Planejando e implantando um modelo de permissões divididas

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2008-02-05

As organizações que implementam um modelo de permissões divididas normalmente desejam restringir permissões específicas concedidas a administradores para melhorar a responsabilidade e a segurança. No Microsoft Exchange Server 2007, as permissões em atributos de destinatário do Exchange são agrupadas. Isso minimiza a configuração manual de permissões que você deve definir para dividir permissões do Exchange a partir de outras permissões administrativas.

Por padrão, apenas Administradores da Organização do Exchange podem gerenciar dados de configuração e de destinatários do Exchange. Entretanto, para gerenciar a criação, modificação e exclusão de objetos em um domínio específico, esses administradores também exigem associação ao grupo de segurança Operadores de Conta do Windows ou a um grupo de segurança de nível superior. Para obter informações sobre como conceder permissões de Operadores de Conta, consulte a Ajuda do produto Windows Server 2003 (em inglês).

Controle de Acesso

Para gerenciar atributos relacionados ao Exchange em objetos dentro do contexto de nomenclatura de domínio da floresta, a opção Modificar permissões deve ser concedida ao grupo Administradores do Exchange Server. Isso é feito alterando-se o descritor de segurança no objeto que contém os atributos.

Um descritor de segurança contém duas listas de controle de acesso (ACLs). Uma ACL é uma lista de objetos de grupos de usuário ou de segurança que têm acesso concedido ou negado a um recurso ou objeto. As ACLs possibilitam que permissões específicas sejam aplicadas ao objeto inteiro, a um conjunto de propriedades do objeto ou a uma propriedade individual de um objeto. Há dois tipos de ACLs no descritor de segurança de um objeto:

  • Listas de controle de acesso condicionais (DACLs)   As DACLs determinam os usuários e grupos aos quais são atribuídas ou negadas permissões de acesso em um objeto. Se uma DACL não determinar explicitamente um usuário ou qualquer grupo de que o usuário seja membro, o usuário terá acesso negado a esse objeto. Por padrão, uma DACL é controlada pelo proprietário de um objeto ou pela pessoa que criou o objeto, e contém entradas de controle de acesso (ACE) que determinam o acesso de usuários ao objeto.

  • Listas de controle de acesso do sistema (SACLs)   As SACLs determinam os usuários e grupos que você deseja auditar quando acessam com êxito ou quando não conseguem acessar um objeto. Por padrão, uma SACL é controlada pelo proprietário de um objeto ou pela pessoa que criou o objeto. Uma SACL contém ACEs que determinam quando registrar uma tentativa com falha ou êxito de um usuário com uma permissão específica, como Controle Total e Leitura, para acessar um objeto.

Uma ACE é uma entrada na DACL de um objeto que concede permissões a um usuário ou grupo. Uma ACE também é uma entrada na SACL de um objeto que especifica os eventos de segurança a serem auditados para um usuário ou grupo.

Onde aplicar permissões

Uma floresta do serviço de diretório do Active Directory é formada por um ou mais domínios que compartilham um limite comum de configuração e esquema. Com esses domínios, os objetos também podem ser colocados em contêineres, conhecidos como unidades organizacionais (OU). Os administradores de cada organização devem projetar uma estrutura de OU que atenda a suas necessidades comerciais e otimize a delegação de permissões administrativas.

Para obter mais informações sobre como projetar uma estrutura de OU, consulte Projeto do Active Directory de práticas recomendadas para gerenciar redes do Windows (página em inglês) e Práticas recomendadas para delegação de administração do Active Directory (página em inglês).

Quando você projeta um modelo de delegação, há diversos métodos para aplicação de permissões. Este tópico aborda apenas os dois métodos a seguir:

  • Aplicando permissões no nível do domínio

  • Aplicando permissões no nível da OU

Aplicando permissões no nível do domínio

Quando você aplica permissões delegadas no nível do domínio, as permissões são herdadas por todos os objetos. Isso inclui usuários, contatos, grupos, DNS do domínio e computadores. Em controladores de domínio que estão executando o Microsoft Windows 2000 Server, adicionar uma ACE que pode ser herdada no nível do domínio faz com que a DACL mude para cada objeto dentro do domínio. Dependendo do número de ACEs adicionadas e do número de objetos do domínio, essas alterações poderão resultar no que conhecemos como excesso de ACL. Excesso de ACL significa que ACEs desnecessárias em objetos aumentam o tamanho da ACL. Um excesso de ACL aumenta o tamanho físico do arquivo Ntds.dit em todos os controladores de domínio desse domínio. Isso pode causar problemas de desempenho do Active Directory.

