Informazioni sulle autorizzazioni di coesistenza con Exchange 2007 e Exchange 2010

Si applica a: Exchange Server 2013

Quando si installa Microsoft Exchange Server 2013 in un'organizzazione di Microsoft Exchange Server 2010 o Microsoft Exchange Server 2007 esistente, è necessario sapere come funzioneranno le autorizzazioni nella nuova organizzazione. Leggere di seguito la sezione relativa alla propria organizzazione.

  • Installing Exchange 2013 into an existing Exchange 2010 organization
  • Installing Exchange 2013 into an existing Exchange 2007 organization

Installazione di Exchange 2013 in un'organizzazione di Exchange 2010 esistente

Exchange 2013 usa lo stesso modello di autorizzazioni RBAC (Role Based Controllo di accesso) usato in Exchange 2010. Quando si installa Exchange 2013 in un'organizzazione di Exchange 2010 esistente, gli stessi gruppi di ruoli di gestione, ruoli di gestione e ambiti di gestione si applicano sia ai server che ai destinatari di Exchange 2013 ed Exchange 2010. I membri dei gruppi di ruoli o gli utenti assegnati ai ruoli, possono gestire qualsiasi server Exchange 2013 o Exchange 2013 o destinatario incluso nell'ambito del gruppo di ruoli o ruolo. Se non si utilizzano ambiti nell'organizzazione e si desidera che i membri dei gruppi di ruoli esistenti gestiscano server e destinatari di Exchange 2010 e Exchange 2013, non è necessario fare nient'altro. Gli amministratori saranno in grado di gestire server e destinatari di Exchange 2013 aggiunti all'organizzazione. Se serve un promemoria relativo al funzionamento delle autorizzazioni in Exchange 2010 e Exchange 2013, vedere Autorizzazioni.

Nella nuova organizzazione, si potrebbe desidera rare di separare la gestione dei server e destinatari di Exchange 2010 e Exchange 2013. Il gruppo di amministratori responsabile della gestione dei server e destinatari di Exchange 2010 potrebbe non avere l'autorizzazione alla gestione dei server e destinatari di Exchange 2013 e viceversa. In questo caso, è possibile utilizzare gli ambiti di gestione per definire i server e destinatari per i quali ogni gruppo di amministratori deve avere l'autorizzazione alla gestione. Dopo aver creato gli ambiti desiderati, è possibile copiare i gruppi di ruoli esistenti, aggiungere gli amministratori che ne devono fare parte, quindi aggiungere gli ambiti a questi gruppi di ruoli. Al termine di queste operazioni, i membri di ogni gruppo di ruoli saranno in grado di gestire solo i server e i destinatari che corrispondono ai propri ambiti.

Per ulteriori informazioni su gruppi di ruoli, ambiti, copia dei gruppi di ruoli e aggiunta degli ambiti ai gruppi di ruoli, vedere i seguenti argomenti:

Installazione di Exchange 2013 in un'organizzazione di Exchange 2010 esistente

Exchange 2013 include autorizzazioni del controllo di accesso basato sui ruoli (RBAC, Role Based Access Control) che sostituiscono il modello di autorizzazioni basato sulla voce di controllo di accesso (ACE) di Active Directory in Microsoft Exchange Server 2007. Le autorizzazioni RBAC costituiscono il meccanismo di autorizzazioni utilizzato per la maggior parte della gestione di Exchange 2013. Questo meccanismo comprende le seguenti aree di gestione:

  • Exchange Management Shell
  • Interfaccia di amministrazione di Exchange (EAC)
  • Servizi Web di Exchange

Per ulteriori informazioni su come pianificare la coesistenza tra Exchange 2013 e Exchange 2007, vedere Aggiornamento da Exchange 2007 a Exchange 2013.

Per informazioni sulle attività di gestione correlate alle autorizzazioni, Estrarre Autorizzazioni.

