Share via

사용 권한 분할에 대해 Exchange 2010 구성

  • 아티클

적용 대상: Exchange Server 2010

마지막으로 수정된 항목: 2009-10-07

사용 권한을 분할하면 Active Directory 관리자 및 Microsoft Exchange Server 2010 관리자와 같은 별개의 두 그룹에서 각자의 서비스, 개체 및 특성을 관리할 수 있습니다. Active Directory 관리자는 Active Directory 포리스트에 대한 액세스 권한을 제공하는 사용자 등의 보안 주체를 관리합니다. Exchange 관리자는 Active Directory 개체에 대한 Exchange 관련 특성을 관리하고 Exchange 관련 개체를 만들고 관리합니다.

사용 권한 공유 및 분할에 대한 자세한 내용은 사용 권한 분할 이해를 참조하십시오.

사용 권한 분할에 맞게 Exchange 2010 조직을 구성할 수 있습니다. 구성이 완료되면 Active Directory 관리자만 Active Directory 보안 주체를 만들 수 있습니다. 즉, Exchange 관리자는 다음 cmdlet을 사용할 수 없습니다.

  • New-Mailbox
  • New-MailUser
  • New-MailContact
  • New-LinkedUser
  • Remove-Mailbox
  • Remove-MailUser
  • Remove-MailContact
  • Remove-LinkedUser
  • Add-MailboxPermission
  • Add-MailboxFolderPermission

Exchange 관리자는 기존 Active Directory 보안 주체의 Exchange 특성만 관리할 수 있습니다. 하지만 전송 규칙 및 메일 그룹과 같은 Exchange 관련 개체는 만들고 관리할 수 있습니다.

관리 역할 그룹, 관리 역할과, 일반 및 위임 관리 역할 할당에 대한 자세한 내용은 다음 항목을 참조하십시오.

사용 권한과 관련된 다른 관리 작업에 대한 자세한 내용은 고급 사용 권한 관리를 참조하십시오.

셸을 사용하여 사용 권한 분할에 맞게 Exchange 2010 구성

이 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 사용 권한을 확인하려면 다음을 참조하십시오. 역할 관리 권한의 "역할 그룹" 항목

참고

사용 권한 분할을 구성하는 데에는 EMC를 사용할 수 없습니다.

사용 권한 분할에 맞게 Exchange 2010을 구성하려면 Mail Recipient Creation 역할과 Security Group Creation and Membership을 Active Directory 관리자인 구성원이 포함된 역할 그룹에 할당해야 합니다. 그런 다음 그러한 역할 및 Exchange 관리자가 포함된 모든 역할 그룹 또는 USG(유니버설 보안 그룹) 사이에서 할당을 제거해야 합니다.

사용 권한 분할을 구성하려면 다음을 수행합니다.

  1. Active Directory 관리자의 역할 그룹을 만듭니다. 이 명령은 역할 그룹을 만드는 것 외에도 새 역할 그룹과 Mail Recipient Creation 역할 및 Security Group Creation and Membership 역할 사이에 일반 역할 할당을 만듭니다.

    New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"

  2. 다음 명령을 사용하여 새 역할 그룹과 Mail Recipient Creation 역할 사이에 위임 역할 할당을 만듭니다.

    New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating

  3. 다음 명령을 사용하여 새 역할 그룹과 Security Group Creation and Membership 역할 사이에 위임 역할 할당을 만듭니다.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating

  4. 다음 명령을 사용하여 새 역할 그룹에 구성원을 추가합니다.

    Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>

  5. 역할 그룹 구성원만 구성원을 추가 또는 제거할 수 있도록 새 역할 그룹에서 위임 목록을 바꿉니다.

    Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"

    중요

    조직 관리 역할 그룹 구성원이나 직접 또는 다른 역할 그룹이나 USG를 통해 역할 관리 역할이 할당된 사용자는 이 위임 보안 검사를 무시할 수 있습니다. Exchange 관리자가 새 역할 그룹에 자신을 추가하지 못하게 하려면 역할 관리 역할과 Exchange 관리자 사이의 모든 역할 할당을 제거하고 관리자를 다른 그룹에 할당해야 합니다.

  6. 다음 명령을 사용하여 Mail Recipient Creation 역할에 대한 일반 및 위임 역할 할당을 모두 찾습니다.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation"

  7. 다음 명령을 사용하여 유지하고자 하는 새 역할 그룹이나 다른 역할 그룹, USG 또는 직접 할당과 관련되지 않은 Mail Recipient Creation 역할에 대한 일반 및 위임 역할 할당을 모두 제거합니다.

    Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>

  8. 다음 명령을 사용하여 Security Group Creation and Management 역할에 대한 일반 및 위임 역할 할당을 모두 찾습니다.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Management"

  9. 다음 명령을 사용하여 유지하고자 하는 새 역할 그룹이나 다른 역할 그룹, USG 또는 직접 할당과 관련되지 않은 Security Group Creation and Management 역할에 대한 일반 및 위임 역할 할당을 모두 제거합니다.

    Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>

구문 및 매개 변수에 대한 자세한 내용은 다음 항목을 참조하십시오.