Настройка разрешений совместного доступа в Exchange 2010

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

Разрешения общего доступа позволяют администратору Microsoft Exchange Server 2010 создавать участников безопасности Служба каталогов Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Служба каталогов Active Directory, в разрешениях общего доступа отсутствует разделение задач.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.

Можно настроить разрешения общего доступа в организации Exchange 2010, если в ней предварительно настроено разделение разрешений. Процедура переключения на использование разрешений общего доступа различается в зависимости от того, используется ли в текущий момент разделение разрешений управления доступом на основе ролей (RBAC) или разделение разрешений Служба каталогов Active Directory. Выберите одну из следующих процедур, которая соответствует текущей конфигурации. При соблюдении следующих условий организация использует разделение разрешений Служба каталогов Active Directory.

• Существует подразделение защищенных групп Microsoft Exchange.

• Группа безопасности «Разрешения Windows для Exchange» расположена в подразделении защищенных групп Microsoft Exchange.

• Группа безопасности «Доверенная подсистема Exchange» является членом группы безопасности «Разрешения Windows для Exchange».

• Отсутствуют назначения обычной роли управления для роли создания получателей почты или роли создания и членства в группе безопасности.

Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2010 по умолчанию.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

• Общие сведения об управлении доступом на основе ролей

• Общие сведения о группах ролей управления

• Общие сведения о ролях управления

• Общие сведения о назначениях ролей управления

Необходимы сведения о других задачах управления, связанных с разрешениями? См. раздел Управление расширенными разрешениями.

Предварительные условия

• В организации Exchange 2010 в настоящее время необходимо настроить разделение разрешений RBAC или Служба каталогов Active Directory.

• Необходимо иметь разрешения на делегирование ролей управления «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.

Переключение из режима разделения разрешений RBAC в режим разрешений общего доступа

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Группы ролей» в разделе Разрешения управления ролями.

Примечание.
Невозможно использовать консоль управления Exchange для переключения из режима разделения разрешений RBAC в режим разрешений общего доступа.

Чтобы переключиться из режима разделения разрешений RBAC в режим разрешений общего доступа Exchange 2010, необходимо назначить роли «Создание получателей почты» и «Создание и членство в группе безопасности» группе ролей, которой также назначена роль получателей почты и членами которой являются администраторы Exchange 2010. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Настройка разрешений общего доступа

Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.

1. Добавьте в группу ролей Управление организацией назначения роли делегирования для ролей «Создание получателей почты» и «Создание и членство в группе безопасности» с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   Примечание.

   Группе ролей (в этой процедуре — группа ролей «Администраторы Служба каталогов Active Directory»), имеющей назначения роли делегирования для ролей «Создание получателей почты» и «Создание и членство в группе безопасности», необходимо назначить роль «Управление ролями» для запуска командлета New-ManagementRoleAssignment. Уполномоченный роли, имеющий разрешение на делегирование роли «Управление ролями», должен назначить эту роль группе ролей «Администраторы Служба каталогов Active Directory».

2. Добавьте в группы ролей Управление организацией и Управление получателями назначения обычной роли для роли «Создание получателей почты» с помощью следующих команд:

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.

   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Удаление разрешений, предоставленных администраторам Active Directory (необязательно)

Также можно удалить разрешения, предоставленные администраторам Служба каталогов Active Directory, чтобы запретить им создавать или управлять объектами Служба каталогов Active Directory с помощью средств управления Exchange. Чтобы удалить разрешения, предоставленные администраторам Служба каталогов Active Directory, выполните эту процедуру.

Примечание.

Можно удалить разрешения, предоставленные администраторам Служба каталогов Active Directory, на управление объектами Служба каталогов Active Directory с помощью средств управления Exchange, но администраторы Служба каталогов Active Directory могут продолжать управлять объектами Служба каталогов Active Directory с помощью средств управления Служба каталогов Active Directory, если им это позволяют разрешения Служба каталогов Active Directory. Тем не менее, они не смогут управлять определенными атрибутами Exchange объектов Служба каталогов Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях.

Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Служба каталогов Active Directory, выполните следующие действия.

1. Удалите назначения обычной роли и роли делегирования, которые назначают роль «Создание получателей почты» группе ролей или универсальной группе безопасности, членами которой являются администраторы Служба каталогов Active Directory, с помощью следующей команды. В этой команде группа ролей «Администраторы Служба каталогов Active Directory» используется в качестве примера. Параметр WhatIf позволяет просмотреть назначения ролей, которые будут удалены. Удалите параметр WhatIf и выполните эту команду повторно, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

2. Удалите назначения обычной роли и роли делегирования, которые назначают роль «Создание и членство в группе безопасности» группе ролей или универсальной группе безопасности, членами которой являются администраторы Служба каталогов Active Directory, с помощью следующей команды. В этой команде группа ролей «Администраторы Служба каталогов Active Directory» используется в качестве примера. Параметр WhatIf позволяет просмотреть назначения ролей, которые будут удалены. Удалите параметр WhatIf и выполните эту команду повторно, чтобы удалить назначения ролей.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

3. Необязательно. При необходимости удалить все разрешения Exchange, предоставленные администраторам Служба каталогов Active Directory, можно удалить группу ролей или универсальную группу безопасности, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Удаление группы ролей.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.

Переключение из режима разделения разрешений Active Directory в режим разрешений общего доступа

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Разделение разрешений Служба каталогов Active Directory» в разделе Разрешения управления ролями.

Примечание.
Невозможно использовать консоль управления Exchange для переключения из режима разделения разрешений Служба каталогов Active Directory в режим разрешений общего доступа.

Чтобы переключиться из режима разделения разрешений Служба каталогов Active Directory в режим разрешений общего доступа Exchange 2010, необходимо повторно запустить программу установки Exchange, чтобы отключить режим разделения разрешений Служба каталогов Active Directory в организации Exchange, а затем создать назначения ролей между группой ролей и ролями «Создание получателей почты» и «Создание и членство в группе безопасности». В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Важно!

Команда setup.com в этой процедуре вносит изменения в службу каталогов Служба каталогов Active Directory. Необходимо использовать учетную запись с разрешениями, требуемыми для выполнения таких изменений. Такая учетная запись может отличаться от учетной записи с разрешениями на создание назначений ролей с помощью командлета New-ManagementRoleAssignment. Используйте такую учетную запись (или записи) с разрешениями, необходимыми для успешного выполнения каждого шага этой процедуры.

Чтобы переключиться из режима разделения разрешений Служба каталогов Active Directory в режим разрешений общего доступа, выполните следующие действия.

1. Чтобы отключить разделение разрешений Служба каталогов Active Directory, в командной консоли Windows на установочном носителе Exchange 2010 с пакетом обновления 1 (SP1) выполните следующую команду:

   setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
   

2. В командной консоли Exchange выполните следующие команды, чтобы добавить назначения обычной роли между ролями «Создание получателей почты» и «Создание и членство в группе безопасности» и группами ролей Управление организацией и Управление получателями.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

3. Перезагрузите серверы Exchange 2010 в организации.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.