Modifiche al modello di amministrazione e delle autorizzazioni

Ultima modifica dell'argomento: 2007-01-26

Di Kweku Ako-Adjei

Prima di iniziare ad aggiornare l'organizzazione di Microsoft Exchange Server da Exchange Server 2003 a Exchange Server 2007, è necessario assicurarsi di disporre di una solida strategia di pianificazione e di aver compreso in modo chiaro le modifiche apportate al modello di autorizzazioni e amministrazione. Exchange 2007 offre la flessibilità indispensabile per l'assegnazione delle autorizzazioni agli amministratori. Sono state apportate numerose modifiche per migliorare la configurazione manuale delle autorizzazioni per separare le autorizzazioni di Exchange da altre autorizzazioni amministrative.

Per illustrare tali modifiche, in questo articolo vengono descritti i passaggi consigliati e vengono forniti collegamenti utili ai documenti che contengono informazioni dettagliate sul nuovo modello di autorizzazioni e amministrazione.

Guida introduttiva alle modifiche

L'utilizzo delle autorizzazioni del servizio directory di Active Directory relative a Exchange può risultare un'attività complessa, pertanto è necessario comprendere prima quali modifiche sono state implementate in Exchange 2007. Per sviluppare una solida strategia di pianificazione, vedere i seguenti argomenti:

• Preparazione della distribuzione di Exchange 2007

• Preparazione di Active Directory e dei domini

• Pianificazione dell'accesso ad Active Directory

• Preparazione delle autorizzazioni delle versioni precedenti dei sistemi Exchange

Motivi delle modifiche

Quando in Exchange 2000 Server è stato introdotto Active Directory, molte organizzazioni utilizzavano amministratori diversi per Exchange e Active Directory. Ciò comportava la necessità di delegare le funzioni amministrative. In questi scenari, le operazioni venivano decentralizzate in modo da separare gli aspetti gestiti dai team di Exchange e Microsoft Windows (Active Directory).

Pertanto, in risposta ai commenti e suggerimenti dei clienti di Exchange 2000, sono state apportate numerose modifiche al processo di gestione delle autorizzazioni di Exchange 2003. In particolare, Exchange 2003 forniva ruoli di protezione predefiniti. Tali ruoli costituivano un insieme di autorizzazioni standardizzate che potevano essere applicate a livello di organizzazione oppure a livello di gruppo amministrativo. Tuttavia, questo modello presentava le seguenti limitazioni:

• Mancanza di specificità. La dimensione del gruppo Exchange Administrator era eccessiva e alcuni utenti desideravano gestire il modello di protezione e delle autorizzazioni a livello dei singoli server.

• Percezione di una mancata differenza sostanziale tra i ruoli di protezione di Exchange 2003.

• Distinzione poco chiara tra l'amministrazione degli utenti e dei gruppi da parte degli amministratori di Windows (Active Directory) e degli amministratori dei destinatari di Exchange. Si poteva presentare, ad esempio, la necessità di concedere agli amministratori di Exchange autorizzazioni di livello elevato (autorizzazioni di operatore di account nei domini di Windows) per eseguire le attività di Exchange relative ai destinatari.

Nuovo modello di amministrazione

Per risolvere queste limitazioni, sono state apportate alcune modifiche che miglioreranno la gestione dei ruoli di amministratore di Exchange. In Exchange 2007 sono state introdotte o migliorate le seguenti funzionalità relative al modello di autorizzazioni e amministrazione di Exchange:

• Sono stati creati nuovi ruoli di amministratore simili ai gruppi di protezione predefiniti di Windows Server. Per ulteriori informazioni su questi ruoli di amministratore, vedere "Ruoli di amministratore in Exchange 2007" in Considerazioni sulle autorizzazioni.

• È possibile utilizzare Exchange Management Console (noto in precedenza come Gestore di sistema di Exchange) ed Exchange Management Shell per visualizzare, aggiungere e rimuovere membri da qualsiasi ruolo di amministratore.

• Non sono richieste impostazioni dell'elenco di controllo di accesso (ACL, Access Control List) quando si modifica l'appartenenza a un ruolo di amministratore. Questi ruoli di amministratore verranno aggiunti in modo statico agli elenchi di controllo di accesso dell'oggetto appropriato durante l'installazione.

Per informazioni dettagliate sulle differenze tra i modelli delle autorizzazioni in Exchange 2007 ed Exchange 2003, sui nuovi ruoli di amministratore e su come configurare le autorizzazioni di Exchange 2007, vedere i seguenti argomenti:

• Considerazioni sulle autorizzazioni

• Configurazione delle autorizzazioni

Nuovi strumenti amministrativi

Per concedere le autorizzazioni in Exchange 2003, veniva utilizzata l'Impostazione guidata Delega del Gestore di sistema di Exchange. Exchange 2007 offre opzioni aggiuntive che includono due interfacce in cui è possibile configurare e amministrare il modello delle autorizzazioni:

• Exchange Management Console

• Exchange Management Shell

Exchange Management Console

Esistono due modi in cui è possibile utilizzare Exchange Management Console per configurare e amministrare le autorizzazioni. Per concedere le autorizzazioni, è possibile utilizzare l'Aggiunta guidata amministratore di Exchange. Inoltre, è possibile utilizzare la console per visualizzare e modificare l'appartenenza e i ruoli di amministratore e per visualizzare e modificare le autorizzazioni degli utenti e dei gruppi.

Per ulteriori informazioni su queste attività, vedere i seguenti argomenti:

• Utilizzo di Exchange Management Console

• Nuovo manuale dell'utente per Exchange Management Console

• Rimozione di un utente o di un gruppo da un ruolo di amministratore

• Aggiunta di un utente o di un gruppo a un ruolo di amministratore

• Visualizzazione dei ruoli di amministratore per utenti e gruppi

• Come modificare le autorizzazioni di utenti e gruppi

Exchange Management Shell

Per configurare e amministrare le autorizzazioni, è possibile utilizzare anche Exchange Management Shell, una potente interfaccia di gestione introdotta in Exchange 2007 e basata sulla tecnologia Microsoft Windows PowerShell. Oltre a eseguire le stesse attività di Exchange Management Console, Exchange Management Shell consente di eseguire una serie di attività aggiuntive.

Per informazioni dettagliate su Exchange Management Shell e su come utilizzarlo per configurare e amministrare le autorizzazioni, vedere i seguenti argomenti:

• Utilizzo di Exchange Management Shell

• Introduzione a Exchange Management Shell

• Add-ADPermission

• Get-ADPermission

• Remove-ADPermission

Ulteriori informazioni

Per ulteriori informazioni sugli insiemi di proprietà e deleghe delle autorizzazioni di Exchange 2007, vedere i seguenti blog del team di Exchange:

• Recipient Permission Delegation in Exchange Server 2007

• Property Sets in Exchange Server 2007

Kweku Ako-Adjei - Technical writer, Microsoft Exchange Server