Considerações sobre permissão
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-07-12
Ao planejar como integrar o Microsoft Exchange Server 2007 à estrutura do serviço de diretório do Active Directory, leve em consideração o modelo administrativo de sua organização. Com o Exchange 2007, você pode atribuir permissões a administradores de forma flexível. Geralmente, recomendamos que você avalie como os seguintes recursos do Active Directory e do Exchange 2007 afetam o modo como suas funções administrativas são organizadas:
Um único administrador pode executar tarefas para o Microsoft Windows Server 2003 e o Exchange.
É possível dividir permissões entre os administradores do Exchange e do Windows.
Você pode isolar as funções de administrador do Exchange e do Windows usando uma floresta de recursos do Exchange.
As seções deste tópico descrevem a flexibilidade da configuração de permissões e as funções administrativas disponíveis no Exchange 2007.
Compreendendo o modelo de permissões divididas do Exchange e do Active Directory
Em muitas organizações do Microsoft Exchange, principalmente nas médias e grandes, pode haver mais de um administrador do Exchange. Como esses administradores podem realizar um conjunto específico de tarefas administrativas, o Exchange Server 2007 fornece funções de administrador predefinidas e um modelo de permissões divididas que permitem configurar permissões específicas no Active Directory para várias funções administrativas da organização. No Exchange 2007, as permissões em atributos de destinatário do Exchange são agrupadas. Isso minimiza a configuração manual de permissões que você deve definir para dividir permissões do Exchange a partir de outras permissões administrativas. Para obter mais informações sobre como planejar e implementar seu modelo de permissões, consulte os seguintes tópicos:
Alterações no modelo de permissões e de segurança
Os modelos de permissões e de segurança do Exchange Server 2003 foram alterados no Exchange 2007. Esta seção contém informações sobre as alterações feitas no modelo de permissões do Exchange e descreve as diferenças.
Conjuntos de propriedades
Um conjunto de propriedades é um agrupamento de atributos do Active Directory. Você pode controlar o acesso a esse agrupamento de atributos do Active Directory definindo uma ACE (entrada de controle de acesso), em vez de definir uma ACE em cada propriedade. O conjunto de propriedades que agrupa todos os atributos de destinatários do Exchange é chamado de informações de email.
Dica
Os grupos de segurança do Exchange Server 2003 que tinham permissão para acessar as propriedades do destinatário em servidores Exchange Server 2003 terão permissão para acessar o conjunto de propriedades de informações de email do Exchange 2007, desde que você use Setup.Com do Exchange 2007 ou Setup.Com com o parâmetro /PrepareAD para atualizar o esquema do Active Directory.
Para obter mais informações sobre conjuntos de propriedades, consulte Conjuntos de propriedades no Exchange 2007.
Segurança e modelo de permissões do Exchange 2003
Para ajudar a simplificar o gerenciamento de permissões, o Exchange Server 2003 forneceu funções de segurança predefinidas que estavam disponíveis no Assistente de Delegação Administrativa do Exchange 2003. Essas funções eram uma coleção de permissões padronizadas que podiam ser aplicadas no nível da organização ou do grupo administrativo.
No Exchange 2003, as seguintes funções de segurança estavam disponíveis no Assistente de Delegação no Gerenciador do Sistema do Exchange:
Administrador Completo do Exchange
Administrador do Exchange
Administrador Somente para Exibição do Exchange
Esse modelo tinha as seguintes limitações:
Falta de especificidade. O grupo Administrador do Exchange era muito grande, e alguns clientes queriam gerenciar seus modelos de permissões e de segurança no nível de servidor individual.
A percepção de que as funções de segurança do Exchange Server 2003 eram apenas um pouco diferentes.
Ausência de uma separação clara entre administração de usuários e de grupos pelos administradores do Windows (Active Directory) e administradores de destinatários do Exchange. Por exemplo, para realizar tarefas do Exchange relacionadas ao destinatário, você precisava conceder permissões de alto nível aos administradores do Exchange (permissões de Operador da Conta em domínios do Windows).
Segurança e modelo de permissões do Exchange 2007
Para aprimorar o gerenciamento das funções de administrador do Exchange, chamadas "grupos de segurança" no Exchange 2003, os seguintes recursos novos ou aprimorados foram implementados no modelo de permissões e de segurança do Exchange:
Novas funções de administrador que são semelhantes aos grupos de segurança internos do Windows Server. Para obter mais informações sobre essas funções de administrador, consulte "Funções de administrador no Exchange 2007" posteriormente neste tópico.