Em controladores de domínio que estão executando o Microsoft Windows Server 2003, um descritor de segurança exclusivo é armazenado apenas uma vez, em vez de ser armazenado para cada objeto que o herde. Essa alteração reduz a redundância de dados e o crescimento do banco de dados que podem ser resultantes de alterações em ACEs herdadas.

Aplicando permissões no nível da OU

A prática recomendada para aplicação de permissões é designá-las em uma OU pai. Isso isola a aplicação das permissões a objetos de classe específicos contidos na OU e em seus contêineres-filho. Esse método exige que todos os objetos gerenciados sejam colocados em uma OU pai. Os requisitos comerciais podem impedir que sua organização aplique esse método. Se for esse o caso, você poderá aplicar permissões em diversas OUs.

Como aplicar permissões

O Microsoft fornece duas ferramentas para aplicar permissões:

  • ADSI Edit (AdsiEdit.msc)

  • DSACLS (Dsacls.exe)

Ambas as ferramentas estão incluídas no CD do Windows Server 2003 em Suporte\Ferramentas. Diversos produtos de terceiros também podem ser usados para aplicar permissões.

Dica

Se você modificar incorretamente os atributos de objetos do Active Directory ao usar a Active Directory Service Interfaces (ADSI) Edit, a DSACLS, a ferramenta LDP (ldp.exe) ou outro cliente de protocolo LDAP versão 3, poderão ocorrer problemas graves. Esses problemas podem exigir que você reinstale o Windows Server e/ou o Exchange 2007. Você é responsável pela modificação de atributos de objetos do Active Directory.

Para obter mais informações sobre como usar ADSI Edit, consulte Como usar a ADSI Edit para aplicar permissões (página em inglês).

A prática recomendada para aplicar permissões no Exchange 2007 é usar o cmdlet Add-ADPermission no Shell de Gerenciamento do Exchange. Para obter mais informações, consulte Add-ADPermission. Para obter mais informações sobre o Shell de Gerenciamento do Exchange, consulte Usando o Shell de Gerenciamento do Exchange.

Exemplos de como aplicar permissões

Por causa da implementação de conjuntos de propriedades no Exchange 2007, a implementação de um modelo de permissões divididas exige muito menos ACEs do que em versões anteriores do Exchange Server.

Para um administrador do Exchange 2007 gerenciar todas as propriedades relacionadas a mensagens, o administrador deve ter as seguintes permissões na partição do domínio:

  • Acesso de gravação aos seguintes conjuntos de propriedades:

    • Informações Pessoais do Exchange

    • Informações do Exchange

  • Acesso de gravação aos seguintes atributos:

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • Permissão Criar para objetos msExchDynamicDistributionList

  • Permissão Excluir para objetos msExchDynamicDistributionList

  • Permissão Controle Total para objetos msExchDynamicDistributionList

  • Permissão de Leitura Genérica. Isso inclui Permissões de Leitura, Conteúdo da Lista, Objeto de Lista e Todas as Propriedades de Leitura.

Além dessas permissões, o administrador de destinatários também deve ter as permissões a seguir na organização do Exchange:

  • Função Administrador Somente para Exibição do Exchange ou superior

    Dica

    Certas operações, como mover caixas de correio, exigem a função Administrador do Exchange Server ou superior.

  • Acesso de gravação aos atributos msExchLastAppliedRecipientFilter e msExchRecipientFilterFlags no contêiner Listas de Endereços na organização do Exchange. Essas permissões são exigidas para que o administrador de destinatários possa executar o cmdlet Update-AddressList.

  • Acesso de gravação aos atributos msExchLastAppliedRecipientFilter e msExchRecipientFilterFlags no contêiner Diretivas de Destinatário na organização do Exchange. Essas permissões são exigidas para que o administrador de destinatários possa executar o cmdlet Update-EmailAddressPolicy.

  • O direito estendido de Acesso ao Serviço de Atualização de Destinatário no grupo administrativo do Exchange 2007. Esse direito estendido é exigido porque, no Exchange 2007, as informações relacionadas ao endereço são gravadas no destinatário durante o processo de configuração.

Dica

Essas permissões são para o gerenciamento de atributos específicos ao Exchange. Os administradores do Exchange não podem gerenciar atributos criados fora do Exchange, a não ser que as permissões adequadas tenham sido delegadas a eles.

Como usar o Shell de Gerenciamento do Exchange para aplicar permissões

Esta seção fornece um exemplo de como usar o Shell de Gerenciamento do Exchange para delegar permissões.

Os comandos neste exemplo permitem que os administradores no grupo de segurança OU1AdminGroup habilitem ou desabilitem destinatários para email, gerenciem endereços de email e exibam nomes para todos os usuários, grupos e contatos contidos na hierarquia da OU Container1, na floresta Contoso.com que contém a organização ContosoOrg do Exchange. 

Se desejar realizar essas tarefas em sua organização, execute os comandos a seguir para cada contêiner em que desejar conceder acesso. Substitua o nome de domínio, a organização do Exchange e as informações de conta pelas informações de seu próprio domínio.

Você deve executar os seguintes comandos nesta ordem para conceder as permissões.

  1. Execute o comando a seguir para gerenciar atributos relacionados ao Exchange em objetos dentro da OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail

  2. Execute o comando a seguir para fornecer a permissão de Leitura Genérica para todos os objetos dentro da OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead

  3. Execute os comandos a seguir para conceder a permissão adequada para gerenciar grupos dinâmicos de distribuição dentro da OU.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList

    Para o Exchange 2007 Service Pack 1 (SP1), execute o seguinte comando:

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList

  4. Execute o comando a seguir para conceder ao grupo de segurança OU1AdminGroup direitos estendidos de acesso ao Serviço de Atualização de Destinatários.

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents

  5. Execute os comandos a seguir para conceder ao grupo de segurança OU1AdminGroup a capacidade de atualizar as listas de endereços e as diretivas de endereços de email.

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags

Se isso funcionar, cada comando fornecerá as ACEs adicionadas ao objeto.

Como usar DSACLS para aplicar permissões

Esta seção fornece um exemplo de como usar a DSACLS (Dsacls.exe) para aplicar permissões.

DSACLS é uma ferramenta de linha de comando que você pode usar para consultar e alterar permissões e atributos de segurança de objetos do Active Directory. A DSACLS está incluída nas Ferramentas de Suporte do Windows Server 2003. Além disso, é o equivalente da linha de comando da guia Segurança nas ferramentas do snap-in do Windows 2000 Server Active Directory, como Usuários e Computadores do Active Directory e Serviços e Sites do Active Directory.

Os comandos neste exemplo permitem que os administradores no grupo de segurança OU1AdminGroup habilitem ou desabilitem destinatários para email, gerenciem endereços de email e exibam nomes para todos os usuários, grupos e contatos contidos na hierarquia da OU OUContainer1, na floresta Contoso.com que contém a organização ContosoOrg do Exchange. 

Dica

O DSACLS diferencia maiúsculas de minúsculas. Você deve ser preciso na sintaxe passada ao DSACLS uma vez que todos os caracteres são passados literalmente. Isso inclui espaços em branco e retornos de carro. Se você receber erros da DSACLS, revise o comando para verificar se ele está correto ou tente dividir o comando em segmentos menores. Para obter mais informações sobre como usar a DSACLS, consulte o artigo 281146 da Base de Dados de Conhecimento Microsoft, Como usar a Dsacls.exe no Windows Server 2003 e no Windows 2000 (em inglês).

Você deve executar os seguintes comandos nesta ordem para conceder as permissões.

  1. Efetue logon em um computador dentro da floresta com as Ferramentas de Suporte do Windows instaladas, usando uma conta que possa realizar as tarefas, como Administrador de Domínio. Substitua as informações de nome de domínio, organização do Exchange e conta por suas próprias informações de domínio.

  2. Abra uma janela de Prompt de Comando e digite os comandos a seguir para gerenciar atributos relacionados ao Exchange em objetos dentro da OU.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"

  3. Abra uma janela de Prompt de Comando e digite o comando a seguir para conceder os direitos adequados para gerenciar grupos dinâmicos de distribuição dentro da OU.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"

  4. Abra uma janela de Prompt de Comando e digite o comando a seguir para conceder ao grupo de segurança OU1AdminGroup direitos estendidos de acesso ao Serviço de Atualização de Destinatários.

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"

  5. Abra uma janela de Prompt de Comando e digite os comandos a seguir para conceder ao grupo de segurança OU1AdminGroup a capacidade de atualizar as listas de endereços e as diretivas de endereços de email.

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"

Se funcionar, o comando fornecerá o descritor de segurança do Windows revisado e exibirá The command completed successfully no prompt de comando.

Configurar o script de permissões divididas

Há um script localizado no diretório \Exchange Server\Scripts que pode ajudar você a configurar seu modelo de permissões divididas.

Usando o Shell de Gerenciamento do Exchange, você pode executar o seguinte script:

  • ConfigureSplitPerms.ps1   Você pode usar o script ConfigureSplitPerms.ps1 para configurar as permissões necessárias discutidas neste tópico.

Para obter mais informações sobre scripts, consulte Usando o Shell de Gerenciamento do Exchange.

Para obter mais informações

Para obter mais informações sobre permissões divididas, atributos relacionados ao Exchange e tarefas relacionadas ao usuário, ao contato e ao grupo, consulte Referência do modelo de permissões divididas (página em inglês).