瞭解分割權限

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2015-03-09

分開管理 Microsoft Exchange Server 2010 物件與 Active Directory 物件的組織可使用所謂的「分割權限」模型。分割權限可讓組織將特定的權限與相關的工作指派給組織內的特定群組。這項分隔工作可幫助維持標準與工作流程,並有助於控制組織的變動。

最高層級的分割權限是分隔 Exchange 管理與 Active Directory 管理。許多組織都有兩個群組:一是管理組織 Exchange 基礎結構 (包括伺服器與收件者) 的系統管理員,另一是管理 Active Directory 基礎結構的系統管理員。對於許多組織而言,這是很重要的分隔,因為 Active Directory 基礎結構常常橫跨許多位置、網域、服務、應用程式,甚至是 Active Directory 樹系。Active Directory 系統管理員必須確保對 Active Directory 所做的變更不會對任何其他服務造成負面影響。因此,通常只允許一小組系統管理員管理該基礎結構。

同時,包括伺服器與收件者在內的 Exchange 基礎結構也十分複雜,需要有專門的知識。此外 Exchange 會儲存與組織業務相關的極機密資訊,Exchange 系統管理員可能會存取此資訊。藉由限制 Exchange 系統管理員的數量,組織可限制誰能夠變更 Exchange 組態,以及誰能夠存取機密資訊。

分割權限通常會讓在 Active Directory 中建立安全性主體 (例如使用者與安全性群組),與這些物件的後續設定之間有所區別。透過控制可建立向其授與存取權之物件的人員,協助降低網路遭受未經授權之存取的風險。通常只有 Active Directory 系統管理員可建立安全性主體,而其他系統管理員 (例如 Exchange 系統管理員) 則可管理現有 Active Directory 物件上的特定屬性。

為了支援分隔管理 Exchange 與 Active Directory 的各種需求,Exchange 2010 可讓您選擇要使用共用權限模型或分割權限模型。Microsoft Exchange Server 2010 Service Pack 1 (SP1) 提供了兩種類型的分割權限模型:RBAC 和 Active Directory。Exchange 2010 SP1 預設是採用共用權限模型。

目錄

說明應用角色的存取控制與 Active Directory

共用權限

分割權限

RBAC 分割權限

Active Directory 分割權限

說明應用角色的存取控制與 Active Directory

為了了解分割權限,您必須了解應用角色的存取控制 (RBAC) 權限模型在 Exchange 2010 中如何與 Active Directory 配合使用。RBAC 模型可控制誰能夠執行哪些動作,以及這些動作會在哪些物件上執行。如需有關本主題中所討論各種 RBAC 元件的詳細資訊,請參閱瞭解應用角色的存取控制

在 Exchange 2010 中,在 Exchange 物件上執行的所有工作皆必須透過 Exchange 管理主控台、Exchange 管理命令介面,或 Exchange Web 管理介面完成。這些管理工具每個都使用 RBAC 來授權所有執行的工作。

RBAC 是每個執行 Exchange 2010 的伺服器中的元件 (除了 Edge Transport Server 之外)。RBAC 會檢查執行動作的使用者是否獲得授權這麼做:

  • 如果使用者未獲授權執行動作,則 RBAC 不允許該動作繼續進行。

  • 如果使用者獲得授權可執行動作,則 RBAC 會對照所要求的特定物件來檢查使用者是否獲得授權可執行動作:

    • 如果使用者獲得授權,則 RBAC 允許動作繼續執行。

    • 如果使用者未獲得授權,則 RBAC 不允許動作繼續執行。

如果 RBAC 允許動作繼續進行,則會就 Exchange 受信任子系統來執行此動作,而非就使用者。Exchange 受信任子系統是高權限的萬用安全性群組 (USG),可以讀取/寫入 Exchange 組織中每個 Exchange 相關的物件。它也是系統管理員本機安全性群組與 Exchange Windows 權限 USG 的成員,這讓 Exchange 能夠建立與管理 Active Directory 物件。

注意注意:
切勿對 Exchange 受信任子系統安全性群組的成員資格進行任何手動變更。此外,請勿在物件存取控制清單 (ACL) 中新增或移除它。如果您自行變更 Exchange 受信任子系統 USG,可能會對 Exchange 組織造成無法彌補的損害。

請務必了解,這與使用者在使用 Exchange 管理工具時擁有何種 Active Directory 權限無關。如果使用者經由 RBAC 獲得授權可執行 Exchange 管理工具中的動作,則無論使用者的 Active Directory 權限為何,都能執行該動作。相反的,如果使用者是 Active Directory 中的 Enterprise Admin,但未獲授權可執行 Exchange 管理工具中的動作,例如建立信箱,則動作不會成功,因為根據 RBAC 使用者沒有所需的權限。

重要事項重要事項:
雖然 RBAC 權限模型不會套用到 Active Directory 的「使用者和電腦」管理工具,但 Active Directory 的「使用者和電腦」工具無法管理 Exchange 組態。因此雖然使用者有存取權限可修改 Active Directory 物件上的某些屬性,例如使用者的顯示名稱,但使用者必須使用 Exchange 管理工具,也因此必須獲得 RBAC 授權,才能管理 Exchange 屬性。

回到頁首

共用權限

共用權限模型為 Exchange 2010 的預設模型。如果這是您要使用的權限模型,您就不需要進行任何變更。此模型不會將 Exchange 與 Active Directory 物件的管理從 Exchange 管理工具中分隔開來,它可讓系統管理員使用 Exchange 管理工具在 Active Directory 中建立安全性主體。

下表顯示能夠在 Exchange 中建立安全性主體的角色,以及預設指派到的管理角色群組。

安全性主體管理角色

管理角色 角色群組

建立郵件收件者角色

組織管理

收件者管理

安全性群組建立及成員資格角色

組織管理

只有被指派「建立郵件收件者」角色的角色群組、使用者或 USG 可以建立安全性主體,例如 Active Directory 使用者。預設會為 組織管理 和 收件者管理 角色群組指派這個角色。因此這些角色群組的成員可以建立安全性主體。

只有被指派「安全性群組建立及成員資格」角色的角色群組、使用者或 USG 可以建立安全性群組或管理其成員資格。依據預設,會將 組織管理 角色群組指派給此角色,因此只有 組織管理 角色群組的成員可以建立或管理安全性群組的成員資格。

如果要其他使用者能夠建立安全性主體,您可以指派「建立郵件收件者」角色與「安全性群組建立及成員資格」角色給其他角色群組、使用者或 USG。

為了能夠在 Exchange 2010 中管理現有的安全性主體,預設會將「郵件收件者」角色指派給 組織管理 與 收件者管理 角色群組。只有被指派「郵件收件者」角色的角色群組、使用者或 USG 可以管理現有的安全性主體。如果您要其他角色群組、使用者或 USG 能夠管理現有的安全性主體,您必須將「郵件收件者」角色指派給他們。

如需有關如何將角色新增至角色群組、使用者、USG 的詳細資訊,請參閱下列主題:

如果您已切換成分割權限模型,而且要變更回共用權限模型,請參閱設定 Exchange 2010 的共用權限

回到頁首

分割權限

如果您要組織分隔 Exchange 管理與 Active Directory 管理,則您必須設定 Exchange 以支援分割權限模型。當正確設定時,只有您要他建立安全性主體的系統管理員 (例如 Active Directory 系統管理員) 才能這麼做,而且只有 Exchange 系統管理員能夠修改現有安全性主體上的 Exchange 屬性。這種權限的分割也大致屬於 Active Directory 中的網域及組態分割。磁碟分割也稱為命名內容。網域分割會儲存特定網域的使用者、群組及其他物件。組態分割會針對使用 Active Directory (例如 Exchange) 的服務儲存整個樹系的組態資訊。儘管物件可能會包含可以由 Exchange 系統管理員管理的 Exchange 特定屬性,然而儲存在網域分割中的資料通常是由 Active Directory 系統管理員管理。儲存在組態分割內的資料是由系統管理員為每個在此磁碟分割內儲存資料的個別服務進行管理。對於 Exchange 而言,這通常是 Exchange 系統管理員。

Exchange 2010 SP1 支援下列兩種分割權限類型:

  • RBAC 分割權限 在 Active Directory 網域分割中建立安全性主體的權限是由 RBAC 控制。只有 Exchange 伺服器、服務及適當角色群組的成員可以建立安全性主體。

  • Active Directory 分割權限 在 Active Directory 網域分割中建立安全性主體的權限已完全從任何 Exchange 使用者、服務或伺服器移除。RBAC 中未提供建立安全性主體的選項。若要在 Active Directory 中建立安全性主體,必須使用 Active Directory 管理工具進行。

