Общие сведения о разрешениях для нескольких лесов

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-04-07

Многие организации развертывают несколько лесов для создания границ безопасности. Использование нескольких лесов помогает администраторам определить эти границы безопасности в соответствии с предъявляемыми требованиями, которые могут заключаться, например, в предоставлении доступа к ресурсам как можно меньшему числу лиц или сегментировании подразделений внутри организации.

Microsoft Exchange Server 2013 поддерживает два типа топологий с несколькими лесами.

  • Перекрестный лес   Топологии перекрестных лесов могут содержать несколько лесов, в каждом из которых имеется отдельная установка Exchange.

  • Лес ресурсов   Топологии лесов ресурсов содержат лес Exchange и один или несколько лесов учетных записей.

В рамках данного раздела лес учетных записей или ресурсов, который содержит универсальные группы безопасности и пользователей, находящихся за пределами леса с установленным Exchange 2013, называется внешним.

Конфигурация разрешений в топологии с несколькими лесами основывается на правильной настройке отношений доверия леса и синхронизации глобального списка адресов для создания связанных почтовых ящиков. Лес Exchange 2013 должен доверять внешнему лесу, который содержит универсальные группы безопасности, сопоставленные со связанными группами ролей и пользователями, сопоставленными со связанными почтовыми ящиками.

Exchange 2013 использует модель разрешений с управлением доступом на основе ролей. Группы ролей управления, членами которых являются администраторы, и политики назначения ролей управления, присваиваемые конечным пользователям, определяют доступные администратору и конечным пользователям операции. Чтобы понять идею разрешений для нескольких лесов, необходимо иметь опыт использования управления доступом на основе ролей. Дополнительные сведения об управлении доступом на основе ролей, группах ролей и политиках назначения ролей см. в следующих разделах.

Необходимы сведения о задачах управления, связанных с управлением разрешениями? См. раздел Разрешения.

Содержание

Разрешения в топологии с несколькими лесами

Межграничные разрешения

Настройка межграничных разрешений

Управлением доступом на основе ролей применяет разрешения ко всем объектам Exchange в отдельном лесу, а конфигурация управления доступом на основе ролей задается для каждого леса независимо от других лесов. При создании группы ролей в одном лесу она не появляется ни в одном из других лесов, а предоставляемые ей разрешения применяются только к тому лесу, в котором она была создана. Например, член группы ролей, которая предоставляет разрешения на создание почтового ящика, может создать почтовый ящик только в лесу, содержащем эту группу ролей.

Если имеется несколько лесов Exchange, и требуется одинаково настроить разрешения для каждого леса, необходимо явно применить одинаковую конфигурацию для каждого леса. Например, если имеются два леса Exchange 2013, и требуется создать группу ролей по управлению соответствием требованиям "Compliance Management", чтобы управлять разрешениями для юридического отдела, необходимо выполнить следующие действия.

  • Создайте в каждом лесу группу ролей с именем "Compliance Management". Если администраторы находятся во внешнем лесу, отдельном от этих двух лесов Exchange, создайте обе группы ролей как связанные группы ролей. Дополнительные сведения о группах ролей см. в разделе Межграничные разрешения.

  • В каждом лесу создайте назначения ролей между новыми группами ролей и ролями, которые необходимо использовать.

  • При необходимости задайте в рамках новых назначений ролей области управления, которые охватывают объекты сервера и получателя внутри каждого из лесов

  • Если группы ролей созданы как связанные, добавьте члены в сопоставленную универсальную группу безопасности во внешнем лесу.

На следующем рисунке показано, как группы ролей, настроенные в лесах Exchange 2013, привязываются к соответствующим лесам. Группа ролей управления организацией "Organization Management" в лесу A Exchange 2013 предоставляет разрешения на управление только теми почтовыми ящиками и серверами, которые относятся к этому лесу. Аналогично группы ролей в лесу B Exchange 2013 предоставляют разрешения только для почтовых ящиков и серверов, расположенных внутри этого леса.

На рисунке также показано, что в каждом лесу создается настраиваемая группа ролей A "Custom". Хотя они создавались с одним именем, каждая из них имеет отдельную сущность. Из рисунка видно, что фактически каждой группе могут быть назначены различные роли управления в соответствующих лесах. Настраиваемой группе ролей A "Custom" в лесу B Exchange 2013 назначаются роли "Mailbox Search" и "Message Tracking", а настраиваемой группе ролей A "Custom" в лесу Exchange 2013 назначаются роли "Mailbox Search" и "Retention Management".

Наконец, созданные в каждом из лесов области управления также привязываются к лесу. Область серверов, созданная в каждом лесу, содержит только те серверы, которые являются членами этого леса. Область серверов A может содержать только серверы из леса A Exchange 2013, а область серверов B может содержать только серверы из леса B Exchange 2013. Аналогично область получателей в лесу B Exchange 2013 может содержать только почтовые ящики из леса B Exchange 2013.

