사용 분할 권한 이해

적용 대상: Exchange Server 2013

Microsoft Exchange Server 2013 개체 및 Active Directory 개체의 관리를 분리하는 조직은 분할 권한 모델이라고 하는 것을 사용합니다. 분할 권한을 사용하면 조직에서 특정 사용 권한 및 관련 작업을 조직에 있는 특정 그룹에 할당할 수 있습니다. 이 방식으로 작업을 구분하면 표준 및 워크플로를 유지 관리하고 조직 내의 변경을 제어하는 데 도움이 됩니다.

가장 높은 수준의 분할 권한은 Exchange 관리 및 Active Directory 관리의 분리입니다. 많은 조직에는 서버 및 받는 사람을 포함하여 조직의 Exchange 인프라를 관리하는 관리자와 Active Directory 인프라를 관리하는 관리자라는 두 개의 그룹이 있습니다. Active Directory 인프라는 많은 위치, 도메인, 서비스, 애플리케이션 및 Active Directory 포리스트에 걸쳐 있는 경우가 많기 때문에 많은 조직에서 중요한 분리입니다. Active Directory 관리자는 Active Directory에 대한 변경 내용이 다른 서비스에 부정적인 영향을 주지 않도록 해야 합니다. 따라서 일반적으로 소수의 관리자 그룹만 해당 인프라를 관리할 수 있습니다.

동시에 서버 및 받는 사람을 포함한 Exchange용 인프라도 복잡할 수 있으며 전문 지식이 필요할 수 있습니다. 또한 Exchange는 조직의 비즈니스에 대한 매우 기밀 정보를 저장합니다. Exchange 관리자는 잠재적으로 이 정보에 액세스할 수 있습니다. 조직에서는 Exchange 관리자 수를 제한하여 Exchange 구성을 변경할 수 있는 사용자와 중요한 정보에 액세스할 수 있는 사용자를 제한합니다.

분할 권한은 일반적으로 사용자 및 보안 그룹과 같은 Active Directory의 보안 주체 생성과 해당 개체의 후속 구성을 구분합니다. 이렇게 하면 액세스 권한을 부여하는 개체를 만들 수 있는 사용자를 제어하여 네트워크에 대한 무단 액세스 가능성을 줄일 수 있습니다. 대부분의 경우 Active Directory 관리자만 보안 주체를 만들 수 있지만 Exchange 관리자와 같은 다른 관리자는 기존 Active Directory 개체의 특정 특성을 관리할 수 있습니다.

Exchange 및 Active Directory의 관리를 구분해야 하는 다양한 요구 사항을 지원하기 위해 Exchange 2013에서는 공유 권한 모델 또는 분할 권한 모델을 사용할지 여부를 선택할 수 있습니다. Exchange 2013은 RBAC 및 Active Directory라는 두 가지 유형의 분할 권한 모델을 제공합니다. Exchange 2013은 기본적으로 공유 권한 모델로 설정됩니다.

역할 기반 Access Control 및 Active Directory에 대한 설명

분할 권한을 이해하려면 Exchange 2013의 RBAC(역할 기반 Access Control) 권한 모델이 Active Directory에서 작동하는 방식을 이해해야 합니다. RBAC 모델은 수행할 수 있는 작업 및 해당 작업을 수행할 수 있는 개체를 제어합니다. 이 항목에서 설명하는 RBAC의 다양한 구성 요소에 대한 자세한 내용은 역할 기반 Access Control 이해를 참조하세요.

Exchange 2013에서는 Exchange 개체에서 수행되는 모든 작업은 Exchange 관리 셸 또는 EAC(Exchange 관리 센터) 인터페이스를 통해 수행해야 합니다. 이러한 두 관리 도구는 모두 RBAC를 사용하여 수행되는 모든 작업에 권한을 부여합니다.

RBAC는 Exchange 2013을 실행하는 모든 서버에 존재하는 구성 요소입니다. RBAC는 작업을 수행하는 사용자에게 다음을 수행할 권한이 있는지 확인합니다.

  • 사용자에게 작업을 수행할 권한이 없는 경우 RBAC는 작업을 진행할 수 없습니다.

  • 사용자에게 작업을 수행할 권한이 있는 경우 RBAC는 사용자가 요청되는 특정 개체에 대해 작업을 수행할 권한이 있는지 확인합니다.

    • 사용자에게 권한이 부여되면 RBAC는 작업을 진행할 수 있도록 허용합니다.

