權限考量

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-07-12

在規劃如何將 Microsoft Exchange Server 2007 整合到 Active Directory 目錄服務結構時,請考量您組織的管理模式。有了 Exchange 2007,您就可以有彈性地指派系統管理員權限。一般而言,建議您考慮 Active Directory 和 Exchange 2007 的下列功能對您在組織系統管理角色時的方式有何影響:

  • 一個系統管理員可以同時執行 Microsoft Windows Server 2003 和 Exchange 的工作。
  • 您可以在 Exchange 系統管理員和 Windows 系統管理員之間分割權限。
  • 您可以使用 Exchange 資源樹系來隔離 Exchange 系統管理員角色和 Windows 系統管理員角色。

本主題的各節描述權限組態的彈性和 Exchange 2007 中可用的管理角色。

在許多 Microsoft Exchange 組織中,尤其是中大型組織,可能會有多個 Exchange 系統管理員。由於這些系統管理員可以執行特定的一組管理工作,Exchange Server 2007 提供了預先定義的系統管理員角色,同時也提供了分割權限模型,可讓您在 Active Directory 中為組織中的不同系統管理角色設定特定的權限。在 Exchange 2007 中,Exchange 收件者屬性上的權限會分在同一組。如此必須手動設定權限來分割 Exchange 權限與其他系統管理權限的需要就會降到最低。如需如何規劃和實作權限模型的相關資訊,請參閱下列主題:

Exchange Server 2003 的安全性及權限模型到了 Exchange 2007 已有所變更。本節提供 Exchange 中的權限模型變更資訊,同時說明差異。

「內容設定」就是指一組 Active Directory 屬性。您可設定一個存取控制項目 (ACE) 來控制這一組 Active Directory 屬性的存取,而不用在每個屬性上都設定一個 ACE。可將所有 Exchange 收件者屬性分在同一組的內容設定就稱為電子郵件資訊。

note附註:
只要您使用 Exchange 2007 Setup.Com 或以 Setup.Com 配合 /PrepareAD 參數來更新 Active Directory 架構,擁有存取 Exchange Server 2003 伺服器上收件者內容之權限的 Exchange Server 2003 安全性群組就擁有存取 Exchange 2007 電子郵件資訊內容設定的權限。

如需內容設定的相關資訊,請參閱 Exchange 2007 中的內容設定

為了幫助簡化權限管理,Exchange Server 2003 在 Exchange 2003 管理委派精靈中提供預先定義的安全性角色。這些角色是一種標準化權限的集合,可套用於組織或系統管理群組層級。

在 Exchange 2003 中,可以透過 Exchange 系統管理員中的委派精靈使用下列安全性角色:

  • Exchange 系統高權限管理員
  • Exchange 系統管理員
  • Exchange 系統檢視管理員

此模型具有下列限制:

  • 缺乏明確性。Exchange 系統管理員群組太大,有些客戶希望以個別伺服器的層級來管理他們的安全性及權限模型。
  • 感覺 Exchange Server 2003 安全性角色的差異很細微難懂。
  • Windows (Active Directory) 系統管理員和 Exchange 收件者系統管理員在使用者與群組管理方面,沒有清楚的區分。例如,您必須授與 Exchange 系統管理員高等級的權限 (對 Windows 網域的帳戶操作員權限),才能執行 Exchange 收件者相關的工作。

為了改進 Exchange 系統管理員角色 (在 Exchange 2003 中稱為「安全性群組」) 的管理,對 Exchange 安全性及權限模型做了下列新增或改進功能:

  • 新的系統管理員角色,類似於內建的 Windows Server 安全性群組。如需這些系統管理員角色的相關資訊,請參閱本主題稍後的<Exchange 2007 中的系統管理員角色>。
  • 您可以使用 Exchange 管理主控台 (原先稱為 Exchange 系統管理員) 和 Exchange 管理命令介面,以檢視、新增和移除任何系統管理員角色的成員。

Exchange 2007 具有下列預先定義的群組,它們會管理 Exchange 組態資料:

  • Exchange 組織系統管理員
  • Exchange 收件者系統管理員
  • Exchange 僅檢視管理
  • Exchange 公用資料夾系統管理員 (Exchange Server 2007 Service Pack 1 的新功能)

進行 Exchange Setup /PrepareAD 階段 (與 Exchange 2003 ForestPrep 類似的組織準備階段) 時,這些 Exchange 系統管理角色 (除 Exchange Server 系統管理員之外) 都會在新的 Microsoft Exchange 安全性群組的組織單位 (OU) 中建立,而此單位在執行 /PrepareAD 的網域中。

對使用者新增系統管理員角色時,該使用者會繼承該角色所允許的權限。這些系統管理員角色具有在 Active Directory 管理 Exchange 資料的權限。這些群組能管理的 Exchange 資料有三種:

  • 通用資料   這是 Active Directory 組態容器中未與特定伺服器關聯的資料。此資料包括 (但不限於) 信箱原則、通訊清單,以及 Exchange 整合通訊組態。通用資料一般會影響到整個組織,且可能會影響所有使用者。最佳作法是只允許一些信任的使用者設定或變更全域資料。
  • 收件者資料   Exchange 中的收件者是指可收送電子郵件的 Active Directory 使用者物件。收件者資料的範例包括擁有郵件功能的連絡人、通訊群組、信箱,以及特定的收件者類型 (例如公用資料夾 Proxy 物件)。
  • 伺服器資料   Exchange 伺服器資料包含在 Active Directory 中,指定之伺服器的節點下。此資料的範例包括接收連接器、虛擬目錄、每部伺服器的設定,以及信箱和儲存群組資料。

Exchange 組織系統管理員角色給予系統管理員對 Exchange 組織中所有 Exchange 內容及物件的完整存取。在 Exchange 安裝過程中,Setup /PrepareAD 會在 [Active Directory 使用者及電腦] 的 [Microsoft Exchange 安全性群組] 容器中建立名為 Exchange 組織系統管理員的 Active Directory 安全性群組。

新增使用者到 Exchange 組織系統管理員角色時,該名使用者會變成名為 Exchange 組織系統管理員之系統管理員角色的成員。Exchange 2007 會在 Active Directory 準備期間建立這個角色。Exchange 組織系統管理員角色的成員具有下列權限:

  • Active Directory 組態容器中 Exchange 組織的擁有者。身為擁有者,角色的成員便能在 Active Directory 組態容器以及本機 Exchange Server Administrator 群組中完整控制 Exchange 組織資料。
  • 對 Active Directory 中所有網域使用者容器的讀取權限。Exchange 會針對組織中的每個網域,在安裝網域中第一部 Exchange 2007 伺服器時授與此項權限。成為 Exchange 收件者系統管理員角色可獲授與這些權限。
  • 對 Active Directory 中所有網域使用者容器之所有 Exchange 特有屬性的寫入權限。Exchange 2007 會針對組織中的每個網域,在安裝網域中第一部 Exchange 2007 伺服器時授與此項權限。成為 Exchange 收件者系統管理員角色可獲授與這些權限。
  • 所有本機伺服器組態資料的擁有人。身為擁有者,成員能夠完整控制本機 Exchange 伺服器。Exchange 2007 會在安裝每一部 Exchange 伺服器時授與此項權限。

Exchange 組織系統管理員角色成員的使用者具有 Exchange 組織中最高層級的權限。影響整個 Exchange 組織的所有工作需要在此群組中有成員資格。需要 Exchange 組織系統管理員權限的工作範例包括建立或刪除連接器、變更伺服器原則,以及變更任何通用組態設定。

note附註:
安裝 Exchange 2007 時,安裝程式會將 Exchange 組織系統管理員角色新增為您安裝 Exchange 之電腦上的本機 Administrators 群組成員。請注意,網域控制站上本機 Administrators 群組所具有的權限,與成員伺服器上本機 Administrators 群組所具有的權限不同。如果您在網域控制站上安裝 Exchange 2007,Exchange 組織系統管理員角色中的使用者將擁有當您將 Exchange 2007 安裝於非網域控制站上時,所沒有的其他 Windows 權限。

Exchange 收件者系統管理員角色具有針對 Active Directory 使用者、連絡人、群組、動態通訊清單或公用資料夾物件修改任何 Exchange 內容的權限。在 Exchange Setup /PrepareAD 執行期間,Exchange 收件者系統管理員角色會建立在 Active Directory 中的 Microsoft Exchange 安全性群組容器。這個角色也會讓您管理整合通訊信箱設定以及 Client Access 信箱設定。Exchange 組織收件者系統管理員角色的成員具有下列權限:

  • 對 Active Directory 中已在網域內執行 Setup /PrepareDomain 之所有網域使用者容器的讀取權限。
  • 對 Active Directory 中已在網域內執行 Setup /PrepareDomain 之所有網域使用者容器上,所有 Exchange 特有屬性的寫入權限。
  • Exchange 僅檢視管理角色的成員資格。

Exchange 收件者系統管理員角色成員的使用者對於未執行 Setup /PrepareDomain 的網域將不會具有權限。當您新增新的 Exchange 網域時,請確定您在新網域中執行 Setup /PrepareDomain,以授與權限給該網域中的 Exchange 系統管理員角色。

Exchange Server 系統管理員角色只能存取本機伺服器 Exchange 組態資料,此資料是在 Active Directory 中或是在安裝 Exchange 2007 的實體電腦上。Exchange Server 系統管理員角色成員的使用者,具有管理特定伺服器的權限,但沒有權限可執行在 Exchange 組織中具有通用影響的作業。

Exchange 2007 會在安裝期間建立這個系統管理員角色。Exchange Server 系統管理員角色的成員具有下列權限:

  • 所有本機伺服器組態資料的擁有人。身為擁有者,角色的成員能完整控制本機伺服器組態資料。
  • 安裝 Exchange 之電腦上的本機系統管理員。
  • Exchange 僅檢視管理角色的成員。

Exchange 僅檢視管理角色對 Active Directory 組態容器中的整個 Exchange 組織樹狀目錄具有唯讀權限,對擁有 Exchange 收件者之所有 Windows 網域容器具有唯讀權限。

在 Exchange Setup /PrepareAD 執行期間,Exchange 僅檢視管理角色會建立在 Active Directory 中的 Microsoft Exchange 安全性群組容器。

Exchange 2007 Service Pack 1 (SP1) 的新功能

Exchange 公用資料夾系統管理員角色擁有管理所有公用資料夾的管理權限。這個系統管理員角色會獲授與「建立頂層公用資料夾」延伸權利。這個角色的成員可以建立及刪除公用資料夾,以及管理複本、配額、保留天數、系統管理權限及用戶端權限等公用資料夾設定。這個系統管理員角色可以啟用公用資料夾的郵件功能,但是不能修改公用資料夾上的郵件收件者相關內容,例如 Proxy 位址。這項功能需要 Exchange Recipient Administrators 角色的成員資格。

下表列出 Exchange 2007 系統管理員角色以及他們相關的 Exchange 權限。

 

系統管理員角色 成員 成員隸屬 Exchange 權限

Exchange 組織系統管理員

系統管理員,或用來安裝第一部 Exchange 2007 伺服器的帳戶

Exchange Recipient Administrator

<伺服器名稱> 的 Administrators 本機群組

對 Active Directory 中之 Microsoft Exchange 容器的完整控制

Exchange 收件者系統管理員

Exchange 組織系統管理員

Exchange 僅檢視管理

對 Active Directory 使用者物件上之 Exchange 內容的完整控制

Exchange Server 系統管理員

 

Exchange 僅檢視管理

<伺服器名稱> 的 Administrators 本機群組

對 Exchange <伺服器名稱> 的完整控制

Exchange 僅檢視管理

Exchange 收件者系統管理員

Exchange 公用資料夾系統管理員

Exchange 收件者系統管理員

Exchange Server 系統管理員

對 Active Directory 中之 Microsoft Exchange 容器的讀取權限。

對具有 Exchange 收件者之所有 Windows 網域的讀取權限。

Exchange Server

每個 Exchange 2007 電腦帳戶

Exchange 僅檢視管理

特殊

Exchange 公用資料夾系統管理員

Exchange 組織系統管理員

Exchange 僅檢視管理

行政管理公用資料夾的能力。

Exchange 使用許多屬性儲存 Exchange 資料。Exchange 也使用可由使用 Exchange 資料的其他目錄感知應用程式使用的其他收件者屬性。因此,這些屬性未加入 Exchange 特定內容設定。這些屬性可能位於 Active Directory 安裝期間建立的其他內容設定中,或者可能不屬於任何內容設定。

下表所列屬性是透過全域通訊清單 (GAL) 中的 Microsoft Office Outlook 提供給使用者的資料。若 Exchange 系統管理員需要更新這些屬性的能力,但不是具網域權限之安全性群組 (例如 Account Operators 群組) 的成員,則 Active Directory 系統管理員必須授與讀取/寫入權限。

 

套用至物件 Exchange 管理主控台位置 屬性 描述

使用者,連絡人

[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤

givenName

名字

使用者,連絡人

[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤

initials

中間名的縮寫

使用者,連絡人

[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤

sn

姓氏

使用者,連絡人

[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤

info

記事欄位

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

streetAddress

路/街

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

l

城市

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

st

省/市

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

postalCode

郵遞區號

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

countryCode

國家/地區

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

telephoneNumber

商務電話

使用者,連絡人

僅能在 Exchange 管理命令介面中使用

otherTelephoneNumber

其他商務電話

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

pager

呼叫器

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

facsimileTelephoneNumber

傳真

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

homePhone

住家電話

使用者,連絡人

僅能在 Exchange 管理命令介面中使用

otherHomePhone

其他住家電話

使用者,連絡人

使用者或連絡人內容中的 [地址及電話] 索引標籤

mobile

行動電話

使用者,連絡人

僅能在 Exchange 管理命令介面中使用

otherfacsimileTelephoneNumber

其他傳真

連絡人

僅能在 Exchange 管理命令介面中使用

telephoneAssistant

助理電話

連絡人

Active Directory 服務介面 (ADSI) 編輯器/LDAP

telephoneAssistant

助理電話

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

title

職稱

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

company

公司

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

department

部門

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

physicalDeliveryOfficeName

辦公室

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

manager

主管

使用者,連絡人

使用者或連絡人內容中的 [組織] 索引標籤

directReports

直屬員工

使用者,連絡人

僅能在 Exchange 管理命令介面中使用

msExchAssistantName

助理姓名

群組

[群組] 內容中的 [群組資訊] 索引標籤

managedBy

群組擁有者

群組

[群組] 內容中的 [群組資訊] 索引標籤

info

記事欄位

如需如何使用 Exchange 系統管理角色委派權限的相關資訊,請參閱 Add-ExchangeAdministrator

如需如何為 Exchange 2007 準備 Active Directory 與網域的相關資訊,請參閱如何準備 Active Directory 及網域

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: