了解与 Exchange 2003 共存的权限
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
Microsoft Exchange Server 2010 和 Exchange Server 2003 中的权限完全独立。这是因为 Exchange 2010 和 Exchange 2003 使用的权限模型不同。必须采取措施将现有的 Exchange 2003 管理员权限授予 Exchange 2010 服务器,反之亦然。此外,使用 Exchange 2010 和 Exchange 2003 各自提供的管理工具分别执行相应版本的管理。可以将权限授予管理员,以便管理员可以管理结合使用 Exchange 2010 和 Exchange 2003 的组织。
有关规划 Exchange 2010 和 Exchange 2003 之间共存的详细信息,请参阅 Exchange 2003 - 规划升级和共存的路线图。
Exchange 2010 权限
Exchange 2010 使用基于角色的访问控制 (RBAC) 权限模型。此模型由分配了多个管理角色之一的管理角色组构成。管理角色包含使管理员能够在 Exchange 组织中执行任务的权限。已将管理员添加为角色组成员,并且授予了角色提供的所有权限。下表提供了角色组、角色组分配的一些角色以及可能是角色组成员的用户类型的说明的示例。
Exchange 2010 中的角色组和角色的示例
| 管理角色组 | 管理角色 | 此角色组的成员 |
|---|---|---|
组织管理 |
下面是分配给此角色组的一些角色:
|
需要管理整个 Exchange 2010 组织的用户应是此角色组的成员。除一些例外之外,此角色组的成员几乎可以管理 Exchange 2010 组织的任何方面。 默认情况下,用于为 Exchange 2010 准备 Active Directory 的用户帐户是此角色组的成员。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅组织管理。 |
仅查看组织管理 |
下面是分配给此角色组的角色:
|
需要查看整个 Exchange 2010 组织的配置的用户应是此角色组的成员。这些用户需要能够查看服务器配置、收件人信息,并且能够执行监视功能,但不能更改组织或收件人配置。 有关此角色组的详细信息,请参阅仅查看组织管理。 |
收件人管理 |
下面是分配给此角色组的角色:
|
需要管理收件人(如 Exchange 2010 组织中的邮箱、联系人和通讯组)的用户应是此角色组的成员。这些用户可以创建收件人、修改或删除现有收件人或移动邮箱。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅收件人管理。 |
服务器管理 |
下面是分配给此角色组的一些角色:
|
需要管理 Exchange 服务器配置(如接收连接器、证书、数据库和虚拟目录)的用户应是此角色组的成员。这些用户可以修改 Exchange 服务器配置、创建数据库以及重新启动和处理传输队列。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅服务器管理。 |
发现管理 |
下面是分配给此角色组的角色:
|
需要执行邮箱搜索以支持法律程序或配置合法保留的用户应是此角色组的成员。 此角色组的成员可以包含非 Exchange 管理员,如法律部门中的人员。允许法律人士在没有来自 Exchange 管理员的干预的情况下执行其任务。 有关此角色组的详细信息和分配给此角色组的角色的完整列表,请参阅发现管理。 |
如上一个表中所示,Exchange 2010 提供了对授予管理员的权限的精细级别的控制。可以从 Exchange 2010 的 11 个角色组中进行选择。有关角色组及其提供的权限的完整列表,请参阅内置的角色组。
由于 Exchange 2010 提供的角色组数量,以及由于可通过使用不同的角色组合创建角色组来进行进一步的自定义,因此不再需要处理 Active Directory 对象的访问控制列表 (ACL),处理将没有任何效果。ACL 不再用于对 Exchange 2010 中的各个管理员或组应用权限。诸如管理员创建邮箱或用户访问邮箱的所有任务将由 RBAC 管理。RBAC 对任务进行授权,如果允许,则 Exchange 代表 Exchange 受信任子系统通用安全组 (USG) 中的用户执行任务。除一些例外之外,Exchange 2010 需要访问的 Active Directory 中对象的所有 ACL 都已授予 Exchange 受信任子系统 USG。这是 Exchange 2003 中处理权限的方式的一项根本更改。
为 Active Directory 中的用户授予的权限与此用户使用 Exchange 2010 管理工具时,RBAC 为用户授予的权限不同。
有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
Exchange 2003 权限
Exchange 2003 具有以下管理角色:
Exchange 仅查看 此角色将查看 Exchange 2003 服务器和 Exchange 2003 收件人信息的权限授予管理员。
**Exchange 管理员:**此角色将 Exchange 2003 服务器和收件人的所有权限(除获取所有权、更改权限或打开用户邮箱的能力外)授予 Exchange 2003 管理员。如果管理员需要添加对象或修改对象属性,但不需要对对象委派权限,则应分配此角色。
Exchange 管理员(完全控制) 此角色将 Exchange 2003 服务器和收件人的所有权限(包括更改权限的能力)授予 Exchange 2003 管理员。应对必需向对象委派权限的管理员分配此角色。
使用 Exchange 2003 可以将管理员划入某一角色。直接将权限分配给用户或分配给用户是其成员的 USG。用户执行的任何操作都会在此用户的 Active Directory 帐户上下文中执行。
如果需要更加精细地分配权限,必须修改各个 Exchange 2003 对象(如地址列表和数据库)上的 ACL。对于管理角色,必须将用户或用户是其成员的安全组直接添加到 ACL,并且在用户的上下文中执行该操作。
有关 Exchange 2003 管理组的详细信息,请参阅 Microsoft 知识库文章 823018 Exchange 2003 中的 Exchange 管理角色权限的概述。
Exchange 2010 和 Exchange 2003 共存中的权限
如本主题中以前所述,Exchange 2010 和 Exchange 2003 的权限模型不同。Exchange 2010 使用角色组授予权限,而 Exchange 2003 使用管理组和 ACL 的组合授予权限。Exchange 2010 和 Exchange 2003 权限完全独立,即使这两个版本存在于同一个林中也是如此。这意味着默认情况下且没有任何其他配置时,Exchange 2003 管理员没有管理 Exchange 2010 服务器的权限,Exchange 2010 管理员也没有管理 Exchange 2003 服务器的权限。这种情况下产生的以下问题需要考虑:
是否要授予 Exchange 2010 管理员管理 Exchange 2003 服务器的访问权限,反之亦然?
是否要自定义 Exchange 2010 权限,以便其匹配您对 Exchange 2003 进行的自定义?
为 Exchange 2003 管理员授予 Exchange 2010 权限
如果您希望 Exchange 2003 管理员管理 Exchange 2010 服务器,则必须将 Exchange 2003 管理员作为成员添加到一个或多个 Exchange 2010 角色组中。可以将用户或 USG 添加到角色组中。然后,为角色组授予的权限将应用于作为成员添加的用户或 USG。
.gif "重要") 重要说明: |
|---|
| 如果使用域本地或全局 Active Directory 安全组,则在需要将其添加为 Exchange 2010 角色组的成员时,必须将其更改为 USG。Exchange 2010 只支持 USG。 |
下表提供了 Exchange 2003 管理角色和 Exchange 2010 角色组之间的映射。
Exchange 2003 管理角色和 Exchange 2010 角色组
| Exchange 2003 管理角色 | Exchange 2010 角色组 |
|---|---|
Exchange 管理员(完全控制) |
组织管理 |
Exchange 管理员 |
没有包含在 Exchange 2010 中的等效角色组。基于 组织管理 角色组,但是没有任何委派角色分配的自定义角色组必须在 Exchange 2010 中进行创建,以获取与 Exchange 管理员角色组等效的角色组。 有关创建自定义角色组的详细信息,请参阅创建角色组。 |
Exchange 仅查看 |
仅查看组织管理 |
如果所有 Exchange 2003 管理员都是三个 Exchange 2003 管理角色之一的成员,则需要将每个管理组的成员添加到其等效的 Exchange 2010 角色组。有关向角色组添加用户和 USG 的详细信息,请参阅向角色组添加成员。
如果您已修改 Exchange 2003 对象上的 ACL 以便更细致地为 Exchange 2003 管理员授予权限,并且要为这些管理员分配 Exchange 2010 服务器的类似权限,则必须执行以下操作:
对您已为 Exchange 2003 对象完成的 ACL 自定义进行编录,并标识要授予权限的每个管理员。
对每个 Exchange 2003 对象进行分类,例如,该对象是数据库、服务器还是收件人对象。
将对象映射到相应的 Exchange 2010 角色组。有关内置角色组的列表,请参阅内置的角色组。
将每个对象类型的 USG 或用户添加到相应的 Exchange 2010 角色组。有关向角色组添加用户和 USG 的详细信息,请参阅向角色组添加成员。
完成时,Exchange 2003 管理员应是映射到其需要管理的 Exchange 2010 对象的角色组的成员。现在,管理员可以使用 Exchange 2010 管理工具来管理 Exchange 2010 服务器和收件人。
| 重要说明: |
|---|
| 通常,Exchange 2003 服务器和收件人必须由 Exchange 2003 管理工具管理,Exchange 2010 服务器和收件人必须由 Exchange 2010 管理工具管理。有关详细信息,请参阅Exchange 2003 - 规划升级和共存的路线图。 |
如果内置角色组没有为您提供要授予某些管理员的一组特定权限,则可以创建自定义角色组。创建自定义角色组时,可以选择要向其添加的角色。这允许您定义希望角色组的成员进行管理的特定功能。例如,如果只希望管理员管理通讯组,则可以创建自定义角色组并只选择通讯组角色。此自定义角色组的成员将只能管理通讯组。有关如何创建自定义角色组的详细信息,请参阅创建角色组。
如果您已将选择性的权限授予特定 Exchange 2003 对象,例如只允许管理员管理特定数据库,并且要将同一配置应用于 Exchange 2010 服务器,请参阅本主题后面的“使用 Exchange 2003 中的管理作用域重新创建 Exchange 2010 ACL 自定义”。
为 Exchange 2010 管理员授予 Exchange 2003 权限
如果您希望 Exchange 2010 管理员管理 Exchange 2003 服务器,则需要将 Exchange 2010 管理员添加到三个 Exchange 2003 管理组之一,或者在已经自定义 Exchange 2003 权限的情况下将其添加到合适的 ACL。可以将用户或 USG 添加到 Exchange 2003 管理组中。角色组是 USG,因此可将其直接添加到 Exchange 2003 管理组。此主题讨论将 Exchange 2010 管理员添加到内置的 Exchange 2003 管理组。
适用于本主题前面的“Exchange 2003 管理角色和 Exchange 2010 角色组”表中显示的 Exchange 2010 角色组和 Exchange 2003 管理角色之间的同一映射。如果您希望 Exchange 2010 组织管理员对 Exchange 2003 管理角色具有完全访问权限,请将 组织管理 角色组添加到 Exchange 管理员(完全控制)管理组。对 仅查看组织管理 角色组和 Exchange 仅查看管理组执行同一操作。
完成时,Exchange 2010 管理员应是映射到他们所在的角色组的管理组的成员。现在,管理员可以使用 Exchange 2003 管理工具管理 Exchange 2003 服务器和收件人。
| 重要说明: |
|---|
| 通常,Exchange 2003 服务器和收件人必须由 Exchange 2003 管理工具管理,Exchange 2010 服务器和收件人必须由 Exchange 2010 管理工具管理。有关详细信息,请参阅Exchange 2003 - 规划升级和共存的路线图。 |
有关向 Exchange 2003 管理组添加用户或 USG 的详细信息,请参阅知识库文章 823018 Exchange 2003 中的 Exchange 管理角色权限的概述。
使用 Exchange 2010 中的管理作用域重新创建 Exchange 2003 ACL 自定义
在 Exchange 2003 中,如果希望限制哪些人可以管理特定邮箱存储、管理特定用户或控制在其上创建邮箱的邮箱存储,则需要修改要限制的对象的 ACL。Exchange 2010 提供了相同功能,但是不必修改任何 ACL。它通过使用管理作用域来达到此目的,管理作用域是 RBAC 的组件。
管理作用域提供了使用内置作用域和自定义作用域定义管理员可以管理的对象的功能。通过应用管理作用域,能够定义可以管理哪些收件人、可以在哪些邮箱数据库上创建邮箱,以及哪些收件人或服务器应由小型管理员组管理,而不是由其他人管理。
可以创建以下管理作用域类型:
预定义相对 预定义相对作用域包括在 Exchange 2010 中。可以控制用户看到的内容并且可以进行修改。例如,预定义相对作用域可以控制用户是只能看到有关自己的信息还是看到有关整个组织的信息。
收件人 收件人作用域控制管理员可以创建、修改或删除哪些收件人。这些作用域可以基于组织单位 (OU)、收件人筛选器或者基于两者。收件人筛选器指定的条件收件人必须匹配才能包括在作用域中。例如,可以创建包括特定位置或特定部门中所有用户的收件人筛选器作用域。甚至可以将 OU 和收件人筛选器组合,以便只匹配位于特定 OU 中且只向特定经理报告的用户。
服务器 服务器作用域控制管理员可以管理哪些服务器。可以指定服务器列表或服务器筛选器。使用服务器列表,能够定义可以管理的服务器的静态列表。服务器筛选器的工作方式与收件人筛选器相同,在其中可以指定需要匹配的条件。例如,可以创建匹配特定 Active Directory 站点中的所有服务器的服务器作用域。
数据库 数据库作用域控制管理员可以管理哪些数据库。它们也可控制可以在哪些数据库上创建邮箱,或者可以将邮箱移到哪些数据库。与服务器作用域一样,可以将其定义为列表或筛选器。例如,可能希望创建一个列表或筛选器,此列表或筛选器允许管理员在特定子公司管理的特定邮箱数据库上创建或移动邮箱。
独占 除预定义相对作用域外,也可以将上述所有作用域创建为独占作用域。独占作用域的作用与 ACL 中的拒绝访问控制条目 (ACE) 一样。如果任何对象匹配独占作用域,则只有分配了独占作用域的管理员可以管理此对象,即使另一个不是独占作用域的作用域匹配同一对象也是如此。这对高级管理人员尤其有用,您可能只希望几个高度信任的个人可以管理他们的邮箱。即使另一个范围更广的常规收件人作用域在其作用域中包括高级管理人员的邮箱,分配了范围更广的常规收件人作用域的管理员也无法管理此高级管理人员的邮箱,除非他们也分配了独占作用域。
管理作用域与管理角色、管理角色分配和管理角色组一起使用,以控制谁可以管理哪些对象以及在什么位置进行管理。有关详细信息,请参阅下列主题:
若要使用管理作用域(可能已经使用自定义 ACL 在 Exchange 2003 中进行了定义)在 Exchange 2010 中创建相同的权限模型,需要对已经自定义的 ACL 进行编录并创建与其匹配的管理作用域。可以使用收件人、服务器和数据库对象上可用的可筛选属性创建管理作用域,这些作用域包括希望每个管理作用域控制其访问权限的对象。有关可以与管理作用域筛选器一起使用的属性的详细信息,请参阅了解管理角色作用域筛选。
有关创建管理作用域的详细信息,请参阅创建常规或独占作用域。
© 2010 Microsoft Corporation。保留所有权利。