了解与 Exchange 2007 共存的权限
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
Microsoft Exchange Server 2010 中的权限模型是从早期版本的 Exchange 中使用的模型改进而来。Exchange 2010 包括基于角色的访问控制 (RBAC) 权限,这类权限代替了 Microsoft Active Directory 中使用的基于 Exchange Server 2007 访问控制项 (ACE) 的授权模型。RBAC 是用于大多数 Exchange 2010 管理的授权机制。此机制包括以下管理区域:
Exchange 命令行管理程序
Exchange 控制面板
Exchange 管理控制台 (EMC)
Exchange Web 服务
中间层组件上的 MAPI
有关如何在 Exchange 2010 与早期版本的 Exchange 之间规划共存的详细信息,请参阅了解到 Exchange 2010 的升级。
要查找与权限相关的管理任务吗?请查看管理权限。
Exchange 2010 权限
Exchange 2010 RBAC 权限模型由分配了若干管理角色之一的管理角色组构成。管理角色包含使管理员能够在 Exchange 组织中执行任务的权限。已将管理员添加为角色组成员,并且授予了角色提供的所有权限。下表提供了角色组、分配给角色组的一些角色以及可能是角色组成员的用户类型的说明的示例。
Exchange 2010 中的角色组和角色的示例
| 管理角色组 | 管理角色 | 此角色组的成员 |
|---|---|---|
组织管理 |
以下角色是分配给此角色组的一些角色:
|
管理整个 Exchange 2010 组织的用户应是此角色组的成员。除一些例外之外,此角色组的成员几乎可以管理 Exchange 2010 组织的任何方面。 默认情况下,用于为 Exchange 2010 准备 Active Directory 的用户帐户是此角色组的成员。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅组织管理。 |
仅查看组织管理 |
以下是分配给此角色组的角色:
|
查看整个 Exchange 2010 组织的配置的用户应是此角色组的成员。这些用户必须能够查看服务器配置和收件人信息,并且能够执行监视功能,但不能更改组织或收件人配置。 有关此角色组的详细信息,请参阅仅查看组织管理。 |
收件人管理 |
以下是分配给此角色组的角色:
|
管理收件人(如 Exchange 2010 组织中的邮箱、联系人和通讯组)的用户应是此角色组的成员。这些用户可以创建收件人、修改或删除现有收件人或移动邮箱。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅收件人管理。 |
服务器管理 |
以下角色是分配给此角色组的一些角色:
|
管理 Exchange 服务器配置(如接收连接器、证书、数据库和虚拟目录)的用户应是此角色组的成员。这些用户可以修改 Exchange 服务器配置、创建数据库以及重新启动和处理传输队列。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅服务器管理。 |
发现管理 |
以下是分配给此角色组的角色:
|
执行邮箱搜索以支持法律程序或配置合法保留的用户应是此角色组的成员。 此角色组的成员可以包含非 Exchange 管理员,如法律部门的人员。法律部门的人员可以在 Exchange 管理员不进行干预的情况下执行其任务。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅发现管理。 |
此表显示 Exchange 2010 提供了对授予管理员的权限的精细级别的控制。可以从 Exchange 2010 的 11 个角色组中进行选择。有关角色组及其提供的权限的完整列表,请参阅内置的角色组。
由于 Exchange 2010 提供了许多角色组,以及由于可通过创建具有不同角色组合的角色组来进行进一步的自定义,因此不再需要处理 Active Directory 对象的访问控制列表 (ACL),处理将没有任何效果。ACL 不再用于对 Exchange 2010 中的各个管理员或组应用权限。诸如管理员创建邮箱或用户访问邮箱的所有任务将由 RBAC 管理。RBAC 对任务进行授权,如果允许,则 Exchange 代表用户执行任务。Exchange 执行 Exchange 受信任子系统通用安全组 (USG) 中的任务。除一些例外之外,Active Directory 必须访问的 Exchange 2010 中对象的所有 ACL 都已授予 Exchange 受信任子系统 USG。这是 Exchange 2007 中处理权限的方式的一项根本更改。
为 Active Directory 中的用户授予的权限与此用户使用 Exchange 2010 管理工具时,RBAC 为用户授予的权限不同。
有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
Exchange 2007 权限
Exchange 2007 管理模型利用 Active Directory 林定义安全边界。特定林中的安全权限不会进行隔离。林所有者和企业管理员可以始终获取对任何域中所有资源的访问权限。在 Exchange 2007 中,可能必须只是临时授予企业管理员权限和顶级域管理员权限。
Exchange 2007 提供以下预定义的管理员角色:
Exchange 组织管理员角色 此角色授予控制 Exchange 2007 组织的所有方面的权限。此外,具有此角色的管理员可以向其他 Exchange 管理员授予权限。此角色授予用于安装 Exchange 2007 的帐户。
Exchange 仅查看管理员角色 此角色授予查看 Exchange 配置的权限。但是,具有此角色的管理员不能修改 Exchange 2007 组织中的对象。
Exchange 收件人管理员角色 此角色授予管理电子邮件收件人的权限。具有此角色的管理员可以为用户、组、联系人和通讯组修改与 Exchange 相关的项目。
Exchange Server 管理员角色 此角色授予管理特定服务器的权限。但是,此角色不授予执行对 Exchange 2007 组织具有全局影响的操作的权限。
Exchange 公用文件夹管理员角色 此角色是在 Exchange 2007 Service Pack 1 中添加的**。**此角色授予管理 Exchange 2007 组织中的公用文件夹的权限。
此权限模型将 USG 用于所有角色(除了 Exchange Server 管理员角色)。在运行 Exchange 2007 Setup /PrepareAD 命令时,安装程序会在根域中创建 USG,并向 USG 指定林范围作用域。会向 USG 分配 ACL,以管理整个 Active Directory 中的 Exchange 对象。
在 Exchange 2007 中,可以通过向管理员分配各种角色来分隔管理员。直接将权限分配给用户或分配给用户是其成员的 USG。用户执行的任何操作都会在此用户的 Active Directory 帐户上下文中执行。下表列出了 Exchange 2007 管理员角色以及其与 Exchange 相关的权限。
Exchange 2007 管理员角色
| 管理员角色 | 成员 | 隶属于 | Exchange 权限 |
|---|---|---|---|
Exchange 组织管理员 |
管理员帐户或用于安装第一个 Exchange 2007 服务器的帐户 |
Exchange 收件人管理员 <服务器名称> 的管理员本地组 |
对 Active Directory 中的 Microsoft Exchange 容器拥有完全控制权 |
Exchange 仅查看管理员 |
Exchange 收件人管理员 Exchange Server 管理员(<服务器名称>) |
Exchange 收件人管理员 Exchange Server 管理员 |
对 Active Directory 中的 Microsoft Exchange 容器拥有读取访问权限 对包含 Exchange 收件人的所有 Windows 域拥有读取访问权限 |
Exchange 收件人管理员 |
Exchange 组织管理员 |
Exchange 仅查看管理员 |
对 Active Directory 用户对象的 Exchange 属性拥有完全控制权 |
Exchange Server 管理员 |
Exchange 组织管理员 |
Exchange 仅查看管理员 <服务器名称> 的管理员本地组 |
对 Exchange<服务器名称> 拥有完全控制权 |
Exchange Server |
每个 Exchange 2007 计算机帐户 |
Exchange 仅查看管理员 |
特殊 |
Exchange 公用文件夹管理员 |
Exchange 组织管理员 |
Exchange 仅查看管理员 |
拥有管理所有公用文件夹的完全控制权(授予了“创建顶级公用文件夹”扩展权限) |
如果需要更加精细地分配权限,可以修改各个 Exchange 2007 对象(如地址列表或数据库)上的 ACL。必须将用户或用户是其成员的安全组直接添加到 ACL。随后在特定用户的上下文中执行操作。
有关如何在 Exchange 2007 中管理权限的详细信息,请参阅在 Exchange Server 2007 中配置权限。
Exchange 2010 和 Exchange 2007 共存权限
因为 Exchange 2010 的权限模型与 Exchange 2007 的权限模型不同,所以 Exchange 2010 权限分配独立于 Exchange 2007 权限分配。即使在同一个林中同时安装了这两个版本的 Exchange,情况也是如此。如果不进行额外配置,则 Exchange 2010 管理员没有管理基于 Exchange 2007 的服务器的所需权限,Exchange 2007 管理员也没有管理基于 Exchange 2010 的服务器的所需权限。应考虑以下问题:
是否要授予 Exchange 2010 管理员管理 Exchange 2007 服务器的访问权限?
是否要授予 Exchange 2007 管理员管理 Exchange 2010 服务器的访问权限?
是否要自定义 Exchange 2010 权限,以便这些权限匹配对 Exchange 2007 ACL 所进行的任何自定义?
授予 Exchange 2007 管理员 Exchange 2010 权限
如果您希望 Exchange 2007 管理员管理 Exchange 2010 服务器,则必须将 Exchange 2007 管理员添加为一个或多个 Exchange 2010 角色组的成员。可以将用户或 USG 添加到角色组中。然后,为角色组授予的权限会应用于作为成员添加的用户或 USG。
.gif "重要") 重要说明: |
|---|
| 如果使用域本地或全局 Active Directory 安全组,则在需要将其添加为 Exchange 2010 角色组的成员时,必须将其更改为 USG。Exchange 2010 只支持 USG。 |
下表说明了 Exchange 2007 管理员角色和 Exchange 2010 角色组之间的映射。
Exchange 2007 管理员角色和 Exchange 2010 角色组
| Exchange 2007 管理员角色 | Exchange 2010 角色组 |
|---|---|
Exchange 组织管理员 |
组织管理 |
Exchange 收件人管理员 |
收件人管理 |
Exchange Server 管理员 |
服务器管理 |
Exchange 仅查看管理员 |
仅查看组织管理 |
Exchange Server |
Exchange 2010 中没有等效角色组 (有关如何创建自定义角色组的详细信息,请参阅创建角色组。) |
Exchange 公用文件夹管理员 |
公用文件夹管理 |
如果所有 Exchange 2007 管理员都是 Exchange 2007 管理角色之一的成员,则可以将每个管理组的成员添加到其等效的 Exchange 2010 角色组。例如,如果要授予所有 Exchange 2007 组织管理员对 Exchange 2010 对象的完全访问权限,请将 Exchange 组织管理员 USG 添加到 组织管理 角色组。
有关如何向角色组添加用户和 USG 的详细信息,请参阅向角色组添加成员。
如果您修改 Exchange 2007 对象上的 ACL 以便向 Exchange 2007 管理员授予更精细的权限,并且如果要为这些管理员分配 Exchange 2010 服务器的类似权限,请按照以下步骤执行:
查看对 Exchange 2007 对象进行的 ACL 自定义,并查找被授予了针对每个对象的权限的管理员。
对每个 Exchange 2007 对象进行分类。例如,确定对象是数据库、服务器还是收件人对象。
将对象映射到相应的 Exchange 2010 角色组。有关内置角色组的列表,请参阅内置的角色组。
将每种对象类型的 USG 或用户添加到相应的 Exchange 2010 角色组。有关如何向角色组添加用户和 USG 的详细信息,请参阅向角色组添加成员。
完成这些步骤之后,Exchange 2007 管理员将成为映射到相应 Exchange 2010 对象的特定角色组的成员。Exchange 2007 管理员可以使用 Exchange 2010 管理工具来管理 Exchange 2010 服务器和收件人。
| 重要说明: |
|---|
| 通常,Exchange 2007 服务器和收件人必须使用 Exchange 2007 管理工具进行管理,Exchange 2010 服务器和收件人必须使用 Exchange 2010 管理工具进行管理。 |
如果内置角色组没有提供要授予某些管理员的一组特定权限,则可以创建自定义角色组。创建自定义角色组时,可以选择要向其添加的角色。可以定义希望角色组的成员进行管理的特定功能。例如,如果希望管理员只管理通讯组,则可以创建一个自定义角色组,然后只选择通讯组角色。执行此操作之后,该自定义角色组的成员只能管理通讯组。有关如何创建自定义角色组的详细信息,请参阅创建角色组。
如果您分配针对特定 Exchange 2007 对象的选择性权限(例如,只允许管理员管理特定数据库),并且要将同一配置应用于 Exchange 2010 服务器,请参阅本主题后面的“使用 Exchange 2007 中的管理作用域重新创建 Exchange 2010 ACL 自定义”。
授予 Exchange 2010 管理员 Exchange 2007 权限
如果您希望 Exchange 2010 管理员管理 Exchange 2007 服务器,请将 Exchange 2010 管理员添加到 USG 或与特定 Exchange 2007 管理员角色对应的安全组。或者,如果自定义了 ACL 设置,请将管理员添加到相应的 ACL。角色组是 USG,因此可以将角色组直接添加到 Exchange 2007 管理员角色 USG。
完成后,Exchange 2010 管理员将成为相应 Exchange 2007 管理员角色的成员。Exchange 2010 管理员可以使用 Exchange 2007 管理工具来管理 Exchange 2007 服务器和收件人。
使用 Exchange 2010 中的管理作用域重新创建 Exchange 2007 ACL 自定义
在 Exchange 2007 中,如果您希望限制哪些人可以管理特定邮箱存储、管理特定用户或控制在其上创建邮箱的邮箱存储,则必须修改要限制的对象的 ACL。Exchange 2010 提供了相同功能,但是不必修改任何 ACL。它通过使用管理作用域来达到此目的,管理作用域是 RBAC 的组件。
管理作用域提供了内置作用域和自定义作用域来定义管理员可以管理的对象。通过应用管理作用域,能够定义可以管理哪些收件人、可以在哪些邮箱数据库上创建邮箱,以及哪些收件人或服务器应由小型管理员组管理,而不是由其他人管理。
您可以创建以下类型的管理作用域:
预定义相对 预定义相对作用域包括在 Exchange 2010 中。可以控制用户看到的内容以及用户修改的内容。例如,预定义相对作用域可以控制用户是只能看到有关自己的信息还是能看到有关整个组织的信息。
收件人 收件人作用域控制管理员可以创建、修改或删除哪些收件人。这些选择可以基于组织单元 (OU)、收件人筛选器或者基于这两者。收件人筛选器指定的条件收件人必须匹配才能包括在作用域中。例如,可以创建包括特定位置或特定部门中所有用户的收件人筛选器作用域。甚至可以将 OU 和收件人筛选器组合,以便匹配位于特定 OU 中且向特定经理报告的用户。
服务器 服务器作用域控制管理员可以管理哪些服务器。可以指定服务器列表或服务器筛选器。对于服务器列表,可定义可以管理的服务器的静态列表。服务器筛选器的工作方式与收件人筛选器相同,也可以指定必须匹配的条件。例如,可以创建匹配特定 Active Directory 站点中的所有服务器的服务器作用域。
数据库 数据库作用域控制管理员可以管理哪些数据库。它们也可控制可以在哪些数据库上创建邮箱,或者可以将邮箱移到哪些数据库。与服务器作用域一样,可以将其定义为列表或筛选器。例如,可以创建一个列表或筛选器,以便允许管理员在特定子公司管理的特定邮箱数据库上创建邮箱或将邮箱移动到该数据库。
独占 收件人、服务器和数据库作用域还可以创建为独占作用域。独占作用域的工作方式与 ACL 中的拒绝访问 ACE 相同。如果有任何对象匹配独占作用域,则只有分配了独占作用域的管理员才能管理该对象。即使另一个非独占的作用域匹配同一个对象,情况也是如此。当您只希望几个高度信任的个人可以管理高级管理人员的邮箱时,这尤其有用。即使另一个常规收件人作用域范围更广并且在其作用域中包括高级管理人员的邮箱,分配了范围更广的常规收件人作用域的管理员也无法管理该高级管理人员的邮箱,除非他们也分配了独占作用域。
管理作用域与管理角色、管理角色分配和管理角色组一起使用,以控制谁可以管理哪些对象以及可以采用何种方式管理这些对象。有关详细信息,请参阅下列主题:
若要使用管理作用域(可能已经使用自定义 ACL 进行了定义)在 Exchange 2010 中创建相同的权限模型,必须对已经自定义的 ACL 进行编录并创建与其匹配的管理作用域。可以使用收件人、服务器和数据库对象上可用的可筛选属性创建管理作用域,这些作用域包括希望每个管理作用域控制其访问权限的对象。有关可以与管理作用域筛选器一起使用的属性的详细信息,请参阅了解管理角色作用域筛选。
有关如何创建管理作用域的详细信息,请参阅创建常规或独占作用域。
© 2010 Microsoft Corporation。保留所有权利。