Общие сведения о разделенных разрешениях

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-04-07

В организациях, которые разграничивают управление объектами Microsoft Exchange Server 2013 и Active Directory, используется модель разделения разрешений. Модель разделения разрешений позволяет организациям назначать определенные разрешения и связанные задачи для определенных групп в пределах организации. Такое разделение обязанностей помогает поддерживать соответствие стандартам и объемы рабочих процессов, а также управлять изменениями в организации.

Наивысший уровень разделения разрешений — это разграничение управления Exchange и управления Active Directory. В состав многих организаций входят две группы: администраторы, управляющие инфраструктурой Exchange организации, в том числе серверами и получателями, и администраторы, управляющие инфраструктурой Active Directory. Такое разграничение является очень важным во многих организациях, так как инфраструктура Active Directory обычно охватывает различные местоположения, домены, службы, приложения и даже леса Active Directory. Администраторы Active Directory должны убедиться, что изменения, выполненные в службах Active Directory, не окажут отрицательного влияния на другие службы. Поэтому обычно разрешение на управление такой инфраструктурой получает небольшая группа администраторов.

Инфраструктура Exchange, включающая в себя серверы и получателей, также может быть сложной и требовать специальных знаний. Кроме того, в Exchange хранятся конфиденциальные бизнес-сведения организации. Администраторы Exchange могут иметь к ним доступ. При ограничении числа администраторов Exchange в организации можно ограничить группу лиц, которым разрешено вносить изменения в конфигурацию Exchange и которые имеют доступ к конфиденциальным сведениям.

Модель разделения разрешений обычно подразумевает разграничение процессов создания участников безопасности в службах Active Directory, таких как пользователи и группы безопасности, и последующей настройки этих объектов. Это позволяет уменьшить риск несанкционированного доступа к сети благодаря контролю над пользователями, которые могут создавать объекты, предоставляющие к ней доступ. Чаще всего субъектов безопасности могут создавать только администраторы Active Directory. Другие администраторы, например администраторы Exchange, могут управлять определенными атрибутами существующих объектов Active Directory.

В целях изменения организации в соответствии с изменяющимися потребностями разделения управления Exchange и Active Directory Exchange 2013 позволяет использовать модель разрешений общего доступа и модель разделения разрешений. В Exchange 2013 представлено два типа модели разрешений общего доступа: RBAC и Active Directory. В Exchange 2013 по умолчанию используется модель разрешений общего доступа.

Содержание

Описание управления доступом на основе ролей и служб Active Directory

Разрешения общего доступа

Разделение разрешений

Разделение разрешений RBAC

Active Directory, разделение разрешений

Для понимания сущности разделения разрешений необходимо понимать, как модель разрешений управления доступом на основе ролей (RBAC) в Exchange 2013 взаимодействует со службами Active Directory. Модель RBAC позволяет управлять группой лиц, которые могут выполнять определенные действия, и объектами, по отношению к которым можно выполнять эти действия. Дополнительные сведения о различных компонентах модели RBAC, описанных в этом разделе, см. в разделе Общие сведения об управлении доступом на основе ролей.

В Exchange 2013 все задачи для объектов Exchange необходимо выполнять с помощью консоли управления Exchange или интерфейса веб-администрирования Exchange. Каждое из этих средств управления использует управление доступом на основе ролей для разрешения всех выполняемых задач.

RBAC является компонентом каждого сервера Exchange 2013. Компонент RBAC проверяет, разрешено ли пользователю выполнять определенное действие.

  • Если пользователю запрещено выполнять действие, компонент RBAC не разрешит выполнять его.

  • Если пользователю разрешено выполнять действие, компонент RBAC проверит, разрешено ли этому пользователю выполнять его по отношению к запрошенному объекту.

    • Если пользователь имеет такое разрешение, RBAC разрешит выполнить действие.

    • Если пользователь не имеет такого разрешения, RBAC запретит выполнение действия.

Если компонент RBAC разрешит выполнение действия, это действие будет выполнено в контексте доверенной подсистемы Exchange, но не в контексте пользователя. Доверенная подсистема Exchange — это универсальная группа безопасности с широкими правами, участники которой обладают правами на чтение и запись всех связанных с Exchange объектов в организации Exchange. Она также является членом локальной группы безопасности администраторов и универсальной группы безопасности разрешений Windows Exchange, которая позволяет создавать объекты Active Directory и управлять ими в Exchange.

Внимание!Внимание!
Не следует вручную вносить изменения в состав группы безопасности доверенной подсистемы Exchange. Не рекомендуется также добавлять эту группу в списки управления доступом к объектам или удалять ее из него. Самостоятельное внесение изменений в универсальную группу безопасности доверенной подсистемы Exchange может привести к неисправимым повреждениям организации Exchange.

Необходимо понимать, что не имеет значения, какие разрешения Active Directory имеет пользователь при использовании средств управления Exchange. Если компонент RBAC разрешает пользователю выполнять действие с помощью средств управления Exchange, этот пользователь сможет выполнить его независимо от наличия разрешений Active Directory. И наоборот, если пользователь является администратором предприятия в Active Directory, но ему запрещено выполнять действие, например создавать почтовые ящики, с помощью средств управления Exchange, ему не удастся выполнить это действие из-за отсутствия необходимых разрешений согласно проверке RBAC.

ВажноВажно!
Несмотря на то что модель разрешений RBAC не применяется к средству управления Active Directory "Пользователи и компьютеры", с помощью средства Active Directory "Пользователи и компьютеры" невозможно управлять конфигурацией Exchange. Поэтому, даже если пользователь имеет разрешение на изменение некоторых атрибутов объектов Active Directory, например отображаемого имени пользователя, он должен использовать средства управления Exchange (и пройти проверку RBAC) для управления атрибутами Exchange.

В начало

В системе Exchange 2013 по умолчанию используется модель общих разрешений. Если в организации планируется использовать такую модель разрешений, то изменение каких-либо параметров не требуется. Эта модель не разграничивает управление объектами Exchange и Active Directory с помощью средств управления Exchange. Она позволяет администраторам использовать средства управления Exchange для создания субъектов безопасности в Active Directory.

В следующей таблице перечислены роли, разрешающие создание субъектов безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.

Роли управления субъектами безопасности

Роль управления Группа ролей

Роль создания получателя электронной почты

Управление организацией

Управление получателями

Роль создания и членства в группе безопасности

Управление организацией

Разрешение на создание участников безопасности, например пользователей Active Directory, имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания получателей почты. По умолчанию эта роль назначена группам ролей Управление организацией и Управление получателями. Поэтому участники этих групп ролей могут создавать участников безопасности.

Разрешение на создание групп безопасности или управление их участниками имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль создания и членства в группе безопасности. По умолчанию эта роль назначена только группе ролей Управление организацией. Поэтому только члены группы ролей Управление организацией могут создавать группы безопасности и управлять ее составом.

Можно назначить роль создания получателей почты и роль создания и членства в группе безопасности другим группам ролей, пользователям или универсальным группам безопасности, чтобы разрешить другим пользователям создавать участников безопасности.

Для разрешения управления существующими участниками безопасности в Exchange 2013 роль получателей почты назначается по умолчанию группам ролей Управление организацией и Управление получателями. Разрешение на управление существующими участниками безопасности имеют только группы ролей, пользователи и универсальные группы безопасности, которым назначена роль получателей почты. Чтобы разрешить другим группам ролей, пользователям и универсальным группам безопасности управлять существующими участниками безопасности, необходимо назначить им роль получателей почты.

Дополнительные сведения о добавлении ролей для групп ролей, пользователей или универсальных групп безопасности см. в следующих разделах.

Сведения об переключении модели разделения разрешений на модель разрешений общего доступа см. в разделе Настройка общих разрешений в Exchange 2013.

В начало

Если в организации существует разграничение управления системой Exchange и управления службой Active Directory, то необходимо настроить Exchange на поддержку модели разделения разрешений. Если настройка выполнена правильно, только администраторы, которым разрешено создавать участников безопасности, например администраторы Active Directory, смогут создавать их, а также только администраторы Exchange смогут изменять атрибуты Exchange существующих участников безопасности. Разделение разрешений происходит примерно вдоль линий разделов домена и конфигурации в службе Active Directory. Разделы также называются контекстами именования. В разделе домена хранятся пользователи, группы и другие объекты для определенного домена. В разделе конфигурации хранятся сведения о конфигурации для всего леса по тем службам, которые использовали Active Directory, например Exchange. Данными, которые хранятся в разделе домена, обычно управляют администраторы Active Directory, хотя объекты могут содержать специфические для системы Exchange атрибуты, которыми могут управлять администраторы Exchange. Данными, которые хранятся в разделе конфигурации, управляют администраторы каждой соответствующей службы, хранящей данные в этом разделе. Для Exchange это, как правило, администраторы Exchange.

В сервере Exchange 2013 реализована поддержка следующих типов разрешений общего доступа.

  • Разделенные разрешения RBAC   Разрешения на создание субъектов безопасности в разделе домена Active Directory контролируются моделью управления доступом на основе ролей. Только серверы Exchange, службы и члены соответствующих групп ролей могут создавать субъекты безопасности.

  • Разделенные разрешения Active Directory   Разрешения на создание субъектов безопасности в разделе домена Active Directory полностью удаляются из настроек пользователя, службы или сервера Exchange. В модели RBAC отсутствует возможность создания участников безопасности. Эта процедура должна выполняться в службе Active Directory с помощью средств управления Active Directory.

    ВажноВажно!
    Хотя разделение разрешений Active Directory можно включить или отключить, запустив программу установки на компьютере с установленной версией Exchange 2013, конфигурация разделения разрешений Active Directory применяется к серверам Exchange 2013 и Exchange 2010. Однако она не влияет на серверы Microsoft Exchange Server 2007.

Если в организации используется модель разделения разрешений вместо разрешений общего доступа, рекомендуется применять модель разделения разрешений RBAC. Модель разделенных разрешений RBAC обеспечивает значительно большую гибкость при сохранении почти такого же разделения администрирования, как при модели разделенных разрешений Active Directory, за исключением того, что серверы и службы Exchange в модели RBAC могут создавать субъекты безопасности.

Будет задан вопрос, следует ли включить разделение разрешений Active Directory во время установки. Если выбрать разделение разрешений Active Directory, то изменить модель на разрешения общего доступа или разделенные разрешения RBAC можно будет только путем перезапуска программы установки и отключения разделения разрешений Active Directory. Этот выбор применяется ко всем серверам Exchange 2010 и Exchange 2013 в организации.

В следующих разделах разделенные разрешения RBAC и Active Directory описаны более подробно.

В начало

В модели безопасности RBAC осуществляется изменение назначений ролей управления по умолчанию для разделения пользователей, которые могут создавать субъекты безопасности в разделе домена Active Directory, и которые имеют права на администрирование данных организации Exchange в разделе конфигурации Active Directory. Субъекты безопасности, такие как пользователи с почтовыми ящиками и группы рассылки, могут создаваться администраторами с назначенными ролями создания получателей почты, создания и членства в группе безопасности. Эти разрешения остаются отделенными от разрешений, необходимых для создания субъектов безопасности без применения средств управления Exchange. Администраторы Exchange, которым не назначены роли создания получателей почты, создания и членства в группе безопасности, могут по-прежнему изменять связанные с Exchange атрибуты субъектов безопасности. Администраторы Active Directory также могут использовать средства управления Exchange для создания субъектов безопасности Active Directory.

Серверы Exchange и доверенная подсистема Exchange также имеют разрешения на создание субъектов безопасности в службе Active Directory от имени пользователей и сторонних программ, которые интегрированы в модель RBAC.

Разделенные разрешения RBAC — это хороший выбор для организации, если выполняются следующие условия.

  • В организации не требуется создание участников безопасности только с помощью средств управления Active Directory и только теми пользователями, которым назначены определенные разрешения Active Directory.

  • Используемые в организации службы, например серверы Exchange, могут создавать субъекты безопасности.

  • Требуется упростить процесс создания почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и групп ролей, разрешив эти процессы в средствах управления Exchange.

  • Необходимо управлять членством групп рассылки и групп ролей в средствах управления Exchange.

  • Имеются программы сторонних производителей, для которых требуется, чтобы серверы Exchange могли создавать субъекты безопасности от их имени.

Если в организации требуется полное разделение администрирования Exchange и Active Directory, при котором администрирование Active Directory не может осуществляться с помощью средств управления Exchange или служб Exchange, см. подраздел Active Directory, разделение разрешений далее в этом разделе.

Переключение с разрешений общего доступа на разделенные разрешения RBAC — это ручной процесс, при котором удаляются разрешения, необходимые для создания участников безопасности, из групп ролей, которым они предоставлены по умолчанию. В следующей таблице перечислены роли, разрешающие создание субъектов безопасности в Exchange и групп ролей управления, к которым эти участники назначены по умолчанию.

Роли управления субъектами безопасности

Роль управления Группа ролей

Роль создания получателя электронной почты

Управление организацией

Управление получателями

Роль создания и членства в группе безопасности

Управление организацией

По умолчанию члены групп ролей Управление организацией и Управление получателями могут создавать участников безопасности. Необходимо передать разрешение на создание участников безопасности из встроенных групп ролей в новую созданную группу ролей.

Чтобы настроить модель разделения разрешений RBAC, выполните следующие действия.

  1. Отключите разделение разрешений Active Directory, если оно включено.

  2. Создайте группу ролей, содержащую администраторов Active Directory, которым будет разрешено создавать участников безопасности.

  3. Создайте назначения обычной роли и роли делегирования между ролью создания получателей почты и новой группой ролей.

  4. Создайте назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и новой группой ролей.

  5. Удалите назначения обычной роли и роли делегирования между ролью создания получателей почты и группами ролей Управление организацией и Управление получателями.

  6. Удалите назначения обычной роли и роли делегирования между ролью создания и членства в группе безопасности и группой ролей Управление организацией.

Теперь только участники новой созданной группы ролей смогут создавать участников безопасности, например почтовые ящики. Участники новой группы смогут только создавать объекты. Они не смогут настраивать атрибуты Exchange нового объекта. Администратору Active Directory, который является членом новой группы, потребуется создать объект, а затем администратору Exchange потребуется настроить атрибуты Exchange этого объекта. Администраторы Exchange не смогут использовать следующие командлеты:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Тем не менее, администраторы Exchange смогут создавать специфические для Exchange объекты, такие как правила транспорта и группы рассылки, а также управлять ими. Также они смогут управлять связанными с Exchange атрибутами любого объекта.

Кроме того, связанные возможности в EAC и Outlook Web App, такие как мастер создания почтового ящика, больше не будут доступны и не будут вызывать ошибки, если попытаться их использовать.

Чтобы разрешить новой группе ролей управлять атрибутами Exchange нового объекта, этой группе необходимо назначить роль получателей почты.

Дополнительные сведения о настройке модели разделения разрешений см. в разделе Настройка разделенных разрешений в Exchange 2013.

В начало

При использовании разделенных разрешений Active Directory создание участников безопасности в разделе домена Active Directory, например почтовых ящиков и групп рассылки, должно выполняться с помощью средств управления Active Directory. В разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange, вносится несколько изменений по ограничению действий, которые могут выполнять администраторы и серверы Exchange. При включении разделенных разрешений Active Directory происходят следующие изменения в функциях.

  • Создание почтовых ящиков, пользователей с включенной поддержкой почты, групп рассылки и других субъектов безопасности удаляется из средств управления Exchange.

  • Добавление и удаление членов групп рассылки в средствах управления Exchange становится невозможным.

  • Удаляются все разрешения, предоставленные доверенной подсистеме Exchange и серверам Exchange на создание субъектов безопасности.

  • Серверы Exchange и средства управления Exchange могут изменять только атрибуты Exchange существующих субъектов безопасности в службе Active Directory.

Например, для создания почтового ящика с включенным разделением разрешений Active Directory сначала необходимо создать пользователя с помощью средств Active Directory с требуемыми разрешениями Active Directory. Затем для пользователя можно включить поддержку почтового ящика с помощью средств управления Exchange. Администраторы Exchange с помощью средств управления Exchange могут изменять только связанные с Exchange атрибуты почтового ящика.

Разделенные разрешения Active Directory — это хороший выбор для организации, если выполняются следующие условия.

  • Условия организации требуют, чтобы участники безопасности создавались только с помощью средств управления Active Directory или только теми пользователями, которым предоставлены определенные разрешения в службе Active Directory.

  • Необходимо полностью отделить возможность создания субъектов безопасности от пользователей, управляющих организацией Exchange.

  • Все управление группами рассылки, в том числе создание групп рассылки, добавление членов в группы и удаление членов из них, должно выполняться с помощью средств управления Active Directory.

  • Серверы Exchange или программы сторонних производителей, которые используют систему Exchange от своего имени, не должны создавать субъекты безопасности.

ВажноВажно!
Переход на разделение разрешений Active Directory — это выбор, совершаемый при установке Exchange 2013 с помощью мастера установки или с использованием параметра ActiveDirectorySplitPermissions при выполнении setup.exe из командной строки. Разделение разрешений Active Directory можно также включить либо отключить после установки системы Exchange 2013 путем перезапуска программы setup.exe из командной строки. Чтобы включить разделение разрешений Active Directory, установите для параметра ActiveDirectorySplitPermissions значение true. Чтобы отключить его, установите значение false. Всегда следует задавать параметр PrepareAD вместе с параметром ActiveDirectorySplitPermissions.
Если в одном лесу используется несколько доменов, необходимо также указать параметр PrepareAllDomains во время применения разделенных разрешений Active Directory или выполнить установку с включенным параметром PrepareDomain на каждом домене. При установке системы с включенным параметром PrepareDomain на каждом домене вместо использования параметра PrepareAllDomains необходимо подготовить все домены, содержащие серверы Exchange, объекты с включенной поддержкой почты или серверы глобальных каталогов, доступные для сервера Exchange.
ВажноВажно!
Вы не можете выключить разделение разрешений Active Directory, если вы установили Exchange 2010 или Exchange 2013 на контроллере домена.
После включения или выключения разделения разрешений Active Directory рекомендуем перезапустить серверы Exchange 2010 и Exchange 2013 в организации, чтобы они получили новый маркер доступа Active Directory с обновленными разрешениями.

Exchange 2013 обеспечивает разделение разрешений Active Directory за счет удаления разрешений и членства в группе безопасности "Разрешения" ExchangeWindows. Этой группе безопасности, в разрешениях общего доступа и разделенных разрешениях RBAC, предоставляются разрешения на многие не связанные с системой Exchange объекты и атрибуты через службу Active Directory. Путем удаления разрешений и сведений о членстве этой группы безопасности администраторам и службам Exchange запрещается создавать или изменять объекты Active Directory, не связанные с Exchange.

Список изменений, которые происходят в группе безопасности разрешений Exchange Windows и других компонентах Exchange при включении либо отключении разделенных разрешений Active Directory, см. в следующей таблице.

ПримечаниеПримечание.
Назначения ролей для групп ролей, которые позволяют администраторам Exchange создавать субъекты безопасности, удаляются при включении разделенных разрешений Active Directory. Это делается для отключения доступа к командлетам, которые могут вызвать ошибку при их запуске, так как они не имеют разрешений на создание связанного объекта Active Directory.

Изменения в разделенных разрешениях Active Directory

Действие Изменения, вносимые системой Exchange

Включение разделения разрешений Active Directory во время первой установки сервера Exchange 2013

При включении разделения разрешений Active Directory через мастер установки или путем запуска программы setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true:

  • Создается подразделение под названием Защищенные группы Microsoft Exchange.

  • Создается группа безопасности Разрешения Windows для Exchange в подразделении Защищенные группы Microsoft Exchange.

  • При этом группа безопасности Доверенная подсистема Exchange не добавляется в группу безопасности Разрешения Windows для Exchange.

  • Пропускается создание назначений для неделегирующих ролей управления следующих типов:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Элементы управления доступом (ACE), которые могут быть назначены группе безопасности Разрешения Windows для Exchange, не добавляются в объект домена Active Directory.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

  • Элементы управления доступом (ACE) устанавливаются на каждом домене, за исключением элементов ACE, назначенных группе безопасности Разрешения Windows для Exchange.