Autorizzazioni in formato Exchange 2013

Il modello delle autorizzazioni RBAC di Exchange 2013 è costituito dai gruppi dei ruoli di gestione a cui viene assegnato uno dei diversi ruoli di gestione. I ruoli di gestione contengono le autorizzazioni che consentono agli amministratori di eseguire le attività nell'organizzazione di Exchange. Gli amministratori vengono aggiunti come membri dei gruppi di ruoli e vengono loro concesse tutte le autorizzazioni previste dai ruoli. Nella tabella seguente viene riportato un esempio dei gruppi di ruoli, di alcuni ruoli assegnati ai gruppi di ruoli e una descrizione del tipo di utente che potrebbe essere membro del gruppo di ruoli.

Esempi di gruppi di ruolo e di ruoli in Exchange 2013

Gruppo dei ruoli di gestione Ruoli di gestione Membri di questo gruppo di ruolo
Gestione organizzazione Di seguito vengono riportati alcuni ruoli assegnati a questo gruppo di ruoli:
  • Elenchi indirizzi
  • Exchange Server
  • Inserimento nel journal
  • Destinatari di posta
  • Cartelle pubbliche
Gli utenti che gestiscono l'intera organizzazione di Exchange 2013 devono essere membri di questo gruppo di ruoli. Con alcune eccezioni, i membri di questo gruppo di ruoli possono gestire quasi tutti gli aspetti dell'organizzazione di Exchange 2013.

Per impostazione predefinita, l'account utente usato per preparare Active Directory per Exchange 2013 è un membro di questo gruppo di ruoli.

Per altre informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati a questo gruppo di ruoli, vedere Gestione dell'organizzazione.
Gestione organizzazione in sola visualizzazione A questo gruppo vengono assegnati i seguenti ruoli:
  • Monitoraggio
  • Configurazione solo visualizzazione
  • Destinatari solo visualizzazione
Gli utenti che visualizzano la configurazione dell'intera organizzazione di Exchange 2013 devono essere membri di questo gruppo di ruoli. Gli utenti devono essere in grado di visualizzare la configurazione del server e le informazioni sui destinatari e di eseguire le funzioni di monitoraggio senza poter modificare la configurazione dell'organizzazione o dei destinatari.

Per altre informazioni su questo gruppo di ruoli, vedere Gestione dell'organizzazione di sola visualizzazione.
Gestione destinatari A questo gruppo vengono assegnati i seguenti ruoli:
  • Gruppi di distribuzione
  • Cartelle pubbliche abilitate alla posta
  • Creazione destinatario di posta
  • Destinatari di posta
  • Verifica dei messaggi
  • Migrazione
  • Spostamento delle cassette postali
  • Criteri del destinatario
Gli utenti che gestiscono destinatari come cassette postali, contatti e gruppi di distribuzione nell'organizzazione di Exchange 2013 devono essere membri di questo gruppo di ruoli. Tali utenti possono creare destinatari, modificare o eliminare destinatari esistenti o spostare cassette postali.

Per altre informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati a questo gruppo di ruoli, vedere Gestione dei destinatari.
Gestione server Di seguito vengono riportati alcuni ruoli assegnati a questo gruppo di ruoli:
  • Database
  • Connettori exchange
  • Exchange Server
  • Connettori di ricezione
  • Code di trasporto
Gli utenti che gestiscono la configurazione del server Exchange, ad esempio connettori di ricezione, certificati, database e directory virtuali, devono essere membri di questo gruppo di ruoli. Questi utenti possono modificare la configurazione del server Exchange, creare database e riavviare e modificare le code di trasporto.

Per altre informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati a questo gruppo di ruoli, vedere Gestione del server.
Gestione individuazione A questo gruppo vengono assegnati i seguenti ruoli:
  • Conservazione legale
  • Ricerca cassette postali
Gli utenti che eseguono ricerche di cassette postali per supportare i procedimenti legali o per configurare le conservazioni legali devono essere membri di questo gruppo di ruoli.

Si tratta di un esempio di gruppo di ruoli che potrebbe contenere amministratori non di Exchange, ad esempio il personale del reparto legale. Il personale legale può eseguire le proprie attività senza l'intervento degli amministratori di Exchange.

Per altre informazioni su questo gruppo di ruoli e per un elenco completo dei ruoli assegnati a questo gruppo di ruoli, vedere Gestione individuazione.

Come mostrato in questa tabella, Exchange 2013 fornisce un controllo preciso sulle autorizzazioni concesse agli amministratori. In Exchange 2013, è possibile scegliere tra 12 gruppi di ruoli. Per un elenco completo dei gruppi di ruoli e delle autorizzazioni fornite, vedere Gruppi di ruoli incorporati.

Siccome Exchange 2013 fornisce molti gruppi di ruoli e siccome è possibile un'ulteriore personalizzazione mediante la creazione dei gruppi di ruoli con diverse combinazioni di ruoli, la gestione degli elenchi di controllo degli accessi (ACL) per gli oggetti Active Directory non è più necessaria e non ha alcuna conseguenza. Gli elenchi ACL non vengono più utilizzati per applicare le autorizzazioni ai singoli amministratori o ai singoli gruppi in Exchange 2013. Tutte le attività, come la creazione di una cassetta postale da parte di un amministratore o l'accesso a una cassetta postale da parte di un utente, vengono gestite dalle autorizzazioni RBAC. Il controllo dell'accesso basato sui ruoli (RBAC) autorizza l'attività, quindi Exchange la esegue per conto dell'utente, se consentita. Exchange esegue l'attività nel gruppo di protezione universale (USG) Sottosistema attendibile di Exchange. Con alcune eccezioni, tutti gli elenchi di controllo di accesso per gli oggetti in Active Directory a cui Exchange 2010 deve accedere vengono concessi al sottosistema attendibile di Exchange USG. Si tratta di una modifica fondamentale della modalità di gestione delle autorizzazioni in Exchange 2007.

Le autorizzazioni concesse a un utente in Active Directory sono separate dalle autorizzazioni concesse all'utente dal controllo dell'accesso basato sui ruoli (RBAC) quando l'utente utilizza gli strumenti di gestione di Exchange 2013.

Per ulteriori informazioni su RBAC, vedere Controllo di accesso basato sui ruoli.

Autorizzazioni in formato Exchange 2007

Per definire i limiti di sicurezza, il modello amministrativo di Exchange 2007 utilizza le foreste di Active Directory. Non esiste alcun isolamento delle autorizzazioni di sicurezza all'interno di una foresta specifica. I proprietari delle foreste e gli amministratori dell'organizzazione possono accedere sempre a tutte le risorse in qualsiasi dominio. In Exchange 2007, può essere necessario concedere solo temporaneamente i diritti agli amministratori dell'organizzazione e agli amministratori del dominio di primo livello.

Exchange 2007 fornisce i seguenti ruoli di amministratore predefiniti:

  • Ruolo amministratore dell'organizzazione di Exchange: questo ruolo concede le autorizzazioni per controllare tutti gli aspetti dell'organizzazione di Exchange 2007. Inoltre, un amministratore che dispone di questo ruolo può concedere le autorizzazioni ad altri amministratori di Exchange. Questo ruolo viene concesso all'account utilizzato per installare Exchange 2007.
  • Ruolo amministratore di Exchange View-Only: questo ruolo concede le autorizzazioni per visualizzare la configurazione di Exchange. Tuttavia, un amministratore che dispone di questo ruolo non può modificare gli oggetti nell'organizzazione di Exchange 2007.
  • Ruolo Amministratore destinatario di Exchange: questo ruolo concede le autorizzazioni per gestire i destinatari della posta elettronica. Un amministratore che dispone di questo ruolo può modificare gli elementi correlati a Exchange per utenti, gruppi, contatti e gruppi di distribuzione.
  • Exchange Server ruolo Amministratore: questo ruolo concede le autorizzazioni per gestire un server specifico. Tuttavia, questo ruolo non concede le autorizzazioni a eseguire le azioni che comportano un impatto globale sull'organizzazione di Exchange 2007.
  • Ruolo amministratore cartelle pubbliche di Exchange: questo ruolo è stato aggiunto in Exchange 2007 Service Pack 1**.** Questo ruolo concede le autorizzazioni per gestire le cartelle pubbliche nell'organizzazione di Exchange 2007.

