Noções básicas sobre permissão de divisão

Aplica-se a: Exchange Server 2013

Organizações que separam o gerenciamento de objetos Microsoft Exchange Server 2013 e objetos do Active Directory usam o que é chamado de modelo de permissões divididas. As permissões divididas permitem que as organizações atribuam permissões específicas e tarefas relacionadas a grupos específicos dentro da organização. Essa separação do trabalho ajuda a manter padrões e fluxos de trabalho e também a controlar as alterações na organização.

O nível mais alto de permissões de divisão é a separação do gerenciamento do Exchange e do gerenciamento do Active Directory. Muitas organizações têm dois grupos: administradores que gerenciam a infraestrutura do Exchange da organização, incluindo servidores e destinatários, e administradores que gerenciam a infraestrutura do Active Directory. Essa é uma separação importante para muitas organizações porque a infraestrutura do Active Directory geralmente abrange muitos locais, domínios, serviços, aplicativos e até florestas do Active Directory. Os administradores do Active Directory devem garantir que as alterações feitas no Active Directory não afetem negativamente nenhum outro serviço. Como resultado, normalmente, apenas um pequeno grupo de administradores tem permissão para gerenciar essa infraestrutura.

Ao mesmo tempo, a infraestrutura do Exchange, incluindo servidores e destinatários, também pode ser complexa e exigir conhecimento especializado. Além disso, o Exchange armazena informações extremamente confidenciais sobre os negócios da organização. Os administradores do Exchange podem acessar essas informações. Limitando o número de administradores do Exchange, a organização limita quem pode fazer alterações na configuração do Exchange e quem pode acessar informações importantes.

As permissões divididas normalmente fazem uma distinção entre a criação de entidades de segurança no Active Directory, como usuários e grupos de segurança, e a configuração subsequente desses objetos. Isso ajuda a reduzir a chance de acesso não autorizado à rede controlando quem pode criar objetos que concedem acesso a ela. Na maioria das vezes, apenas os administradores do Active Directory podem criar entidades de segurança, enquanto outros administradores, como administradores do Exchange, podem gerenciar atributos específicos em objetos existentes do Active Directory.

Para dar suporte às necessidades variadas para separar o gerenciamento do Exchange e do Active Directory, o Exchange 2013 permite que você escolha se deseja um modelo de permissões compartilhadas ou um modelo de permissões divididas. O Exchange 2013 oferece dois tipos de modelos de permissões divididas: RBAC e Active Directory. O Exchange 2013 é padrão para um modelo de permissões compartilhadas.

Explicação do Controle de Acesso baseado em função e do Active Directory

Para entender as permissões divididas, você precisa entender como o modelo de permissões RBAC (role based Controle de Acesso) funciona no Exchange 2013 com o Active Directory. O modelo RBAC controla quem pode executar quais ações e em quais objetos essas ações podem ser executadas. Para obter mais informações sobre os vários componentes do RBAC que são discutidos neste tópico, consulte Noções básicas sobre Controle de Acesso baseadas em função.

No Exchange 2013, todas as tarefas executadas em objetos do Exchange devem ser feitas por meio do Shell de Gerenciamento do Exchange ou da interface do Centro de Administração do Exchange (EAC). Ambas as ferramentas de gerenciamento usam o RBAC para autorizar todas as tarefas executadas.

RBAC é um componente que existe em cada servidor que executa o Exchange 2013. O RBAC verifica se o usuário que está executando uma ação está autorizado a fazê-lo:

  • Se o usuário não estiver autorizado a executar a ação, o RBAC não permitirá que a ação prossiga.

  • Se o usuário estiver autorizado a executar a ação, o RBAC verificará se o usuário está autorizado a executar a ação contra o objeto específico que está sendo solicitado:

    • Se o usuário estiver autorizado, o RBAC permitirá que a ação prossiga.

    • Se o usuário não estiver autorizado, o RBAC não permitirá que a ação prossiga.

Se o RBAC permitir que uma ação prossiga, a ação será executada no contexto do Subsistema Confiável do Exchange e não no contexto do usuário. O Subsistema Confiável do Exchange é um USG (grupo de segurança universal altamente privilegiado) que tem acesso de leitura/gravação a todos os objetos relacionados ao Exchange na organização exchange. Ele também é membro do grupo de segurança local Administradores e do USG permissões do Exchange Windows, que permite ao Exchange criar e gerenciar objetos do Active Directory.

Aviso

Não faça alterações manuais na associação do grupo de segurança do Subsistema Confiável do Exchange. Além disso, não adicione ou remova-o das ACLs (listas de controle de acesso ao objeto). Ao fazer alterações no USG do Subsistema Confiável do Exchange por conta própria, você pode causar danos irreparáveis à sua organização do Exchange.

É importante entender que não importa quais permissões do Active Directory um usuário tem ao usar as ferramentas de gerenciamento do Exchange. Se o usuário estiver autorizado, via RBAC, a executar uma ação nas ferramentas de gerenciamento do Exchange, o usuário poderá executar a ação independentemente de suas permissões do Active Directory. Por outro lado, se um usuário for um enterprise Administração no Active Directory, mas não estiver autorizado a executar uma ação, como criar uma caixa de correio, nas ferramentas de gerenciamento do Exchange, a ação não terá êxito porque o usuário não tem as permissões necessárias de acordo com o RBAC.

Importante

Embora o modelo de permissões RBAC não se aplique à ferramenta de gerenciamento de Usuários e Computadores do Active Directory, Usuários e Computadores do Active Directory não pode gerenciar a configuração do Exchange. Portanto, embora um usuário possa ter acesso para modificar alguns atributos em objetos do Active Directory, como o nome de exibição de um usuário, o usuário deve usar as ferramentas de gerenciamento do Exchange e, portanto, deve ser autorizado pelo RBAC a gerenciar atributos do Exchange.

Permissões compartilhadas

O modelo de permissões compartilhadas é o modelo padrão do Exchange 2013. Você não precisa alterar nada se este for o modelo de permissões que você deseja usar. Esse modelo não separa o gerenciamento de objetos do Exchange e do Active Directory de dentro das ferramentas de gerenciamento do Exchange. Ele permite que os administradores que usam as ferramentas de gerenciamento do Exchange criem entidades de segurança no Active Directory.

A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.

Função de gerenciamento Grupo de função
Função de criação de destinatário do email Organization Management

Gerenciamento de Destinatários

Criação de grupos de segurança e a associação de função Organization Management

Somente grupos de funções, usuários ou USGs atribuídos à função Criação de Destinatário de Email podem criar entidades de segurança, como usuários do Active Directory. Por padrão, os grupos de funções gerenciamento de organização e gerenciamento de destinatários recebem essa função. Portanto, os membros desses grupos de funções podem criar entidades de segurança.

Somente grupos de funções, usuários ou USGs atribuídos à função Criação e Associação do Grupo de Segurança podem criar grupos de segurança ou gerenciar suas associações. Por padrão, somente o grupo de funções gerenciamento de organização recebe essa função. Portanto, somente membros do grupo de funções gerenciamento de organização podem criar ou gerenciar a associação de grupos de segurança.

Você pode atribuir a função Criação de Destinatário de Email e a função Criação e Associação do Grupo de Segurança a outros grupos de funções, usuários ou USGs se desejar que outros usuários possam criar entidades de segurança.

Para habilitar o gerenciamento de entidades de segurança existentes no Exchange 2013, a função Destinatários de Email é atribuída aos grupos de funções gerenciamento de organização e gerenciamento de destinatários por padrão. Somente grupos de funções, usuários ou USGs atribuídos à função Destinatários de Email podem gerenciar entidades de segurança existentes. Se você quiser que outros grupos de funções, usuários ou USGs possam gerenciar entidades de segurança existentes, você deverá atribuir a função Destinatários de Email a eles.

Para obter mais informações sobre como adicionar funções a grupos de funções, usuários ou USGs, confira os seguintes tópicos:

Se você mudou para um modelo de permissões divididas e deseja alterar de volta para um modelo de permissões compartilhadas, consulte Configurar o Exchange 2013 para obter permissões compartilhadas.

Permissões divididas

Se sua organização separar o gerenciamento do Exchange e o gerenciamento do Active Directory, você precisará configurar o Exchange para dar suporte ao modelo de permissões divididas. Quando configurado corretamente, somente os administradores que você deseja criar entidades de segurança, como administradores do Active Directory, poderão fazer isso e somente os administradores do Exchange poderão modificar os atributos do Exchange em entidades de segurança existentes. Essa divisão de permissões também se enquadra aproximadamente nas linhas das partições de domínio e configuração no Active Directory. As partições também são chamadas de contextos de nomenclatura. A partição de domínio armazena os usuários, grupos e outros objetos para um domínio específico. A partição de configuração armazena as informações de configuração em toda a floresta para os serviços que usaram o Active Directory, como o Exchange. Os dados armazenados na partição de domínio normalmente são gerenciados pelos administradores do Active Directory, embora os objetos possam conter atributos específicos do Exchange que podem ser gerenciados pelos administradores do Exchange. Os dados armazenados na partição de configuração são gerenciados pelos administradores de cada serviço respectivo que armazena dados nessa partição. Para o Exchange, normalmente são administradores do Exchange.

O Exchange 2013 dá suporte aos dois seguintes tipos de permissões divididas:

  • Permissões de divisão RBAC: as permissões para criar entidades de segurança na partição de domínio do Active Directory são controladas pelo RBAC. Somente os servidores e serviços do Exchange e os que são membros dos grupos de funções apropriados podem criar entidades de segurança.

  • Permissões de divisão do Active Directory: as permissões para criar entidades de segurança na partição de domínio do Active Directory são completamente removidas de qualquer usuário, serviço ou servidor do Exchange. No RBAC, não é fornecida nenhuma opção para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser executada usando as ferramentas de gerenciamento do Active Directory.

    Importante

    Embora as permissões de divisão do Active Directory possam ser habilitadas ou desabilitadas executando a Instalação em um computador que tenha o Exchange 2013 instalado, a configuração de permissões divididas do Active Directory se aplica aos servidores exchange 2013 e Exchange 2010. No entanto, isso não afeta Microsoft Exchange Server servidores de 2007.

Se sua organização optar por usar um modelo de permissões divididas em vez de permissões compartilhadas, recomendamos que você use o modelo de permissões de divisão RBAC. O modelo de permissões de divisão do RBAC fornece significativamente mais flexibilidade ao fornecer a quase mesma separação de administração que as permissões de divisão do Active Directory, com exceção de que servidores e serviços do Exchange podem criar entidades de segurança no modelo de permissões de divisão RBAC.

Você é perguntado se deseja habilitar permissões de divisão do Active Directory durante a Instalação. Se você optar por habilitar permissões de divisão do Active Directory, só poderá alterar para permissões compartilhadas ou permissões de divisão DO RBAC executando novamente a Instalação e desabilitando permissões de divisão do Active Directory. Essa escolha se aplica a todos os servidores do Exchange 2010 e do Exchange 2013 na organização.

As seções a seguir descrevem as permissões de divisão RBAC e Active Directory com mais detalhes.

Permissões divididas do RBAC

O modelo de segurança RBAC modifica as atribuições de função de gerenciamento padrão para separar quem pode criar entidades de segurança na partição de domínio do Active Directory daqueles que administram os dados da organização do Exchange na partição de configuração do Active Directory. As entidades de segurança, como usuários com caixas de correio e grupos de distribuição, podem ser criadas por administradores que sejam membros das funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação. Essas permissões permanecem separadas das permissões necessárias para criar entidades de segurança fora das ferramentas de gerenciamento do Exchange. Os administradores do Exchange que não receberam as funções Criação de Destinatário de Email ou Criação de Grupo de Segurança e Associação ainda podem modificar atributos relacionados ao Exchange em entidades de segurança. Os administradores do Active Directory também têm a opção de usar as ferramentas de gerenciamento do Exchange para criar entidades de segurança do Active Directory.

Os servidores exchange e o Subsistema Confiável do Exchange também têm permissões para criar entidades de segurança no Active Directory em nome de usuários e programas de terceiros que se integram ao RBAC.

As permissões de divisão RBAC são uma boa opção para sua organização se as seguintes forem verdadeiras:

  • Sua organização não exige que a criação da entidade de segurança seja executada usando apenas ferramentas de gerenciamento do Active Directory e apenas por usuários que recebem permissões específicas do Active Directory.

  • Sua organização permite que serviços, como servidores do Exchange, criem entidades de segurança.

  • Você deseja simplificar o processo necessário para criar caixas de correio, usuários habilitados para email, grupos de distribuição e grupos de funções, permitindo sua criação de dentro das ferramentas de gerenciamento do Exchange.

  • Você deseja gerenciar a associação de grupos de distribuição e grupos de funções dentro das ferramentas de gerenciamento do Exchange.

  • Você tem programas de terceiros que exigem que os servidores do Exchange possam criar entidades de segurança em seu nome.

Se sua organização exigir uma separação completa da administração do Exchange e do Active Directory em que nenhuma administração do Active Directory pode ser executada usando ferramentas de gerenciamento do Exchange ou por serviços do Exchange, consulte a seção Permissões de Divisão do Active Directory mais adiante neste tópico.

Alternar de permissões compartilhadas para permissões de divisão RBAC é um processo manual em que você remove as permissões necessárias para criar entidades de segurança dos grupos de função que são concedidos por padrão.

A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.

Função de gerenciamento Grupo de função
Função de criação de destinatário do email Organization Management

Gerenciamento de Destinatários

Criação de grupos de segurança e a associação de função Organization Management

Por padrão, os membros dos grupos de funções gerenciamento de organização e gerenciamento de destinatários podem criar entidades de segurança. Você deve transferir a capacidade de criar entidades de segurança dos grupos de funções internos para um novo grupo de funções que você cria.

Para configurar as permissões de divisão do RBAC, você deve fazer o seguinte:

  1. Desabilitar as permissões divididas do Active Directory se estiverem habilitadas.

  2. Crie um grupo de funções, que conterá os administradores do Active Directory que poderão criar entidades de segurança.

  3. Criar atribuições de função regulares e delegatórias entre a função Criação de Destinatário de Email e o novo grupo de funções.

  4. Criar atribuições de função regulares e delegatórias entre a função Criação e Associação no Grupo de Segurança e o novo grupo de funções.

  5. Remover as atribuições regulares e delegatórias de função entre a função Criação de Destinatário de Email e os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatário.

  6. Remover as atribuições de função regulares e delegatórias entre a função Criação e Associação no Grupo de Segurança e o grupo de funções Gerenciamento da Organização.

Depois de fazer isso, somente os membros do novo grupo de funções que você criar poderão criar entidades de segurança, como caixas de correio. O novo grupo só poderá criar os objetos. Ele não será capaz de configurar os atributos do Exchange no novo objeto. Um administrador do Active Directory, que é membro do novo grupo, precisará criar o objeto e, em seguida, um administrador do Exchange precisará configurar os atributos do Exchange no objeto. Os administradores do Exchange não poderão usar os seguintes cmdlets:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

No entanto, os administradores do Exchange poderão criar e gerenciar objetos específicos do Exchange, como regras de transporte, grupos de distribuição e assim por diante e gerenciar atributos relacionados ao Exchange em qualquer objeto.

Além disso, os recursos associados no EAC e Outlook Web App, como o Assistente de Nova Caixa de Correio, também não estarão mais disponíveis ou gerarão um erro se você tentar usá-los.

Se você quiser que o novo grupo de funções também seja capaz de gerenciar os atributos do Exchange no novo objeto, a função Destinatários de Email também precisará ser atribuída ao novo grupo de funções.

Para obter mais informações sobre como configurar um modelo de permissões divididas, consulte Configurar o Exchange 2013 para obter permissões divididas.

Active Directory dividir permissões

Com as permissões divididas do Active Directory, a criação de entidades de segurança na partição de domínio do Active Directory, como caixas de correio e grupos de distribuição, deve ser executada usando ferramentas de gerenciamento do Active Directory. Várias alterações são feitas nas permissões concedidas ao Subsistema Confiável do Exchange e aos servidores do Exchange para limitar o que os administradores e servidores do Exchange podem fazer. As seguintes alterações na funcionalidade ocorrem quando você habilita as permissões divididas do Active Directory:

  • A criação de caixas de correio, usuários habilitados por email, grupos de distribuição e outras entidades de segurança é removida das ferramentas de gerenciamento do Exchange.

  • A adição e remoção de membros de grupos de distribuição não pode ser feita com as ferramentas de gerenciamento do Exchange.

  • Todas as permissões concedidas ao Subsistema Confiável do Exchange e aos servidores do Exchange para criar entidades de segurança são removidas.

  • Os servidores Exchange e as ferramentas de gerenciamento do Exchange só podem modificar os atributos do Exchange de entidades de segurança existentes no Active Directory.

Por exemplo, para criar uma caixa de correio com permissões de divisão do Active Directory habilitadas, um usuário deve primeiro ser criado usando ferramentas do Active Directory por um usuário com as permissões necessárias do Active Directory. Em seguida, o usuário pode ser habilitado para caixa de correio usando as ferramentas de gerenciamento do Exchange. Somente os atributos relacionados ao Exchange da caixa de correio podem ser modificados pelos administradores do Exchange usando as ferramentas de gerenciamento do Exchange.

As permissões de divisão do Active Directory são uma boa opção para sua organização se as seguintes forem verdadeiras:

  • Sua organização exige que as entidades de segurança sejam criadas usando apenas as ferramentas de gerenciamento do Active Directory ou apenas por usuários que recebem permissões específicas no Active Directory.

  • Você deseja separar completamente a capacidade de criar entidades de segurança daqueles que gerenciam a organização do Exchange.

  • Você deseja executar todo o gerenciamento de grupo de distribuição, incluindo a criação de grupos de distribuição e a adição e remoção de membros desses grupos, usando ferramentas de gerenciamento do Active Directory.

  • Você não deseja que servidores do Exchange ou programas de terceiros que usam o Exchange em seu nome criem entidades de segurança.

Importante

Alternar para permissões de divisão do Active Directory é uma opção que você pode fazer ao instalar o Exchange 2013 usando o assistente de instalação ou usando o parâmetro ActiveDirectorySplitPermissions durante a execução setup.exe da linha de comando. Você também pode habilitar ou desabilitar permissões de divisão do Active Directory depois de instalar o Exchange 2013 executando setup.exe novamente a partir da linha de comando.

Para habilitar permissões de divisão do Active Directory, defina o parâmetro ActiveDirectorySplitPermissions como true. Para desabilitar, defina-o como false. Você deve sempre especificar a opção PrepareAD junto com o parâmetro ActiveDirectorySplitPermissions .

Se você tiver vários domínios na mesma floresta, também deverá especificar a opção PrepareAllDomains ao aplicar permissões de divisão do Active Directory ou executar a configuração com a opção PrepareDomain em cada domínio. Se você optar por executar a configuração com a opção PrepareDomain em cada domínio, em vez de usar a opção PrepareAllDomains , deverá preparar todos os domínios que contenham servidores exchange, objetos habilitados para email ou servidores de catálogo globais que possam ser acessados por um servidor exchange.

Você não poderá habilitar permissões de divisão do Active Directory se tiver instalado o Exchange 2010 ou o Exchange 2013 em um controlador de domínio.

Depois de habilitar ou desabilitar permissões de divisão do Active Directory, recomendamos reiniciar os servidores exchange 2010 e Exchange 2013 em sua organização para forçá-los a pegar o novo token de acesso do Active Directory com as permissões atualizadas.

O Exchange 2013 obtém permissões de divisão do Active Directory removendo permissões e associação do grupo de segurança Permissões do Exchange Windows. Esse grupo de segurança, em permissões compartilhadas e permissões de divisão RBAC, recebe permissões para muitos objetos e atributos que não são do Exchange em todo o Active Directory. Ao remover as permissões e a associação a esse grupo de segurança, os administradores e serviços do Exchange são impedidos de criar ou modificar esses objetos que não são do Exchange Active Directory.

Para obter uma lista de alterações que ocorrem no grupo de segurança Permissões do Exchange Windows e outros componentes do Exchange quando você habilitar ou desabilitar permissões de divisão do Active Directory, consulte a tabela a seguir.

Observação

As atribuições de função para grupos de função que permitem que os administradores do Exchange criem entidades de segurança são removidas quando as permissões de divisão do Active Directory estão habilitadas. Isso é feito para remover o acesso a cmdlets que, de outra forma, gerariam um erro quando eles são executados porque não têm permissões para criar o objeto Active Directory associado.

Alterações nas permissões de divisão do Active Directory

Ação Alterações feitas pelo Exchange
Habilitar permissões de divisão do Active Directory durante a primeira instalação do servidor do Exchange 2013 O seguinte acontece quando você habilita as permissões de divisão do Active Directory por meio do assistente de instalação ou executando setup.exe com os /PrepareAD parâmetros e /ActiveDirectorySplitPermissions:true :
  • Uma OU (unidade organizacional) chamada Grupos Protegidos do Microsoft Exchange é criada.
  • O grupo de segurança Permissões do Exchange Windows é criado na OU de Grupos Protegidos do Microsoft Exchange .
  • O grupo de segurança do Subsistema Confiável do Exchange não é adicionado ao grupo de segurança Permissões do Exchange Windows .
  • A criação de atribuições de função de gerenciamento não delegadas para funções de gerenciamento com os seguintes tipos de função de gerenciamento é ignorada:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • As ACEs (entradas de controle de acesso) que teriam sido atribuídas ao grupo de segurança permissões do Exchange Windows não são adicionadas ao objeto de domínio do Active Directory.

Se você executar a configuração com o botão PrepareAllDomains ou PrepareDomain , o seguinte ocorrerá em cada domínio filho preparado:

  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.
  • As ACEs são definidas em cada domínio, com exceção de quaisquer ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows .
Alternar de permissões compartilhadas ou permissões de divisão do RBAC para permissões de divisão do Active Directory O seguinte acontece quando você executa o setup.exe comando com os /PrepareAD parâmetros e /ActiveDirectorySplitPermissions:true :
  • Um OU chamado Grupos Protegidos do Microsoft Exchange é criado.
  • O grupo de segurança Permissões do Exchange Windows é movido para o OU de Grupos Protegidos do Microsoft Exchange .
  • O grupo de segurança do Subsistema Confiável do Exchange é removido do grupo de segurança Permissões do Exchange Windows .
  • Todas as atribuições de função não delegadas para funções de gerenciamento com os seguintes tipos de função são removidas:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.

Se você executar a configuração com o botão PrepareAllDomains ou PrepareDomain , o seguinte acontecerá em cada domínio filho preparado:

  • Todas as ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows são removidas do objeto de domínio.
  • As ACEs são definidas em cada domínio, com exceção de quaisquer ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows .
Alternar de permissões de divisão do Active Directory para permissões compartilhadas ou permissões de divisão do RBAC O seguinte acontece quando você executa o setup.exe comando com os /PrepareAD parâmetros e /ActiveDirectorySplitPermissions:false :
  • O grupo de segurança Permissões do Exchange Windows é movido para o OU dos Grupos de Segurança do Microsoft Exchange .
  • A OU de Grupos Protegidos do Microsoft Exchange é removida.
  • O grupo de segurança subsistemas confiáveis do Exchange é adicionado ao grupo de segurança Permissões do Exchange Windows .
  • As ACEs são adicionadas ao objeto de domínio do grupo de segurança Permissões do Exchange Windows .

Se você executar a configuração com o botão PrepareAllDomains ou PrepareDomain , o seguinte acontecerá em cada domínio filho preparado:

  • As ACEs são adicionadas ao objeto de domínio do grupo de segurança Permissões do Exchange Windows .
  • As ACEs são definidas em cada domínio, incluindo ACEs atribuídas ao grupo de segurança Permissões do Exchange Windows .

As atribuições de função para as funções Criação e Associação de Grupo de Segurança e Criação de Grupo de Segurança do Destinatário de Email não são criadas automaticamente ao alternar do Active Directory dividido para permissões compartilhadas. Se as atribuições de função delegadas foram personalizadas antes das permissões de divisão do Active Directory serem habilitadas, essas personalizações ficarão intactas. Para criar atribuições de função entre essas funções e o grupo de funções gerenciamento de organização, consulte Configurar o Exchange 2013 para permissões compartilhadas.

Após a habilitação das permissões divididas do Active Directory, os seguintes cmdlets não estarão mais disponíveis:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Depois de habilitar permissões de divisão do Active Directory, os seguintes cmdlets estão acessíveis, mas você não pode usá-los para criar grupos de distribuição ou modificar a associação do grupo de distribuição:

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

Alguns cmdlets, embora ainda disponíveis, podem oferecer apenas funcionalidade limitada quando usados com permissões de divisão do Active Directory. Isso ocorre porque eles podem permitir que você configure objetos destinatários que estão no domínio Partição do Active Directory e objetos de configuração do Exchange que estão na partição do Active Directory de configuração. Eles também podem permitir que você configure atributos relacionados ao Exchange em objetos armazenados na partição de domínio. As tentativas de usar os cmdlets para criar objetos ou modificar atributos não relacionados ao Exchange em objetos, na partição de domínio resultarão em um erro. Por exemplo, o cmdlet Add-ADPermission retornará um erro se você tentar adicionar permissões a uma caixa de correio. No entanto, o cmdlet Add-ADPermission terá êxito se você configurar permissões em um conector De recebimento. Isso ocorre porque uma caixa de correio é armazenada na partição de domínio enquanto conectores de recebimento são armazenados na partição de configuração.

Além disso, os recursos associados no centro de administração do Exchange e Outlook Web App, como o assistente Nova Caixa de Correio, também não estarão mais disponíveis ou gerarão um erro se você tentar usá-los.

No entanto, os administradores do Exchange poderão criar e gerenciar objetos específicos do Exchange, como regras de transporte e assim por diante.

Para obter mais informações sobre como configurar um modelo de permissões divididas do Active Directory, consulte Configurar o Exchange 2013 para obter permissões divididas.