttavia, per gestire la creazione, la modifica e l'eliminazione di oggetti all'interno di uno specifico dominio, questi amministratori devono appartenere anche al gruppo di protezione Windows Account Operators o a un gruppo di protezione di livello più alto. Per informazioni sulla concessione di autorizzazioni Account Operators, vedere Windows Server 2003 Product Help (informazioni in lingua inglese).

Controllo degli accessi

Per gestire gli attributi relativi a Exchange su oggetti interni al contesto di denominazione dei domini della foresta, è necessario concedere autorizzazioni di modifica al gruppo Exchange Server Administrators. A questo scopo, è necessario modificare il descrittore di protezione sull'oggetto che contiene gli attributi.

Un descrittore di protezione contiene due elenchi di controllo di accesso (ACL). Uno degli ACL contiene gli oggetti utente o gruppo di protezione che hanno accesso o a cui è negato l'accesso a una risorsa o un oggetto. Gli ACL consentono di applicare specifiche autorizzazioni all'intero oggetto, a una serie di proprietà dell'oggetto o a una singola proprietà di un oggetto. Nel descrittore di protezione di un oggetto sono presenti due tipi di ACL:

• Elenchi di controllo di accesso discrezionale (DACL)   I DACL determinano gli utenti e i gruppi a cui sono assegnate o negate le autorizzazioni di accesso relative a un oggetto. Se un DACL non determina esplicitamente un utente o un gruppo di appartenenza dell'utente, all'utente viene negato l'accesso all'oggetto in questione. Per impostazione predefinita, un DACL viene controllato dal proprietario di un oggetto o dalla persona che ha creato l'oggetto e contiene voci di controllo di accesso (ACE) che determinano l'accesso utente all'oggetto.

• Elenchi di controllo di accesso di sistema (SACL)   I SACL determinano gli utenti e i gruppi che si desidera controllare quando riescono ad accedere o non riescono ad accedere a un oggetto. Per impostazione predefinita, un SACL viene controllato dal proprietario di un oggetto o dalla persona che ha creato l'oggetto. Un SACL contiene ACE che determinano se registrare il tentativo di accesso a un oggetto riuscito o non riuscito di un utente che utilizza una specifica autorizzazione, quale ad esempio Controllo completo o Lettura.

Un'ACE è una voce del DACL di un oggetto che concede autorizzazioni a un utente o un gruppo. Un'ACE è anche una voce del SACL di un oggetto che specifica gli eventi di protezione da controllare per un utente o un gruppo.

Punti di applicazione delle autorizzazioni

Una foresta del servizio directory di Active Directory è costituita da uno o più domini che condividono una configurazione comune e un limite di schema. All'interno di questi domini, gli oggetti possono essere disposti in contenitori noti come unità organizzative. Gli amministratori di ciascuna organizzazione devono progettare una struttura di unità organizzative che soddisfi le esigenze dell'azienda e ottimizzi la delega di autorizzazioni amministrative.

Per ulteriori informazioni sulla progettazione di una struttura di unità organizzative, vedere Best Practice Active Directory Design for Managing Windows Networks e Best Practices for Delegating Active Directory Administration (informazioni in lingua inglese).

Quando si progetta un modello di delega, esistono diversi metodi per l'applicazione di autorizzazioni. In questo argomento vengono descritti solo i due metodi riportati di seguito:

• Applicazione di autorizzazioni a livello di dominio

• Applicazione di autorizzazioni a livello di unità organizzativa

Applicazione di autorizzazioni a livello di dominio

Quando si applicano autorizzazioni delegate a livello di dominio, le autorizzazioni vengono ereditate da tutti gli oggetti, inclusi utenti, contatti, gruppi, DNS di dominio e computer. Nei controller di dominio in cui è in esecuzione Microsoft Windows 2000 Server, l'aggiunta di un'ACE ereditabile a livello di dominio provoca una modifica del DACL per ogni oggetto del dominio. A seconda del numero delle ACE aggiunte e degli oggetti presenti nel dominio, queste modifiche possono provocare una cosiddetta crescita dell'ACL.Per crescita dell'ACL si intende la presenza di ACE su oggetti non necessarie che aumentano la dimensione dell'ACL. Una crescita dell'ACL aumenta la dimensione fisica del file Ntds.dit in tutti i controller di dominio del dominio. Questo provoca problemi di prestazioni di Active Directory.

Nei controller di dominio in cui è in esecuzione Microsoft Windows Server 2003, un descrittore di protezione univoco viene archiviato una sola volta invece di essere archiviato per ogni oggetto che lo eredita. Questa modifica riduce la ridondanza dei dati e la crescita del database che può derivare da modifiche alle ACE ereditabili.

Applicazione di autorizzazioni a livello di unità organizzativa

La procedura consigliata per l'applicazione di autorizzazioni consiste nell'intervenire su un'unità organizzativa padre. In questo modo si isola l'applicazione delle autorizzazioni agli oggetti di una classe specifica contenuti nell'unità organizzativa o nei relativi contenitori figlio. Questo metodo richiede che tutti gli oggetti gestiti siano inseriti in un'unità organizzativa padre. Possono esistere requisiti aziendali che impediscono all'organizzazione di applicare questo metodo. In tal caso, è possibile applicare le autorizzazioni tra più unità organizzative.

Come applicare autorizzazioni

Microsoft fornisce due strumenti per l'applicazione di autorizzazioni:

• ADSI Edit (AdsiEdit.msc)

• DSACLS (Dsacls.exe)

Entrambi gli strumenti sono inclusi nel Windows Server 2003 CD in Support\Tools. Per applicare le autorizzazioni possono essere utilizzati anche diversi prodotti di terze parti.

Per ulteriori informazioni sull'utilizzo di ADSI Edit, vedere How to Use ADSI Edit to Apply Permissions (informazioni in lingua inglese).

La procedura consigliata per l'applicazione di autorizzazioni in Exchange 2007 consiste nell'utilizzare il cmdlet Add-ADPermission in Exchange Management Shell. Per ulteriori informazioni, vedere Add-ADPermission. Per ulteriori informazioni su Exchange Management Shell, vedere Utilizzo di Exchange Management Shell.

Esempi di modalità di applicazione delle autorizzazioni

A causa dell'implementazione di insiemi di proprietà in Exchange 2007, l'implementazione di un modello di divisione delle autorizzazioni richiede molte meno voci di controllo di accesso (ACE) delle precedenti versioni di Exchange Server.

Per poter gestire tutte le proprietà correlate alla posta, un amministratore di Exchange 2007 deve disporre delle seguenti autorizzazioni all'interno della partizione di dominio:

• Accesso in scrittura ai seguenti insiemi di proprietà:

  • Exchange Personal Information

  • Exchange Information

• Accesso in scrittura ai seguenti attributi:

  • legacyExchangeDN

  • displayName

  • adminDisplayName

  • displayNamePrintable

  • publicDelegates

  • garbageCollPeriod

  • textEncodedORAddress

  • showInAddressBook

  • proxyAddresses

  • mail

• Autorizzazione di creazione per gli oggetti msExchDynamicDistributionList

• Autorizzazione di eliminazione per gli oggetti msExchDynamicDistributionList

• Autorizzazione di controllo completo per gli oggetti msExchDynamicDistributionList

• Autorizzazione Lettura generica, che include Autorizzazioni di lettura, Contenuto elenco, Oggetto elenco e Leggi tutte le proprietà.

Oltre a queste autorizzazioni, l'amministratore dei destinatari deve disporre anche delle seguenti autorizzazioni nell'organizzazione di Exchange:

• Ruolo Amministratore di Exchange solo visualizzazione o superiore

  Nota

  Alcune operazioni, come lo spostamento di cassette postali, richiedono il ruolo Exchange Server Administrator o un ruolo superiore.

• Accesso in scrittura agli attributi msExchLastAppliedRecipientFilter e msExchRecipientFilterFlags nel contenitore Elenchi indirizzi nell'organizzazione di Exchange. Queste autorizzazioni sono necessarie per consentire all'amministratore dei destinatari di eseguire il cmdlet Update-AddressList.

• Accesso in scrittura agli attributi msExchLastAppliedRecipientFilter e msExchRecipientFilterFlags nel contenitore Criteri destinatari nell'organizzazione di Exchange. Queste autorizzazioni sono necessarie per consentire all'amministratore dei destinatari di eseguire il cmdlet Update-EmailAddressPolicy.

• Diritto esteso Accesso servizio aggiornamento destinatari sul gruppo di amministrazione di Exchange 2007. Questo diritto esteso è necessario perché in Exchange 2007 le informazioni relative all'indirizzo vengono identificate sul destinatario durante il processo di provisioning.

Come utilizzare Exchange Management Shell per applicare autorizzazioni

In questa sezione viene fornito un esempio di come utilizzare Exchange Management Shell per delegare autorizzazioni.

I comandi riportati in questo esempio consentono agli amministratori appartenenti al gruppo di protezione OU1AdminGroup di abilitare e disabilitare i destinatari all'utilizzo delle cassette postali, gestire gli indirizzi di posta elettronica e visualizzare i nomi di tutti gli utenti, i gruppi e i contatti presenti nella gerarchia dell'unità organizzativa Container1 della foresta Contoso.com che contiene l'organizzazione di Exchange ContosoOrg. 

Se si desidera eseguire queste attività per l'organizzazione, eseguire i comandi riportati di seguito per ciascun contenitore a cui si desidera concedere l'accesso. Sostituire le informazioni sul nome di dominio, l'organizzazione di Exchange e l'account con le proprie informazioni di dominio.

Per concedere le autorizzazioni, è necessario eseguire i comandi seguenti nell'ordine indicato.

1. Eseguire il seguente comando per gestire gli attributi relativi a Exchange sugli oggetti interni all'unità organizzativa.

   Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail
   

2. Eseguire il seguente comando per fornire l'autorizzazione Lettura generica per tutti gli oggetti dell'unità organizzativa.

   Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead
   

3. Eseguire i seguenti comandi per concedere l'autorizzazione appropriata per la gestione dei gruppi di distribuzione dinamici all'interno dell'unità organizzativa:

   Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
   Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList
   

   Per Exchange 2007 Service Pack 1 (SP1), eseguire il comando riportato di seguito:

   ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList
   

4. Eseguire il seguente comando per concedere al gruppo di protezione OU1AdminGroup il diritto esteso per l'accesso al Servizio aggiornamento destinatari.

   Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents
   

5. Eseguire il seguente comando per concedere al gruppo di protezione OU1AdminGroup la possibilità di aggiornare gli elenchi indirizzi e i criteri dell'indirizzo di posta elettronica.

   Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
   Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
   

Se l'operazione ha esito positivo, l'output di ogni comando riporterà le voci di controllo di accesso aggiunte all'oggetto.

Come utilizzare DSACLS per applicare autorizzazioni

In questa sezione viene fornito un esempio di come utilizzare DSACLS (Dsacls.exe) per applicare autorizzazioni.

DSACLS è un'utilità da riga di comando utilizzabile per eseguire query e modificare autorizzazioni e attributi di protezione degli oggetti di Active Directory. DSACLS è incluso in Windows Server 2003 Support Tools. Inoltre, è l'equivalente da riga di comando della scheda Protezione negli strumenti dello snap-in Windows 2000 Server Active Directory, quali Utenti e computer di Active Directory e Siti e servizi di Active Directory.

I comandi riportati in questo esempio consentono agli amministratori appartenenti al gruppo di protezione OU1AdminGroup di abilitare e disabilitare i destinatari all'utilizzo delle cassette postali, gestire gli indirizzi di posta elettronica e visualizzare i nomi di tutti gli utenti, i gruppi e i contatti presenti nella gerarchia dell'unità organizzativa OUContainer1 della foresta Contoso.com che contiene l'organizzazione di Exchange ContosoOrg. 

Per concedere le autorizzazioni, è necessario eseguire i comandi seguenti nell'ordine indicato.

1. Accedere a un computer interno alla foresta in cui è installato Windows Support Tools utilizzando un account che possa eseguire le attività, quale ad esempio Domain Administrator. Sostituire le informazioni sul nome di dominio, l'organizzazione di Exchange e l'account con le proprie informazioni di dominio.

2. Aprire una finestra del prompt dei comandi e digitare i seguenti comandi per gestire gli attributi relativi a Exchange sugli oggetti interni all'unità organizzativa.

   dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"
   

3. Aprire una finestra del prompt dei comandi e digitare il seguente comando per concedere i diritti appropriati per la gestione di gruppi di distribuzione dinamici all'interno dell'unità organizzativa.

   dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"
   

4. Aprire una finestra del prompt dei comandi e digitare il seguente comando per concedere al gruppo di protezione OU1AdminGroup il diritto esteso per l'accesso al Servizio aggiornamento destinatari.

   dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"
   

5. Aprire una finestra del prompt dei comandi e digitare il seguente comando per concedere al gruppo di protezione OU1AdminGroup la possibilità di aggiornare gli elenchi indirizzi e i criteri dell'indirizzo di posta elettronica.

   dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
   dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
   

Se l'operazione ha esito positivo, l'output del comando riporterà il descrittore di protezione di Windows modificato e il messaggio The command completed successfully al prompt dei comandi

Configurazione dello script di divisione delle autorizzazioni

Uno script nella directory \Exchange Server\Scripts può aiutare a configurare il modello di divisione delle autorizzazioni.

In Exchange Management Shell è disponibile lo script seguente:

• ConfigureSplitPerms.ps1   È possibile utilizzare lo script ConfigureSplitPerms.ps1 per configurare le autorizzazioni necessarie descritte in questo argomento.

Per ulteriori informazioni sulla creazione di script, vedere Utilizzo di Exchange Management Shell.

Ulteriori informazioni

Per ulteriori informazioni sulla divisione delle autorizzazioni, attributi e utente relativi a Exchange, contatto e attività relative al gruppo, vedere Riferimento per il modello di divisione delle autorizzazioni.