Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Сведения о сосуществовании разрешений в Exchange 2007 и Exchange 2010

 

Применимо к:Exchange Server 2010 Service Pack 2 (SP2), Exchange Server 2013

Последнее изменение раздела:2015-04-07

При установке Microsoft Exchange Server 2013 в существующую организацию Microsoft Exchange Server 2010 или Microsoft Exchange Server 2007 важно понимать, как разрешения будут работать в новой организации. Прочитайте один из нижеследующих разделов, относящихся к вашей организации.

В Exchange 2013 используется та же модель разрешений управления доступом на основе ролей (RBAC), что и в Exchange 2010. При установке Exchange 2013 в существующую организацию Exchange 2010 к серверам и получателям Exchange 2013 и Exchange 2010 применяются одни и те же группы ролей управления, роли управления и области управления. Участники групп ролей или пользователи, связанные с ролями, могут выполнять администрирование любых серверов и получателей Exchange 2013 или Exchange 2013, включенные в область роли или группы ролей. Если в организации не используются области, и необходимо, чтобы участники существующих групп ролей могли управлять серверами и получателями Exchange 2010 и Exchange 2013, то нет необходимости выполнять какие-либо дополнительные действия. Эти администраторы смогут управлять серверами и получателями Exchange 2013, добавленными в организацию. Сведения о том, как работают разрешения в Exchange 2010 и Exchange 2013, см. в разделе Разрешения.

В новой организации может потребоваться разделить администрирование серверов и получателей Exchange 2010 и Exchange 2013. Группа администраторов, отвечающая за администрирование серверов и получателей Exchange 2010, может не иметь прав для администрирования серверов и получателей Exchange 2013 и наоборот. В этом случае можно использовать области управления, чтобы определить серверы и получателей, которыми может управлять каждая группа администраторов. После создания необходимых областей можно скопировать существующие группы ролей, добавить администраторов, которые должны быть участниками каждой группы, а затем добавить области в эти группы ролей. После такой процедуры участники каждой группы ролей смогут администрировать только те серверы и тех получателей, которые входят в соответствующие области.

Дополнительные сведения о группах ролей, областях, копировании групп ролей и добавлении областей в группы ролей см. в следующих разделах.

Exchange 2013 включает в себя разрешения управления доступом на основе ролей (RBAC), которые заменяют собой модель авторизации на основе элемента управления доступом (ACE) Active Directory, используемую в Microsoft Exchange Server 2007. Управление доступом на основе ролей (RBAC) — это механизм авторизации, используемый для выполнения большинства задач управления в системе Exchange 2013. Этот механизм включает в себя следующие области управления:

  • командную консоль Exchange;

  • Центр администрирования Exchange

  • Веб-службы Exchange

Дополнительные сведения о планировании совместной работы Exchange 2013 и Exchange 2007 см. в разделе Обновление с Exchange 2007 до Exchange 2013.

Необходимы сведения о задачах управления, связанных с разрешениями? См. раздел Разрешения.

Модель разрешений RBAC Exchange 2013 состоит из групп ролей управления, которым присваивается одна из ролей управления. Роли управления содержат разрешения, которые позволяют администраторам выполнять задачи в организации Exchange. Администраторы добавляются в качестве членов групп ролей. Им предоставляются все разрешения, присущие роли. В следующей таблице содержится пример групп ролей, некоторые присвоенные им роли, а также описание типа пользователя, который может быть членом группы ролей.

Примеры групп ролей и ролей в Exchange 2013

Группа ролей управления Роли управления Члены этой группы ролей

Управление организацией

Ниже приведены некоторые роли, назначенные этой группе ролей.

  • Списки адресов

  • Серверы Exchange

  • Ведение журнала

  • Получатели почты

  • Общие папки

Пользователи, управляющие всей организацией Exchange 2013, должны быть членами этой группы ролей. За некоторыми исключениями члены этой группы ролей могут управлять практически всеми аспектами организации Exchange 2013.

Учетная запись, используемая для подготовки Active Directory для Exchange 2013, является членом группы ролей.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление организацией.

Управление организацией только с правом на просмотр

Ниже перечислены роли, назначенные этой группе ролей.

  • Отслеживание

  • Конфигурация только для чтения

  • Получатели только для чтения

Пользователи, просматривающие конфигурацию всей организации Exchange 2013, должны быть членами этой группы ролей. Эти пользователи должны иметь возможность просмотра конфигурации сервера и сведений о получателях, а также выполнения функций отслеживания без возможности изменения конфигурации организации или получателя.

Дополнительные сведения об этой группе ролей см. в разделе Управление организацией только с правом на просмотр.

Управление получателями

Ниже перечислены роли, назначенные этой группе ролей.

  • Группы рассылки

  • Общие папки с включенной поддержкой почты

  • Создание получателей почты

  • Получатели почты

  • Отслеживание сообщений

  • Миграция

  • Перемещение почтовых ящиков

  • Политики получателей

Пользователи, управляющие получателями в организации Exchange 2013 (например, почтовыми ящиками, контактами и группами рассылки), должны быть членами этой группы ролей. Эти пользователи могут создавать получателей, изменять или удалять существующих получателей, а также перемещать почтовые ящики.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление получателями.

Управление сервером

Ниже приведены некоторые роли, назначенные этой группе ролей.

  • Базы данных

  • Соединители Exchange

  • Серверы Exchange

  • Соединители получения

  • Очереди транспорта

Пользователи, управляющие конфигурацией сервера Exchange (например, соединителями получения, сертификатами, базами данных и виртуальными каталогами), должны быть членами этой группы ролей. Эти пользователи могут изменять конфигурацию сервера Exchange, создавать базы данных, перезапускать и изменять очереди транспорта.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление сервером.

Управление обнаружением

Ниже перечислены роли, назначенные этой группе ролей.

  • Юридическое удержание

  • Поиск в почтовом ящике

Пользователи, выполняющие поиск почтовых ящиков для поддержки судебного разбирательства или настройки юридического удержания, должны быть членами этой группы ролей.

Это пример группы ролей, которая может содержать администраторов, не работающих с серверами Exchange (например, сотрудников юридического отдела). Юристы могут выполнять свою работу без вмешательства администраторов Exchange.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление обнаружением.

В этой таблице показано, что система Exchange 2013 обеспечивает возможность детального контроля разрешений, предоставляемых администраторам. В системе Exchange 2013 можно выбрать одну из 12 групп ролей. Полный список групп ролей и предоставляемых ими разрешений см. в разделе Встроенные группы ролей.

В связи с большим количеством групп ролей, предоставляемых в системе Exchange 2013, а также с возможностью дальнейшей настройки путем создания групп ролей с различными комбинациями ролей изменение списков управления доступом (ACL) для объектов Active Directory больше не требуется и не приведет к желаемым результатам. Списки управления доступом больше не используются для применения разрешений к отдельным администраторам или группам на сервере Exchange 2013. Все возможные задачи (например, создание почтового ящика администратором или доступ пользователя к почтовому ящику) управляются с помощью модели управления доступом на основе ролей (RBAC). Механизм RBAC авторизует задачу на сервере Exchange, и в случае ее разрешения система Exchange выполняет задачу от имени пользователя в универсальной группе безопасности (USG) доверенной подсистемы Exchange. Практически все списки управления доступом для объектов Active Directory, к которым система Exchange 2010 должна иметь доступ, разрешены в универсальной группе безопасности доверенной подсистемы Exchange. Это фундаментальное изменение процесса обработки разрешений по сравнению с версией Exchange 2007.

Разрешения, предоставленные пользователю в Active Directory, отличаются от разрешений, предоставленных пользователю системой управления доступом на основе ролей, если этот пользователь использует средства управления Exchange 2013.

Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.

В административной модели Exchange 2007 используются леса Active Directory для определения границ безопасности. В пределах одного леса не существует изоляции разрешений безопасности. Владельцы леса и администраторы предприятия могут получить доступ ко всем ресурсам в любом домене и в любое время. В системе Exchange 2007 можно только временно назначить права администратора предприятия и права администратора домена первого уровня.

В системе Exchange 2007 предусмотрены следующие предопределенные роли администраторов.

  • Роль администратора организации Exchange   Эта роль предоставляет разрешения на управление всеми аспектами организации Exchange 2007. Кроме того, администратор, которому назначена эта роль, может предоставлять разрешения другим администраторам Exchange. Эта роль назначается учетной записи, используемой для установки системы Exchange 2007.