Переключение с разрешений общего доступа или разделенных разрешений RBAC на разделенные разрешения Active Directory

При запуске команды setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:true происходит следующее:

  • Создается подразделение под названием Защищенные группы Microsoft Exchange.

  • Группа безопасности Разрешения Windows для Exchange перемещается в подразделение Защищенные группы Microsoft Exchange.

  • При этом группа безопасности Доверенная подсистема Exchange удаляется из группы безопасности Разрешения Windows для Exchange.

  • Удаляются все назначения для неделегирующих ролей управления следующих типов:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Все элементы управления доступом, назначенные для группы безопасности Разрешения Windows для Exchange, удаляются из объекта домена.

  • Элементы управления доступом (ACE) устанавливаются на каждом домене, за исключением элементов ACE, назначенных группе безопасности Разрешения Windows для Exchange.

Переключение с разделенных разрешений Active Directory на разрешения общего доступа или разделенные разрешения RBAC

При запуске команды setup.exe с параметрами /PrepareAD и /ActiveDirectorySplitPermissions:false происходит следующее:

  • Группа безопасности Разрешения Windows для Exchange перемещается в подразделение Защищенные группы Microsoft Exchange.

  • Подразделение Защищенные группы Microsoft Exchange удаляется.

  • При этом группа безопасности Доверенная подсистема Exchange добавляется в группу безопасности Разрешения Windows для Exchange.

  • Элементы управления доступом добавляются в объект домена для группы безопасности Разрешения Windows для Exchange.

При выполнении установки с включенным параметром PrepareAllDomains или PrepareDomain на подготовленных дочерних доменах происходят следующие события.

  • Элементы управления доступом добавляются в объект домена для группы безопасности Разрешения Windows для Exchange.

  • Элементы управления доступом (ACE) задаются в каждом домене, в том числе ACE, назначенные группе безопасности Разрешения Windows для Exchange.

Назначения для ролей создания получателей почты и ролей создания и членства в группе безопасности не создаются автоматически при переключении с разделенных разрешений Active Directory на разрешения общего доступа. Если назначения ролей делегирования были настроены до включения разделения разрешений Active Directory, то эти настройки остаются неизменными. Дополнительные сведения о создании назначений ролей между этими ролями и группой ролей Управление организацией см. в разделе Настройка общих разрешений в Exchange 2013.

После включения разделения разрешений Active Directory следующие командлеты больше недоступны:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

После включения разделения разрешений Active Directory следующие командлеты остаются доступными, но их невозможно будет использовать для создания групп рассылки или изменения членства в них:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

Некоторые командлеты, хотя и остаются доступными, могут оказаться ограниченными в функциях при использовании с разделенными разрешениями Active Directory. Это связано с тем, что они могут допускать настройку объектов получателей, которые находятся в разделе домена Active Directory, и объектов конфигурации Exchange, располагающихся в разделе конфигурации Active Directory. Они также могут позволять настраивать связанные с системой Exchange атрибуты объектов, хранящихся в разделе домена. Попытки использовать командлеты для создания объектов или изменения не связанных с Exchange атрибутов объектов в разделе домена может привести к ошибке. Например, командлет Add-ADPermission при попытке добавления разрешений в почтовый ящик возвратит ошибку. Тем не менее, командлет Add-ADPermission будет работать правильно, если настроить разрешения на соединителе получения. Это происходит потому, что почтовый ящик хранится в разделе домена, в то время как соединители получения хранятся в разделе конфигурации.

Кроме того, связанные возможности в центре администрирования Exchange и Outlook Web App, такие как мастер создания почтового ящика, больше не будут доступны и не будут вызывать ошибки, если попытаться их использовать.

Тем не менее, администраторы Exchange смогут создавать объекты, связанные с Exchange, например правила транспорта, а также управлять этими объектами.

Дополнительные сведения о настройке модели разделения разрешений Active Directory см. в разделе Настройка разделенных разрешений в Exchange 2013.

В начало

 
Показ: