Noções Básicas Sobre Permissões de Várias Florestas
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Muitas organizações implantam várias florestas para criar limites de segurança dentro de suas organizações. Usar várias florestas ajuda os administradores a definir esses limites de segurança, para atender melhor seus requisitos, seja garantindo que o menor número de pessoas tenha acesso aos recursos ou segmentando divisões dentro da organização.
O Microsoft Exchange Server 2010 oferece suporte a dois tipos de topologias de várias florestas:
Entre florestas Topologias entre florestas podem ter várias florestas, cada uma com sua própria instalação do Exchange.
Floresta de recursos As topologias de florestas de recursos têm uma floresta do Exchange e uma ou mais florestas de contas.
Para os fins deste tópico, a floresta que contém os grupos de segurança universal (USGs) e usuários fora da floresta onde o Exchange 2010 está instalado, seja em uma floresta de contas ou outra floresta de recursos, é chamada de floresta externa.
A configuração de permissões em uma topologia de várias florestas apóia-se na configuração correta de confianças de floresta e na sincronização da lista de endereços global (GAL) para a criação de caixas de correio vinculadas. A floresta do Exchange 2010 deve confiar na floresta externa que contém os USGs associados a grupos de função vinculados e usuários associados a caixas de correio vinculadas. Para obter mais informações sobre topologias de várias florestas, consulte Empregar Várias Topologias de Floresta.
O Exchange 2010 usa o modelo de permissões de Controle de Acesso Baseado em Função (RBAC). Os grupos de função de gerenciamento dos quais os administradores são membros, e as diretivas de atribuição de função de gerenciamento a que os usuários finais estão associados, determinam o que cada administrador e usuário final pode fazer. Para entender as permissões de múltiplas florestas, você precisa se familiarizar com o RBAC. Para obter mais informações sobre o RBAC, grupos de função e diretivas de atribuição de função, consulte os seguintes tópicos:
Procurando tarefas de gerenciamento relacionadas ao gerenciamento de permissões? Consulte Gerenciando permissões.
Sumário
Permissões em uma Topologia de Várias Florestas
Permissões Entre Limites
Configurar Permissões Entre Limites
Permissões em uma Topologia de Várias Florestas
O RBAC aplica permissões a todos os objetos do Exchange dentro de uma única floresta e a configuração RBAC em cada floresta é definida independentemente de todas as outras florestas. Ao criar um grupo de função em uma floresta, aquele grupo de função não existe em nenhuma outra floresta e as permissões cedidas por aquele grupo de função aplicam-se apenas à floresta na qual ele foi criado. Por exemplo, um membro de um grupo de função que concede permissões para criar uma caixa de correio pode criar uma caixa de correio apenas na floresta que contém aquele grupo de função.
Se você tem várias florestas do Exchange e deseja configurar permissões de forma idêntica dentro de cada floresta, deve aplicar a mesma configuração explicitamente em cada floresta. Por exemplo, se você tem duas florestas do Exchange 2010 e deseja criar um grupo de função de Gerenciamento de Conformidade para gerenciar permissões para seu departamento jurídico, deve fazer o seguinte:
Em cada floresta, crie um grupo de função chamado Gerenciamento de Conformidade. Se seus administradores estiverem em uma floresta externa separada de cada floresta do Exchange, crie os grupos de função como grupos de função vinculados. Para obter mais informações sobre grupos de função, consulte a seção Permissões Entre Limites.
Em cada floresta, crie atribuições de função entre os grupos de função novos e as funções que você deseja usar.
Como parte das novas atribuições de função, você tem a opção de adicionar escopos de gerenciamento que abrangem o servidor de objetos destinatário dentro de cada floresta.
Se você criou os grupos de função como grupos de função vinculados, adicione membros aos USG associado na floresta externa.
A figura a seguir mostra como os grupos de função configurados dentro das florestas do Exchange 2010 estão ligados às suas respectivas florestas. O grupo de função Gerenciamento da Organização na floresta do Exchange 2010 A concede permissões apenas para gerenciar as caixas de correio e servidores que estão dentro daquela floresta. Da mesma forma, os grupos de função na floresta do Exchange 2010 B concedem permissões apenas para as caixas de correio e servidores dentro daquela floresta.
A figura também mostra que o grupo de função Custom A é criado em cada floresta. Embora eles tenham sido criados com o mesmo nome, cada um é sua própria entidade separada. Na verdade, como a figura mostra, a cada um podem ser associadas diferentes funções de gerenciamento em suas respectivas florestas. O grupo de função Custom A na floresta do Exchange 2010 A é associado às funções Pesquisa de Caixa de Correio e Controle de Mensagens, enquanto o grupo de função Custom A na floresta do Exchange 2010 B é associado às funções Pesquisa de Caixa de Correio e Gerenciamento de Retenção.
Finalmente, escopos de gerenciamento criados em cada floresta também estão ligados pela floresta. Escopos de servidor criados em cada floresta só podem conter os servidores que são membros daquela floresta. O escopo de Servidor A pode ter apenas servidores dentro da floresta do Exchange 2010 A, enquanto o escopo de Servidor B pode ter apenas servidores que estão dentro da floresta do Exchange 2010 B. Da mesma forma, o escopo de destinatário na floresta do Exchange 2010 B só pode ter caixas de correio que estão dentro da floresta do Exchange 2010 B.
Relacionamento de limite de escopo de floresta e RBAC
.gif "Relacionamentos de escopo de limite de floresta e RBAC")
Voltar ao início
Permissões Entre Limites
As permissões concedidas pelo RBAC só permitem que os usuários visualizem ou modifiquem objetos do Exchange dentro de uma floresta específica. No entanto, você pode conceder permissões para exibir e modificar objetos do Exchange em uma floresta para usuários de fora da floresta. Usando as permissões entre limites, você pode centralizar as contas de gerenciamento do Exchange em uma única floresta, excluindo a necessidade de se autenticar em cada floresta individual para executar tarefas.
Dica
As permissões que são concedidas a um usuário fora de uma floresta do Exchange ainda se aplicam apenas àquela floresta específica do Exchange. Por exemplo, se um usuário em uma floresta externa é membro do grupo de função vinculado Gerenciamento da Organização, que está localizado na FlorestaA, o usuário pode gerenciar apenas objetos do Exchange existentes dentro da FlorestaA. Um usuário deve ser membro de grupos de função vinculados em cada floresta do Exchange para receber permissões para gerenciar cada floresta.
Permissões entre florestas também permitem que você aplique diretivas de atribuição de funções às caixas de correio de usuários que têm caixas de correio em uma floresta do Exchange, mas têm contas de usuário que residem em uma floresta de contas. O Exchange 2010 aceita permissão entre limites usando grupos de função vinculados e caixas de correio vinculadas, discutidas nas seções a seguir.
Permissões Administrativas
Permissões administrativas são concedidas entre limites de floresta pelo uso de grupos de função vinculados e caixas de correio vinculadas.
Um grupo de função vinculado é criado na organização do Exchange 2010 e é vinculado a um USG além do limite da floresta, na floresta externa. O USG ao qual o grupo de função vinculado está ligado pode ser qualquer um dos seguintes:
Um USG dedicado para uso específico do grupo de função vinculado
Um USG que é vinculado a e por grupos de função vinculados em várias florestas do Exchange 2010
Um USG de grupo de função em outra floresta do Exchange 2010
Um USG associado a uma função administrativa do Exchange Server 2007
Um USG que é usado para conceder permissões para gerenciar uma organização do Exchange Server 2003
O USG ao qual um grupo de função está vinculado deve estar em outra floresta. Não é possível vincular um grupo de função vinculado a um USG na mesma floresta.
A figura a seguir mostra que USGs em uma floresta de contas podem ser associados a grupos de função em uma ou mais florestas de recursos do Exchange 2010. Os membros dos USGs na floresta de contas efetivamente tornam-se membros dos grupos de função através dos USGs.
Grupos de função vinculado associados a USGs em uma floresta separada
.gif "Grupo de funções vinculado e relações do USG")
Ao criar um grupo de função vinculado, você associa funções ao grupo de função vinculado na floresta do Exchange 2010. As atribuições que associam as funções ao grupo de função vinculado podem incluir escopos de gerenciamento, se necessário. Esses escopos estão confinados na floresta na qual o grupo de função vinculado é criado.
A associação do grupo de função vinculado é gerenciada adicionando e removendo membros para e do USG na floresta externa. Ao adicionar membros a este USG, eles recebem as permissões associadas ao grupo de função vinculado na floresta do Exchange 2010. Se você vinculou vários grupos de função vinculada ao mesmo USG, os membros daquele USG recebem as permissões associadas a cada grupo de função vinculado em cada floresta do Exchange 2010.
Não é possível gerenciar a associação de um grupo de função vinculado a partir da floresta do Exchange 2010.
Um segundo método para associar permissões administrativas além dos limites da floresta é pelo uso de caixas de correio vinculadas. Para que usuários em uma floresta de contas usem uma implantação do Exchange 2010 em uma floresta de recursos do Exchange 2010 separada, você deve configurar caixas de correio vinculadas para cada usuário. Caixas de correio vinculadas podem ser adicionadas como membros em grupos de função dentro da floresta do Exchange 2010. Quando uma caixa de correio vinculada torna-se membro de um grupo de função, a caixa de correio vinculada e, por sua vez, o usuário na floresta de contas associado à caixa de correio vinculada, recebe permissões fornecidas pelo grupo de função.
Para obter mais informações sobre caixas de correio vinculadas, consulte Noções básicas sobre destinatários.
A figura abaixo mostra o relacionamento entre usuários em uma floresta de contas, as caixas de correio vinculadas associadas a eles e os grupos de função dos quais são membros.
Usuários em uma floresta de contas associados a caixas de correio vinculadas que são membros de grupos de função
.gif "Grupo de funções e relacionamentos de caixa de correio vinculada")
Grupos de função vinculados e caixas de correio vinculadas têm vantagens e desvantagens quando usados para associar permissões administrativas além dos limites da floresta. A tabela a seguir descreve algumas delas.
Vantagens e desvantagens de grupos de função vinculados e caixas de correio vinculadas
| Grupos de funções vinculados ou caixas de correio vinculadas | Vantagem | Desvantagem |
|---|---|---|
Grupos de função vinculados |
É possível associar vários grupos de função vinculados a partir de várias florestas do Exchange 2010 a um único USG em uma floresta de contas ou em outra floresta de recursos do Exchange. Isso permite que você administre topologias de floresta do Exchange complexas, através de um conjunto pequeno de USGs em uma única floresta. |
Um grupo de função regular não pode ser convertido em um grupo de função vinculado. Você deve criar grupos de função vinculados manualmente para substituir cada grupo de função regular que tenha as permissões que você deseja conceder além de um limite de floresta. Para obter mais informações, consulte Configurar Permissões Entre Limites. |
Caixas de correio vinculadas |
Caixas de correio vinculadas permitem que você use grupos de função existentes dentro da floresta do Exchange. Caixas de correio vinculadas são adicionadas como membros aos grupos de função existentes, assim como caixas de correio regulares, USGs, e usuários na mesma floresta do Exchange. |
Se você conceder permissões em várias florestas do Exchange 2010 usando caixas de correio vinculadas ligadas a um único usuário em uma floresta de contas, deve modificar a associação do grupo de função em cada floresta do Exchange 2010, se quiser modificar as permissões concedidas ao usuário. |
É recomendável que você use grupos de função vinculados para conceder permissões além dos limites da floresta, se planeja ter várias florestas de recurso do Exchange.
Permissões do Usuário Final
São atribuídas permissões de usuário final para caixas de correio individuais usando diretivas de atribuição de função. Quando o Exchange 2010 é instalado em uma floresta de recursos, caixas de correio vinculadas são criadas na floresta de recursos e são associadas a contas de usuário na floresta de contas.
Para onter mais informações sobre caixas de correio vinculadas, consulte Noções básicas sobre destinatários.
Quando uma caixa de correio vinculada é criada, é associada a uma diretiva de atribuição de função padrão, como acontece com uma caixa de correio regular. A diretiva de atribuição de função determina quais permissões de usuário final são concedidas à caixa de correio. Essas permissões habilitam usuários a visualizar e modificar configurações relacionadas aos recursos a seguir, entre outros:
Informações de perfil de usuário final
Caixa postal do usuário final
Associação e propriedade de distribuição do usuário final
Quando uma diretiva de atribuição de função é associada a uma caixa de correio vinculada, o usuário na floresta de contas associado à caixa de correio vinculada recebe permissões para gerenciar os recursos disponíveis para aquele usuário. As permissões aplicam-se apenas aos recursos na floresta do Exchange onde a caixa de correio vinculada está localizada. A figura a seguir mostra o relacionamento entre o usuário final e a floresta de contas, sua caixa de correio vinculada associada e a diretiva de atribuição de função associada à caixa de correio vinculada. Além disso, uma caixa de correio vinculada associada a um usuário administrativo na floresta de contas, pode ser associada a vários grupos de função, além da diretiva de atribuição de função.
Usuários em uma floresta de contas associados a caixas de correio vinculadas que estão associadas a uma diretiva de atribuição de função
.gif "Grupo de funções e relacionamentos de diretiva de atribuição")
Para obter mais informações sobre caixas de correio vinculadas, consulte Noções básicas sobre destinatários.
Voltar ao início
Configurar Permissões Entre Limites
Para configurar permissões entre limites em uma topologia de várias florestas, você deve criar grupos de função vinculados para cada um dos grupos de função que deseja vincular a USGs em uma floresta externa. Isso significa que você deve criar um grupo de função vinculado para cada grupo de função interno. Você precisa:
Criar um USG na floresta externa para cada grupo de função vinculado a ser criado. Adicionar membros a esse USG ao qual você deseja conceder permissões.
Criar um grupo de função vinculado para cada grupo de função interno. Quando o grupo de função vinculado é criado:
As mesmas funções atribuídas ao grupo de função interno são atribuídas ao novo grupo de função vinculado.
O grupo de função vinculado é associado ao USG na floresta externa.
Criar grupos de função vinculados para quaisquer grupos de função personalizados que você criou.
Opcionalmente, atribuir escopos personalizados para os novos grupos de função vinculados.
Para informações detalhadas sobre como executar estas etapas, consulte os seguintes tópicos:
Criar Grupos de Função Vinculados que Espelhem Grupos de Função Integrados
Alterar o Escopo de Atribuições de Função em um Grupo de Função
Se você precisa alterar o USG ao qual um grupo de função vinculado está associado, consulte Alterar um USG Externo Vinculado em um Grupo de Função Vinculado.
Quando uma caixa de correio vinculada é criada, é automaticamente associada a uma diretiva de atribuição de função. Você pode alterar a diretiva de atribuição de função associada à caixa de correio vinculada ou alterar a diretiva de atribuição de função associada às caixas de correio por padrão, quando são criadas. Para obter mais informações, consulte os seguintes tópicos:
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.