Управление доступом на основе ролей и связи области в границах леса

RBAC и связи области в границах леса

Разрешения, предоставляемые при управлении доступом на основе ролей, позволяют пользователям только просматривать или изменять объекты Exchange в определенном лесу. Однако разрешения на просмотр и изменение объектов Exchange в лесу можно предоставлять пользователям, расположенным вне этого леса. С помощью межграничных разрешений можно сосредоточить управляющие учетные записи Exchange в одном лесу и избежать проверки подлинности для каждого отдельного леса при выполнении различных задач.

ПримечаниеПримечание.
Разрешения, которые предоставляются пользователю, расположенному вне леса Exchange, относятся только к определенному лесу Exchange. Например, если пользователь во внешнем лесу является членом связанной группы ролей "Organization Management", которая расположена в лесу ForestA, то этот пользователь может управлять только объектами Exchange, содержащимися в лесу ForestA. Чтобы получить разрешения на управление каждым из лесов, пользователю необходимо стать членом связанных групп ролей в каждом лесу Exchange.

Межграничные разрешения также позволяют применять политики назначения ролей к почтовым ящикам тех пользователей, у которых есть почтовые ящики в лесу Exchange, а учетные записи размещаются в лесу учетных записей. Exchange 2013 поддерживает межграничное разрешение с использованием связанных групп ролей и связанных почтовых ящиков, что описывается в последующих разделах.

Административные разрешения предоставляются через границы лесов с помощью связанных групп ролей и связанных почтовых ящиков.

Связанная группа ролей создается в организации Exchange 2013 и связывается через границу леса с универсальной группой безопасности во внешнем лесу. Универсальная группа безопасности, с которой связана связанная группа ролей, может быть одной из следующих групп.

  • Выделенная универсальная группа безопасности, предназначенная специально для данной связанной группы ролей.

  • Универсальная группа безопасности, которая связана со связанной группой ролей в нескольких лесах Exchange 2013.

  • Универсальная группа безопасности для группы ролей в другом лесу Exchange 2013.

  • Универсальная группа безопасности, сопоставленная с административной ролью Exchange Server 2007 или группой ролей Exchange 2010.

Универсальная группа безопасности, с которой связана связанная группа ролей, должна находиться в другом лесу. Нельзя связать связанную группу ролей с универсальной группой безопасности, расположенной в том же лесу.

Наследующем рисунке показано, что универсальные группы безопасности в лесу учетных записей можно сопоставить с группами ролей в одном или нескольких лесах ресурсов Exchange 2013. Члены универсальных групп безопасности в лесу учетных записей фактически становятся посредством этих групп членами групп ролей.

Связанные группы ролей, сопоставленные с универсальными группами безопасности в отдельном лесу

Связанная группа ролей и связи универсальной группы безопасности

При создании связанной группы ролей выполняется назначение ролей для связанной группы ролей в лесу Exchange 2013. Назначения, которые сопоставляют роли со связанной группой ролей, при необходимости могут включать в себя области управления. Эти области ограничены лесом, в котором создана связанная группа ролей.

Управление членством в связанной группе ролей осуществляется с помощью добавления и удаления членов универсальной группы безопасности во внешнем лесу. При добавлении членов в эту универсальную группу безопасности им назначаются разрешения, предоставленные связанной группе ролей в лесу Exchange 2013. Если с одной универсальной группой безопасности связано нескольких связанных групп ролей, членам этой универсальной группы безопасности назначаются разрешения, предоставленные каждой связанной группе ролей в каждом лесу Exchange 2013.

Нельзя управлять членством в связанной группе ролей из леса Exchange 2013.

Второй способ назначения административных разрешений через границы леса заключается в использовании связанных почтовых ящиков. Чтобы пользователи в лесу учетных записей могли использовать развертывание Exchange 2013 в отдельном лесу ресурсов Exchange 2013, необходимо для каждого из пользователей настроить связанные почтовые ящики. Связанные почтовые ящики можно добавлять в качестве членов в группы ролей внутри леса Exchange 2013. Когда связанный почтовый ящик становится членом группы ролей, то ему и сопоставленному с ним пользователю в лесу учетных записей назначаются разрешения, предоставляемые группой ролей. 

На следующем рисунке показано отношение между пользователями в лесу учетных записей, сопоставленными с ними связанными почтовыми ящиками и группами ролей, членами которых они являются.

Пользователи в лесу учетных записей, сопоставленные со связанными почтовыми ящиками, которые являются членами групп ролей

Связи групп ролей и связанных почтовых ящиков

Использование связанных групп ролей и связанных почтовых ящиков для назначения административного разрешения через границы лесов имеет как преимущества, так и недостатки. Некоторые из них описаны в следующей таблице.

Преимущества и недостатки использования связанных групп ролей и связанных почтовых ящиков

Связанные группы ролей или связанные почтовые ящики Преимущество Недостаток

Связанные группы ролей

Можно сопоставить несколько связанных групп ролей из нескольких лесов Exchange 2013 с одной универсальной группой безопасности в лесу учетных записей или другом лесу ресурсов Exchange. Это позволяет осуществлять администрирование сложных топологий из лесов Exchange через небольшой набор универсальных групп безопасности в одном лесу.

Обычную группу ролей нельзя преобразовать в связанную группу ролей. Необходимо вручную создать связанную группу ролей для замены каждой обычной группы ролей, разрешения которой требуется предоставить через границу леса. Дополнительные сведения см. в разделе Настройка межграничных разрешений.

Связанные почтовые ящики

Связанные почтовые ящики позволяют использовать существующие группы ролей внутри леса Exchange. Связанные почтовые ящики добавляются в качестве членов в существующие группы ролей точно так же, как и обычные почтовые ящики, универсальные группы безопасности и пользователи в рамках одного леса Exchange.

Если разрешения предоставляются в нескольких лесах Exchange 2013 с использованием связанных почтовых ящиков, связанных с одним пользователем в лесу учетных записей, то для изменения предоставляемых пользователю разрешений необходимо изменить членство в группе ролей в каждом лесу Exchange 2013.

Если планируется использовать несколько лесов ресурсов Exchange, то для предоставления разрешений через границы леса рекомендуется использовать связанные группы ролей.

Разрешения конечных пользователей назначаются отдельным почтовым ящикам с помощью политик назначения ролей. Когда система Exchange 2013 устанавливается в лесу ресурсов, в нем создаются связанные почтовые ящики, которые сопоставляются с учетными записями пользователей в лесу учетных записей.

При создании связанного почтового ящика он назначается политике назначения ролей по умолчанию так же, как и обычный почтовый ящик. Предоставляемые почтовому ящику разрешения конечных пользователей определяются политикой назначения ролей. Эти разрешения позволяют пользователям просматривать и изменять параметры, связанные со следующими и другими возможностями:

  • данные профиля конечного пользователя;

  • голосовая почта конечного пользователя;

  • право владения и членство для распределения конечных пользователей.

Когда политика назначения ролей назначается связанному почтовому ящику, то пользователю в лесу учетных записей, сопоставленному с этим связанным почтовым ящиком, предоставляются разрешения на управление доступными данному пользователю компонентами. Эти разрешения применяются только к ресурсам в лесу Exchange, где расположен связанный почтовый ящик. На следующем рисунке показано отношение между конечным пользователем в лесу учетных записей, сопоставленным с ним связанным почтовым ящиком и политикой назначения ролей, назначенной этому связанному почтовому ящику. Кроме того, связанный почтовый ящик, сопоставленный с пользователем с правами администратора в лесу учетных записей, в дополнение к политике назначения ролей можно сопоставить с несколькими группами ролей.

Пользователи в лесу учетных записей, сопоставленные со связанными почтовыми ящиками, каждому из которых назначена политика назначения ролей

Связи групп ролей и политик назначения

В начало

Для настройки межграничных разрешений в топологии с несколькими лесами необходимо создать связанные группы ролей для каждой группы ролей, которую требуется связать с универсальными группами безопасности во внешнем лесу. Это значит, что необходимо создать связанную группу ролей для каждой встроенной группы ролей. Выполните следующие действия.

  1. Создайте универсальную группу безопасности во внешнем лесу для каждой создаваемой связанной группы ролей. Добавьте в эту универсальную группу безопасности члены, которым необходимо предоставить разрешения.

  2. Создайте связанную группу ролей для каждой встроенной группы ролей. При создании связанной группы ролей происходит следующее:

    • Новой связанной группе ролей назначаются те же роли, что и назначенные встроенной группе ролей.

    • Связанная группа ролей сопоставляется с универсальной группой безопасности во внешнем лесу.

  3. Создайте связанные группы ролей для всех созданных настраиваемых групп ролей.

  4. Можно также назначить новым связанным группам ролей настраиваемые области.

Дополнительные сведения о выполнении этих действий см. в следующих разделах:

Если требуется изменить универсальную группу безопасности, с которой сопоставлена связанная группа ролей, см. инструкции в разделе Управление группами связанных ролей.

При создании связанного почтового ящика он автоматически назначается политике назначения ролей. Можно изменить политику назначения ролей, назначенную связанному почтовому ящику, или политику назначения ролей, назначаемую почтовым ящикам по умолчанию при их создании. Дополнительные сведения приведены в следующих разделах:

 
Показ: