Exchange Server permissões
Microsoft Exchange Server inclui um grande conjunto de permissões predefinidas, com base no modelo de permissões RBAC (role based Controle de Acesso), que você pode usar imediatamente para conceder permissões facilmente aos seus administradores e usuários. Você pode usar os recursos de permissões no Exchange Server para que você possa colocar sua nova organização em funcionamento rapidamente.
Observação
Não há suporte para desabilitar a herança de permissões em objetos do AD (Active Directory), em um domínio do AD preparado para hospedar o Exchange. A remoção de permissões relacionadas ao Exchange em objetos AD fará com que tarefas e funções do Exchange sejam interrompidas ou possam levar a problemas desconhecidos.
Permissões baseadas em função
Em Exchange Server, as permissões concedidas a administradores e usuários são baseadas em funções de gerenciamento. Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gerenciamento chamada Mail Recipients define as tarefas que alguém pode executar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.
Há dois tipos de funções, ou seja, funções administrativas e funções de usuário final:
Funções administrativas: essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especializados usando grupos de funções que gerenciam uma parte da organização do Exchange, como destinatários, servidores ou bancos de dados.
Funções de usuário final: essas funções, atribuídas usando políticas de atribuição de função, permitem que os usuários gerenciem aspectos da caixa de correio e grupos de distribuição que possuem. As funções de usuário final começam com o prefixo
My.
Quando as funções são atribuídas a administradores e usuários, ele lhes dá as permissões para executar tarefas disponibilizando cmdlets para eles. Como o Centro de Administração do Exchange (EAC) e o Shell de Gerenciamento do Exchange usam cmdlets para gerenciar o Exchange, conceder acesso a um cmdlet dá ao administrador ou usuário a permissão para executar a tarefa em cada uma das interfaces de gerenciamento do Exchange.
grupos de função e políticas de atribuição de função
As funções concedem permissões para executar tarefas em Exchange Server, mas você precisa de uma maneira fácil de atribuir as funções a administradores e usuários. Exchange Server fornece os seguintes métodos para ajudá-lo a fazer isso:
Grupos de funções: os grupos de funções permitem que você conceda permissões a administradores e usuários especializados.
Políticas de atribuição de função: as políticas de atribuição de função permitem que você conceda permissões aos usuários finais para alterar as configurações na caixa de correio ou grupos de distribuição que eles possuem.
Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.
Grupos de função
Cada administrador que gerencia Exchange Server precisa receber pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem executar funções de trabalho que abrangem várias áreas no Exchange. Por exemplo, um administrador pode gerenciar destinatários e servidores do Exchange. Nesse caso, esse administrador pode receber as Mail Recipients funções e Exchange Servers .
Para facilitar a atribuição de várias funções a um administrador, Exchange Server inclui grupos de funções. Os grupos de funções são USGs (grupos de segurança universal) especiais usados por Exchange Server que podem conter usuários do AD, USGs e outros grupos de funções. Quando uma função é atribuída a um grupo de função, as permissões concedidas pela função são concedidas a todos os membros do grupo de função. Esse recurso permite atribuir muitas funções a muitos membros do grupo de funções ao mesmo tempo. Os grupos de função normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. Elas são usadas apenas com funções administrativas e não com funções de usuário final.
Observação
É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de função para gerenciar permissões.
A figura a seguir mostra a relação entre usuários, grupos de função e funções.
Funções, grupos de função e membros de grupo de função do
Exchange Server inclui vários grupos de funções internos, cada um fornecendo permissões para gerenciar áreas específicas no Exchange Server. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Se você quiser ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de funções na coluna "Grupo de Funções" e vá para a seção "Funções de gerenciamento atribuídas a esse grupo de funções".
Importante
Se um administrador for membro de mais de um grupo de funções, Exchange Server concederá ao administrador todas as permissões fornecidas por esses grupos de funções.
Grupos de função internos
| Grupo de função | Descrição |
|---|---|
| Organization Management | Os administradores que são membros do grupo de funções gerenciamento de organização têm acesso administrativo a toda a organização Exchange Server e podem executar quase qualquer tarefa em relação a qualquer objeto Exchange Server, com algumas exceções, como a Discovery Management função. Importante: como o grupo de funções gerenciamento de organização é uma função poderosa, somente usuários ou USGs que executam tarefas administrativas de nível organizacional que podem afetar potencialmente toda a organização do Exchange devem ser membros desse grupo de funções. |
| View-Only Organization Management | Os administradores que são membros do grupo de função Exibir Somente Gerenciamento da Organização podem exibir as propriedades de qualquer objeto na organização do Exchange. |
| Gerenciamento de Destinatários | Os administradores que são membros do grupo de funções gerenciamento de destinatários têm acesso administrativo para criar ou modificar Exchange Server destinatários na organização Exchange Server. |
| Gerenciamento de UM | Os administradores que são membros do grupo de funções de Gerenciamento de UM podem gerenciar recursos na organização do Exchange, como configuração de serviço de UM (Mensagens Unificadas), propriedades um em caixas de correio, prompts um e configuração de atendimento automático um. (Observação: o UM não está disponível no Exchange 2019.) |
| Suporte Técnico | O grupo de funções do Help Desk, por padrão, permite que os membros exibam e modifiquem as opções "Outlook na Web" (anteriormente conhecidas como Outlook Web App) de qualquer usuário da organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Essas opções não incluem opções que não estão disponíveis em opções "Outlook na Web", como modificar o tamanho de uma caixa de correio ou configurar o banco de dados da caixa de correio em que uma caixa de correio está localizada. |
| Gerenciamento de Higienização | Os administradores que são membros do grupo de funções de Gerenciamento de Higiene podem configurar os recursos antivírus e antispam do Exchange Server. Programas de terceiros que se integram ao Exchange Server podem adicionar contas de serviço a esse grupo de funções para conceder a esses programas acesso aos cmdlets necessários para recuperar e configurar a configuração do Exchange. |
| Gerenciamento de Registros | Os usuários que são membros do grupo de funções gerenciamento de registros podem configurar recursos de conformidade, como marcas de política de retenção, classificações de mensagem e regras de fluxo de email (também conhecidas como regras de transporte). |
| Gerenciamento de Descobertas | Administradores ou usuários que são membros do grupo de funções Do Gerenciamento de Descobertas podem realizar pesquisas de caixas de correio na organização exchange para obter dados que atendam a critérios específicos e também podem configurar retenções legais em caixas de correio. |
| Gerenciamento de Pasta Pública | Administradores que são membros do grupo de função Gerenciamento de Pasta Pública podem gerenciar pastas públicas em servidores que executam o Exchange Server. |
| Gerenciamento do Servidor | Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente. (Observação: o UM não está disponível no Exchange 2019.) |
| Configuração Delegada | Os administradores que são membros do grupo de função Instalação Delegada podem implantar servidores executando o Exchange que tenham sido previamente configurados por um membro do grupo de função Gerenciamento da Organização. |
| Gerenciamento de Conformidade | Os usuários que são membros do grupo de funções de Gerenciamento de Conformidade podem configurar e gerenciar as configurações de conformidade do Exchange de acordo com a política de sua organização. |
Se você trabalha em uma organização pequena que tem apenas alguns administradores, você só poderá usar o grupo de funções gerenciamento de organização e nenhum dos outros grupos de funções. Se você trabalhar em uma organização maior, poderá ter administradores que executam tarefas específicas administrando o Exchange, como o gerenciamento de destinatários ou servidores. Nesses casos, você pode adicionar um administrador ao grupo de funções gerenciamento de destinatários e outro administrador ao grupo de funções de Gerenciamento de Servidor. Esses administradores podem então gerenciar suas áreas específicas de Exchange Server, mas não terão permissões para gerenciar áreas pelas quais não são responsáveis.
Se você não conseguir encontrar um grupo de funções interno que se encaixe nos trabalhos que seus administradores precisam fazer, você poderá criar grupos de funções e adicionar funções a eles. Para obter mais informações, consulte Trabalhar com grupos de funções, posteriormente neste tópico.
Diretivas de atribuição de função
Exchange Server fornece políticas de atribuição de função para que você possa controlar quais configurações seus usuários podem configurar nas caixas de correio e grupos de distribuição que possuem. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.
Sua organização Exchange Server pode ter várias políticas de atribuição de função que fornecem diferentes níveis de permissões para os diferentes tipos de usuários em suas organizações. Alguns usuários podem ser autorizados a alterar seu endereço ou criar grupos de distribuição, enquanto outros não podem. Tudo depende da política de atribuição de função associada à caixa de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.
Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.
As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de usuário final começam com My e concedem permissões para que os usuários gerenciem apenas a caixa de correio ou os grupos de distribuição que possuem. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.
Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Portanto, você pode adicionar ou remover permissões a conjuntos de usuários sem precisar configurar caixas de correio individuais. A figura a seguir mostra que:
Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.
Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.
Quando uma caixa de correio é associada a uma política de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.
Funções, diretivas de atribuição de função e caixas de correio
A Política de Atribuição de Função Padrão está incluída com Exchange Server. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Trabalhar com políticas de atribuição de função mais adiante neste tópico.
Trabalhar com grupos de funções
Para gerenciar suas permissões usando grupos de funções no Exchange Server, recomendamos que você use o Centro de Administração do Exchange (EAC). Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a novo grupo de função, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de nova grupo de funções no EAC
Se nenhum dos grupos de funções incluídos com Exchange Server tiver as permissões necessárias, você poderá usar o EAC para criar um grupo de funções e adicionar as funções que têm as permissões necessárias. Para seu novo grupo de funções, você precisará:
Escolha um nome.
Selecione as funções que você deseja adicionar.
Adicionar membros.
Salve-o.
Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.
Caso exista um grupo de função contendo algumas, mas não todas, das permissões necessárias, você poderá copiá-lo e fazer alterações para criar um grupo de função. Copiar um grupo de funções existente permite que você faça alterações nele sem afetar o grupo de funções original. Como parte da cópia do grupo de função, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de função e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.
Os grupos de função existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de função, você ativa e desativa recursos administrativos para os membros desses grupos de função.
Observação
Embora você possa determinar quais funções são atribuídas a grupos de funções internos, recomendamos copiar grupos de funções internos, modificar a cópia do grupo de funções e, em seguida, adicionar membros à cópia do grupo de funções.
Trabalhar com políticas de atribuição de função
Para gerenciar as permissões que você concede aos usuários finais para que eles gerenciem sua própria caixa de correio em Exchange Server, recomendamos que você use o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de política de atribuição de funções no EAC
Exchange Server inclui uma política de atribuição de função chamada Política de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:
Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.
Criar, modificar ou exibir configurações de mensagens de texto.
Exibir ou modificar as configurações de caixa postal.
Exibir e modificar seus aplicativos do marketplace.
Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.
Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. Ao abrir a política de atribuição de função no EAC, selecione a caixa de seleção ao lado das funções que deseja atribuir a ela ou desmarque a caixa de seleção ao lado das funções que deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.
Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.
Se você quiser determinar qual política de atribuição de função é o padrão, você precisará usar o Shell de Gerenciamento do Exchange. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.
Observações:
Se você selecionar uma caixa de seleção para uma função que tenha funções filho, as caixas de seleção para as funções filho também serão selecionadas. Se você limpar a caixa de seleção para uma função com funções filho, as caixas de seleção para as funções filho também serão desmarcadas.
Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos: