다중 포리스트 사용 권한 이해

적용 대상: Exchange Server 2013

대부분의 조직은 조직 내에 보안 경계를 만들기 위해 여러 포리스트를 배포합니다. 여러 포리스트를 사용하면 관리자는 가장 적은 수의 사용자가 리소스에 액세스할 수 있게 하는지 아니면 조직 내의 사업부를 구분하는지 여부에 상관없이 자신의 요구 사항과 더 잘 일치하도록 이러한 보안 경계를 정의할 수 있습니다.

Microsoft Exchange Server 2013은 다음과 같은 두 가지 유형의 다중 포리스트 토폴로지를 지원합니다.

  • 포리스트 간: 포리스트 간 토폴로지에는 각각 고유한 Exchange 설치가 있는 여러 포리스트가 있을 수 있습니다.

  • 리소스 포리스트: 리소스 포리스트 토폴로지에는 Exchange 포리스트와 하나 이상의 계정 포리스트가 있습니다.

이 항목의 경우에는 Exchange 2013이 설치된 포리스트의 외부에 있는 사용자 및 USG(유니버설 보안 그룹)를 포함하는 포리스트를 계정 포리스트인지 아니면 다른 리소스 포리스트인지 여부에 상관없이 외부 포리스트라고 합니다.

다중 포리스트 토폴로지에서 사용 권한을 구성하려면 연결된 사서함 작성을 위한 포리스트 트러스트 및 GAL(전체 주소 목록) 동기화가 올바르게 구성되어 있어야 합니다. Exchange 2013 포리스트는 연결된 역할 그룹과 연관된 USG 및 연결된 사서함과 연관된 사용자를 포함하는 외부 포리스트를 신뢰해야 합니다.

Exchange 2013은 RBAC(역할 기반 액세스 제어) 사용 권한 모델을 사용합니다. 관리자가 구성원인 관리 역할 그룹 및 최종 사용자에게 할당된 관리 역할 할당 정책은 각 관리자와 최종 사용자가 수행할 수 있는 작업을 결정합니다. 다중 포리스트 사용 권한을 이해하려면 RBAC에 익숙해야 합니다. RBAC, 역할 그룹 및 역할 할당 정책에 대한 자세한 내용은 다음 항목을 참조하십시오.

여러 포리스트 토폴리지의 사용 권한

RBAC는 단일 포리스트 내의 모든 Exchange 개체에 사용 권한을 적용하고 각 포리스트의 RBAC 구성은 다른 모든 포리스트에 독립적으로 구성됩니다. 하나의 포리스트에서 역할 그룹을 만들 경우 해당 역할 그룹은 다른 모든 포리스트에 존재하지 않으며 해당 역할 그룹에 의해 부여된 사용 권한은 역할 그룹이 만들어진 포리스트에만 적용됩니다. 예를 들어 사서함을 만들기 위해 사용 권한을 부여하는 역할 그룹의 구성원은 해당 역할 그룹을 포함하는 포리스트에만 사서함을 만들 수 있습니다.

여러 Exchange 포리스트가 있는 경우 각 포리스트 내에서 동일하게 사용 권한을 구성하려면 각 포리스트에서 명시적으로 동일한 구성을 적용해야 합니다. 예를 들어 Exchange 2013 포리스트가 두 개 있는 경우 규정 준수 관리 역할 그룹을 만들어 법률 자문 부서의 사용 권한을 관리하려면 다음을 수행해야 합니다.

  • 각 포리스트에서 규격 관리라는 역할 그룹을 만듭니다. 관리자가 둘 중 하나의 Exchange 포리스트와 별개인 외부 포리스트에 있는 경우 역할 그룹 둘 다를 연결된 역할 그룹으로 만듭니다. 역할 그룹에 대한 자세한 내용은 경계 간 권한 섹션을 참조하세요.
  • 각 포리스트에서 새 역할 그룹 및 사용할 역할 간의 역할 할당을 만듭니다.
  • 원하는 경우 새 역할 할당의 일부로 각 포리스트 내의 서버 및 받는 사람 개체를 포함하는 관리 범위를 추가합니다.
  • 역할 그룹을 연결된 역할 그룹으로 만든 경우 외부 포리스트에서 연관된 USG에 구성원을 추가합니다.

다음 그림에서는 Exchange 2013 포리스트 내에 구성된 역할 그룹이 해당 포리스트에 바인딩되는 방법을 보여 줍니다. Exchange 2013 포리스트 A의 조직 관리 역할 그룹은 포리스트 내에 있는 사서함 및 서버를 관리하기 위해서만 사용 권한을 부여합니다. 마찬가지로 Exchange 2013 포리스트 B의 역할 그룹은 해당 포리스트 내의 사서함 및 서버에만 사용 권한을 부여합니다.

또한 이 그림은 사용자 지정 역할 그룹 A가 각 포리스트에서 만들어지는 것을 보여 줍니다. 같은 이름을 사용하여 만들었지만 각각은 고유한 별개의 엔터티입니다. 실제로 그림에 나온 것처럼 해당 포리스트에서 서로 다른 관리 역할이 각각에 할당될 수 있습니다. Exchange 2013 포리스트 A의 사용자 지정 역할 그룹 A에는 사서함 검색 및 메시지 추적 역할이 할당되고 Exchange 2013 포리스트 B의 사용자 지정 역할 그룹 A에는 사서함 검색 및 보유 관리 역할이 할당됩니다.

마지막으로 각 포리스트에 만들어진 관리 범위는 포리스트에 의해 제약을 받습니다. 각 포리스트에 만들어진 서버 범위는 해당 포리스트의 구성원인 서버만 포함할 수 있습니다. 서버 범위 A는 Exchange 2013 포리스트 A 내의 서버만 포함할 수 있지만 서버 범위 B는 Exchange 2013 포리스트 B 내에 있는 서버만 포함할 수 있습니다. 마찬가지로 Exchange 2013 포리스트 B의 받는 사람 범위에는 Exchange 2013 포리스트 B 내에 있는 사서함만 포함될 수 있습니다.

RBAC 및 포리스트 경계 범위 관계입니다.

경계 간 사용 권한

RBAC에 의해 부여된 사용 권한은 사용자가 특정 포리스트 내의 Exchange 개체를 보거나 수정하는 것만 허용합니다. 그러나 포리스트의 Exchange 개체를 보거나 수정하는 권한을 해당 포리스트 외부의 사용자에 부여할 수 있습니다. 경계 간 사용 권한을 사용하면 작업을 수행하기 위해 각 개별 포리스트에 대해 인증할 필요 없이 Exchange 관리 계정을 단일 포리스트에서 중앙 집중화할 수 있습니다.

참고

Exchange 포리스트 외부의 사용자에게 부여되는 사용 권한은 여전히 해당 특정 Exchange 포리스트에만 적용됩니다. 예를 들어 외부 포리스트의 사용자가 ForestA에 있는 조직 관리 연결된 역할 그룹의 구성원인 경우 사용자는 ForestA 내에 포함된 Exchange 개체만 관리할 수 있습니다. 각 포리스트를 관리하기 위한 사용 권한이 부여되려면 사용자는 각 Exchange 포리스트에 있는 연결된 역할 그룹의 구성원이 되어야 합니다.

경계 간 사용 권한을 사용하여 사서함은 Exchange 포리스트에 있지만 사용자 계정은 계정 포리스트에 상주하는 사용자의 사서함에 역할 할당 정책을 적용할 수도 있습니다. Exchange 2013은 다음 섹션에서 설명하는 연결된 역할 그룹과 연결된 사서함을 사용하여 경계 간 사용 권한을 지원합니다.

관리 권한

관리 권한은 연결된 역할 그룹 및 연결된 사서함을 사용하여 포리스트 경계를 지나 부여됩니다.

연결된 역할 그룹은 Exchange 2013 조직에서 만들어지고 외부 포리스트의 포리스트 경계를 지나 USG에 연결됩니다. 연결된 역할 그룹이 연결되는 USG는 다음 중 하나일 수 있습니다.

  • 연결된 역할 그룹의 특정 사용을 위한 전용 USG
  • 다중 Exchange 2013 포리스트의 연결된 역할 그룹에 의해 연결되는 USG
  • 다른 Exchange 2013 포리스트에 있는 역할 그룹 USG
  • Exchange Server 2007 관리 역할 또는 Exchange 2010 역할 그룹과 연결된 USG

연결된 역할 그룹이 연결되는 USG는 다른 포리스트에 있어야 합니다. 연결된 역할 그룹을 동일한 포리스트의 USG에 연결할 수 없습니다.

다음 그림에서는 계정 포리스트의 USG가 하나 이상의 Exchange 2013 리소스 포리스트에 있는 역할 그룹과 연관될 수 있다는 것을 보여 줍니다. 계정 포리스트에 있는 USG의 구성원은 실제로 USG를 통해 역할 그룹의 구성원이 됩니다.

연결된 역할 그룹 및 USG 관계.

연결된 역할 그룹을 만들 경우 Exchange 2013 포리스트의 연결된 역할 그룹에 역할을 할당합니다. 연결된 역할 그룹에 역할을 연관시키는 할당은 필요한 경우 관리 범위를 포함할 수 있습니다. 이러한 범위는 연결된 역할 그룹이 만들어진 포리스트로 제한됩니다.

연결된 역할 그룹의 구성원 자격은 외부 포리스트의 USG에서 구성원을 추가 및 제거하여 관리합니다. 이 USG에 구성원을 추가할 경우 Exchange 2013 포리스트의 연결된 역할 그룹에 할당된 사용 권한이 부여됩니다. 여러 연결된 역할 그룹을 동일한 USG와 연결한 경우 각 Exchange 2013 포리스트의 각 연결된 역할 그룹에 할당된 사용 권한이 해당 USG의 구성원에게 부여됩니다.

Exchange 2013 포리스트에서 연결된 역할 그룹의 구성원 자격을 관리할 수는 없습니다.

포리스트 경계를 지나 관리 권한을 할당하는 두 번째 방법은 연결된 사서함을 사용하는 것입니다. 계정 포리스트에 있는 사용자가 별개의 Exchange 2013 리소스 포리스트에서 Exchange 2013 배포를 사용하게 하려면 각 사용자에 대한 연결된 사서함을 구성해야 합니다. 연결된 사서함을 Exchange 2013 포리스트 내의 역할 그룹에 구성원으로 추가할 수 있습니다. 연결된 사서함이 역할 그룹의 구성원이 될 경우 해당 연결된 사서함 및 연결된 사서함과 연관된 계정 포리스트의 사용자에게 역할 그룹이 제공하는 사용 권한이 부여됩니다.

다음 그림에서는 계정 포리스트의 사용자, 이러한 사용자와 연관된 연결된 사서함 및 사용자가 구성원으로 속하는 역할 그룹 간의 관계를 보여 줍니다.

역할 그룹 및 연결된 사서함 관계.

연결된 역할 그룹 및 연결된 사서함은 둘 다 포리스트 경계를 지나 관리 권한을 할당하는 데 사용될 때 장점과 단점이 있습니다. 다음 표에서는 일부 장점과 단점을 설명합니다.

연결된 역할 그룹 및 연결된 사서함의 장점과 단점

연결된 역할 그룹 또는 연결된 사서함 이점 단점은
연결된 역할 그룹 여러 Exchange 2013 포리스트의 여러 연결된 역할 그룹을 계정 포리스트 또는 다른 Exchange 리소스 포리스트의 단일 USG에 연결할 수 있습니다. 이렇게 하면 단일 포리스트의 작은 USG 집합을 통해 복잡한 Exchange 포리스트 토폴로지를 관리할 수 있습니다. 일반 역할 그룹을 연결된 역할 그룹으로 변환할 수 없습니다. 포리스트 경계를 지나 부여하려는 사용 권한을 가진 각 일반 역할 그룹을 대체하려면 연결된 역할 그룹을 수동으로 만들어야 합니다. 자세한 내용은 Configure cross-boundary permissions을 참조하십시오.
연결된 사서함 연결된 사서함을 사용하면 Exchange 포리스트 내의 기존 역할 그룹을 사용할 수 있습니다. 연결된 사서함은 일반 사서함, USG 및 동일한 Exchange 포리스트의 사용자와 마찬가지로 기존 역할 그룹에 구성원으로 추가됩니다. 계정 포리스트의 단일 사용자에 연결된 연결된 사서함을 사용하여 여러 Exchange 2013 포리스트에 권한을 부여하는 경우 사용자에게 부여된 권한을 수정하려면 각 Exchange 2013 포리스트에서 역할 그룹 멤버 자격을 수정해야 합니다.

여러 Exchange 리소스 포리스트를 가질 계획인 경우 연결된 역할 그룹을 사용하여 포리스트 경계를 지나 사용 권한을 부여하는 것이 좋습니다.

최종 사용자 권한

최종 사용자 권한은 역할 할당 정책을 사용하여 개별 사서함에 할당됩니다. Exchange 2013이 리소스 포리스트에 설치된 경우 연결된 사서함이 리소스 포리스트에 만들어지고 계정 포리스트의 사용자 계정과 연관됩니다.

연결된 사서함이 만들어지면 일반 사서함과 같이 기본 역할 할당 정책에 연결된 사서함이 할당됩니다. 역할 할당 정책은 사서함에 부여되는 최종 사용자 권한을 결정합니다. 이러한 사용 권한을 통해 사용자는 다음 및 기타 기능과 관련된 설정을 보고 수정할 수 있습니다.

  • 최종 사용자 프로필 정보
  • 최종 사용자 음성 메일
  • 최종 사용자 배포 구성원 자격 및 소유권

역할 할당 정책이 연결된 사서함에 할당된 경우 연결된 사서함과 연관된 계정 포리스트의 사용자는 자신이 사용할 수 있는 기능을 관리하기 위한 사용 권한이 부여됩니다. 사용 권한은 연결된 사서함이 있는 Exchange 포리스트의 리소스에만 적용됩니다. 다음 그림에서는 계정 포리스트의 최종 사용자, 연관되어 있는 연결된 사서함 및 연결된 사서함에 할당된 역할 할당 정책 간의 관계를 보여 줍니다. 또한 계정 포리스트의 관리 사용자와 연관되어 있는 연결된 사서함은 역할 할당 정책 외에 여러 역할 그룹과 연관될 수 있습니다.

역할 그룹 및 할당 정책 관계.

경계 간 사용 권한 구성

다중 포리스트 토폴로지에서 경계 간 사용 권한을 구성하려면 외부 포리스트의 USG에 연결할 각 역할 그룹에 대한 연결된 역할 그룹을 만들어야 합니다. 이는 각 기본 제공 역할 그룹에 대한 연결된 역할 그룹을 만들어야 한다는 것을 의미합니다. 다음을 수행해야 합니다.

  1. 만들려는 각 연결된 역할 그룹에 대한 USG를 외부 포리스트에서 만듭니다. 사용 권한을 부여할 구성원을 이 USG에 추가합니다.

  2. 각 기본 제공 역할 그룹에 대한 연결된 역할 그룹을 만듭니다. 연결된 역할 그룹을 만들면 다음 상황이 발생합니다.

    • 기본 제공 역할 그룹에 할당된 동일한 역할이 새 연결된 역할 그룹에 할당됩니다.
    • 연결된 역할 그룹은 외부 포리스트의 USG와 연관됩니다.
  3. 만들어진 사용자 지정 역할 그룹에 대한 연결된 역할 그룹을 만듭니다.

  4. 필요에 따라 사용자 지정 범위를 새 연결된 역할 그룹에 할당합니다.

이러한 단계를 수행하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

연결된 역할 그룹이 연관되는 USG를 변경하려면 연결 된 역할 그룹 관리을 참조하십시오.

연결된 사서함이 만들어지면 역할 할당 정책에 자동으로 할당됩니다. 연결된 사서함에 할당되는 역할 할당 정책을 변경하거나 사서함이 만들어질 때 기본적으로 사서함에 할당되는 역할 할당 정책을 변경할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.