瞭解與 Exchange 2007 共存的權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
Microsoft Exchange Server 2010 中的權限模型是改良自舊版 Exchange 中所用的模型。Exchange 2010 包含應用角色的存取控制 (RBAC) 權限,其會取代 Microsoft Active Directory 中所用的 Exchange Server 2007 存取控制項目 (ACE) 授權模型。RBAC 是用於大部分 Exchange 2010 管理工作的授權機制。此機制包括下列管理區域:
Exchange 管理命令介面
Exchange 控制台
Exchange 管理主控台 (EMC)
Exchange Web 服務
中間層元件上的 MAPI
如需如何規劃 Exchange 2010 與舊版 Exchange 之間之共存的相關資訊,請參閱瞭解升級到 Exchange 2010。
要尋找與權限相關的管理工作嗎?請參閱管理權限。
Exchange 2010 權限
Exchange 2010 RBAC 權限模型是由被指派其中一個管理角色的管理角色群組所組成。管理角色包含可讓系統管理員在 Exchange 組織中執行工作的權限。系統管理員會新增為角色群組的成員,並且會被授與角色所提供的所有權限。下表提供角色群組的範例、指派給角色群組的一些角色,以及可能是角色群組成員之使用者類型的描述。
Exchange 2010 中之角色群組與角色的範例
| 管理角色群組 | 管理角色 | 這個角色群組的成員 |
|---|---|---|
組織管理 |
下列角色是指派給這個角色群組的一些角色:
|
管理整個 Exchange 2010 組織的使用者必須是這個角色群組的成員。除了某些例外,這個角色群組的成員幾乎可以管理 Exchange 2010 組織的任何層面。 根據預設,用於為 Exchange 2010 準備 Active Directory 的使用者帳戶是這個角色群組的成員。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱組織管理。 |
僅限檢視組織管理 |
下列角色是指派給這個角色群組的角色:
|
檢視整個 Exchange 2010 組織之組態的使用者必須是這個角色群組的成員。這些使用者必須能夠檢視伺服器組態和收件者資訊,而且必須能夠執行監視功能,但不能變更組織或收件者組態。 如需這個角色群組的詳細資訊,請參閱僅檢視組織管理。 |
收件者管理 |
下列角色是指派給這個角色群組的角色:
|
管理 Exchange 2010 組織中之收件者 (例如信箱、連絡人及通訊群組) 的使用者必須是這個角色群組的成員。這些使用者可以建立收件者、修改或刪除現有的收件者或移動信箱。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱收件者管理。 |
伺服器管理 |
下列角色是指派給這個角色群組的一些角色:
|
管理 Exchange 伺服器組態 (例如接收連接器、憑證、資料庫及虛擬目錄) 的使用者必須是這個角色群組的成員。這些使用者可以修改 Exchange 伺服器組態、建立資料庫及重新啟動和操作傳輸佇列。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱伺服器管理。 |
探索管理 |
下列角色是指派給這個角色群組的角色:
|
執行信箱搜尋以支援法律訴訟或設定合法持有的使用者必須是這個角色群組的成員。 這是可能包含非 Exchange 系統管理員 (例如法務部門中的人員) 的角色群組的範例。法務人員可以在不需 Exchange 系統管理員介入的情況下執行其工作。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱探索管理。 |
此表格顯示 Exchange 2010 提供您授與系統管理員之權限的細微層次控制。您可以從 Exchange 2010 中的 11 個角色群組選擇。如需角色群組及其提供之權限的完整清單,請參閱內建角色群組。
因為 Exchange 2010 提供許多角色群組,而且因為建立具有不同角色組合之角色群組可進行更多自訂,所以不必再操作 Active Directory 物件的存取控制清單 (ACL),而且這些清單也沒有任何效果。系統不會再使用 ACL 來將權限套用到 Exchange 2010 中的個別系統管理員或群組。所有工作 (例如建立信箱的系統管理員或存取信箱的使用者) 都由 RBAC 管理。RBAC 會授權工作,如果允許的話,Exchange 便會代替使用者執行工作。Exchange 會執行 Exchange 受信任子系統萬用安全性群組 (USG) 中的工作。除了某些例外,Active Directory 中 Exchange 2010 必須存取的物件上所有 ACL 都會授與 Exchange 信任子系統 USG。這是從 Exchange 2007 中處理權限方式的根本變更。
授與 Active Directory 中之使用者的權限,與使用者使用 Exchange 2010 管理工具時 RBAC 授與使用者的權限不同。
如需有關 RBAC 的詳細資訊,請參閱瞭解應用角色的存取控制。
Exchange 2007 權限
Exchange 2007 系統管理模式利用 Active Directory 樹系來定義安全性界限。在特定樹系中不會有安全性權限的隔離。樹系擁有者和企業系統管理員永遠可以存取任何網域中的所有資源。在 Exchange 2007 中,您可能需要只以暫時方式授與企業系統管理員權限和頂層網域系統管理員權限。
Exchange 2007 提供下列預先定義的系統管理員角色:
Exchange 組織系統管理員角色 此角色會授與控制 Exchange 2007 組織各層面的權限。此外,擁有此角色的系統管理員可將權限授與其他 Exchange 系統管理員。此角色會授與您用來安裝 Exchange 2007 的帳戶。
Exchange 僅檢視系統管理員角色 此角色會授與檢視 Exchange 組態的權限。不過,擁有此角色的系統管理員無法修改 Exchange 2007 組織中的物件。
Exchange 收件者系統管理員角色 此角色會授與管理電子郵件收件者的權限。擁有此角色的系統管理員可以修改使用者、群組、連絡人和通訊群組的 Exchange 相關項目。
Exchange Server 系統管理員角色 此角色會授與管理特定伺服器的權限。不過,此角色不會授與執行對 Exchange 2007 組織具有通用影響之動作的權限。
Exchange 公用資料夾系統管理員角色 此角色是在 Exchange 2007 Service Pack 1 中新增。此角色會授與管理 Exchange 2007 組織中之公用資料夾的權限。
此權限模型會將 USG 用於除 Exchange 伺服器系統管理員角色之外的所有角色。當您執行 Exchange 2007Setup /PrepareAD 命令時,安裝程式會在根網域中建立 USG,並提供整個樹系範圍給 USG。USG 會被指派 ACL 以管理整個 Active Directory 的 Exchange 物件。
在 Exchange 2007 中,您可為系統管理員指派各種不同角色以分隔系統管理員。權限會直接指派給使用者或使用身為成員的 USG。使用者執行的任何動作,都會在該使用者的 Active Directory 帳戶環境中執行。下表列出 Exchange 2007 系統管理員角色及其 Exchange 相關權限。
Exchange 2007 系統管理員角色
| 系統管理員角色 | 成員 | 成員隸屬 | Exchange 權限 |
|---|---|---|---|
Exchange 組織系統管理員 |
系統管理員帳戶或用來安裝第一部 Exchange 2007 伺服器的帳戶 |
Exchange 收件者系統管理員 <伺服器名稱> 的系統管理員本機群組 |
對 Active Directory 中 Microsoft Exchange 容器的完整控制 |
Exchange 僅檢視系統管理員 |
Exchange 收件者系統管理員 Exchange Server 系統管理員 (<伺服器名稱>) |
Exchange 收件者系統管理員 Exchange Server 系統管理員 |
對 Active Directory 中 Microsoft Exchange 容器的讀取權限 對具有 Exchange 收件者之所有 Windows 網域的讀取權限 |
Exchange 收件者系統管理員 |
Exchange 組織系統管理員 |
Exchange View-Only Administrators |
對 Active Directory 使用者物件上之 Exchange 內容的完整控制 |
Exchange Server 系統管理員 |
Exchange 組織系統管理員 |
Exchange View-Only Administrators <伺服器名稱> 的系統管理員本機群組 |
對 Exchange <伺服器名稱> 的完整控制 |
Exchange Server |
每個 Exchange 2007 電腦帳戶 |
Exchange View-Only Administrators |
特殊 |
Exchange 公用資料夾系統管理員 |
Exchange 組織系統管理員 |
Exchange View-Only Administrators |
對管理所有公用資料夾 (獲授與建立頂層公用資料夾延伸權限) 的完整控制 |
如果需要進行更細微的權限指派,可以修改個別 Exchange 2007 物件的 ACL,例如通訊清單或資料庫。您必須將使用者或使用者身為成員的安全性群組直接新增到 ACL。然後,在特定使用者的環境中執行操作。
如需如何在 Exchange 2007 中管理權限的相關資訊,請參閱在 Exchange Server 2007 中設定權限。
Exchange 2010 與 Exchange 2007 共存權限
由於 Exchange 2010 的權限模型和 Exchange 2007 的權限模型不同,因此 Exchange 2010 權限指派與 Exchange 2007 權限指派分開。即使 Exchange 兩個版本皆安裝於相同樹系中,也是一樣。若未進行其他設定,Exchange 2010 管理員將不具有管理 Exchange 2007 型伺服器的必要權限,且 Exchange 2007 管理員則不具有管理 Exchange 2010 型伺服器的必要權限。您應該考慮下列問題:
您要授與 Exchange 2010 系統管理員管理 Exchange 2007 伺服器的存取權嗎?
您要授與 Exchange 2007 系統管理員管理 Exchange 2010 伺服器的存取權嗎?
您要自訂 Exchange 2010 權限,使其符合對 Exchange 2007 ACL 所做的任何自訂嗎?
將 Exchange 2010 權限授與 Exchange 2007 系統管理員
如果要讓 Exchange 2007 系統管理員管理 Exchange 2010 伺服器,Exchange 2007 系統管理員必須新增為一個或多個 Exchange 2010 角色群組的成員。您可以將使用者或 USG 新增至角色群組。然後,授與角色群組的權限會套用至您新增為成員的使用者或 USG。
.gif "重要事項") 重要事項: |
|---|
| 如果您使用網域本機或全域 Active Directory 安全性群組,若是想要將其新增為 Exchange 2010 角色群組的成員,必須將其變更為 USG。Exchange 2010 只支援 USG。 |
下表說明 Exchange 2007 系統管理員角色與 Exchange 2010 角色群組之間的對應。
Exchange 2007 系統管理員角色與 Exchange 2010 角色群組
| Exchange 2007 系統管理員角色 | Exchange 2010 角色群組 |
|---|---|
Exchange 組織系統管理員 |
組織管理 |
Exchange 收件者系統管理員 |
收件者管理 |
Exchange Server 系統管理員 |
伺服器管理 |
Exchange 僅檢視系統管理員 |
僅限檢視組織管理 |
Exchange Server |
Exchange 2010 中沒有同等的角色群組 (如需如何建立自訂角色群組的詳細資訊,請參閱建立角色群組)。 |
Exchange 公用資料夾系統管理員 |
公用資料夾管理 |
如果您所有的 Exchange 2007 系統管理員是其中一個 Exchange 2007 管理角色的成員,您可以將每一個管理群組的成員新增至其同等的 Exchange 2010 角色群組。例如,若您想要授與所有 Exchange 2007 組織系統管理員對 Exchange 2010 物件的完整存取權,請將 Exchange 組織系統管理員 USG 新增至 組織管理 角色群組。
如需如何將使用者和 USG 新增至角色群組的詳細資訊,請參閱將成員新增至角色群組。
如果您修改 Exchange 2007 物件的 ACL,以授與 Exchange 2007 系統管理員更細微的權限,並想要指派 Exchange 2010 伺服器的相似權限給這些系統管理員,請遵循下列步驟:
檢閱對 Exchange 2007 物件所做的 ACL 自訂,並找出已被授與每個物件之權限的系統管理員。
分類每個 Exchange 2007 物件。例如,判斷物件是否為資料庫、伺服器或收件者物件。
將物件對應至對應的 Exchange 2010 角色群組。如需內建角色群組的清單,請參閱內建角色群組。
將每種物件的 USG 或使用者新增至對應的 Exchange 2010 角色群組。如需如何將使用者和 USG 新增至角色群組的詳細資訊,請參閱將成員新增至角色群組。
完成這些步驟之後,Exchange 2007 系統管理員將成為對應至適當 Exchange 2010 物件之特定角色群組的成員。Exchange 2007 系統管理員可以使用 Exchange 2010 管理工具來管理 Exchange 2010 伺服器和收件者。
| 重要事項: |
|---|
| 一般而言,Exchange 2007 伺服器和收件者必須使用 Exchange 2007 管理工具來管理,而 Exchange 2010 伺服器和收件者必須使用 Exchange 2010 管理工具來管理。 |
如果內建角色群組未提供您想要授與某些系統管理員的特定權限集,您可以建立自訂角色群組。當您建立自訂角色群組時,可以選取要新增至群組的角色。您可以定義希望角色群組成員管理的特定功能。例如,若您希望系統管理員只管理通訊群組,可以建立自訂角色群組,然後只選取 Distribution Groups 角色。這樣做之後,該自訂角色群組的成員便只能管理通訊群組。如需如何建立自訂角色群組的詳細資訊,請參閱建立角色群組。
如果您將選擇性權限指派給某些 Exchange 2007 物件 (例如只允許系統管理員管理特定資料庫),而您想要套用相同的組態至 Exchange 2010 伺服器,請參閱本主題稍後的「使用 Exchange 2007 中的管理範圍重新建立 Exchange 2010 ACL 自訂」。
將 Exchange 2007 權限授與 Exchange 2010 系統管理員
如果您要 Exchange 2010 系統管理員管理 Exchange 2007 伺服器,請將 Exchange 2010 系統管理員新增至 USG 或對應至特定 Exchange 2007 系統管理員角色的安全性群組。或者,如果您有自訂的 ACL 設定,請將系統管理員新增至適當的 ACL。角色群組是 USG,因此可以將角色群組直接新增至 Exchange 2007 系統管理員角色 USG。
完成後,Exchange 2010 系統管理員將成為適當 Exchange 2007 系統管理員角色的成員。Exchange 2010 系統管理員可以使用 Exchange 2007 管理工具來管理 Exchange 2007 伺服器和收件者。
使用 Exchange 2010 中的管理範圍重新建立 Exchange 2007 ACL 自訂
在 Exchange 2007 中,如果要限制誰可以管理特定信箱儲存區、管理特定使用者或控制在哪個信箱儲存區上建立信箱,必須修改要限制之物件的 ACL。Exchange 2010 提供相同的功能,但不必修改任何 ACL。它會使用管理範圍 (也就是 RBAC 的元件) 執行此功能。
管理範圍提供內建範圍和自訂範圍,用於定義系統管理員可以管理的物件。透過套用管理範圍,您可以定義能夠管理哪些收件者、可以在哪些信箱資料庫上建立信箱,以及哪些收件者或伺服器應由一小組系統管理員管理,不能由其他人管理。
您可以建立下列類型的管理範圍:
預先定義的相對 Exchange 2010 包含預先定義的相對範圍。您可以控制使用者看到及修改的內容。例如,預先定義的相對範圍可以控制使用者是只看得到自己的相關資訊,還是看得到整個組織的相關資訊。
收件者 收件者範圍控制系統管理員可以建立、修改或刪除哪些收件者範圍。這些選項可以根據組織單位 (OU)、收件者篩選器或這兩者為基礎。收件者篩選器指定收件者若要包含在範圍中,必須符合的準則。例如,您可以建立包含特定位置或特定部門中所有使用者的收件者篩選器範圍。您甚至可以結合 OU 與收件者篩選器,只比對在特定 OU 之內的使用者,以及向特定經理報告的使用者。
伺服器 伺服器範圍控制系統管理員可以管理哪些伺服器。您可以指定伺服器清單或伺服器篩選器。針對伺服器清單,您可以定義可管理之伺服器的靜態清單。伺服器篩選器的運作方式與收件者篩選器相同,您可以指定必須符合的準則。例如,您可能會建立符合特定 Active Directory 網站中所有伺服器的伺服器範圍。
資料庫 資料庫範圍控制系統管理員可以管理哪些資料庫。它們也可以控制可在哪些資料庫建立信箱,或將信箱移至哪些資料庫。它們也像伺服器範圍一樣,可以定義為清單或篩選器。例如,您可以建立一個清單或篩選器,允許系統管理員在特定子公司管理之特定信箱資料庫上建立信箱,或將信箱移至該資料庫。
獨佔 收件者、伺服器和資料庫範圍也可建立為獨佔範圍。獨佔範圍的運作方式與 ACL 中的拒絕存取 ACE 相同。如果任何項目符合獨佔範圍,則只有被指派獨佔範圍的系統管理員可以管理該物件。即使有其他非獨佔的範圍符合相同物件,也是一樣。當您只想讓少數極受信任的人能夠管理高階主管的信箱時,此功能特別有用。即使另一個一般收件者範圍較廣大且範圍中包含高階主管的信箱,指派了較廣的一般收件者範圍的系統管理員除非也指派了獨佔範圍,否則將無法管理該高階主管的信箱。
管理範圍可以配合管理角色、管理角色指派和管理角色群組使用,以控制誰可以管理哪些物件,以及可以使用什麼方式來管理物件。如需相關資訊,請參閱下列主題:
若要使用您可能已使用自訂 ACL 定義的管理範圍在 Exchange 2010 中建立相同的權限模型,必須清查您已自訂的 ACL,然後建立與其符合的管理範圍。您可以使用收件者、伺服器和資料庫物件上的可篩選內容,建立包含您要每個管理範圍控制存取之物件的管理範圍。如需可搭配管理範圍篩選器使用之內容的詳細資訊,請參閱瞭解管理角色範圍篩選器。
如需如何建立管理範圍的詳細資訊,請參閱建立一般或獨佔範圍。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。