Questo modello di autorizzazione utilizza gruppi USG per tutti i ruoli, ad eccezione del ruolo Exchange Server Administrator. Quando si esegue il comando Exchange 2007 Setup /PrepareAD, il programma di installazione crea i gruppi USG nel dominio radice e assegna un ambito a livello di foresta ai gruppi USG. Ai gruppi USG vengono assegnati gli elenchi ACL per gestire gli oggetti Exchange in tutto Active Directory.

In Exchange 2007, è possibile separare gli amministratori assegnando loro vari ruoli. Le autorizzazioni vengono assegnate direttamente all'utente o al gruppo USG di cui l'utente è membro. Tutte le azioni eseguite dall'utente si svolgono nel contesto dell'account di Active Directory dell'utente. Nella tabella seguente vengono elencati i ruoli di amministratore di Exchange 2007 con le relative autorizzazioni correlate a Exchange.

Ruoli di amministratore di Exchange 2007

Ruolo di amministratore Membri Membro di Autorizzazioni di Exchange
Amministratore dell'organizzazione di Exchange Account amministratore o account usato per installare il primo server Exchange 2007 Amministratore destinatario di Exchange

Gruppo locale administrators del nome> del< server
Controllo completo del contenitore di Microsoft Exchange in Active Directory
Amministratore di Exchange View-Only Amministratori del destinatario di Exchange

amministratori Exchange Server (<nome> server)
Amministratori del destinatario di Exchange

Amministratori Exchange Server
Accesso in lettura al contenitore di Microsoft Exchange in Active Directory

Accesso in lettura a tutti i domini Windows con destinatari di Exchange
Amministratore destinatario di Exchange Amministratori dell'organizzazione di Exchange Amministratori di Exchange View-Only Controllo completo delle proprietà di Exchange sugli oggetti utente di Active Directory
Amministratore Exchange Server Amministratori dell'organizzazione di Exchange Amministratori di Exchange View-Only

Gruppo locale administrators del nome del< server>
Controllo completo del nome del server Exchange <>
Exchange Server Ogni account computer di Exchange 2007 Amministratori di Exchange View-Only Speciale
Amministratore cartelle pubbliche di Exchange Amministratori dell'organizzazione di Exchange Amministratori di Exchange View-Only Controllo completo per gestire tutte le cartelle pubbliche (con il diritto esteso per la creazione della cartella pubblica principale)

Se è necessario assegnare più precisamente le autorizzazioni, è possibile modificare gli elenchi ACL per i singoli oggetti Exchange 2007, come gli elenchi di indirizzi o i database. È necessario aggiungere l'utente, o il gruppo di sicurezza a cui appartiene l'utente, direttamente all'elenco ACL. Le azioni vengono quindi eseguite nel contesto dell'utente specifico.

Autorizzazioni di coesistenza tra Exchange 2013 ed Exchange 2007

Siccome i modelli delle autorizzazioni per Exchange 2013 e per Exchange 2007 sono diversi, le assegnazioni delle autorizzazioni di Exchange 2013 vengono separate da quelle di Exchange 2007. Ciò accade anche se entrambe le versioni di Exchange sono installate nella stessa foresta. Senza ulteriori attività di configurazione, gli amministratori di Exchange 2013 non dispongono delle autorizzazioni necessarie per gestire server basati su Exchange 2007 e gli amministratori di Exchange 2007 non dispongono delle autorizzazioni necessarie per gestire server basati su Exchange 2013. È necessario considerare le seguenti domande:

  • Si desidera concedere l'accesso agli amministratori di Exchange 2013 per gestire i server Exchange 2007?
  • Si desidera concedere l'accesso agli amministratori di Exchange 2007 per gestire i server Exchange 2013?
  • Si desidera personalizzare le autorizzazioni di Exchange 2013 in modo che corrispondano a tutte le personalizzazioni realizzate per gli elenchi ACL di Exchange 2007?

Concessione delle autorizzazioni di Exchange 2013 agli amministratori di Exchange 2007

Se si desidera che gli amministratori di Exchange 2007 gestiscano i server Exchange 2013, è necessario aggiungere gli amministratori di Exchange 2007 come membri di uno o più gruppi di ruoli di Exchange 2013. Ai gruppi di ruoli è possibile aggiungere utenti o gruppi USG. Le autorizzazioni concesse ai gruppi di ruoli vengono quindi applicate agli utenti o ai gruppi USG aggiunti come membri.

Importante

Se si utilizzano gruppi di protezione di Active Directory per un dominio locale o globale, è necessario modificarli in gruppi di protezione universali (USG) per aggiungerli come membri di un gruppo di ruolo di Exchange 2013. Exchange 2013 supporta solo i gruppi di protezione universali (USG).

Nella tabella seguente viene descritto il mapping tra i ruoli di amministratore di Exchange 2007 e i gruppi di ruoli di Exchange 2013.

Ruoli di amministratore di Exchange 2007 e gruppi di ruoli di Exchange 2010

Ruolo di amministratore di Exchange 2007 Gruppo di ruolo di Exchange 2013
Amministratore dell'organizzazione di Exchange Gestione organizzazione
Amministratore destinatario di Exchange Gestione destinatari
Amministratore Exchange Server Gestione server
Amministratore di Exchange View-Only Gestione organizzazione in sola visualizzazione
Exchange Server Nessun gruppo di ruoli equivalente in Exchange 2013

Per altre informazioni su come creare gruppi di ruoli personalizzati, vedere Gestire i gruppi di ruoli.
Amministratore cartelle pubbliche di Exchange Gestione cartelle pubbliche

Se tutti gli amministratori di Exchange 2007 sono membri di un ruolo amministrativo di Exchange 2007, è possibile aggiungere i membri di ogni gruppo amministrativo al gruppo di ruoli di Exchange 2013 equivalente. Ad esempio, se si desidera concedere a tutti gli amministratori dell'organizzazione di Exchange 2007 l'accesso completo agli oggetti Exchange 2013, aggiungere il gruppo USG Exchange Organization Administrators al gruppo di ruoli Gestione organizzazione.

Per ulteriori informazioni sull'aggiunta degli utenti e dei gruppi USG ai gruppi di ruoli, vedere Gestire i membri del gruppo di ruolo.

Se si modificano gli elenchi ACL per gli oggetti Exchange 2007 per concedere autorizzazioni più precise agli amministratori di Exchange 2007 e si desidera assegnare autorizzazioni simili per i server Exchange 2013 agli amministratori, attenersi alla seguente procedura:

  1. Controllare le personalizzazioni ACL apportate agli oggetti Exchange 2007 e individuare gli amministratori a cui sono state concesse le autorizzazioni per ogni oggetto.

  2. Classificare ogni oggetto Exchange 2007. Ad esempio, stabilire se si tratta di un oggetto database, server o destinatario.

  3. Mappare gli oggetti al gruppo di ruolo di Exchange 2013 corrispondente. Per un elenco dei gruppi di ruoli incorporati, vedere Gruppi di ruoli incorporati.

  4. Aggiungere i gruppi USG o gli utenti per ogni tipo di oggetto ai gruppi di ruoli di Exchange 2013 corrispondenti. Per ulteriori informazioni sull'aggiunta degli utenti e dei gruppi USG ai gruppi di ruoli, vedere Gestire i membri del gruppo di ruolo.

Una volta completata la procedura, gli amministratori di Exchange 2007 saranno membri dello specifico gruppo di ruoli mappato agli oggetti Exchange 2013 appropriati. Gli amministratori di Exchange 2007 possono utilizzare gli strumenti di gestione di Exchange 2013 per gestire i server e i destinatari di Exchange 2013.

Importante

In generale, i server e i destinatari di Exchange 2007 devono essere gestiti mediante gli strumenti di gestione di Exchange 2007, mentre i server e i destinatari di Exchange 2013 mediante gli strumenti di gestione di Exchange 2013.

Se i gruppi di ruoli incorporati non forniscono lo specifico insieme di autorizzazioni che si desidera concedere ad alcuni amministratori, è possibile creare gruppi di ruoli personalizzati. Quando si crea un gruppo di ruoli personalizzato, è possibile selezionare i ruoli da aggiungere al gruppo. È possibile definire le funzionalità specifiche da rendere membri del gruppo di ruoli da gestire. Ad esempio, per fare in modo che gli amministratori gestiscano solo i gruppi di distribuzione, è possibile creare un gruppo di ruoli personalizzato, quindi selezionare solo il ruolo Gruppi di distribuzione. Al termine dell'operazione, i membri del gruppo di ruoli personalizzato possono gestire solo i gruppi di distribuzione. Per ulteriori informazioni sulla creazione dei gruppi di ruolo personalizzati, vedereGestire gruppi di ruoli.

Se si assegnano le autorizzazioni selettive a determinati oggetti Exchange 2007 (ad esempio, consentire agli amministratori di gestire solo specifici database) e se si desidera applicare la stessa configurazione ai server Exchange 2013, vedere "Nuova creazione della personalizzazione ACL di Exchange 2007 utilizzando gli ambiti di gestione in Exchange 2013" più avanti in questo argomento.

Concessione delle autorizzazioni di Exchange 2007 agli amministratori di Exchange 2013

Se si desidera che gli amministratori di Exchange 2013 gestiscano i server Exchange 2007, aggiungere gli amministratori di Exchange 2013 ai gruppi USG o al gruppo di sicurezza corrispondente allo specifico ruolo di amministratore di Exchange 2007. In alternativa, se si dispone delle impostazioni ACL personalizzate, aggiungere gli amministratori agli elenchi ACL appropriati. Quelli di ruoli sono gruppi USG, quindi possono essere aggiunti direttamente ai gruppi USG dei ruoli di amministratore di Exchange 2007.

Una volta terminata l'operazione, gli amministratori di Exchange 2013 saranno membri del ruolo o dei ruoli di amministratore di Exchange 2007 appropriati. Gli amministratori di Exchange 2013 possono utilizzare gli strumenti di gestione di Exchange 2007 per gestire i server e i destinatari di Exchange 2007.

Nuova creazione della personalizzazione ACL di Exchange 2007 utilizzando ambiti di gestione di Exchange 2013

In Exchange 2007, quando si desidera limitare il numero di amministratori di un archivio specifico delle cassette postali, degli utenti specifici o per controllare in quale archivio vengono create le cassette postali, è necessario modificare gli elenchi ACL per gli oggetti che si desidera limitare. Exchange 2013 fornisce le stesse capacità, ma senza la necessità di modificare gli elenchi ACL. L'operazione viene eseguita utilizzando gli ambiti di gestione, un componente del controllo dell'accesso basato sui ruoli (RBAC).

Gli ambiti di gestione forniscono ambiti incorporati e personalizzati per definire gli oggetti gestibili dagli amministratori. Applicando gli ambiti di gestione, è possibile definire i destinatari amministrabili, in quali database vengono create le cassette postali e i destinatari o i server amministrati solo da un piccolo gruppo di amministratori.

È possibile creare i seguenti tipi di ambiti di gestione:

  • Relativo predefinito: gli ambiti relativi predefiniti sono inclusi in Exchange 2013. È possibile controllare l'ambito di visualizzazione e le modifiche apportate da un utente. Ad esempio, gli ambiti relativi predefiniti consentono di controllare se gli utenti visualizzano solo le informazioni personali o le informazioni sull'intera organizzazione.

  • Destinatario: gli ambiti del destinatario controllano i destinatari che un amministratore può creare, modificare o eliminare. Queste selezioni possono essere basate su un'unità organizzativa (OU), un filtro destinatari o entrambi. I filtri destinatari specificano i criteri a cui deve corrispondere un destinatario per essere incluso nell'ambito. Ad esempio, è possibile creare un ambito di filtro destinatari che comprenda tutti gli utenti di una determinata posizione o di un reparto specifico. È possibile anche combinare le unità organizzative (OU) e i filtri destinatari in modo che corrispondano solo agli utenti che si trovano all'interno di una specifica unità organizzativa e che rispondono a un manager specifico.

  • Server: gli ambiti del server controllano i server che un amministratore può gestire. È possibile specificare gli elenchi o i filtri di server. Per gli elenchi di server, definire un elenco statico di server gestibili. I filtri di server funzionano come i filtri destinatari, in cui è possibile specificare i criteri da soddisfare. Ad esempio, è possibile creare un ambito di server che corrisponda a tutti i server di un sito di Active Directory specifico.

  • Database: gli ambiti del database controllano i database che un amministratore può gestire. Consentono di controllare anche i database in cui possono essere create le cassette postali o i database in cui possono essere spostate le cassette postali. Come gli ambiti di server, possono essere definiti come elenchi o filtri. Ad esempio, è possibile creare un elenco o un filtro che consenta agli amministratori di creare o spostare le cassette postali in specifici database delle cassette postali gestiti da una determinata filiale.

  • Esclusivo: gli ambiti del destinatario, del server e del database possono essere creati anche come ambiti esclusivi. Gli ambiti esclusivi funzionano come le voci ACE di negazione negli elenchi ACL. Se un oggetto corrisponde a un ambito esclusivo, solo gli amministratori assegnati a un ambito esclusivo possono gestire l'oggetto. Questa condizione è vera anche se un altro ambito non esclusivo corrisponde allo stesso oggetto. Questa soluzione risulta particolarmente utile quando si desidera che solo poche persone molto attendibili siano in grado di gestire la cassetta postale di un dirigente. Anche se un altro ambito di destinatari normale è più ampio e comprende la cassetta postale del dirigente, gli amministratori a cui è stato assegnato l'ambito non saranno in grado di gestire la cassetta postale del dirigente, a meno che non sia stato assegnato loro anche l'ambito esclusivo.

Gli ambiti di gestione vengono utilizzati con i ruoli di gestione, le assegnazioni dei ruoli di gestione e i gruppi dei ruoli di gestione per controllare chi può gestire gli oggetti e in che modo è possibile gestirli. Per ulteriori informazioni, vedere i seguenti argomenti:

Per creare lo stesso modello delle autorizzazioni in Exchange 2013 utilizzando gli ambiti di gestione definiti utilizzando gli elenchi ACL personalizzati, è necessario eseguire l'inventario degli elenchi ACL personalizzati, quindi creare gli ambiti di gestione corrispondenti. È possibile utilizzare le proprietà filtrabili disponibili per gli oggetti destinatario, server e database per creare gli ambiti di gestione che comprendono gli oggetti per i quali controllare l'accesso tramite l'ambito di gestione. Per ulteriori informazioni sulle proprietà utilizzabili con i filtri dell'ambito di gestione, vedere Informazioni sui filtri di ambito di gestione dei ruoli.

Per ulteriori informazioni sulla creazione degli ambiti di gestione, vedere Creare un ambito normale o esclusivo.