了解與 Exchange 2007 及 Exchange 2010 的權限共存
適用於:Exchange Server 2013
當您將 Microsoft Exchange Server 2013 安裝到現有的 Microsoft Exchange Server 2010 或 Microsoft Exchange Server 2007 組織時,您需要瞭解許可權在新組織中的運作方式。 請閱讀下列適用于貴組織的章節。
- Installing Exchange 2013 into an existing Exchange 2010 organization
- Installing Exchange 2013 into an existing Exchange 2007 organization
將 Exchange 2013 安裝至現有的 Exchange 2010 組織
Exchange 2013 使用 Exchange 2010 中使用的相同角色型存取控制 (RBAC) 許可權模型。 當您將 Exchange 2013 安裝到現有的 Exchange 2010 組織時,相同的管理角色群組、管理角色和管理範圍會同時套用至 Exchange 2013 和 Exchange 2010 伺服器和收件者。 角色群組的成員或指派給角色的使用者,可以管理角色群組或角色範圍中包含的任何 Exchange 2013 或 Exchange 2013 伺服器或收件者。 如果您未在組織中使用範圍,而且想要讓現有角色群組的成員管理 Exchange 2010 和 Exchange 2013 伺服器和收件者,則不需要執行任何其他動作。 這些系統管理員將能夠管理已新增至組織的 Exchange 2013 伺服器和收件者。 如果您需要提醒許可權在 Exchange 2010 和 Exchange 2013 中的運作方式,請參閱 許可權。
在新組織中,您可能想要分隔 Exchange 2010 和 Exchange 2013 伺服器和收件者的管理。 系統管理員群組負責管理 Exchange 2010 伺服器和收件者,可能不允許管理 Exchange 2013 伺服器和收件者,反之亦然。 在此情況下,您可以使用管理範圍來定義應該允許管理每個系統管理員群組的伺服器和收件者。 建立所需的範圍之後,您可以複製現有的角色群組、新增應為每個角色群組成員的系統管理員,然後將範圍新增至這些角色群組。 當您完成時,每個角色群組的成員將只能管理符合其各自範圍的伺服器和收件者。
如需角色群組、範圍、複製角色群組以及新增範圍至角色群組的相關資訊,請參閱下列主題:
將 Exchange 2013 安裝至現有的 Exchange 2007 組織
Exchange 2013 包含角色型存取控制 (RBAC) 許可權,可取代在 2007 Microsoft Exchange Server中使用的 ACE) 型授權模型 (Active Directory 存取控制專案。 RBAC 是用於大部分 Exchange 2013 管理的授權機制。 此機制包含下列管理區域:
- Exchange 管理命令介面
- Exchange 系統管理中心 (EAC)
- Exchange Web 服務
如需如何規劃 Exchange 2013 與 Exchange 2007 之間之共存的相關資訊,請參閱從 Exchange 2007 升級至 Exchange 2013。
要尋找與許可權相關的管理工作嗎? 請參閱 許可權。
Exchange 2013 權限
Exchange 2013 RBAC 許可權模型是由指派給數個管理角色之一的管理角色群組所組成。 管理角色包含可讓系統管理員在 Exchange 組織中執行工作的許可權。 系統管理員會新增為角色群組的成員,並獲授與角色提供的擁有權限。 下表提供角色群組的範例、指派給角色群組的部分角色,以及可能是角色群組成員之使用者類型的描述。
Exchange 2013 中之角色群組與角色的範例
| 管理角色群組 | 管理角色 | 這個角色群組的成員 |
|---|---|---|
| 組織管理 | 下列角色是指派給這個角色群組的一些角色:
|
管理整個 Exchange 2013 組織的使用者應該是此角色群組的成員。 除了某些例外狀況,此角色群組的成員幾乎可以管理 Exchange 2013 組織的任何層面。 根據預設,用來準備 Exchange 2013 Active Directory 的使用者帳戶是此角色群組的成員。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱Organization Management。 |
| 僅限檢視組織管理 | 下列角色是指派給這個角色群組的角色:
|
檢視整個 Exchange 2013 組織組態的使用者應該是此角色群組的成員。 這些使用者必須能夠檢視伺服器設定和收件者資訊,並執行監視功能,而無法變更組織或收件者設定。 如需此角色群組的詳細資訊,請 參閱僅限檢視組織管理。 |
| 收件者管理 | 下列角色是指派給這個角色群組的角色:
|
管理 Exchange 2013 組織中信箱、連絡人和通訊群組等收件者的使用者,應該是此角色群組的成員。 這些使用者可以建立收件者、修改或刪除現有的收件者,或移動信箱。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱Recipient Management。 |
| 伺服器管理 | 下列角色是指派給這個角色群組的一些角色:
|
管理 Exchange 伺服器設定的使用者,例如接收連接器、憑證、資料庫和虛擬目錄,都應該是此角色群組的成員。 這些使用者可以修改 Exchange 伺服器組態、建立資料庫,以及重新開機和操作傳輸佇列。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱Server Management。 |
| 探索管理 | 下列角色是指派給這個角色群組的角色:
|
執行信箱搜尋以支援法律訴訟或設定合法持有的使用者必須是這個角色群組的成員。 這是可能包含非 Exchange 系統管理員的角色群組範例,例如法務部門中的人員。 法務人員可以執行其工作,而不需要 Exchange 系統管理員介入。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱Discovery Management。 |
下表顯示 Exchange 2013 提供您授與系統管理員之許可權的細微控制層級。 您可以在 Exchange 2013 的 12 個角色群組中選擇。 如需角色群組的完整清單及其提供的許可權,請參閱 內建角色群組。
因為 Exchange 2013 提供許多角色群組,而且可以建立具有不同角色組合的角色群組來進行進一步的自訂,所以在 Active Directory 物件上) 存取控制清單 (ACL 的操作已不再必要且沒有任何作用。 ACL 不再用來將許可權套用至 Exchange 2013 中的個別系統管理員或群組。 所有工作,例如建立信箱的系統管理員或存取信箱的使用者,都由 RBAC 管理。 RBAC 會授權工作,然後 Exchange 會在允許時代表使用者執行工作。 Exchange 會 (USG) 執行 Exchange 信任子系統通用安全性群組中的工作。 除了某些例外狀況外,Exchange 2010 必須存取之 Active Directory 物件上的所有 ACL 都會授與 Exchange 信任的子系統 USG。 這是 Exchange 2007 中許可權處理方式的基本變更。
授與 Active Directory 中之使用者的權限,與使用者使用 Exchange 2013 管理工具時 RBAC 授與使用者的權限不同。
如需有關 RBAC 的詳細資訊,請參閱了解角色型存取控制。
Exchange 2007 權限
Exchange 2007 系統管理模型會利用 Active Directory 樹系來定義安全性界限。 特定樹系內沒有安全性許可權的隔離。 樹系擁有者和企業系統管理員一律可以存取任何網域中的所有資源。 在 Exchange 2007 中,您可能只需要暫時授與企業系統管理員許可權和最上層網域系統管理員許可權。
Exchange 2007 提供下列預先定義的系統管理員角色:
- Exchange 組織系統管理員角色:此角色會授與許可權來控制 Exchange 2007 組織的所有層面。 此外,具有此角色的系統管理員可以將許可權授與其他 Exchange 系統管理員。 此角色會授與您用來安裝 Exchange 2007 的帳戶。
- Exchange View-Only系統管理員角色:此角色會授與檢視 Exchange 設定的許可權。 不過,具有此角色的系統管理員無法修改 Exchange 2007 組織中的物件。
- Exchange 收件者系統管理員角色:此角色會授與管理電子郵件收件者的許可權。 具有此角色的系統管理員可以修改使用者、群組、連絡人和通訊群組的 Exchange 相關專案。
- Exchange Server系統管理員角色:此角色會授與管理特定伺服器的許可權。 不過,此角色不會授與許可權來執行對 Exchange 2007 組織造成全域影響的動作。
- Exchange 公用資料夾系統管理員角色:此角色已在 Exchange 2007 Service Pack 1**中新增。** 此角色會授與管理 Exchange 2007 組織中公用資料夾的許可權。
此許可權模型會針對所有角色使用 USG,但Exchange Server系統管理員角色除外。 當您執行 Exchange 2007 安裝程式 /PrepareAD 命令時,安裝程式會在根域中建立 USG,並為 USG 提供全樹系範圍。 USG 會獲指派 ACL 來管理整個 Active Directory 的 Exchange 物件。
在 Exchange 2007 中,您可以指派各種角色來分隔系統管理員。 許可權會直接指派給使用者或使用者所屬的 USG。 使用者執行的任何動作都會在該使用者的 Active Directory 帳戶內容中執行。 下表列出 Exchange 2007 系統管理員角色及其 Exchange 相關許可權。
Exchange 2007 系統管理員角色
| 系統管理員角色 | 成員 | 成員隸屬 | Exchange 權限 |
|---|---|---|---|
| Exchange 組織管理員 | 用來安裝第一部 Exchange 2007 伺服器的系統管理員帳戶或帳戶 | Exchange 收件者系統管理員 伺服器名稱 > 的 <系統管理員本機群組 |
在 Active Directory 中完全控制 Microsoft Exchange 容器 |
| Exchange View-Only系統管理員 | Exchange 收件者系統管理員 Exchange Server系統管理員 (< 伺服器名稱>) |
Exchange 收件者系統管理員 Exchange Server系統管理員 |
Active Directory 中 Microsoft Exchange 容器的讀取權限 具有 Exchange 收件者之所有 Windows 網域的讀取權限 |
| Exchange 收件者系統管理員 | Exchange 組織系統管理員 | Exchange View-Only系統管理員 | 在 Active Directory 使用者物件上完全控制 Exchange 屬性 |
| Exchange Server系統管理員 | Exchange 組織系統管理員 | Exchange View-Only系統管理員 伺服器名稱的<系統管理員本機群組> |
完全控制 Exchange < 伺服器名稱> |
| Exchange Server | 每個 Exchange 2007 電腦帳戶 | Exchange View-Only系統管理員 | 特殊 |
| Exchange 公用資料夾系統管理員 | Exchange 組織系統管理員 | Exchange View-Only系統管理員 | 對管理所有公用資料夾 (獲授與建立頂層公用資料夾延伸權限) 的完整控制 |
如果您需要進行更細微的許可權指派,您可以修改個別 Exchange 2007 物件上的 ACL,例如通訊清單或資料庫。 您必須將使用者為其成員的使用者或安全性群組直接新增至 ACL。 然後,動作會在特定使用者的內容中執行。
Exchange 2013 與 Exchange 2007 共存權限
由於 Exchange 2013 和 Exchange 2007 的許可權模型不同,因此 Exchange 2013 許可權指派與 Exchange 2007 許可權指派不同。 即使這兩個版本的 Exchange 都安裝在相同的樹系中,也是如此。 如果沒有其他設定,Exchange 2013 系統管理員就不需要管理 Exchange 2007 伺服器所需的許可權,而且 Exchange 2007 系統管理員沒有管理 Exchange 2013 伺服器的必要許可權。 您應該考慮下列問題:
- 您要授與 Exchange 2013 系統管理員管理 Exchange 2007 伺服器的存取權嗎?
- 您要授與 Exchange 2007 系統管理員管理 Exchange 2013 伺服器的存取權嗎?
- 您要自訂 Exchange 2013 權限,使其符合對 Exchange 2007 ACL 所做的任何自訂嗎?
將 Exchange 2013 權限授與 Exchange 2007 系統管理員
如果您想要 Exchange 2007 系統管理員管理 Exchange 2013 伺服器,則必須將 Exchange 2007 系統管理員新增為一或多個 Exchange 2013 角色群組的成員。 您可以將使用者或 USG 新增至角色群組。 接著,授與角色群組的許可權會套用至您新增為成員的使用者或 USG。
重要事項
如果您使用網域本機或全域 Active Directory 安全性群組,若是想要將其新增為 Exchange 2013 角色群組的成員,必須將其變更為 USG。 Exchange 2013 只支援 USG。
下表說明 Exchange 2007 系統管理員角色與 Exchange 2013 角色群組之間的對應。
Exchange 2007 系統管理員角色與 Exchange 2010 角色群組
| Exchange 2007 系統管理員角色 | Exchange 2013 角色群組 |
|---|---|
| Exchange 組織管理員 | 組織管理 |
| Exchange 收件者系統管理員 | 收件者管理 |
| Exchange Server系統管理員 | 伺服器管理 |
| Exchange View-Only系統管理員 | 僅限檢視組織管理 |
| Exchange Server | Exchange 2013 中沒有對等的角色群組 (如需如何建立自訂角色群組的詳細資訊,請參閱 管理角色群組。) |
| Exchange 公用資料夾系統管理員 | 公用資料夾管理 |
如果您所有的 Exchange 2007 系統管理員都是其中一個 Exchange 2007 系統管理角色的成員,您可以將每個系統管理群組的成員新增至其對等的 Exchange 2013 角色群組。 例如,如果您想要將 Exchange 2013 物件的完整存取權授與所有 Exchange 2007 組織系統管理員,請將 Exchange 組織系統管理員 USG 新增至組織管理角色群組。
如需如何將使用者和 USG 新增至角色群組的詳細資訊,請參閱管理角色群組成員。
如果您修改 Exchange 2007 物件的 ACL,以授與 Exchange 2007 系統管理員更細微的權限,並想要指派 Exchange 2013 伺服器的相似權限給這些系統管理員,請遵循下列步驟:
檢閱對 Exchange 2007 物件所做的 ACL 自訂,並找出已被授與每個物件之權限的系統管理員。
將每個 Exchange 2007 物件分類。 例如,判斷物件是資料庫、伺服器或收件者物件。
將物件對應至對應的 Exchange 2013 角色群組。 如需內建角色群組的清單,請參閱 內建角色群組。
將每種物件類型的 USG 或使用者新增至對應的 Exchange 2013 角色群組。 如需如何將使用者和 USG 新增至角色群組的詳細資訊,請參閱管理角色群組成員。
完成這些步驟之後,Exchange 2007 系統管理員將會是對應至適當 Exchange 2013 物件的特定角色群組成員。 Exchange 2007 系統管理員可以使用 Exchange 2013 管理工具來管理 Exchange 2013 伺服器和收件者。
重要事項
一般而言,Exchange 2007 伺服器和收件者必須使用 Exchange 2007 管理工具來管理,而 Exchange 2013 伺服器和收件者必須使用 Exchange 2013 管理工具來管理。
如果內建角色群組未提供您想要授與給某些系統管理員的特定許可權集合,您可以建立自訂角色群組。 當您建立自訂角色群組時,可以選取要新增至其中的角色。 您可以定義您想要角色群組成員管理的特定功能。 例如,如果您只想要讓系統管理員管理通訊群組,您可以建立自訂角色群組,然後只選取 [通訊群組] 角色。 執行此動作之後,該自訂角色群組的成員只能管理通訊群組。 如需如何建立自訂角色群組的詳細資訊,請參閱 管理角色群組。
如果您將選擇性權限指派給某些 Exchange 2007 物件 (例如只允許系統管理員管理特定資料庫),而您想要套用相同的組態至 Exchange 2013 伺服器,請參閱本主題稍後的「使用 Exchange 2007 中的管理範圍重新建立 Exchange 2013 ACL 自訂」。
將 Exchange 2007 權限授與 Exchange 2013 系統管理員
如果您想要 Exchange 2013 系統管理員管理 Exchange 2007 伺服器,請將 Exchange 2013 系統管理員新增至 USG 或對應至特定 Exchange 2007 系統管理員角色的安全性群組。 或者,如果您已自訂 ACL 設定,請將系統管理員新增至適當的 ACL。 角色群組是 USG,因此角色群組可以直接新增至 Exchange 2007 系統管理員角色 USG。
完成之後,Exchange 2013 系統管理員將會是適當的 Exchange 2007 系統管理員角色或角色的成員。 Exchange 2013 系統管理員可以使用 Exchange 2007 管理工具來管理 Exchange 2007 伺服器和收件者。
使用 Exchange 2013 中的管理範圍重新建立 Exchange 2007 ACL 自訂
在 Exchange 2007 中,當您想要限制誰可以管理特定信箱存放區、管理特定使用者,或控制要建立的信箱存放區信箱時,您必須修改要限制之物件的 ACL。 Exchange 2013 提供相同的功能,但不需要修改任何 ACL。 其會使用管理範圍來執行這項作業,而管理範圍是 RBAC 的元件。
管理範圍提供內建的範圍和自訂範圍,以定義系統管理員可以管理的物件。 藉由套用管理範圍,您可以定義可以管理哪些收件者、可以建立哪些信箱資料庫信箱,以及哪些收件者或伺服器應由一小組系統管理員管理,而非由其他人管理。
您可以建立下列類型的管理範圍:
預先定義的相對:預先定義的相對範圍包含在 Exchange 2013 中。 您可以控制使用者看到的內容,以及使用者修改的內容。 例如,預先定義的相對範圍可以控制使用者是否只看到自己或整個組織的相關資訊。
收件者:收件者範圍可控制系統管理員可以建立、修改或刪除哪些收件者。 這些選取專案可以根據組織單位 (OU) 、收件者篩選或兩者。 收件者篩選準則會指定收件者必須符合的準則,才能包含在範圍中。 例如,您可以建立收件者篩選範圍,其中包含特定位置或特定部門中的所有使用者。 您甚至可以結合 OU 和收件者篩選,只比對特定 OU 內的使用者,以及向特定管理員回報的使用者。
伺服器:伺服器範圍可控制系統管理員可以管理的伺服器。 您可以指定伺服器清單或伺服器篩選器。 針對伺服器清單,您可以定義可管理的伺服器靜態清單。 伺服器篩選的運作方式與收件者篩選相同,您可以指定必須比對的準則。 例如,您可以建立符合特定 Active Directory 網站內所有伺服器的伺服器範圍。
資料庫:資料庫範圍可控制系統管理員可以管理的資料庫。 它們也可以控制可以建立哪些資料庫信箱,或可以將信箱移至哪些資料庫。 就像伺服器範圍一樣,它們可以定義為清單或篩選準則。 例如,您可以建立一個清單或篩選準則,讓系統管理員在上建立信箱,或將信箱移至特定子公司所管理的特定信箱資料庫。
獨佔:收件者、伺服器和資料庫範圍也可以建立為獨佔範圍。 獨佔範圍的運作方式與 ACL 中的拒絕存取 ACL 相同。 如果有任何專案符合獨佔範圍,則只有指派獨佔範圍的系統管理員可以管理該物件。 即使另一個非獨佔的範圍符合相同的物件,也是如此。 當您可能只想要少數高度信任的個人能夠管理主管的信箱時,這特別有用。 即使另一個一般收件者範圍更廣,且範圍中包含主管的信箱,系統管理員指派了更廣泛的一般收件者範圍,除非他們也獲指派專屬範圍,否則將無法管理該主管的信箱。
管理範圍會與管理角色、管理角色指派和管理角色群組搭配使用,以控制誰可以管理哪些物件,以及以何種方式管理這些物件。 如需詳細資訊,請參閱下列主題:
若要使用您可能已使用自訂 ACL 定義的管理範圍,在 Exchange 2013 中建立相同的許可權模型,您必須清查您已自訂的 ACL,然後建立符合這些 ACL 的管理範圍。 您可以使用收件者、伺服器和資料庫物件上可用的可篩選屬性來建立管理範圍,其中包含您想要每個管理範圍控制存取的物件。 如需可搭配管理範圍篩選使用之屬性的詳細資訊,請參閱瞭解管理角色範圍篩選。
如需如何建立管理範圍的詳細資訊,請參閱建立規則或獨佔範圍。