    • 사용자에게 권한이 없는 경우 RBAC는 작업을 진행하도록 허용하지 않습니다.

RBAC가 작업을 진행할 수 있도록 허용하는 경우 작업은 사용자의 컨텍스트가 아닌 Exchange 신뢰할 수 있는 하위 시스템의 컨텍스트에서 수행됩니다. Exchange 신뢰할 수 있는 하위 시스템은 Exchange 조직의 모든 Exchange 관련 개체에 대한 읽기/쓰기 액세스 권한이 있는 매우 권한 있는 USG(유니버설 보안 그룹)입니다. 또한 Exchange에서 Active Directory 개체를 만들고 관리할 수 있도록 하는 Administrators 로컬 보안 그룹 및 Exchange Windows 권한 USG의 구성원이기도 합니다.

경고

Exchange 신뢰할 수 있는 하위 시스템 보안 그룹의 멤버 자격을 수동으로 변경하지 마세요. 또한 ACL(개체 액세스 제어 목록)에 추가하거나 제거하지 마세요. Exchange 신뢰할 수 있는 하위 시스템 USG를 직접 변경하면 Exchange 조직에 돌이킬 수 없는 손상이 발생할 수 있습니다.

Exchange 관리 도구를 사용할 때 사용자에게 어떤 Active Directory 권한이 있는지는 중요하지 않다는 것을 이해하는 것이 중요합니다. 사용자에게 RBAC를 통해 Exchange 관리 도구에서 작업을 수행할 권한이 있는 경우 사용자는 자신의 Active Directory 권한에 관계없이 작업을 수행할 수 있습니다. 반대로 사용자가 Active Directory의 엔터프라이즈 관리 Exchange 관리 도구에서 사서함 만들기와 같은 작업을 수행할 권한이 없는 경우 사용자에게 RBAC에 따라 필요한 권한이 없기 때문에 작업이 성공하지 못합니다.

중요

RBAC 권한 모델은 Active Directory 사용자 및 컴퓨터 관리 도구에 적용되지 않지만 Active Directory 사용자 및 컴퓨터 Exchange 구성을 관리할 수 없습니다. 따라서 사용자가 Active Directory 개체의 일부 특성(예: 사용자 표시 이름)을 수정할 수 있는 액세스 권한이 있을 수 있지만 사용자는 Exchange 관리 도구를 사용해야 하므로 EXCHANGE 특성을 관리하려면 RBAC에서 권한을 부여해야 합니다.

공유 권한

공유 권한 모델은 Exchange 2013의 기본 모델입니다. 사용하려는 권한 모델인 경우 아무것도 변경할 필요가 없습니다. 이 모델은 Exchange 관리 도구 내에서 Exchange 및 Active Directory 개체의 관리를 분리하지 않습니다. 관리자는 Exchange 관리 도구를 사용하여 Active Directory에서 보안 주체를 만들 수 있습니다.

다음 표에는 기본적으로 할당되는 Exchange 및 관리 역할 그룹에서 보안 주체를 만들 수 있는 역할을 보여 줍니다.

관리 역할 역할 그룹
Mail Recipient Creation 역할 조직 관리

Recipient Management

보안 그룹 만들기 및 멤버 자격 역할 조직 관리

메일 받는 사람 만들기 역할이 할당된 역할 그룹, 사용자 또는 USG만 Active Directory 사용자와 같은 보안 주체를 만들 수 있습니다. 기본적으로 조직 관리 및 받는 사람 관리 역할 그룹에는 이 역할이 할당됩니다. 따라서 이러한 역할 그룹의 멤버는 보안 주체를 만들 수 있습니다.

보안 그룹 만들기 및 멤버 자격 역할이 할당된 역할 그룹, 사용자 또는 USG만 보안 그룹을 만들거나 멤버 자격을 관리할 수 있습니다. 기본적으로 조직 관리 역할 그룹에만 이 역할이 할당됩니다. 따라서 조직 관리 역할 그룹의 구성원만 보안 그룹의 멤버 자격을 만들거나 관리할 수 있습니다.

다른 사용자가 보안 주체를 만들 수 있도록 하려면 메일 받는 사람 만들기 역할 및 보안 그룹 만들기 및 멤버 자격 역할을 다른 역할 그룹, 사용자 또는 USG에 할당할 수 있습니다.

Exchange 2013에서 기존 보안 주체의 관리를 사용하도록 설정하기 위해 메일 받는 사람 역할은 기본적으로 조직 관리 및 받는 사람 관리 역할 그룹에 할당됩니다. 메일 받는 사람 역할이 할당된 역할 그룹, 사용자 또는 USG만 기존 보안 주체를 관리할 수 있습니다. 다른 역할 그룹, 사용자 또는 USG가 기존 보안 주체를 관리할 수 있도록 하려면 메일 받는 사람 역할을 할당해야 합니다.

역할 그룹, 사용자 또는 USG에 역할을 추가하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.

분할 권한 모델로 전환하고 공유 권한 모델로 다시 변경하려는 경우 공유 권한에 대한 Exchange 2013 구성을 참조하세요.

분할 권한

조직에서 Exchange 관리 및 Active Directory 관리를 분리하는 경우 분할 권한 모델을 지원하도록 Exchange를 구성해야 합니다. 올바르게 구성된 경우 Active Directory 관리자와 같은 보안 주체를 만들려는 관리자만 이 작업을 수행할 수 있으며 Exchange 관리자만 기존 보안 주체에서 Exchange 특성을 수정할 수 있습니다. 이 권한 분할은 Active Directory의 도메인 및 구성 파티션 줄에 따라 대략적으로 적용됩니다. 파티션을 명명 컨텍스트라고도 합니다. 도메인 파티션은 특정 도메인에 대한 사용자, 그룹 및 기타 개체를 저장합니다. 구성 파티션은 Exchange와 같은 Active Directory를 사용한 서비스에 대한 포리스트 전체 구성 정보를 저장합니다. 도메인 파티션에 저장된 데이터는 일반적으로 Active Directory 관리자가 관리하지만 개체에는 Exchange 관리자가 관리할 수 있는 Exchange 관련 특성이 포함될 수 있습니다. 구성 파티션에 저장된 데이터는 이 파티션에 데이터를 저장하는 각 서비스에 대해 관리자가 관리합니다. Exchange의 경우 일반적으로 Exchange 관리자입니다.

Exchange 2013은 다음 두 가지 유형의 분할 권한을 지원합니다.

  • RBAC 분할 권한: Active Directory 도메인 파티션에서 보안 주체를 만들 수 있는 권한은 RBAC에 의해 제어됩니다. Exchange 서버, 서비스 및 적절한 역할 그룹의 구성원만이 보안 주체를 만들 수 있습니다.

  • Active Directory 분할 권한: Active Directory 도메인 파티션에서 보안 주체를 만들 수 있는 권한은 Exchange 사용자, 서비스 또는 서버에서 완전히 제거됩니다. RBAC에는 보안 주체를 만들 수 있는 옵션이 제공되지 않습니다. Active Directory에서 보안 주체를 만들려면 Active Directory 관리 도구를 사용해야 합니다.

    중요

    Exchange 2013이 설치된 컴퓨터에서 설치 프로그램을 실행하여 Active Directory 분할 권한을 사용하거나 사용하지 않도록 설정할 수 있지만 Active Directory 분할 권한 구성은 Exchange 2013 및 Exchange 2010 서버 모두에 적용됩니다. 그러나 Microsoft Exchange Server 2007 서버에는 영향을 미치지 않습니다.

조직에서 공유 권한 대신 분할 권한 모델을 사용하도록 선택하는 경우 RBAC 분할 권한 모델을 사용하는 것이 좋습니다. RBAC 분할 권한 모델은 Exchange 서버와 서비스가 RBAC 분할 권한 모델에서 보안 주체를 만들 수 있다는 점을 제외하고 Active Directory 분할 권한과 거의 동일한 관리 분리를 제공하면서 훨씬 더 많은 유연성을 제공합니다.

설치 중에 Active Directory 분할 권한을 사용하도록 설정할지 묻는 메시지가 표시됩니다. Active Directory 분할 권한을 사용하도록 선택하는 경우 설치 프로그램을 다시 실행하고 Active Directory 분할 권한을 사용하지 않도록 설정하여 공유 권한 또는 RBAC 분할 권한으로만 변경할 수 있습니다. 이 선택은 조직의 모든 Exchange 2010 및 Exchange 2013 서버에 적용됩니다.

다음 섹션에서는 RBAC 및 Active Directory 분할 권한에 대해 자세히 설명합니다.

RBAC 사용 권한 분할

RBAC 보안 모델은 Active Directory 도메인 파티션에서 보안 주체를 만들 수 있는 사용자를 Active Directory 구성 파티션의 Exchange 조직 데이터를 관리하는 사용자와 구분하도록 기본 관리 역할 할당을 수정합니다. 사서함 및 메일 그룹이 있는 사용자 등의 보안 주체는 메일 수신자 만들기 및 보안 그룹 만들기 및 멤버십 역할의 구성원인 관리자가 만들 수 있습니다. 이러한 권한은 Exchange 관리 도구 외부에서 보안 주체를 만드는 데 필요한 권한과 별도로 유지됩니다. 메일 수신자 만들기 또는 보안 그룹 만들기 및 멤버 자격 역할이 할당되지 않은 Exchange 관리자도 보안 주체에 대한 Exchange 관련 특성을 수정할 수 있습니다. 또한 Active Directory 관리자는 Exchange 관리 도구를 사용하여 Active Directory 보안 주체를 만들 수 있습니다.

Exchange 서버 및 Exchange 신뢰할 수 있는 하위 시스템에는 RBAC와 통합되는 사용자 및 타사 프로그램을 대신하여 Active Directory에서 보안 주체를 만들 수 있는 권한도 있습니다.

다음과 같은 경우 RBAC 분할 권한은 조직에 적합한 선택입니다.

  • 조직에서는 Active Directory 관리 도구만 사용하고 특정 Active Directory 권한이 할당된 사용자만 보안 주체를 만들 필요가 없습니다.

  • 조직에서 Exchange 서버와 같은 서비스가 보안 주체를 만들 수 있도록 허용합니다.

  • Exchange 관리 도구 내에서 사서함, 메일 사용 가능 사용자, 메일 그룹 및 역할 그룹을 만드는 데 필요한 프로세스를 간소화하려고 합니다.

  • Exchange 관리 도구 내에서 메일 그룹 및 역할 그룹의 멤버 자격을 관리하려고 합니다.

  • Exchange 서버가 대신 보안 주체를 만들 수 있어야 하는 타사 프로그램이 있습니다.

조직에서 Exchange 관리 도구 또는 Exchange 서비스를 사용하여 Active Directory 관리를 수행할 수 없는 Exchange 및 Active Directory 관리를 완전히 분리해야 하는 경우 이 항목의 뒷부분에 있는 Active Directory 분할 권한 섹션을 참조하세요.

공유 권한에서 RBAC 분할 권한으로 전환하는 것은 기본적으로 부여되는 역할 그룹에서 보안 주체를 만드는 데 필요한 권한을 제거하는 수동 프로세스입니다.

다음 표에는 기본적으로 할당되는 Exchange 및 관리 역할 그룹에서 보안 주체를 만들 수 있는 역할을 보여 줍니다.

관리 역할 역할 그룹
Mail Recipient Creation 역할 조직 관리

Recipient Management

보안 그룹 만들기 및 멤버 자격 역할 조직 관리

기본적으로 조직 관리 및 받는 사람 관리 역할 그룹의 멤버는 보안 주체를 만들 수 있습니다. 기본 제공 역할 그룹에서 만든 새 역할 그룹으로 보안 주체를 만드는 기능을 전송해야 합니다.

RBAC 분할 권한을 구성하려면 다음을 수행해야 합니다.

  1. Active Directory 분할 권한을 사용하도록 설정된 경우 사용하지 않도록 설정합니다.

  2. 보안 주체를 만들 수 있는 Active Directory 관리자를 포함하는 역할 그룹을 만듭니다.

  3. 메일 수신자 만들기 역할과 새 역할 그룹 사이에 일반 및 위임 역할 할당을 설정합니다.

  4. 보안 그룹 만들기 및 멤버십 역할과 새 역할 그룹 사이에 일반 및 위임 역할 할당을 설정합니다.

  5. 메일 수신자 만들기 역할과 조직 관리 및 수신자 관리 역할 그룹 사이의 일반 및 위임 관리 역할 할당을 제거합니다.

  6. 보안 그룹 만들기 및 멤버십 역할과 조직 관리 역할 그룹 사이의 일반 및 위임 역할 할당을 제거합니다.

이렇게 하면 만든 새 역할 그룹의 멤버만 사서함과 같은 보안 주체를 만들 수 있습니다. 새 그룹은 개체만 만들 수 있습니다. 새 개체에서 Exchange 특성을 구성할 수 없습니다. 새 그룹의 구성원인 Active Directory 관리자는 개체를 만들어야 하며 Exchange 관리자는 개체에서 Exchange 특성을 구성해야 합니다. Exchange 관리자는 다음 cmdlet을 사용할 수 없습니다.

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

그러나 Exchange 관리자는 전송 규칙, 메일 그룹 등과 같은 Exchange 관련 개체를 만들고 관리하고 모든 개체에서 Exchange 관련 특성을 관리할 수 있습니다.

또한 EAC 및 Outlook Web App 연결된 기능(예: 새 사서함 마법사)도 더 이상 사용할 수 없거나 사용하려고 하면 오류가 발생합니다.

새 역할 그룹도 새 개체의 Exchange 특성을 관리할 수 있도록 하려면 메일 받는 사람 역할도 새 역할 그룹에 할당해야 합니다.

분할 권한 모델을 구성하는 방법에 대한 자세한 내용은 분할 권한에 대한 Exchange 2013 구성을 참조하세요.

Active Directory 분할 권한

Active Directory 분할 권한을 사용하는 경우에는 Active Directory 도메인 파티션에 사서함 및 메일 그룹과 같은 보안 주체를 만들 때 Active Directory 관리 도구를 사용해야 합니다. Exchange 관리자 및 서버가 수행할 수 있는 작업을 제한하기 위해 신뢰할 수 있는 Exchange 하위 시스템 및 Exchange Server에 부여된 사용 권한을 몇 가지 변경합니다. Active Directory 분할 권한을 사용하도록 설정하면 다음과 같은 기능 변경이 발생합니다.

  • 사서함, 메일 사용이 가능한 사용자, 메일 그룹 및 기타 보안 주체 만들기가 Exchange 관리 도구에서 제거됩니다.

  • 메일 그룹 구성원 추가 및 제거에 Exchange 관리 도구를 이용할 수 없게 됩니다.

  • 보안 주체를 만들기 위해 Exchange Trusted Subsystem 및 Exchange 서버에 허용된 모든 권한이 제거됩니다.

  • Exchange 서버 및 Exchange 관리 도구는 Active Directory의 기존 보안 주체의 Exchange 특성만 수정할 수 있습니다.

예를 들어 Active Directory 분할 권한이 사용하도록 설정된 사서함을 만들려면 먼저 필요한 Active Directory 권한이 있는 사용자가 Active Directory 도구를 사용하여 사용자를 만들어야 합니다. 그런 다음 Exchange 관리 도구를 사용하여 사서함을 사용하도록 설정할 수 있습니다. Exchange 관리 도구를 사용하여 Exchange 관리자가 사서함의 Exchange 관련 특성만 수정할 수 있습니다.

다음과 같은 경우 Active Directory 분할 권한은 조직에 적합한 선택입니다.

  • 조직에서는 Active Directory 관리 도구만 사용하거나 Active Directory에서 특정 권한이 부여된 사용자만 보안 주체를 만들어야 합니다.

  • Exchange 조직을 관리하는 사용자와 보안 주체를 만드는 기능을 완전히 분리하려고 합니다.

  • Active Directory 관리 도구를 사용하여 메일 그룹 만들기 및 해당 그룹의 구성원 추가 및 제거를 포함하여 모든 메일 그룹 관리를 수행하려고 합니다.

  • Exchange 서버 또는 Exchange를 대신 사용하는 타사 프로그램이 보안 주체를 만드는 것을 원하지 않습니다.

중요

Active Directory 분할 권한으로 전환하는 것은 설치 마법사를 사용하거나 명령줄에서 실행하는 setup.exe 동안 ActiveDirectorySplitPermissions 매개 변수를 사용하여 Exchange 2013을 설치할 때 선택할 수 있는 선택입니다. 명령줄에서 다시 실행하여 Exchange 2013을 설치한 후 Active Directory 분할 권한을 사용하거나 사용하지 않도록 설정할 수도 있습니다 setup.exe .

Active Directory 분할 권한을 사용하도록 설정하려면 ActiveDirectorySplitPermissions 매개 변수를 로 true설정합니다. 사용하지 않도록 설정하려면 으로 false설정합니다. 항상 ActiveDirectorySplitPermissions 매개 변수와 함께 PrepareAD 스위치를 지정해야 합니다.

동일한 포리스트 내에 여러 도메인이 있는 경우 Active Directory 분할 권한을 적용할 때 PrepareAllDomains 스위치를 지정하거나 각 도메인에서 PrepareDomain 스위치를 사용하여 설정을 실행해야 합니다. PrepareAllDomains 스위치를 사용하지 않고 각 도메인에서 PrepareDomain 스위치를 사용하여 설정을 실행하도록 선택하는 경우 Exchange 서버, 메일 사용 개체 또는 Exchange 서버에서 액세스할 수 있는 전역 카탈로그 서버를 포함하는 모든 도메인을 준비해야 합니다.

도메인 컨트롤러에 Exchange 2010 또는 Exchange 2013을 설치한 경우 Active Directory 분할 권한을 사용하도록 설정할 수 없습니다.

Active Directory 분할 권한을 사용하거나 사용하지 않도록 설정한 후에는 조직에서 Exchange 2010 및 Exchange 2013 서버를 다시 시작하여 업데이트된 권한으로 새 Active Directory 액세스 토큰을 강제로 선택하도록 하는 것이 좋습니다.

Exchange 2013은 Exchange Windows 사용 권한 보안 그룹에서 권한 및 멤버 자격을 제거하여 Active Directory 분할 권한을 달성합니다. 공유 권한 및 RBAC 분할 권한의 이 보안 그룹에는 Active Directory 전체의 많은 비 Exchange 개체 및 특성에 대한 권한이 부여됩니다. 이 보안 그룹에 대한 사용 권한 및 멤버 자격을 제거하면 Exchange 관리자 및 서비스가 이러한 비 Exchange Active Directory 개체를 만들거나 수정할 수 없습니다.

Active Directory 분할 권한을 사용하거나 사용하지 않도록 설정할 때 Exchange Windows 권한 보안 그룹 및 기타 Exchange 구성 요소에 발생하는 변경 내용 목록은 다음 표를 참조하세요.

참고

Active Directory 분할 권한을 사용하도록 설정하면 Exchange 관리자가 보안 주체를 만들 수 있도록 하는 역할 그룹에 대한 역할 할당이 제거됩니다. 이는 연결된 Active Directory 개체를 만들 수 있는 권한이 없기 때문에 실행할 때 오류가 발생하는 cmdlet에 대한 액세스를 제거하기 위해 수행됩니다.

Active Directory 분할 권한 변경

작업 Exchange에서 변경한 내용
첫 번째 Exchange 2013 서버 설치 중 Active Directory 분할 권한 사용 다음은 설치 마법사를 통해 또는 및 /ActiveDirectorySplitPermissions:true 매개 변수를 사용하여 실행 setup.exe/PrepareAD 하여 Active Directory 분할 권한을 사용하도록 설정할 때 발생합니다.
  • Microsoft Exchange 보호 그룹이라는 OU(조직 구성 단위)가 만들어집니다.
  • Exchange Windows 권한 보안 그룹은 Microsoft Exchange 보호 그룹 OU에 만들어집니다.
  • Exchange 신뢰할 수 있는 하위 시스템 보안 그룹은 Exchange Windows 권한 보안 그룹에 추가되지 않습니다.
  • 다음 관리 역할 유형을 사용하여 관리 역할에 대한 위임되지 않는 관리 역할 할당 만들기를 건너뜁니다.
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Exchange Windows Permissions 보안 그룹에 할당된 ACE(액세스 제어 항목)는 Active Directory 도메인 개체에 추가되지 않습니다.

PrepareAllDomains 또는 PrepareDomain 스위치를 사용하여 설치 프로그램을 실행하는 경우 준비된 각 자식 도메인에서 다음이 수행됩니다.

  • Exchange Windows Permissions 보안 그룹에 할당된 모든 ACE는 도메인 개체에서 제거됩니다.
  • ACE는 Exchange Windows Permissions 보안 그룹에 할당된 모든 ACE를 제외하고 각 도메인에 설정됩니다.
공유 권한 또는 RBAC 분할 권한에서 Active Directory 분할 권한으로 전환 /ActiveDirectorySplitPermissions:true 매개 변수를 setup.exe 사용하여 명령을 실행할 때 다음이 /PrepareAD 발생합니다.
  • Microsoft Exchange 보호 그룹이라는 OU가 만들어집니다.
  • Exchange Windows 권한 보안 그룹이 Microsoft Exchange 보호 그룹 OU로 이동됩니다.
  • Exchange 신뢰할 수 있는 하위 시스템 보안 그룹은 Exchange Windows 권한 보안 그룹에서 제거됩니다.
  • 다음 역할 유형이 있는 관리 역할에 대한 위임되지 않는 역할 할당은 제거됩니다.
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Exchange Windows Permissions 보안 그룹에 할당된 모든 ACE는 도메인 개체에서 제거됩니다.

PrepareAllDomains 또는 PrepareDomain 스위치를 사용하여 설치 프로그램을 실행하는 경우 준비된 각 자식 도메인에서 다음이 발생합니다.

  • Exchange Windows Permissions 보안 그룹에 할당된 모든 ACE는 도메인 개체에서 제거됩니다.
  • ACE는 Exchange Windows Permissions 보안 그룹에 할당된 모든 ACE를 제외하고 각 도메인에 설정됩니다.
Active Directory 분할 권한에서 공유 권한 또는 RBAC 분할 권한으로 전환 /ActiveDirectorySplitPermissions:false 매개 변수를 setup.exe 사용하여 명령을 실행할 때 다음이 /PrepareAD 발생합니다.
  • Exchange Windows 사용 권한 보안 그룹이 Microsoft Exchange 보안 그룹 OU로 이동됩니다.
  • Microsoft Exchange 보호 그룹 OU가 제거되었습니다.
  • Exchange 신뢰할 수 있는 하위 시스템 보안 그룹이 Exchange Windows 권한 보안 그룹에 추가됩니다.
  • AES는 Exchange Windows Permissions 보안 그룹의 도메인 개체에 추가됩니다.

PrepareAllDomains 또는 PrepareDomain 스위치를 사용하여 설치 프로그램을 실행하는 경우 준비된 각 자식 도메인에서 다음이 발생합니다.

  • AES는 Exchange Windows Permissions 보안 그룹의 도메인 개체에 추가됩니다.
  • ACE는 Exchange Windows Permissions 보안 그룹에 할당된 ACE를 포함하여 각 도메인에 설정됩니다.

Active Directory 분할에서 공유 권한으로 전환할 때 메일 받는 사람 만들기 및 보안 그룹 만들기 및 멤버 자격 역할에 대한 역할 할당이 자동으로 만들어지지 않습니다. Active Directory 분할 권한을 사용하도록 설정하기 전에 역할 할당 위임을 사용자 지정한 경우 해당 사용자 지정은 그대로 유지됩니다. 이러한 역할과 조직 관리 역할 그룹 간에 역할 할당을 만들려면 공유 권한에 대한 Exchange 2013 구성을 참조하세요.

Active Directory 분할 권한을 사용 설정한 후에는 다음 cmdlet을 사용할 수 없게 됩니다.

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Active Directory 분할 권한을 사용하도록 설정하면 다음 cmdlet에 액세스할 수 있지만 배포 그룹을 만들거나 메일 그룹 멤버 자격을 수정하는 데 사용할 수는 없습니다.

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

일부 cmdlet은 계속 사용할 수 있지만 Active Directory 분할 권한과 함께 사용할 경우 제한된 기능만 제공할 수 있습니다. 이는 Active Directory 파티션 도메인에 있는 받는 사람 개체와 구성 Active Directory 파티션에 있는 Exchange 구성 개체를 구성할 수 있기 때문입니다. 또한 도메인 파티션에 저장된 개체에서 Exchange 관련 특성을 구성할 수 있습니다. cmdlet을 사용하여 개체를 만들거나 개체에 대한 비 Exchange 관련 특성을 수정하려고 하면 도메인 파티션에서 오류가 발생합니다. 예를 들어 사서함에 권한을 추가하려고 하면 Add-ADPermission cmdlet이 오류를 반환합니다. 그러나 수신 커넥터에 대한 권한을 구성하면 Add-ADPermission cmdlet이 성공합니다. 수신 커넥터가 구성 파티션에 저장되는 동안 사서함이 도메인 파티션에 저장되기 때문입니다.

또한 Exchange 관리 센터 및 Outlook Web App 연결된 기능(예: 새 사서함 마법사)도 더 이상 사용할 수 없거나 사용하려고 하면 오류가 발생합니다.

그러나 Exchange 관리자는 전송 규칙 등과 같은 Exchange 관련 개체를 만들고 관리할 수 있습니다.

Active Directory 분할 권한 모델을 구성하는 방법에 대한 자세한 내용은 분할 권한에 대한 Exchange 2013 구성을 참조하세요.