了解多重樹系的權限

適用於：Exchange Server 2013

許多組織部署建立安全性限制在其組織內的多個樹系。 使用多個樹系可協助系統管理員可以定義更妥善地符合其需求時，是否會在於確保人數最少具有存取權的資源、 或切割組織內的部門這些安全性界限。

Microsoft Exchange Server 2013支援兩種類型的多個樹系拓撲：

• 跨樹系：跨樹系拓撲可以有多個樹系，每個樹系都有自己的 Exchange 安裝。

• 資源樹系：資源樹系拓撲具有 Exchange 樹系和一或多個帳戶樹系。

本主題的目的，樹系帳戶樹系或其他資源樹系是否包含的萬用安全性群組 (Usg) 和Exchange 2013安裝所在的樹系的外部使用者呼叫外部樹系。

在多個樹系拓撲中的權限設定依賴正確的樹系信任和連結信箱建立的全域通訊清單 (GAL) 同步處理設定。 Exchange 2013樹系必須信任外部樹系，其中包含與連結的角色群組相關聯的 Usg 和連結信箱與關聯的使用者。

Exchange 2013使用角色型存取控制 (RBAC) 權限模型。 系統管理員的成員，以及指派使用者、 管理角色指派原則的管理角色群組決定每個系統管理員和使用者可以進行的動作。 若要了解多重樹系的權限，您需要熟悉 RBAC。 如需 RBAC、 角色群組和角色指派原則的詳細資訊，請參閱下列主題：

• 了解角色型存取控制
• 了解管理角色群組
• 了解管理角色指派原則

在多個樹系拓撲中的權限

RBAC 適用於單一樹系內的所有Exchange物件的權限，並在每個樹系中的 RBAC 組態設定獨立所有其他樹系。 當您建立一個樹系中，任何其他樹系中不存在的角色群組和權限授與該角色群組的僅適用於樹系用它來建立角色群組。 例如，建立信箱的權限會授與角色群組的成員可以建立只能在包含該角色群組的樹系中的信箱。

如果您有多個Exchange樹系並想要設定每個樹系內進行完全相同的權限，您必須套用在每個樹系中明確相同的設定。 例如，如果您有兩個Exchange 2013樹系並想要建立相符性管理角色群組管理您法務部門的權限，您必須執行下列動作：

• 每個樹系中，建立名為相符性管理角色群組。 如果您的系統管理員從任一Exchange樹系的個別外部樹系中，建立這兩種角色群組為連結的角色群組。 如需角色群組的詳細資訊，請參閱跨界限許可權一節。
• 每個樹系中，建立新的角色群組與您想要使用的角色之間的角色指派。
• 新的角色指派的一部分，選擇性地新增包含伺服器和收件者物件中每個樹系的管理範圍。
• 如果您建立為連結的角色群組角色群組，新增成員至外部樹系中的關聯 USG。

下圖顯示如何設定Exchange 2013樹系中的角色群組會繫結至其各自的樹系。 組織管理角色群組的Exchange 2013樹系 A 授與權限僅用於管理信箱和在樹系中的伺服器。 同樣地， Exchange 2013樹系 B 中的角色群組授與權限僅信箱與該樹系內的伺服器。

圖也會顯示的每個樹系中建立的自訂角色群組。 即使具有相同名稱建立時，每一個是自己不同的實體。 事實上，如圖所示，每個可指定在其各自的樹系中的不同的管理角色。 Exchange 2013樹系 A 中的自訂角色群組的信箱搜尋和郵件追蹤角色時自訂角色群組的Exchange 2013樹系 B 中指派信箱搜尋和保留管理角色指派。

最後，在每個樹系中建立的管理範圍也 eng 樹系。 在每個樹系中建立的伺服器範圍只能含有該樹系的成員伺服器。 雖然 Server 範圍 B 可以包含伺服器Exchange 2013樹系 b 內的伺服器範圍的可以包含Exchange 2013樹系 A 中的伺服器同樣地， Exchange 2013樹系 B 中的收件者範圍可以只包含在Exchange 2013樹系 b 中的信箱

跨界限權限

授與的 RBAC 權限只允許使用者檢視或修改特定樹系內Exchange物件。 不過，您可以授與檢視和修改該樹系以外的使用者在樹系中的Exchange物件的權限。 使用跨界限的權限，您可以集中在單一樹系，而不必驗證每個個別的樹系來執行工作的Exchange管理帳戶。

跨界限權限也可讓您將角色指派原則套用至Exchange樹系中具有信箱之使用者的信箱，但是有位於帳戶樹系中的使用者帳戶。 Exchange 2013支援跨界限上使用連結的角色群組和下列各節所討論的連結的信箱的權限。

管理權限

管理權限會使用連結的角色群組和連結的信箱的授與跨樹系界限。

連結的角色群組Exchange 2013組織中建立並連結到 USG 跨樹系界限外部樹系中。 連結的角色群組連結至 USG 可以是下列其中一項：

• 特定使用連結的角色群組的專用的 USG
• 連結至由Exchange 2013的多重樹系中的連結的角色群組 USG
• 角色群組 USG 其他Exchange 2013樹系中
• Exchange Server 2007系統管理角色或Exchange 2010角色群組相關聯 USG

連結的角色群組連結至 USG 必須位於其他樹系。 您無法為相同的樹系中 USG 連結連結的角色群組。

下圖顯示帳戶樹系中的 Usg 可以與一個或多個Exchange 2013資源樹系中的角色群組相關聯。 成員的帳戶樹系中 Usg 有效成為 Usg 透過角色群組的成員。

當您建立連結的角色群組時，您會將角色指派給Exchange 2013樹系中的連結的角色群組中。 視產生關聯的連結的角色群組的角色指派可包含管理範圍。 這些範圍會受限於在其中建立連結的角色群組的樹系。

連結的角色群組的成員資格是由外部樹系中 USG 中新增和移除成員來與受管理的。 當您新增成員至這個 USG 時，他們會授與權限指派給Exchange 2013樹系中的連結的角色群組。 如果您已連結與相同 USG 的多個連結的角色群組，該 USG 的成員會授與權限指派給每個Exchange 2013樹系中每個連結的角色群組。

您無法從Exchange 2013樹系管理連結的角色群組的成員資格。

若要指派管理權限跨樹系界限的第二個方法是透過連結的信箱。 使用者帳戶樹系中使用Exchange 2013部署在不同Exchange 2013資源樹系中，您必須設定連結的每位使用者的信箱。 連結的信箱可以為成員新增至角色群組Exchange 2013樹系內。 當連結的信箱變成角色群組的成員時，所連結的信箱，並且連結的信箱相關聯的帳戶樹系中的使用者接著授與角色群組所提供的權限。

下圖顯示連結的信箱，以及它們成員的角色群組相關聯的使用者帳戶樹系之間的關係。

連結的角色群組和連結的信箱都有優點和缺點時用來指派管理權限跨樹系界限。 下表說明一些它們。

連結的角色群組和連結信箱優點和缺點

我們建議您在跨樹系界限授與權限如果您計劃擁有多個Exchange資源樹系使用連結的角色群組。

使用者權限

使用者權限指派給個別信箱利用角色指派原則。 Exchange 2013是安裝在資源樹系，連結的信箱在資源樹系中所建立及相關聯的帳戶樹系中的使用者帳戶。

建立連結的信箱之後，它會指派給預設角色指派原則就像是一般信箱。 角色指派原則會決定哪些使用者權限會授與至信箱。 這些權限可以讓使用者檢視和修改設定相關的下列、 及其他功能：

• 使用者設定檔資訊
• 使用者的語音信箱
• 使用者通訊群組成員資格及擁有權

當角色指派原則指派給連結的信箱時，連結的信箱相關聯的帳戶樹系中的使用者會授與權限來管理該使用者提供的功能。 權限會套用至連結的信箱所在Exchange樹系中的資源。 下圖顯示帳戶樹系、 及其相關聯的連結的信箱和角色指派原則指派給連結的信箱中的使用者之間的關係。 此外，連結的帳戶樹系中的系統管理使用者與相關聯的信箱可以與多個除了角色指派原則的角色群組相關聯。

設定跨界限權限

若要在多重樹系拓撲中設定跨界限權限，您必須為每個您要連結至 Usg 外部樹系中的角色群組建立連結的角色群組。 這表示您必須建立連結的角色群組的每個內建角色群組。 您必須：

1. 要建立的每個連結的角色群組的外部樹系中建立 USG。 將成員新增至您要授與權限此 USG。

2. 建立連結的角色群組的每個內建角色群組。 會發生下列情況時建立連結的角色群組：

   • 指定給內建角色群組的相同角色指派給新連結的角色群組。
   • 連結的角色群組相關聯的 USG 外部樹系中。

3. 建立連結的角色群組的任何您建立的自訂角色群組。

4. （選擇性） 將自訂範圍指派給新連結的角色群組。

如需如何執行這些步驟的詳細資訊，請參閱下列主題：

• 建立鏡像內建角色群組的連結的角色群組
• 管理連結的角色群組
• 管理角色群組

如果您需要變更連結的角色群組相關聯的 USG，請參閱管理連結的角色群組。

建立連結的信箱之後，它會自動指派給角色指派原則。 您可以變更角色指派原則指派給連結的信箱或變更角色指派原則指派給信箱的預設值在建立時。 如需詳細資訊，請參閱下列主題：

• 變更在信箱上的指派原則
• 管理角色指派原則