Você pode usar o Console de Gerenciamento do Exchange (anteriormente Gerenciador do Sistema do Exchange) e o Shell de Gerenciamento do Exchange para exibir, adicionar e remover membros de qualquer função de administrador.
Funções de administrador no Exchange 2007
O Exchange 2007 contém os seguintes grupos predefinidos para o gerenciamento de dados de configuração do Exchange:
Administradores da Organização do Exchange
Administradores de Destinatários do Exchange
Administradores Somente para Exibição do Exchange
Administradores de Pasta Pública do Exchange (Novo no Exchange Server 2007 Service Pack 1)
Durante a fase de Setup /PrepareAD do Exchange (a fase de organização-preparação semelhante ao ForestPrep do Exchange 2003), essas funções de Administrador do Exchange (exceto Administradores do Exchange Server) são criadas em uma nova OU (unidade organizacional) do grupo de segurança do Microsoft Exchange, que fica localizada no domínio em que /PrepareAD foi executado.
Quando você adiciona uma função de administrador para um usuário, esse usuário herda as permissões autorizadas por essa função. Essas funções de administrador têm permissões para gerenciar dados do Exchange no Active Directory. Existem três tipos de dados do Exchange que podem ser gerenciados por esses grupos:
Dados Globais São os dados em um contêiner de configuração do Active Directory que não estão associados a um servidor específico. Esses dados incluem, mas não se limitam a, diretivas de caixa de correio, listas de endereços e configurações da Unificação de Mensagens do Exchange. Geralmente, os dados globais afetam a organização inteira e podem afetar potencialmente todos os usuários. Como prática recomendada, permita que apenas alguns poucos usuários confiáveis configurem ou alterem dados globais.
Dados de Destinatários Os destinatários do Exchange são objetos de usuário do Active Directory que podem receber ou enviar emails. Exemplos de dados de destinatários incluem contatos habilitados para email, grupos de distribuição, caixas de correio e tipos específicos de destinatários, como objetos de proxy de pasta pública.
Dados do Servidor Os dados do servidor Exchange estão contidos no Active Directory no nó do servidor especificado. Exemplos desses dados incluem conectores de recebimento, diretórios virtuais, configurações por servidor e dados de caixa de correio e de grupo de armazenamento.
Função Administradores da Organização do Exchange
A função Administradores da Organização do Exchange fornece aos administradores acesso total a todas as propriedades e objetos do Exchange na organização do Exchange. Durante a instalação do Exchange, no domínio raiz, Setup /PrepareAD cria o grupo de segurança do Active Directory chamado Administradores da Organização do Exchange no contêiner Grupos de Segurança do Microsoft Exchange de Usuários e Computadores do Active Directory.
Quando você adiciona um usuário à função Administradores da Organização do Exchange, ele se torna membro da função de administrador denominada Administradores da Organização do Exchange. O Exchange 2007 cria essa função durante a preparação do Active Directory. Os membros da função Administradores da Organização do Exchange possuem as seguintes permissões:
Proprietários da organização do Exchange no contêiner de configuração do Active Directory. Como proprietários, os membros da função têm controle total sobre os dados da organização do Exchange no contêiner de configuração do Active Directory e sobre o grupo Administrador do servidor Exchange local.
Acesso de leitura a todos os contêiners de usuário do domínio no Active Directory. O Exchange concede essa permissão durante a instalação do primeiro servidor Exchange 2007 no domínio, para cada domínio da organização. Estas permissões são concedidas por ser um membro da função Administrador de Destinatários do Exchange.
Acesso de gravação a todos os atributos específicos do Exchange em todos os contêineres de usuário de domínio no Active Directory. O Exchange 2007 concede essa permissão durante a instalação do primeiro servidor Exchange 2007 no domínio, para cada domínio da organização. Estas permissões são concedidas por ser um membro da função Administrador de Destinatários do Exchange.
Proprietário de todos os dados de configuração do servidor local. Como proprietários, os membros têm controle total sobre o servidor Exchange local. O Exchange 2007 concede essa permissão durante a instalação de cada servidor Exchange.
Os usuários que são membros da função Administradores da Organização do Exchange têm o nível mais alto de permissões na organização do Exchange. Todas as tarefas que afetam a organização inteira do Exchange exigirão associação a este grupo. Alguns exemplos de tarefas que exigem permissões de Administrador da Organização do Exchange são a criação ou exclusão de conectores, a alteração de diretivas do servidor e a alteração de definições de configuração global.
Dica
Quando você instalar o Exchange 2007, a Instalação adicionará a função Administradores da Organização do Exchange como um membro do grupo Administradores local no computador em que você está instalando o Exchange. Lembre-se de que o grupo Administradores local em um controlador de domínio tem permissões diferentes das que possui o grupo Administradores local em um servidor membro. Se você instalar o Exchange 2007 em um controlador de domínio, os usuários na função Administradores da Organização do Exchange terão permissões adicionais do Windows que não teriam, caso você instalasse o Exchange 2007 em um computador que não fosse um controlador de domínio.
Função Administradores de Destinatários do Exchange
A função Administradores de Destinatários do Exchange tem permissões para modificar qualquer propriedade do Exchange em um usuário, um contato, um grupo, uma lista dinâmica de distribuição ou um objeto de pasta pública do Active Directory. Durante o Setup /PrepareAD do Exchange, a função Administrador de Destinatários do Exchange é criada no contêiner Grupos de Segurança do Microsoft Exchange no Active Directory. Essa função também permite gerenciar configurações de caixa de correio de Unificação de Mensagens e de Acesso para Cliente. Os membros da função Administradores de Destinatários da Organização do Exchange possuem as seguintes permissões:
Acesso de leitura a todos os contêineres Usuário de Domínio no Active Directory que tiveram Setup /PrepareDomain executado nesses domínios.
Acesso de gravação a todos os atributos específicos do Exchange nos contêineres Usuário de Domínio no Active Directory que tenham tido Setup /PrepareDomain executado nesses domínios.
Associação na função Administrador Somente para Exibição do Exchange.
Os usuários que são membros da função Administradores de Destinatários do Exchange não terão permissões para Domínios em que Setup /PrepareDomain não tenha sido executado. Quando você adicionar um novo domínio do Exchange, verifique se executou Setup /PrepareDomain nesse novo domínio para conceder permissões às funções de administrador do Exchange nesse domínio.
Função Administradores do Servidor Exchange
A função Administradores do Servidor Exchange tem acesso a apenas dados de configuração do Exchange de servidor local, tanto no Active Directory quanto no computador físico em que o Exchange 2007 está instalado. Os usuários que são membros da função Administradores do Servidor Exchange possuem permissões para administrar um servidor específico, mas não possuem permissões para executar operações que tenham impacto global na organização do Exchange.
O Exchange 2007 cria essa função de administrador durante a instalação. Os membros da função Administrador do Exchange Server possuem as seguintes permissões:
Proprietário de todos os dados de configuração do servidor local. Como proprietários, os membros da função têm controle total sobre os dados de configuração do servidor local.
Administrador local no computador em que o Exchange está instalado.
Membros da função Administradores Somente para Exibição do Exchange.
Administradores Somente para Exibição do Exchange
A função Administradores Somente para Exibição do Exchange tem acesso somente leitura à árvore inteira da organização do Exchange no contêiner de configuração do Active Directory e acesso somente leitura a todos os contêineres de domínio do Windows que tenham destinatários do Exchange.
Durante o Setup /PrepareAD do Exchange, a função Administradores Somente para Exibição do Exchange é criada no contêiner Grupos de Segurança do Microsoft Exchange no Active Directory.
Administradores de Pasta Pública do Exchange
Novidades no Exchange 2007 Service Pack 1 (SP1)
A função Administradores de Pasta Pública do Exchange possui permissões administrativas para gerenciar todas as pastas públicas. Essa função de administrador recebe o direito estendido "Criar pasta pública de nível superior". Os membros dessa função podem criar e excluir pastas públicas e gerenciar configurações de pasta pública, como réplicas, cotas, limites de idade, permissões administrativas e permissões de cliente. Essa função de administrador pode habilitar pastas públicas para email, mas não pode modificar propriedades relativas a destinatários de mensagens em pastas públicas, como endereços proxy. Esta capacidade exige associação à função Administradores de Destinatários do Exchange.
Resumo de funções de administrador e permissões
A tabela a seguir lista as funções de administrador do Exchange 2007 e as permissões relacionadas do Exchange.
| Função de administrador | Membros | Membro de | Permissões do Exchange |
|---|---|---|---|
Administradores da Organização do Exchange |
Administrador, ou a conta que foi usada para instalar o primeiro servidor Exchange 2007 |
Administrador de Destinatários do Exchange Grupo local de administradores do <Nome do Servidor> |
Total controle sobre o contêiner do Microsoft Exchange no Active Directory |
Administradores de Destinatários do Exchange |
Administradores da Organização do Exchange |
Administradores Somente para Exibição do Exchange |
Total controle sobre propriedades do Exchange no objeto de usuário do Active Directory |
Administradores do Exchange Server |
|
Administradores Somente para Exibição do Exchange Grupo local de administradores do <Nome do Servidor> |
Total controle sobre o Exchange <Nome do Servidor> |
Administradores Somente para Exibição do Exchange |
Administradores de Destinatários do Exchange Administradores de pasta pública do Exchange |
Administradores de Destinatários do Exchange Administradores do Exchange Server |
Acesso de leitura ao contêiner do Microsoft Exchange no Active Directory. Acesso de leitura a todos os domínios do Windows que têm destinatários do Exchange. |
Servidores Exchange |
Cada conta de computador do Exchange 2007 |
Administradores Somente para Exibição do Exchange |
Especial |
Administradores de pasta pública do Exchange |
Administradores da Organização do Exchange |
Administradores Somente para Exibição do Exchange |
Capacidade para gerenciar pastas públicas administrativamente. |
Atributos do catálogo de endereços
O Exchange usa muitos atributos para armazenar dados do Exchange. O Exchange também usa outros atributos de destinatário que podem ser usados por outros aplicativos com suporte a diretório que usam os dados do Exchange. Portanto, esses atributos não foram adicionados aos conjuntos de propriedades específicas do Exchange. Esses atributos podem residir em outros conjuntos de propriedades criados durante a instalação do Active Directory ou podem não pertencer a nenhum conjunto de propriedades.
Os atributos listados na tabela a seguir são os dados fornecidos a usuários finais por meio do Microsoft Office Outlook na GAL (Lista de Endereços Global). Se um administrador do Exchange exigir o recurso para atualizar esses atributos e não for um membro do grupo de segurança privilegiado de domínio, como o grupo Operadores de Conta, o administrador do Active Directory deverá conceder permissão de leitura/gravação.
| Aplica-se ao objeto | Local do Console de Gerenciamento do Exchange | Atributo | Descrição |
|---|---|---|---|
Usuário, Contato |
Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato |
givenName |
Nome |
Usuário, Contato |
Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato |
initials |
Inicial do segundo nome |
Usuário, Contato |
Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato |
sn |
Sobrenome |
Usuário, Contato |
Guia Informações do Usuário ou Informações do Contato nas propriedades do Usuário ou do Contato |
info |
Campo Notas |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
streetAddress |
Endereço |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
l |
Cidade |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
st |
Estado/Província |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
postalCode |
CEP |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
countryCode |
País/Região |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
telephoneNumber |
Telefone comercial |
Usuário, Contato |
Disponível somente no Shell de Gerenciamento do Exchange |
otherTelephoneNumber |
Telefone comercial alternativo |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
pager |
Pager |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
facsimileTelephoneNumber |
Fax |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
homePhone |
Telefone residencial |
Usuário, Contato |
Disponível somente no Shell de Gerenciamento do Exchange |
otherHomePhone |
Telefone residencial alternativo |
Usuário, Contato |
Guia Endereço e Telefone nas propriedades do Usuário ou Contato |
mobile |
Celular |
Usuário, Contato |
Disponível somente no Shell de Gerenciamento do Exchange |
otherfacsimileTelephoneNumber |
Fax alternativo |
Contato |
Disponível somente no Shell de Gerenciamento do Exchange |
telephoneAssistant |
Telefone do assistente |
Contato |
ADSI (Active Directory Service Interfaces) Edit/LDAP |
telephoneAssistant |
Telefone do assistente |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
title |
Cargo |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
company |
Empresa |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
department |
Departamento |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
physicalDeliveryOfficeName |
Escritório |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
manager |
Gerente |
Usuário, Contato |
Guia Organização nas propriedades do Usuário ou Contato |
directReports |
Funcionários subordinados |
Usuário, Contato |
Disponível somente no Shell de Gerenciamento do Exchange |
msExchAssistantName |
Nome do assistente |
Grupo |
Guia Informações do Grupo nas propriedades do Grupo |
managedBy |
Proprietário do grupo |
Grupo |
Guia Informações do Grupo nas propriedades do Grupo |
info |
Campo Notas |
Para obter mais informações
Para obter informações sobre como delegar permissões usando as funções administrativas do Exchange, consulte Add-ExchangeAdministrator.
Para obter informações sobre como preparar o Active Directory e seus domínios para o Exchange 2007, consulte Como preparar o Active Directory e os domínios.