Настройка общих разрешений в Exchange 2013

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-04-07

Разрешения общего доступа позволяют администратору Microsoft Exchange Server 2013 создавать участников безопасности Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.

Можно настроить разрешения общего доступа в организации Exchange 2013, если в ней предварительно настроено разделение разрешений. Процедура переключения на использование разрешений общего доступа различается в зависимости от того, используется ли в текущий момент разделение разрешений управления доступом на основе ролей (RBAC) или разделение разрешений Active Directory. Выберите одну из следующих процедур, которая соответствует текущей конфигурации. При соблюдении следующих условий организация использует разделение разрешений Active Directory.

  • Существует подразделение защищенных групп Microsoft Exchange.

  • Группа безопасности "Разрешения Exchange для Windows" расположена в подразделении защищенных групп Microsoft Exchange.

  • Группа безопасности "Доверенная подсистема Exchange" является членом группы безопасности "Разрешения Exchange для Windows".

  • Отсутствуют назначения обычной роли управления для роли создания получателей почты или роли создания и членства в группе безопасности.

Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2013 по умолчанию.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:

Необходимы сведения о других задачах управления, связанных с разрешениями? см. в разделе Дополнительные разрешения.

  • Предполагаемое время для завершения каждой процедуры: 5 минут

  • Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.

  • Используйте Windows PowerShell, командную строку Windows или оба средства, чтобы выполнить эти процедуры. Дополнительные сведения см. в каждой процедуре.

  • В организации Exchange 2013 в настоящее время необходимо настроить разделение разрешений RBAC или Active Directory.

  • Если в организации присутствуют серверы Microsoft Exchange Server 2010, выбранная модель разрешений будет также применена и к этим серверам.

  • Необходимо иметь разрешения на делегирование ролей управления "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Группы ролей" в разделе Разрешения управления ролями.

Чтобы переключиться из режима разделения разрешений RBAC в режим разрешений общего доступа Exchange 2013, необходимо назначить роли "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей, которой также назначена роль получателей почты и членами которой являются администраторы Exchange 2013. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.

  1. Добавьте в группу ролей Управление организацией назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности" с помощью следующих команд:

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    
    ПримечаниеПримечание.
    Группе ролей (в этой процедуре — группа ролей "Администраторы Active Directory"), имеющей назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности", необходимо назначить роль "Управление ролями" для запуска командлета New-ManagementRoleAssignment. Уполномоченный роли, имеющий разрешение на делегирование роли "Управление ролями", должен назначить эту роль группе ролей "Администраторы Active Directory".
  2. Добавьте в группы ролей Управление организацией и Управление получателями назначения обычной роли для роли "Создание получателей почты" с помощью следующих команд:

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
    
  3. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Чтобы удалить разрешения, предоставленные администраторам Active Directory, выполните эту процедуру.

ПримечаниеПримечание.
Можно удалить разрешения, предоставленные администраторам Active Directory, на управление объектами Active Directory с помощью средств управления Exchange, но администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если им это позволяют разрешения Active Directory. Тем не менее, они не смогут управлять определенными атрибутами Exchange объектов Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях.

Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Active Directory, выполните следующие действия.

  1. Удалите назначения обычной роли и роли делегирования, которые назначают роль "Создание получателей почты" группе ролей или универсальной группе безопасности, членами которой являются администраторы Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет просмотреть назначения ролей, которые будут удалены. Удалите параметр WhatIf и выполните эту команду повторно, чтобы удалить назначения ролей.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  2. Удалите назначения обычных ролей и ролей делегирования, которые назначают роль создания и членства в группе безопасности группе ролей или универсальной группе безопасности, содержащей в качестве участников администраторов Active Directory, с помощью следующей команды. В этой команде группа ролей "Администраторы Active Directory" используется в качестве примера. Параметр WhatIf позволяет просмотреть назначения ролей, которые будут удалены. Удалите параметр WhatIf и выполните эту команду повторно, чтобы удалить назначения ролей.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  3. Необязательно. При необходимости удалить все разрешения Exchange, предоставленные администраторам Active Directory, можно удалить группу ролей или универсальную группу безопасности, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Управление группами ролей.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Разделение разрешений Active Directory" в разделе Разрешения управления ролями.

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа Exchange 2013, необходимо повторно запустить программу установки Exchange, чтобы отключить режим разделения разрешений Active Directory в организации Exchange, а затем создать назначения ролей между группой ролей и ролями "Создание получателей почты" и "Создание и членство в группе безопасности". В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.

ВажноВажно!
Команда setup.com в этой процедуре вносит изменения в службу каталогов Active Directory. Необходимо использовать учетную запись с разрешениями, требуемыми для выполнения таких изменений. Такая учетная запись может отличаться от учетной записи с разрешениями на создание назначений ролей с помощью командлета New-ManagementRoleAssignment. Используйте такую учетную запись (или записи) с разрешениями, необходимыми для успешного выполнения каждого шага этой процедуры.

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа, выполните следующие действия.

  1. Чтобы выключить разделенные разрешения Active Directory, в командной консоли Windows выполните следующую команду с установочного носителя Exchange 2013.

    setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
    
  2. В командной консоли Exchange выполните следующие команды, чтобы добавить назначения обычной роли между ролями "Создание получателей почты" и "Создание и членство в группе безопасности" и группами ролей Управление организацией и Управление получателями.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
    
  3. Перезагрузите серверы Exchange 2013 в организации.

    ПримечаниеПримечание.
    Если в организации есть серверы Exchange 2010, их также нужно перезагрузить.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

 
Показ: