本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

了解多重樹系權限

 

適用版本:Exchange Server 2013

上次修改主題的時間:2015-04-07

許多組織部署建立安全性限制在其組織內的多個樹系。使用多個樹系可協助系統管理員可以定義更妥善地符合其需求時,是否會在於確保人數最少具有存取權的資源、 或切割組織內的部門這些安全性界限。

Microsoft Exchange Server 2013支援兩種類型的多個樹系拓撲:

  • 跨樹系  跨樹系拓撲可以有多個樹系、 每個Exchange自己安裝。

  • 資源樹系  資源樹系拓撲有Exchange樹系與一個或多個帳戶樹系。

本主題的目的,樹系帳戶樹系或其他資源樹系是否包含的萬用安全性群組 (Usg) 和Exchange 2013安裝所在的樹系的外部使用者呼叫外部樹系。

在多個樹系拓撲中的權限設定依賴正確的樹系信任和連結信箱建立的全域通訊清單 (GAL) 同步處理設定。Exchange 2013樹系必須信任外部樹系,其中包含與連結的角色群組相關聯的 Usg 和連結信箱與關聯的使用者。

Exchange 2013使用角色型存取控制 (RBAC) 權限模型。系統管理員的成員,以及指派使用者、 管理角色指派原則的管理角色群組決定每個系統管理員和使用者可以進行的動作。若要了解多重樹系的權限,您需要熟悉 RBAC。如需 RBAC、 角色群組和角色指派原則的詳細資訊,請參閱下列主題:

要尋找與管理的權限相關的管理工作嗎?請參閱權限

目錄

在多樹系拓撲中的權限

跨界限權限

設定跨界限權限

RBAC 適用於單一樹系內的所有Exchange物件的權限,並在每個樹系中的 RBAC 組態設定獨立所有其他樹系。當您建立一個樹系中,任何其他樹系中不存在的角色群組和權限授與該角色群組的僅適用於樹系用它來建立角色群組。例如,建立信箱的權限會授與角色群組的成員可以建立只能在包含該角色群組的樹系中的信箱。

如果您有多個Exchange樹系並想要設定每個樹系內進行完全相同的權限,您必須套用在每個樹系中明確相同的設定。例如,如果您有兩個Exchange 2013樹系並想要建立相符性管理角色群組管理您法務部門的權限,您必須執行下列動作:

  • 每個樹系中,建立名為相符性管理角色群組。如果您的系統管理員從任一Exchange樹系的個別外部樹系中,建立這兩種角色群組為連結的角色群組。如需有關角色群組的詳細資訊,請參閱跨界限權限] 區段。

  • 每個樹系中,建立新的角色群組與您想要使用的角色之間的角色指派。

  • 新的角色指派的一部分,選擇性地新增包含伺服器和收件者物件中每個樹系的管理範圍。

  • 如果您建立為連結的角色群組角色群組,新增成員至外部樹系中的關聯 USG。

下圖顯示如何設定Exchange 2013樹系中的角色群組會繫結至其各自的樹系。組織管理角色群組的Exchange 2013樹系 A 授與權限僅用於管理信箱和在樹系中的伺服器。同樣地, Exchange 2013樹系 B 中的角色群組授與權限僅信箱與該樹系內的伺服器。

圖也會顯示的每個樹系中建立的自訂角色群組。即使具有相同名稱建立時,每一個是自己不同的實體。事實上,如圖所示,每個可指定在其各自的樹系中的不同的管理角色。Exchange 2013樹系 A 中的自訂角色群組的信箱搜尋和郵件追蹤角色時自訂角色群組的Exchange 2013樹系 B 中指派信箱搜尋和保留管理角色指派。

最後,在每個樹系中建立的管理範圍也 eng 樹系。在每個樹系中建立的伺服器範圍只能含有該樹系的成員伺服器。雖然 Server 範圍 B 可以包含伺服器Exchange 2013樹系 b 內的伺服器範圍的可以包含Exchange 2013樹系 A 中的伺服器同樣地, Exchange 2013樹系 B 中的收件者範圍可以只包含在Exchange 2013樹系 b 中的信箱

RBAC 和樹系範圍界限關係

RBAC 和樹系界限範圍關係

授與的 RBAC 權限只允許使用者檢視或修改特定樹系內Exchange物件。不過,您可以授與檢視和修改該樹系以外的使用者在樹系中的Exchange物件的權限。使用跨界限的權限,您可以集中在單一樹系,而不必驗證每個個別的樹系來執行工作的Exchange管理帳戶。

注意事項注意事項:
權限授與給Exchange樹系以外的使用者仍僅適用於該特定Exchange樹系。例如,如果 ForestA 位於 「 組織管理連結的角色群組的成員外部樹系中的使用者,使用者可以管理只包含內 ForestA Exchange物件。使用者必須要授與權限管理每個樹系的每個Exchange樹系中所做之連結的角色群組的成員。

跨界限權限也可讓您將角色指派原則套用至Exchange樹系中具有信箱之使用者的信箱,但是有位於帳戶樹系中的使用者帳戶。Exchange 2013支援跨界限上使用連結的角色群組和下列各節所討論的連結的信箱的權限。

管理權限會使用連結的角色群組和連結的信箱的授與跨樹系界限。

連結的角色群組Exchange 2013組織中建立並連結到 USG 跨樹系界限外部樹系中。連結的角色群組連結至 USG 可以是下列其中一項:

  • 特定使用連結的角色群組的專用的 USG

  • 連結至由Exchange 2013的多重樹系中的連結的角色群組 USG

  • 角色群組 USG 其他Exchange 2013樹系中

  • Exchange Server 2007系統管理角色或Exchange 2010角色群組相關聯 USG

連結的角色群組連結至 USG 必須位於其他樹系。您無法為相同的樹系中 USG 連結連結的角色群組。

下圖顯示帳戶樹系中的 Usg 可以與一個或多個Exchange 2013資源樹系中的角色群組相關聯。成員的帳戶樹系中 Usg 有效成為 Usg 透過角色群組的成員。

在不同的樹系中 Usg 相關聯的連結的角色群組

連結的角色群組和 USG 關係

當您建立連結的角色群組時,您會將角色指派給Exchange 2013樹系中的連結的角色群組中。視產生關聯的連結的角色群組的角色指派可包含管理範圍。這些範圍會受限於在其中建立連結的角色群組的樹系。

連結的角色群組的成員資格是由外部樹系中 USG 中新增和移除成員來與受管理的。當您新增成員至這個 USG 時,他們會授與權限指派給Exchange 2013樹系中的連結的角色群組。如果您已連結與相同 USG 的多個連結的角色群組,該 USG 的成員會授與權限指派給每個Exchange 2013樹系中每個連結的角色群組。

您無法從Exchange 2013樹系管理連結的角色群組的成員資格。

若要指派管理權限跨樹系界限的第二個方法是透過連結的信箱。使用者帳戶樹系中使用Exchange 2013部署在不同Exchange 2013資源樹系中,您必須設定連結的每位使用者的信箱。連結的信箱可以為成員新增至角色群組Exchange 2013樹系內。當連結的信箱變成角色群組的成員時,所連結的信箱,並且連結的信箱相關聯的帳戶樹系中的使用者接著授與角色群組所提供的權限。

下圖顯示連結的信箱,以及它們成員的角色群組相關聯的使用者帳戶樹系之間的關係。

角色群組之成員的連結信箱相關聯的帳戶樹系中的使用者

角色群組和連結信箱關係

連結的角色群組和連結的信箱都有優點和缺點時用來指派管理權限跨樹系界限。下表說明一些它們。

連結的角色群組和連結信箱優點和缺點

連結的角色群組或連結的信箱 利用 缺點

連結的角色群組

您可以建立多個連結的角色群組從多個Exchange 2013樹系帳戶樹系或其他Exchange資源樹系中的單一 USG 的關聯。這可讓您管理串聯小型 Usg 的單一樹系中的複雜Exchange樹系拓撲。

一般角色群組無法轉換成連結的角色群組。您必須手動建立連結的角色群組來取代每個具有您要授與跨樹系界限的權限的一般角色群組。如需詳細資訊,請參閱 < Configure 跨界限權限

連結的信箱

連結的信箱可讓您使用現有的角色群組Exchange樹系內。連結的信箱會為成員新增至現有的角色群組就像是一般信箱、 Usg,並在相同的Exchange樹系中的使用者。

如果您將授與使用連結至單一使用者帳戶樹系中的連結的信箱的多個Exchange 2013樹系中的權限,您必須修改每個Exchange 2013樹系中的角色群組成員資格如果您想要修改授與使用者的權限。

我們建議您在跨樹系界限授與權限如果您計劃擁有多個Exchange資源樹系使用連結的角色群組。

使用者權限指派給個別信箱利用角色指派原則。Exchange 2013是安裝在資源樹系,連結的信箱在資源樹系中所建立及相關聯的帳戶樹系中的使用者帳戶。

建立連結的信箱之後,它會指派給預設角色指派原則就像是一般信箱。角色指派原則會決定哪些使用者權限會授與至信箱。這些權限可以讓使用者檢視和修改設定相關的下列、 及其他功能:

  • 使用者設定檔資訊

  • 使用者的語音信箱

  • 使用者通訊群組成員資格及擁有權

當角色指派原則指派給連結的信箱時,連結的信箱相關聯的帳戶樹系中的使用者會授與權限來管理該使用者提供的功能。權限會套用至連結的信箱所在Exchange樹系中的資源。下圖顯示帳戶樹系、 及其相關聯的連結的信箱和角色指派原則指派給連結的信箱中的使用者之間的關係。此外,連結的帳戶樹系中的系統管理使用者與相關聯的信箱可以與多個除了角色指派原則的角色群組相關聯。

指派給每個的連結信箱相關聯的帳戶樹系中的使用者角色指派原則

角色群組和指派原則關係

回到頁首

若要在多重樹系拓撲中設定跨界限權限,您必須為每個您要連結至 Usg 外部樹系中的角色群組建立連結的角色群組。這表示您必須建立連結的角色群組的每個內建角色群組。您必須:

  1. 要建立的每個連結的角色群組的外部樹系中建立 USG。將成員新增至您要授與權限此 USG。

  2. 建立連結的角色群組的每個內建角色群組。會發生下列情況時建立連結的角色群組:

    • 指定給內建角色群組的相同角色指派給新連結的角色群組。

    • 連結的角色群組相關聯的 USG 外部樹系中。

  3. 建立連結的角色群組的任何您建立的自訂角色群組。

  4. (選擇性) 將自訂範圍指派給新連結的角色群組。

如需如何執行這些步驟的詳細資訊,請參閱下列主題:

如果您需要變更連結的角色群組相關聯的 USG,請參閱管理連結的角色群組

建立連結的信箱之後,它會自動指派給角色指派原則。您可以變更角色指派原則指派給連結的信箱或變更角色指派原則指派給信箱的預設值在建立時。如需詳細資訊,請參閱下列主題:

 
顯示: