了解多林权限

适用于：Exchange Server 2013

许多组织中部署多个林以在其组织中创建安全边界。 使用多个林可帮助管理员定义这些安全边界来更好地满足他们的需求，无论其目的是确保对资源拥有访问权限的人数最少，还是在组织中划分分部。

Microsoft Exchange Server 2013 支持两种类型的多林拓扑：

• 跨林：跨林拓扑可以有多个林，每个林都有自己的 Exchange 安装。

• 资源林：资源林拓扑具有 Exchange 林和一个或多个帐户林。

为更好地阐述本主题，我们将包含已安装 Exchange 2013 的林之外的通用安全组 (USG) 和用户的林（无论其为帐户林还是其他资源林）称为外部林。

要在多个林拓扑中配置权限，需要正确配置林信任与全局地址列表 (GAL) 同步，以创建链接邮箱。 Exchange 2013 林必须信任包含与链接的角色组关联的 USG 和与链接邮箱关联的用户的外部林。

Exchange 2013 使用基于角色的访问控制 (RBAC） 权限模型。 管理员所属的管理角色组以及为最终用户分配的管理角色分配策略共同决定每个管理员和最终用户可以执行的操作。 要理解多林权限，您需要熟悉 RBAC。 有关 RBAC、角色组和角色分配策略的详细信息，请参阅下列主题：

• 了解基于角色的访问控制
• 了解管理角色组
• 了解管理角色分配策略

多林拓扑中的权限

RBAC 将权限应用于单个林中的所有 Exchange 对象，并独立于所有其他林配置每个林中的 RBAC 配置。 在一个林中创建角色组时，该角色组不存在于任何其他林，而且该角色组授予的权限仅适用于创建它的林。 例如，授予创建邮箱权限的角色组的一个成员仅可以在包含该角色组的林中创建邮箱。

如果您具有多个 Exchange 林并且希望在每个林中配置相同的权限，则必须在每个林中显式应用相同配置。 例如，如果您具有两个 Exchange 2013 林，并且希望创建合规性管理角色组来管理法律部门的权限，则必须执行以下操作：

• 在每个林中，创建一个名为"合规性管理"的角色组。 如果管理员位于独立于这两个 Exchange 林的一个外部林，请创建两个角色组作为链接的角色组。 有关角色组的详细信息，请参阅“跨界权限”部分。
• 在每个林中，创建新角色组与要使用的角色之间的角色分配。
• 作为新角色分配的一部分，选择性地添加包含每个林中的服务器和收件人对象的管理作用域。
• 如果已将角色组创建为链接的角色组，请将成员添加到外部林中关联的 USG。

下图显示了如何将 Exchange 2013 林中配置的角色组绑定到其各自的林。 Exchange 2013 林 A 中的组织管理角色组仅授予管理该林中的邮箱和服务器的权限。 同样，Exchange 2013 林 B 中的角色组仅授予管理该林中的邮箱和服务器的权限。

此图还显示在每个林中都创建了自定义角色组 A。 尽管它们是以相同的名称创建的，但每一个都是独立的实体。 事实上，如此图所示，可在其各自的林中为每一个自定义角色组分配不同的管理角色。 为 Exchange 2013 林 A 中的自定义角色组 A 分配邮箱搜索和邮件跟踪角色，而为 Exchange 2013 林 B 中的自定义角色组 A 分配邮箱搜索和保留管理角色。

最后，每个林中创建的管理作用域也可以根据林绑定。 在每个林中创建的服务器作用域只能包含属于该林成员的服务器。 服务器范围 A 只能包含 Exchange 2013 林 A 中的服务器，而服务器范围 B 只能包含 Exchange 2013 林 B 中的服务器。同样，Exchange 2013 林 B 中的收件人范围只能包含 Exchange 2013 林 B 中的邮箱。

跨边界权限

RBAC 授予的权限仅允许用户查看或修改特定林中的 Exchange 对象。 但是，您可以授予某个林之外的用户查看和修改该林中的 Exchange 对象的权限。 通过使用跨边界权限，您可以将 Exchange 管理帐户集中在单个林中，而不必针对每个单独的林进行身份验证以执行任务。

通过使用跨边界权限，您还可以将角色分配策略应用于在 Exchange 林中具有邮箱但用户帐户驻留在帐户林中的用户的邮箱。 Exchange 2013 支持使用链接角色组和链接邮箱的跨边界权限，以下各部分将对此进行讨论。

管理权限

通过使用链接的角色组和链接邮箱跨林边界授予管理权限。

链接的角色组是在 Exchange 2013 组织中创建的，并跨林边界链接到外部林中的 USG。 链接的角色组链接到的 USG 可以是下列任何内容之一：

• 用于特定使用该链接的角色组的专用 USG
• 根据多个 Exchange 2013 林中的链接角色组链接到的 USG
• 另一个 Exchange 2013 林中的角色组 USG
• 与 Exchange Server 2007 管理角色或 Exchange 2010 角色组关联的 USG

链接的角色组链接到的 USG 必须位于其他林中。 不能将链接的角色组链接到同一林中的 USG。

下图显示帐户林中的 USG 可以与一个或多个 Exchange 2013 资源林中的角色组相关联。 帐户林中的 USG 的成员可以通过 USG 实际上变成角色组的成员。

创建链接的角色组时，需要为 Exchange 2013 林中的链接的角色组分配角色。 这种将角色与链接的角色组关联的分配可以包括管理作用域（如有必要）。 这些作用域限制为在其中创建链接的角色组的林。

链接的角色组的成员身份可以通过在外部林中的 USG 中添加和删除成员进行管理。 向此 USG 添加成员时，会向这些成员授予分配给 Exchange 2013 林中的链接的角色组的权限。 如果已使用同一个 USG 链接了多个链接的角色组，则会向该 USG 的成员授予分配给每个 Exchange 2013 林中的每个链接的角色组的权限。

不能从 Exchange 2013 林管理链接的角色组的成员身份。

跨林边界分配管理权限的另一种方法是通过使用链接邮箱。 对于帐户林中要使用独立的 Exchange 2013 资源林中的 Exchange 2013 部署的用户，必须为每个用户配置链接邮箱。 链接邮箱可以作为成员添加到 Exchange 2013 林中的角色组。 当链接邮箱成为角色组的成员时，该链接邮箱以及与该链接邮箱关联的帐户林中的用户会被授予角色组提供的权限。

下图显示了帐户林中的用户、与这些用户关联的链接邮箱以及链接邮箱所属的角色组之间的关系。

链接的角色组和链接邮箱在用于跨林边界分配管理权限时都有各自的优缺点。 下表描述了其中一些优缺点。

链接的角色组和链接邮箱的优点和缺点

如果计划拥有多个 Exchange 资源林，我们建议您使用链接的角色组来跨林边界授予权限。

最终用户权限

最终用户权限分配给使用角色分配策略的各个邮箱。 在资源林中安装 Exchange 2013 时，会在该资源林中创建链接邮箱，并将该邮箱与帐户林中的用户帐户关联。

创建了链接邮箱后，会将其像常规邮箱那样分配给默认角色分配策略。 角色分配策略决定将哪种最终用户权限授予邮箱。 借助这些权限，用户可以查看和修改与下列功能以及其他功能相关的设置：

• 最终用户配置文件信息
• 最终用户的语音邮件
• 最终用户通讯组成员身份和所有权

将角色分配策略分配给链接邮箱后，会向与链接邮箱关联的帐户林中的用户授予管理适用于该用户的功能的权限。 这些权限仅适用于链接邮箱所在的 Exchange 林中的资源。 下图显示了帐户林中的最终用户、其关联的链接邮箱以及分配给链接邮箱的角色分配策略之间的关系。 此外，与帐户林中的管理用户关联的链接邮箱还可以与除角色分配策略之外的多个角色组关联。

配置跨边界权限

要在多林拓扑中配置跨边界权限，必须为每个要链接到外部林中的 USG 的角色组创建链接的角色组。 这意味着您必须为每个内置角色组创建链接的角色组。 您需要：

1. 在外部林中为每个要创建的链接角色组创建 USG。 将要授予权限的成员添加到此 USG。

2. 为每个内置角色组创建链接的角色组。 在创建链接的角色组时会发生下列情况：

   • 分配给内置角色组的相同角色将分配给新的链接角色组。
   • 链接的角色组与外部林中的 USG 关联。

3. 为您创建的任何自定义角色组创建链接的角色组。

4. (可选)将自定义作用域分配给新的链接角色组。

有关如何执行这些步骤的详细信息，请参阅下列主题：

• 创建链接的角色组的镜像内置角色组
• 管理链接的角色组
• 管理角色组

如果需要更改与链接的角色组关联的 USG，请参阅管理链接的角色组。

在创建链接邮箱时，会自动将其分配给角色分配策略。 您可以更改分配给链接邮箱的角色分配策略，或更改在创建邮箱时默认分配给它们的角色分配策略。 有关详细信息，请参阅下列主题：

• 更改邮箱的分配策略
• 管理角色分配策略