  • Роль администратора Exchange с правами на просмотр   Эта роль предоставляет разрешения только на просмотр конфигурации Exchange. Но администратор, которому назначена эта роль, не может изменять объекты в организации Exchange 2007.

  • Роль администратора получателей Exchange   Эта роль предоставляет разрешения на управление получателями электронной почты. Администратор, которому назначена эта роль, может изменять связанные с Exchange элементы для пользователей, групп, контактов и групп рассылки.

  • Роль администратора сервера Exchange   Эта роль предоставляет разрешения на управление определенным сервером. Однако эта роль не предоставляет разрешения на выполнение действий, оказывающих глобальное влияние на организацию Exchange 2007.

  • Роль администратора общих папок Exchange   Эта роль добавлена в версию Exchange 2007 с пакетом обновления 1 (SP1). Она предоставляет разрешения на управление общими папками в организации Exchange 2007.

В этой модели разрешений используются универсальные группы безопасности для всех ролей, кроме роли администратора сервера Exchange. При запуске команды Exchange 2007 Setup /PrepareAD программа установки создает универсальные группы безопасности (USG) в корневом домене и назначает им область всего леса. Группы USG назначаются спискам управления доступом (ACL) для управления объектами Exchange в службе каталогов Active Directory.

В системе Exchange 2007 можно разграничивать администраторов путем назначения им различных ролей. Разрешения назначаются напрямую пользователю или универсальной группе безопасности, членом которой является пользователь. Все действия пользователя выполняются в контексте его учетной записи Active Directory. В следующей таблице перечислены административные роли Exchange 2007 и соответствующие им разрешения Exchange.

Административные роли Exchange 2007

Административная роль Члены Член Разрешения Exchange

Администратор организации Exchange

Учетная запись «Администратор» или учетная запись, используемая для установки первого сервера Exchange 2007

Администратор получателей Exchange

Локальная группа администраторов <имя_сервера>

Полный контроль над контейнером Microsoft Exchange в службе Active Directory

Администратор Exchange с правом только на просмотр

Администраторы получателей Exchange

Администраторы сервера Exchange (<имя_сервера>)

Администраторы получателей Exchange

Администраторы сервера Exchange

Доступ с правом на чтение к контейнеру Microsoft Exchange в службе Active Directory

Доступ с правом на чтение ко всем доменам Windows, имеющим получателей Exchange

Администратор получателей Exchange

Администраторы организации Exchange

Администраторы Exchange с правом только на просмотр

Полный контроль над свойствами Exchange объектов пользователей Active Directory

Администратор сервера Exchange

Администраторы организации Exchange

Администраторы Exchange с правом только на просмотр

Локальная группа администраторов <имя_сервера>

Полный контроль над сервером Exchange <имя_сервера>

Сервер Exchange

Каждая учетная запись компьютера Exchange 2007

Администраторы Exchange с правом только на просмотр

Специальный

Администратор общих папок Exchange

Администраторы организации Exchange

Администраторы Exchange с правом только на просмотр

Полный контроль над управлением всеми общими папками (предоставляется расширенное право создания общих папок верхнего уровня)

Чтобы выполнить более детальное назначение разрешений, можно изменить списки управления доступом для отдельных объектов Exchange 2007, например списков адресов или баз данных. Необходимо добавить пользователя или группу безопасности, членом которой является пользователь, непосредственно в список управления доступом, после чего действия будут выполняться в контексте определенного пользователя.

Дополнительные сведения об управлении разрешениями в Exchange 2007 см. в разделе Настройка разрешений в Exchange Server 2007.

Так как модели разрешений для версий Exchange 2013 и Exchange 2007 различаются, назначения разрешений Exchange 2013 отделяются от назначений разрешений Exchange 2007. Это справедливо даже в том случае, когда обе версии Exchange установлены в одном лесу. Без дополнительной настройки администраторы Exchange 2013 не имеют необходимых разрешений для управления серверами Exchange 2007, а администраторы Exchange 2007 — для управления серверами Exchange 2013. Необходимо принять во внимание следующие аспекты.

  • Требуется ли предоставить администраторам Exchange 2013 доступ на управление серверами Exchange 2007?

  • Требуется ли предоставить администраторам Exchange 2007 доступ на управление серверами Exchange 2013?

  • Требуется ли настроить разрешения Exchange 2013 таким образом, чтобы они соответствовали настройкам, выполненным по отношению к спискам управления доступом Exchange 2007?

Чтобы предоставить администраторам Exchange 2007 право управления серверами Exchange 2013, необходимо добавить администраторов Exchange 2007 в одну или несколько групп ролей Exchange 2013. В группы ролей можно добавить пользователей или универсальные группы безопасности. Разрешения, предоставленные группам ролей, будут затем применены к пользователям или универсальным группам безопасности, добавленным в качестве членов.

ВажноВажно!
При использовании локальных или глобальных групп безопасности домена Active Directory необходимо заменить их на универсальные группы безопасности, чтобы добавить их в качестве участников группы ролей Exchange 2013. Exchange 2013 поддерживает только универсальные группы безопасности.

В следующей таблице приведено сопоставление административных ролей Exchange 2007 и групп ролей Exchange 2013.

Административные роли Exchange 2007 и группы ролей Exchange 2010

Административная роль Exchange 2007 Группа ролей Exchange 2013

Администратор организации Exchange

Управление организацией

Администратор получателей Exchange

Управление получателями

Администратор сервера Exchange

Управление сервером

Администратор Exchange с правом только на просмотр

Управление организацией только с правом на просмотр

Сервер Exchange

В системе Exchange 2013 отсутствует соответствующая группа ролей

(Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.)

Администратор общих папок Exchange

Управление общими папками

Если все администраторы Exchange 2007 являются членами одной из административных ролей Exchange 2007, можно добавить членов каждой из административных групп в соответствующую группу ролей Exchange 2013. Например, чтобы предоставить всем администраторам организации Exchange 2007 полный доступ к объектам Exchange 2013, добавьте универсальную группу безопасности «Администраторы организации Exchange» в группу ролей Управление организацией.

Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.

Если для предоставления более детальных разрешений администраторам Exchange 2007 были изменены списки управления доступом для объектов Exchange 2007 и необходимо назначить этим администраторам аналогичные разрешения на управление серверами Exchange 2013, выполните следующие действия:

  1. Просмотрите изменения настроек списков управления доступом для объектов Exchange 2007 и определите тех администраторов, которым были предоставлены разрешения для каждого объекта.

  2. Классифицируйте каждый объект Exchange 2007. Например, определите, является ли объект базой данных, сервером или получателем.

  3. Сопоставьте объекты с соответствующей группой ролей Exchange 2013. Список встроенных групп ролей см. в разделе Встроенные группы ролей.

  4. Добавьте универсальные группы безопасности или пользователей для каждого типа объекта в соответствующие группы ролей Exchange 2013. Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.

После выполнения этих шагов администраторы Exchange 2007 будут входить в определенную группу ролей, сопоставленную с соответствующими объектами Exchange 2013. Администраторы Exchange 2007 могут использовать средства управления Exchange 2013 для управления серверами и получателями Exchange 2013.

ВажноВажно!
В общем случае управление серверами и получателями Exchange 2007 должно осуществляться с помощью средств управления Exchange 2007, а управление серверами и получателями Exchange 2013 — с помощью средств управления Exchange 2013.

Если встроенные группы ролей не предоставляют определенный набор разрешений, который необходимо предоставить некоторым администраторам, можно создать настраиваемые группы ролей. При создании настраиваемой группы ролей можно выбрать роли, которые необходимо добавить. Можно определить компоненты, которыми должны управлять члены этой группы ролей. Например, если администраторы должны управлять только группами рассылки, можно создать настраиваемую группу ролей и выбрать только роль «Группы рассылки». После этого члены этой группы ролей смогут управлять только группами рассылки. Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.

Если определенным объектам Exchange 2007 предоставлены отдельные разрешения (например, администраторам разрешено управлять только определенными базами данных) и необходимо применить такую же конфигурацию к серверам Exchange 2013, обратитесь к подразделу «Повторное создание настройки списка управления доступом Exchange 2007 с помощью областей управления в версии Exchange 2013» далее в этом разделе.

Чтобы предоставить администраторам Exchange 2013 право управления серверами Exchange 2007, добавьте администраторов Exchange 2013 в универсальные группы безопасности или в группу безопасности, соответствующую определенной административной роли Exchange 2007. Или, если существуют настроенные параметры списков управления доступом, добавьте администраторов в соответствующие списки ACL. Группы ролей относятся к универсальным группам безопасности, поэтому их можно добавлять непосредственно в универсальные группы безопасности административных ролей Exchange 2007.

После выполнения указанных выше действий администраторы Exchange 2013 будут входить в соответствующую административную роль (или роли) Exchange 2007. Администраторы Exchange 2013 могут использовать средства управления Exchange 2007 для управления серверами и получателями Exchange 2007.

Чтобы в Exchange 2007 ограничить количество администраторов определенного хранилища почтовых ящиков, администраторов определенных пользователей или определить хранилище, в котором создаются почтовые ящики, необходимо изменить списки управления доступом для ограничиваемых объектов. Exchange 2013 предоставляет те же возможности, но без необходимости изменять списки управления доступом. Эта процедура осуществляется с помощью областей управления, которые являются компонентом системы управления доступом на основе ролей.

Области управления включают в себя встроенные и настраиваемые области для определения объектов, управляемых администраторами. Применение областей управления позволяет определить администрируемых получателей, базы данных, в которых разрешено создавать почтовые ящики, а также получателей и серверы, которые могут администрироваться только небольшой группой администраторов.

Можно создать следующие типы областей управления:

  • Предварительно определенная относительная   Предварительно определенные относительные области входят в состав системы Exchange 2013. Можно управлять всеми видимыми и доступными для изменения компонентами. Например, в предварительно определенных относительных областях можно определить необходимость отображения для пользователя только сведений о нем самом или сведений обо всей организации.

  • Получатель   Области получателей определяют получателей, которых администратор может создавать, изменять или удалять. Указать получателей можно на основе подразделения и/или фильтра получателей. Фильтры получателей определяют критерии, которым должны соответствовать все получатели области. Например, можно создать область фильтра получателей, которая содержит всех пользователей в определенном местоположении или отделе. Можно даже совмещать подразделения и фильтры получателей, чтобы выбирать пользователей в определенном подразделении, которые отправляют отчеты определенному менеджеру.

  • Сервер   Области серверов определяют серверы, которыми может управлять администратор. Можно указать списки или фильтры серверов. Списки серверов позволяют определить статический список управляемых серверов. Фильтры серверов работают так же, как и фильтры получателей. В них можно указать критерии, которым должен соответствовать сервер. Например, можно создать область серверов, которая соответствует всем серверам на определенном сайте Active Directory.

  • База данных   В областях баз данных определяются те базы данных, которыми может управлять администратор. Они также могут определять базы данных, в которых разрешено создавать или в которые разрешено перемещать почтовые ящики. Подобно областям серверов, их можно определить в виде списков или фильтров. Например, можно создать список или фильтр, позволяющий администраторам создавать или перемещать почтовые ящики в определенные базы данных, управляемые отдельным подразделением.

  • Эксклюзивная область   Области получателей, серверов и баз данных можно создавать как эксклюзивные. Эксклюзивные области работают как запрещающие элементы управления доступом в списках управления доступом. Если какой-либо компонент входит в эксклюзивную область, то управление этим объектом осуществляется только администраторами, которым назначена эта эксклюзивная область. Это справедливо даже в том случае, если этот компонент соответствует другой неэксклюзивной области. Такая функция особенно полезна, если требуется поручить управление почтовым ящиком руководителя только нескольким надежным сотрудникам. Даже если более широкая обычная область получателей включает в себя почтовый ящик руководителя, администраторы с более широкой обычной областью не смогут управлять этим почтовым ящиком, если им не назначена эксклюзивная область.

Области управления используются вместе с ролями управления, их назначениями, а также с группами таких ролей для определения администраторов объектов и способа управления этими объектами. Дополнительные сведения см. в следующих разделах:

Чтобы создать модель разрешений, определенную через настроенные списки управления доступом, в системе Exchange 2013 с помощью областей управления, необходимо определить настроенные списки ACL и создать соответствующие им области управления. Фильтруемые свойства объектов получателей, серверов и баз данных можно использовать для создания области управления, включающей в себя объекты, доступ к которым должен контролироваться этой областью. Дополнительные сведения о свойствах, для которых можно использовать фильтры областей управления, см. в разделе Общие сведения о фильтрах области ролей управления.

Дополнительные сведения о создании областей управления см. в разделе Создание регулярной или монопольной области.

 
Показ: