Informazioni sulla coesistenza delle autorizzazioni con Exchange 2007
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
Il modello delle autorizzazioni in Microsoft Exchange Server 2010 è stato migliorato rispetto ai modelli utilizzati nelle versioni precedenti di Exchange. Exchange 2010 comprende le autorizzazioni Controllo di accesso basato sui ruoli (RBAC), che sostituiscono il modello di autorizzazioni basato sulla voce di controllo di accesso (ACE) di Active Directory utilizzato in Microsoft Exchange Server 2007. Le autorizzazioni RBAC costituiscono il meccanismo di autorizzazioni utilizzato per la maggior parte della gestione di Exchange 2010. Questo meccanismo comprende le seguenti aree di gestione:
Exchange Management Shell
Pannello di controllo di Exchange
Exchange Management Console (EMC)
Servizi Web di Exchange
MAPI sul componente di livello intermedio
Per ulteriori informazioni su come pianificare la coesistenza tra Exchange 2010 e precedenti versioni di Exchange, vedere Informazioni sull'aggiornamento a Exchange 2010.
Per informazioni sulle attività di gestione relative alle autorizzazioni, vedere Gestione delle autorizzazioni.
Autorizzazioni di Exchange 2010
Il modello delle autorizzazioni RBAC di Exchange 2010 è costituito dai gruppi dei ruoli di gestione a cui viene assegnato uno dei diversi ruoli di gestione. I ruoli di gestione contengono le autorizzazioni che consentono agli amministratori di eseguire le attività nell'organizzazione di Exchange. Gli amministratori vengono aggiunti come membri dei gruppi di ruoli e vengono loro concesse tutte le autorizzazioni previste dai ruoli. Nella tabella seguente viene riportato un esempio dei gruppi di ruoli, di alcuni ruoli assegnati ai gruppi di ruoli e una descrizione del tipo di utente che potrebbe essere membro del gruppo di ruoli.
Esempi dei gruppi di ruoli e dei ruoli in Exchange 2010
| Gruppo dei ruoli di gestione | Ruoli di gestione | Membri di questo gruppo di ruoli |
|---|---|---|
Gestione organizzazione |
Di seguito vengono riportati alcuni ruoli assegnati a questo gruppo di ruoli:
|
Gli utenti che gestiscono l'intera organizzazione di Exchange 2010 devono essere membri di questo gruppo di ruoli. Con alcune eccezioni, i membri di questo gruppo di ruoli possono gestire quasi ogni aspetto dell'organizzazione di Exchange 2010. Per impostazione predefinita, l'account utente utilizzato per preparare Active Directory per Exchange 2010 è un membro di questo gruppo di ruoli. Per ulteriori informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati al gruppo di ruoli, vedere Gestione dell'organizzazione. |
Gestione organizzazione in sola visualizzazione |
A questo gruppo vengono assegnati i seguenti ruoli:
|
Gli utenti che visualizzano la configurazione dell'intera organizzazione di Exchange 2010 devono essere membri di questo gruppo di ruoli. Gli utenti devono essere in grado di visualizzare la configurazione del server e le informazioni sui destinatari e di eseguire le funzioni di monitoraggio senza poter modificare la configurazione dell'organizzazione o dei destinatari. Per ulteriori informazioni su questo gruppo di ruoli, vedere Gestione dell'organizzazione in sola visualizzazione. |
Gestione destinatari |
A questo gruppo vengono assegnati i seguenti ruoli:
|
Gli utenti che gestiscono i destinatari quali cassette postali, contatti e gruppi di distribuzione nell'organizzazione di Exchange 2010 devono essere membri di questo gruppo di ruoli. Tali utenti possono creare destinatari, modificare o eliminare destinatari esistenti o spostare cassette postali. Per ulteriori informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati al gruppo di ruoli, vedere Gestione dei destinatari. |
Gestione server |
Di seguito vengono riportati alcuni ruoli assegnati a questo gruppo di ruoli:
|
Gli utenti che gestiscono la configurazione del server Exchange, come i connettori di ricezione, i certificati, i database e le directory virtuali devono essere membri di questo gruppo di ruoli. Gli utenti possono modificare la configurazione del server Exchange, creare database, riavviare e gestire le code di trasporto. Per ulteriori informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati al gruppo di ruoli, vedere Gestione server. |
Gestione individuazione |
A questo gruppo vengono assegnati i seguenti ruoli:
|
Gli utenti che eseguono ricerche di cassette postali per supportare i procedimenti legali o per configurare le conservazioni legali devono essere membri di questo gruppo di ruoli. Di seguito viene riportato l'esempio di un gruppo di ruoli che può contenere amministratori non di Exchange, come il personale dell'ufficio legale. Il personale dell'ufficio legale può eseguire le attività senza l'intervento da parte degli amministratori di Exchange. Per ulteriori informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati al gruppo di ruoli, vedere Gestione individuazione. |
Come mostrato in questa tabella, Exchange 2010 fornisce un controllo preciso sulle autorizzazioni concesse agli amministratori. In Exchange 2010, è possibile scegliere tra 11 gruppi di ruoli. Per un elenco completo dei gruppi di ruoli e delle autorizzazioni fornite, vedere Gruppi di ruolo incorporati.
Siccome Exchange 2010 fornisce molti gruppi di ruoli e siccome è possibile un'ulteriore personalizzazione mediante la creazione dei gruppi di ruoli con diverse combinazioni di ruoli, la gestione degli elenchi di controllo degli accessi (ACL) per gli oggetti Active Directory non è più necessaria e non ha alcuna conseguenza. Gli elenchi ACL non vengono più utilizzati per applicare le autorizzazioni ai singoli amministratori o ai singoli gruppi in Exchange 2010. Tutte le attività, come la creazione di una cassetta postale da parte di un amministratore o l'accesso a una cassetta postale da parte di un utente, vengono gestite dalle autorizzazioni RBAC. Il controllo dell'accesso basato sui ruoli (RBAC) autorizza l'attività, quindi Exchange la esegue per conto dell'utente, se consentita. Exchange esegue l'attività nel gruppo di protezione universale (USG) Sottosistema attendibile di Exchange. Con alcune eccezioni, tutti gli elenchi ACL degli oggetti in Active Directory a cui Exchange 2010 deve accedere vengono concessi al gruppo USG Sottosistema attendibile di Exchange. Si tratta di una modifica fondamentale della modalità di gestione delle autorizzazioni in Exchange 2007.
Le autorizzazioni concesse a un utente in Active Directory sono diverse dalle autorizzazioni concesse all'utente dal controllo dell'accesso basato sui ruoli (RBAC) quando l'utente utilizza gli strumenti di gestione di Exchange 2010.
Per ulteriori informazioni su RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.
Autorizzazioni di Exchange 2007
Per definire i limiti di sicurezza, il modello amministrativo di Exchange 2007 utilizza le foreste di Active Directory. Non esiste alcun isolamento delle autorizzazioni di sicurezza all'interno di una determinata foresta. I proprietari delle foreste e gli amministratori dell'organizzazione possono accedere sempre a tutte le risorse in qualsiasi dominio. In Exchange 2007, può essere necessario concedere solo temporaneamente i diritti agli amministratori dell'organizzazione e agli amministratori del dominio di primo livello.
Exchange 2007 fornisce i seguenti ruoli di amministratore predefiniti:
Ruolo Exchange Organization Administrator Questo ruolo concede le autorizzazioni a controllare tutti gli aspetti dell'organizzazione di Exchange 2007. Inoltre, un amministratore che dispone di questo ruolo può concedere le autorizzazioni ad altri amministratori di Exchange. Questo ruolo viene concesso all'account utilizzato per installare Exchange 2007.
Ruolo Amministratore di Exchange solo visualizzazione Questo ruolo concede le autorizzazioni a visualizzare la configurazione di Exchange. Tuttavia, un amministratore che dispone di questo ruolo non può modificare gli oggetti nell'organizzazione di Exchange 2007.
Ruolo Amministratore destinatari di Exchange Questo ruolo concede le autorizzazioni a gestire i destinatari di posta elettronica. Un amministratore che dispone di questo ruolo può modificare gli elementi correlati a Exchange per utenti, gruppi, contatti e gruppi di distribuzione.
Ruolo Amministratore di Exchange Server Questo ruolo concede le autorizzazioni a gestire un server specifico. Tuttavia, questo ruolo non concede le autorizzazioni a eseguire le azioni che comportano un impatto globale sull'organizzazione di Exchange 2007.
Ruolo Amministratore cartelle pubbliche di Exchange Questo ruolo è stato aggiunto in Exchange 2007 Service Pack 1**.** Questo ruolo concede le autorizzazioni a gestire le cartelle pubbliche nell'organizzazione di Exchange 2007.
Questo modello di autorizzazione utilizza gruppi USG per tutti i ruoli, ad eccezione del ruolo Exchange Server Administrator. Quando si esegue il comando Exchange 2007Setup /PrepareAD, il programma di installazione crea i gruppi USG nel dominio radice e assegna un ambito a livello di foresta ai gruppi USG. Ai gruppi USG vengono assegnati gli elenchi ACL per gestire gli oggetti Exchange in tutto Active Directory.
In Exchange 2007, è possibile separare gli amministratori assegnando loro vari ruoli. Le autorizzazioni vengono assegnate direttamente all'utente o al gruppo USG di cui l'utente è membro. Tutte le azioni eseguite dall'utente si svolgono nel contesto dell'account di Active Directory dell'utente. Nella tabella seguente vengono elencati i ruoli di amministratore di Exchange 2007 con le relative autorizzazioni correlate a Exchange.
Ruoli di amministratore di Exchange 2007
| Ruolo di amministratore | Membri | Membro di | Autorizzazioni di Exchange |
|---|---|---|---|
Exchange Organization Administrator |
L'account amministratore o l'account utilizzato per installare il primo server Exchange 2007 |
Amministratore destinatari di Exchange Gruppo locale Administrators di <nome server> |
Controllo completo del contenitore di Microsoft Exchange in Active Directory |
Amministratore di Exchange solo visualizzazione |
Amministratori destinatari di Exchange Exchange Server Administrators (<nome server>) |
Amministratori destinatari di Exchange Exchange Server Administrators |
Accesso in lettura al contenitore di Microsoft Exchange in Active Directory Accesso in lettura a tutti i domini di Windows che dispongono dei destinatari di Exchange |
Amministratore destinatari di Exchange |
Exchange Organization Administrators |
Amministratori di Exchange solo visualizzazione |
Controllo completo delle proprietà di Exchange per gli oggetti utente di Active Directory |
Exchange Server Administrator |
Exchange Organization Administrators |
Amministratori di Exchange solo visualizzazione Gruppo locale Administrators di <nome server> |
Controllo completo di <nome server> Exchange |
Exchange Server |
Ogni account computer di Exchange 2007 |
Amministratori di Exchange solo visualizzazione |
Speciali |
Amministratore cartelle pubbliche di Exchange |
Exchange Organization Administrators |
Amministratori di Exchange solo visualizzazione |
Controllo completo per gestire tutte le cartelle pubbliche (con il diritto esteso per la creazione della cartella pubblica principale) |
Se è necessario assegnare più precisamente le autorizzazioni, è possibile modificare gli elenchi ACL per i singoli oggetti Exchange 2007, come gli elenchi di indirizzi o i database. È necessario aggiungere l'utente, o il gruppo di sicurezza a cui appartiene l'utente, direttamente all'elenco ACL. Le azioni vengono quindi eseguite nel contesto dell'utente specifico.
Per ulteriori informazioni riguardo alla gestione delle autorizzazioni in Exchange 2007, vedere Configurazione delle autorizzazioni in Exchange Server 2007.
Autorizzazioni di coesistenza tra Exchange 2010 ed Exchange 2007
Siccome i modelli delle autorizzazioni per Exchange 2010 e per Exchange 2007 sono diversi, le assegnazioni delle autorizzazioni di Exchange 2010 vengono separate da quelle di Exchange 2007. Ciò accade anche se entrambe le versioni di Exchange sono installate nella stessa foresta. Senza ulteriori attività di configurazione, gli amministratori di Exchange 2010 non dispongono delle autorizzazioni necessarie per gestire server basati su Exchange 2007 e gli amministratori di Exchange 2007 non dispongono delle autorizzazioni necessarie per gestire server basati su Exchange 2010. È necessario considerare le seguenti domande:
Si desidera concedere l'accesso agli amministratori di Exchange 2010 per gestire i server Exchange 2007?
Si desidera concedere l'accesso agli amministratori di Exchange 2007 per gestire i server Exchange 2010?
Si desidera personalizzare le autorizzazioni di Exchange 2010 in modo che corrispondano a tutte le personalizzazioni realizzate per gli elenchi ACL di Exchange 2007?
Concessione delle autorizzazioni di Exchange 2010 agli amministratori di Exchange 2007
Se si desidera che gli amministratori di Exchange 2007 gestiscano i server Exchange 2010, è necessario aggiungere gli amministratori di Exchange 2007 come membri di uno o più gruppi di ruoli di Exchange 2010. Ai gruppi di ruoli è possibile aggiungere utenti o gruppi USG. Le autorizzazioni concesse ai gruppi di ruoli vengono quindi applicate agli utenti o ai gruppi USG aggiunti come membri.
Importante
Se si utilizzano i gruppi di sicurezza di Active Directory locali o globali di un dominio, è necessario modificarli in gruppi USG per aggiungerli come membri di un gruppo di ruoli di Exchange 2010: Exchange 2010 supporta solo i gruppi USG.
Nella tabella seguente viene descritto il mapping tra i ruoli di amministratore di Exchange 2007 e i gruppi di ruoli di Exchange 2010.
Ruoli di amministratore di Exchange 2007 e gruppi di ruoli di Exchange 2010
| Ruolo di amministratore di Exchange 2007 | Gruppo di ruoli di Exchange 2010 |
|---|---|
Exchange Organization Administrator |
Gestione organizzazione |
Amministratore destinatari di Exchange |
Gestione destinatari |
Exchange Server Administrator |
Gestione server |
Amministratore di Exchange solo visualizzazione |
Gestione organizzazione in sola visualizzazione |
Exchange Server |
Nessun gruppo di ruoli equivalente in Exchange 2010 Per ulteriori informazioni sulla creazione dei gruppi di ruoli personalizzati, vedereCreazione di un gruppo di ruoli. |
Amministratore cartelle pubbliche di Exchange |
Gestione cartelle pubbliche |
Se tutti gli amministratori di Exchange 2007 sono membri di un ruolo amministrativo di Exchange 2007, è possibile aggiungere i membri di ogni gruppo amministrativo al gruppo di ruoli di Exchange 2010 equivalente. Ad esempio, se si desidera concedere a tutti gli amministratori dell'organizzazione di Exchange 2007 l'accesso completo agli oggetti Exchange 2010, aggiungere il gruppo USG Exchange Organization Administrators al gruppo di ruoli Gestione organizzazione.
Per ulteriori informazioni sull'aggiunta degli utenti e dei gruppi USG ai gruppi di ruoli, vedere Aggiunta di membri a un gruppo di ruoli.
Se si modificano gli elenchi ACL per gli oggetti Exchange 2007 per concedere autorizzazioni più precise agli amministratori di Exchange 2007 e si desidera assegnare autorizzazioni simili per i server Exchange 2010 agli amministratori, attenersi alla seguente procedura:
Controllare le personalizzazioni ACL apportate agli oggetti Exchange 2007 e individuare gli amministratori a cui sono state concesse le autorizzazioni per ogni oggetto.
Classificare ogni oggetto Exchange 2007. Ad esempio, stabilire se si tratta di un oggetto database, server o destinatario.
Mappare gli oggetti al gruppo di ruoli di Exchange 2010 corrispondente. Per un elenco dei gruppi di ruoli incorporati, vedere Gruppi di ruolo incorporati.
Aggiungere i gruppi USG o gli utenti per ogni tipo di oggetto ai gruppi di ruoli di Exchange 2010 corrispondenti. Per ulteriori informazioni sull'aggiunta degli utenti e dei gruppi USG ai gruppi di ruoli, vedere Aggiunta di membri a un gruppo di ruoli.
Una volta completata la procedura, gli amministratori di Exchange 2007 saranno membri dello specifico gruppo di ruoli mappato agli oggetti Exchange 2010 appropriati. Gli amministratori di Exchange 2007 possono utilizzare gli strumenti di gestione di Exchange 2010 per gestire i server e i destinatari di Exchange 2010.
Importante
In generale, i server e i destinatari di Exchange 2007 devono essere gestiti mediante gli strumenti di gestione di Exchange 2007, mentre i server e i destinatari di Exchange 2010 mediante gli strumenti di gestione di Exchange 2010.
Se i gruppi di ruoli incorporati non forniscono lo specifico insieme di autorizzazioni che si desidera concedere ad alcuni amministratori, è possibile creare gruppi di ruoli personalizzati. Quando si crea un gruppo di ruoli personalizzato, è possibile selezionare i ruoli da aggiungere al gruppo. È possibile definire le funzionalità specifiche da rendere membri del gruppo di ruoli da gestire. Ad esempio, per fare in modo che gli amministratori gestiscano solo i gruppi di distribuzione, è possibile creare un gruppo di ruoli personalizzato, quindi selezionare solo il ruolo Gruppi di distribuzione. Al termine dell'operazione, i membri del gruppo di ruoli personalizzato possono gestire solo i gruppi di distribuzione. Per ulteriori informazioni sulla creazione dei gruppi di ruoli personalizzati, vedereCreazione di un gruppo di ruoli.
Se si assegnano le autorizzazioni selettive a determinati oggetti Exchange 2007 (ad esempio, consentire agli amministratori di gestire solo specifici database) e se si desidera applicare la stessa configurazione ai server Exchange 2010, vedere "Nuova creazione della personalizzazione ACL di Exchange 2007 utilizzando gli ambiti di gestione in Exchange 2010" più avanti in questo argomento.
Concessione delle autorizzazioni di Exchange 2007 agli amministratori di Exchange 2010
Se si desidera che gli amministratori di Exchange 2010 gestiscano i server Exchange 2007, aggiungere gli amministratori di Exchange 2010 ai gruppi USG o al gruppo di sicurezza corrispondente allo specifico ruolo di amministratore di Exchange 2007. In alternativa, se si dispone delle impostazioni ACL personalizzate, aggiungere gli amministratori agli elenchi ACL appropriati. Quelli di ruoli sono gruppi USG, quindi possono essere aggiunti direttamente ai gruppi USG dei ruoli di amministratore di Exchange 2007.
Una volta terminata l'operazione, gli amministratori di Exchange 2010 saranno membri del ruolo o dei ruoli di amministratore di Exchange 2007 appropriati. Gli amministratori di Exchange 2010 possono utilizzare gli strumenti di gestione di Exchange 2007 per gestire i server e i destinatari di Exchange 2007.
Nuova creazione della personalizzazione ACL di Exchange 2007 utilizzando ambiti di gestione di Exchange 2010
In Exchange 2007, quando si desidera limitare il numero di amministratori di un archivio specifico delle cassette postali, degli utenti specifici o per controllare in quale archivio vengono create le cassette postali, è necessario modificare gli elenchi ACL per gli oggetti che si desidera limitare. Exchange 2010 fornisce le stesse capacità, ma senza la necessità di modificare gli elenchi ACL. L'operazione viene eseguita utilizzando gli ambiti di gestione, un componente del controllo dell'accesso basato sui ruoli (RBAC).
Gli ambiti di gestione forniscono ambiti incorporati e personalizzati per definire gli oggetti gestibili dagli amministratori. Applicando gli ambiti di gestione, è possibile definire i destinatari amministrabili, in quali database vengono create le cassette postali e i destinatari o i server amministrati solo da un piccolo gruppo di amministratori.
È possibile creare i seguenti tipi di ambiti di gestione:
Relativi predefiniti Gli ambiti relativi predefiniti sono compresi in Exchange 2010. È possibile controllare l'ambito di visualizzazione e le modifiche apportate da un utente. Ad esempio, gli ambiti relativi predefiniti consentono di controllare se gli utenti visualizzano solo le informazioni personali o le informazioni sull'intera organizzazione.
Destinatario Gli ambiti dei destinatari determinano i destinatari che un amministratore può creare, modificare o eliminare. Queste selezioni possono essere basate su un'unità organizzativa (OU), un filtro destinatari o entrambi. I filtri destinatari specificano i criteri a cui deve corrispondere un destinatario per essere incluso nell'ambito. Ad esempio, è possibile creare un ambito di filtro destinatari che comprenda tutti gli utenti di una determinata posizione o di un reparto specifico. È possibile anche combinare le unità organizzative (OU) e i filtri destinatari in modo che corrispondano solo agli utenti che si trovano all'interno di una specifica unità organizzativa e che rispondono a un manager specifico.
Server Gli ambiti dei server controllano i server gestibili da un amministratore. È possibile specificare gli elenchi o i filtri di server. Per gli elenchi di server, definire un elenco statico di server gestibili. I filtri di server funzionano come i filtri destinatari, in cui è possibile specificare i criteri da soddisfare. Ad esempio, è possibile creare un ambito di server che corrisponda a tutti i server di un sito di Active Directory specifico.
Database Gli ambiti dei database consentono di controllare i database gestibili da un amministratore. Consentono di controllare anche i database in cui possono essere create le cassette postali o i database in cui possono essere spostate le cassette postali. Come gli ambiti di server, possono essere definiti come elenchi o filtri. Ad esempio, è possibile creare un elenco o un filtro che consenta agli amministratori di creare o spostare le cassette postali in specifici database delle cassette postali gestiti da una determinata filiale.
Esclusivi Gli ambiti di destinatari, server e database possono essere creati anche come ambiti esclusivi. Gli ambiti esclusivi funzionano come le voci ACE di negazione negli elenchi ACL. Se un oggetto corrisponde a un ambito esclusivo, solo gli amministratori assegnati a un ambito esclusivo possono gestire l'oggetto. Questa condizione è vera anche se un altro ambito non esclusivo corrisponde allo stesso oggetto. Questa soluzione risulta particolarmente utile quando si desidera che solo poche persone molto attendibili siano in grado di gestire la cassetta postale di un dirigente. Anche se un altro ambito di destinatari normale è più ampio e comprende la cassetta postale del dirigente, gli amministratori a cui è stato assegnato l'ambito non saranno in grado di gestire la cassetta postale del dirigente, a meno che non sia stato assegnato loro anche l'ambito esclusivo.
Gli ambiti di gestione vengono utilizzati con i ruoli di gestione, le assegnazioni dei ruoli di gestione e i gruppi dei ruoli di gestione per controllare chi può gestire gli oggetti e in che modo è possibile gestirli. Per ulteriori informazioni, vedere i seguenti argomenti:
Per creare lo stesso modello delle autorizzazioni in Exchange 2010 utilizzando gli ambiti di gestione definiti utilizzando gli elenchi ACL personalizzati, è necessario eseguire l'inventario degli elenchi ACL personalizzati, quindi creare gli ambiti di gestione corrispondenti. È possibile utilizzare le proprietà filtrabili disponibili per gli oggetti destinatario, server e database per creare gli ambiti di gestione che comprendono gli oggetti per i quali controllare l'accesso tramite l'ambito di gestione. Per ulteriori informazioni sulle proprietà utilizzabili con i filtri dell'ambito di gestione, vedere Informazioni sui filtri ambito del ruolo di gestione.
Per ulteriori informazioni sulla creazione degli ambiti di gestione, vedere Creazione di un ambito normale o esclusivo.
©2010 Microsoft Corporation. Tutti i diritti riservati.