    重要事項重要事項:
    儘管 Active Directory 分割權限只能藉由在已安裝 Exchange 2010 SP1 的電腦上執行安裝程式來啟用或停用,Active Directory 分割權限組態適用於 Exchange 2010 量產發行 (RTM) 和 Exchange 2010 SP1 伺服器。不過,它對 Microsoft Exchange Server 2003 或 Microsoft Exchange Server 2007 伺服器沒有任何影響。

如果您的組織選擇使用分割權限模型而不是共用權限,建議您使用 RBAC 分割權限模型。除了 Exchange 伺服器和服務可以在 RBAC 分割權限模型內建立安全性主體之外,RBAC 分割權限模型提供更大的彈性,同時提供幾乎與 Active Directory 分割權限相同的管理分隔。

系統會在安裝期間詢問您是否要啟用 Active Directory 分割權限。如果您選擇啟用 Active Directory 分割權限,則您只能藉由執行安裝程式和停用 Active Directory 分割權限來變更為共用權限或 RBAC 分割權限。這項選擇會套用至整個 Exchange 2010 組織。

下列各節將更詳細的說明 RBAC 和 Active Directory 分割權限。

回到頁首

RBAC 分割權限

RBAC 安全性模型可修改預設管理角色指派,將在 Active Directory 網域磁碟分割中建立安全性主體的人員與在 Active Directory 組態磁碟分割中管理 Exchange 組織資料的人員區隔開來。安全性主體,例如信箱和通訊群組的使用者,可由身為「建立郵件收件者」和「安全性群組建立及成員資格」角色成員的系統管理員建立。這些權限與建立 Exchange 管理工具外部的安全性主體的權限保持獨立。未獲指派「建立郵件收件者」角色或「安全性群組建立及成員資格」角色的 Exchange 系統管理員仍舊可以修改安全性主體上的 Exchange 相關屬性。Active Directory 系統管理員也可以選擇使用 Exchange 管理工具來建立 Active Directory 安全性主體。

Exchange 伺服器和 Exchange 受信任子系統也有權限可代表使用者和整合 RBAC 的協力廠商程式在 Active Directory 中建立安全性主體。

如果您的組織符合下列情況,則可以選擇使用 RBAC 分割權限:

  • 您的組織並未要求只能使用 Active Directory 管理工具,也並未要求只能由獲指派特定 Active Directory 權限的使用者來建立安全性主體。

  • 您的組織可讓 Exchange 伺服器等服務建立安全性主體。

  • 您想要藉由允許在 Exchange 管理工具中建立信箱、擁有郵件功能的使用者、通訊群組及角色群組,以簡化建立它們所需的程序。

  • 您想要在 Exchange 管理工具中管理通訊群組的成員資格和角色群組。

  • 您的協力廠商程式要求 Exchange 伺服器必須能夠代表它們建立安全性主體。

如果您的組織需要徹底分隔 Exchange 和 Active Directory 管理,其中不能使用 Exchange 管理工具或由 Exchange 服務來管理 Active Directory,請參閱本主題稍後Active Directory 分割權限一節。

從共用權限切換為 RBAC 分割權限是一項手動程序,您可以在過程中將建立安全性主體所需的權限從預設授予它們的角色群組移除。下表顯示能夠在 Exchange 中建立安全性主體的角色,以及預設指派到的管理角色群組。

安全性主體管理角色

管理角色 角色群組

建立郵件收件者角色

組織管理

收件者管理

安全性群組建立及成員資格角色

組織管理

依據預設,組織管理 與 收件者管理 角色群組的成員能夠建立安全性主體。您必須將建立安全性主體的能力從內建的角色群組轉移到您建立的新角色群組。

若要設定 RBAC 分割權限,您必須執行下列動作:

  1. 停用 Active Directory 分割權限 (如果已啟用)。

  2. 建立角色群組,其中將包含能夠建立安全性主體的 Active Directory 系統管理員。

  3. 建立「建立郵件收件者」角色與新角色群組之間的一般和委派角色指派。

  4. 建立「安全性群組建立及成員資格」角色與新角色群組之間的一般和委派角色指派。

  5. 移除「建立郵件收件者」角色與 組織管理 及 收件者管理 角色群組之間的一般和委派管理角色指派。

  6. 移除「安全性群組建立及成員資格」角色與 組織管理 角色群組之間的一般和委派角色指派。

在這麼做之後,只有您所建立新角色群組的成員能夠建立安全性主體,例如信箱。新的群組將只能建立物件,它將無法在新的物件上設定 Exchange 屬性。身為新群組成員的 Active Directory 系統管理員必須建立物件,然後 Exchange 系統管理員必須設定該物件上的 Exchange 屬性。Exchange 系統管理員無法使用下列 Cmdlet:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

不過,Exchange 系統管理員將能够建立及管理 Exchange 專屬物件,例如傳輸規則和通訊群組等等,以及管理任何物件的 Exchange 相關屬性。

此外,Exchange 管理主控和 Exchange 控制台中關聯的功能 (如新增信箱精靈) 也將無法再使用,或在您嘗試使用時產生錯誤。

如果您要新的角色群組也能夠管理新物件上的 Exchange 屬性,則必須也將「郵件收件者」角色指派給新的角色群組。

如需有關設定分割權限模型的相關資訊,請參閱設定 Exchange 2010 的分割權限

回到頁首

Active Directory 分割權限

使用 Active Directory 分割權限時,若要在 Active Directory 網域分割中建立安全性主體 (如信箱和通訊群組),則必須使用 Active Directory 管理工具進行。目前已對授予 Exchange 受信任子系統和 Exchange 伺服器的權限進行數種變更,以限制 Exchange 系統管理員和伺服器能進行的動作。啟用 Active Directory 分割權限時,會發生下列功能變更:

  • 從 Exchange 管理工具移除建立信箱、擁有郵件功能的使用者、通訊群組及其他安全性主體的功能。

  • 無法從 Exchange 管理工具完成新增及移除通訊群組成員的動作。

  • 移除所有授予 Exchange 受信任子系統和 Exchange 伺服器建立安全性主體的權限。

  • Exchange 伺服器和 Exchange 管理工具只能修改 Active Directory 中現有安全性主體的 Exchange 屬性。

例如,若要建立啟用 Active Directory 分割權限的信箱,必須由具有 Active Directory 權限的使用者先使用 Active Directory 工具建立使用者。然後可以使用 Exchange 管理工具讓該使用者可以成為擁有郵件功能的使用者。只有信箱的 Exchange 相關屬性可以由 Exchange 系統管理員使用 Exchange 管理工具來修改。

如果您的組織符合下列情況,則可以選擇使用 Active Directory 分割權限:

  • 您的組織並未要求只能使用 Active Directory 管理工具,也並未要求只能由已在 Active Directory 中被授予特定權限的使用者來建立安全性主體。

  • 您想要完全區隔建立安全性主體的能力與管理 Exchange 組織的能力。

  • 您想要使用 Active Directory 管理工具來執行所有的通訊群組管理,包括建立通訊群組和新增及移除那些群組的成員。

  • 您不想要讓 Exchange 伺服器或代表它們使用 Exchange 的協力廠商程式建立安全性主體。

重要事項重要事項:
您可以在安裝 Exchange 2010 SP1 時使用安裝精靈,或在從命令列執行 setup.com 時使用 ActiveDirectorySplitPermissions 參數,選擇切換為 Active Directory 分割權限。您也可在從命令列執行 setup.com 來安裝 Exchange 2010 後啟用或停用 Active Directory 分割權限。若要啟用 Active Directory 分割權限,請將 ActiveDirectorySplitPermissions 參數設為 true。若要停用該分割權限,則將其設為 false。指定 PrepareAD 參數時務必連同 ActiveDirectorySplitPermissions 參數一併指定。
如果您在相同樹系中有多個網域,則必須在套用 Active Directory 分割權限時指定 PrepareAllDomains 參數,或以每個網域中的 PrepareDomain 參數執行安裝程式。如果您選擇使用每個網域中的 PrepareDomain 參數,而不是 PrepareAllDomains 參數來執行安裝程式,則每個網域必須備妥 Exchange 伺服器、擁有郵件功能的物件或可由 Exchange 伺服器存取的通用類別目錄伺服器。
重要事項重要事項:
如果已在網域控制站上安裝 Exchange 2010,則無法啟用 Active Directory 分割權限。
啟用或停用 Active Directory 分割權限後,建議您重新啟動組織中的 Exchange 2010 伺服器,以強制它們採用已更新權限的新 Active Directory 存取權杖。

Exchange 2010 SP1 藉由將權限及成員資格從 Exchange Windows 權限安全性群組移除,以達成 Active Directory 分割權限。在共用權限和 RBAC 分割權限中的這個安全性群組會獲得存取整個 Active Directory 內許多非 Exchange 物件及屬性的權限。藉由將權限及成員資格從這個安全性群組中移除,便可避免 Exchange 系統管理員和服務建立或修改那些非 Exchange Active Directory 物件。

如需當您啟用或停用 Active Directory 分割權限時,會對 Exchange Windows 權限安全性群組和其他 Exchange 元件造成哪些變動的清單,請參閱下表:

注意事項附註:
啟用 Active Directory 分割權限時,已移除可讓 Exchange 系統管理員建立安全性主體之角色群組的角色指派。這麼做是為了要移除對 Cmdlet 的存取,否則執行這些 Cmdlet 時,會因為沒有建立相關 Active Directory 物件的權限而產生錯誤。

Active Directory 分割權限變更

動作 Exchange 所做的變更

在第一次安裝 Exchange 2010 SP1 伺服器期間啟用 Active Directory 分割權限

透過安裝精靈或以 /PrepareAD/ActiveDirectorySplitPermissions:true 參數執行 setup.com 以啟用 Active Directory 分割權限時,會發生下列情況:

  • 建立名為 [Microsoft Exchange 受保護群組] 的組織單位 (OU)。

  • [Microsoft Exchange 受保護群組] OU 中建立 [Exchange Windows 權限] 安全性群組。

  • 未將 [Exchange 受信任子系統] 安全性群組新增至 [Exchange Windows 權限] 安全性群組。

  • 將略過建立指派給具有下列管理角色類型之管理角色的非委派管理角色:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • 尚未將已對其指派 [Exchange Windows 權限] 安全性群組的存取控制項目 (ACE) 新增至 Active Directory 網域物件。

如果您以 PrepareAllDomainsPrepareDomain 參數來執行安裝程式,則備妥的每個子系網域都會發生下列情況:

  • 將所有指派給 [Exchange Windows 權限] 安全性群組的 ACE 從網域物件移除。

  • 除了指定給 [Exchange Windows 權限] 安全性群組的任何 ACE 以外,其餘 ACE 都會以 Exchange 2010 部署權限參考 中定義的每個網域進行設定。

從共用權限或 RBAC 分割權限切換至 Active Directory 分割權限

/PrepareAD/ActiveDirectorySplitPermissions:true 參數執行 setup.com 命令時,會發生下列情況:

  • 建立名為 [Microsoft Exchange 受保護群組] 的 OU。

  • [Exchange Windows 權限] 安全性群組移至 [Microsoft Exchange 受保護群組] OU。

  • [Exchange 受信任子系統] 安全性群組移除 [Exchange Windows 權限] 安全性群組 。

  • 移除任何指派給具有下列角色類型之管理角色的非委派角色:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • 將所有指派給 [Exchange Windows 權限] 安全性群組的 ACE 從網域物件移除。

如果您以 PrepareAllDomainsPrepareDomain 參數來執行安裝程式,則備妥的每個子系網域都會發生下列情況:

  • 將所有指派給 [Exchange Windows 權限] 安全性群組的 ACE 從網域物件移除。

  • 除了指定給 [Exchange Windows 權限] 安全性群組的任何 ACE 以外,其餘 ACE 都會以 Exchange 2010 部署權限參考 中定義的每個網域進行設定。

從 Active Directory 分割權限切換為共用權限或 RBAC 分割權限

/PrepareAD/ActiveDirectorySplitPermissions:false 參數執行 setup.com 命令時,會發生下列情況:

  • [Exchange Windows 權限] 安全性群組移至 [Microsoft Exchange 安全性群組] OU。

  • 移除 [Microsoft Exchange 受保護群組] OU。

  • [Exchange 受信任子系統] 安全性群組新增至 [Exchange Windows 權限] 安全性群組。

  • 將 ACE 新增至 [Exchange Windows 權限] 安全性群組的網域物件。

如果您以 PrepareAllDomainsPrepareDomain 參數來執行安裝程式,則備妥的每個子系網域都會發生下列情況:

  • 將 ACE 新增至 [Exchange Windows 權限] 安全性群組的網域物件。

  • 包括指定給 [Exchange Windows 權限] 安全性群組的任何 ACE 在內,所有 ACE 都會以 Exchange 2010 部署權限參考 中定義的每個網域進行設定。

從 Active Directory 分割權限切換為共用權限時,未自動建立「建立郵件收件者」和「安全性群組建立及成員資格」的角色指派。如果已在啟用 Active Directory 分割權限之前自訂委派角色指派,那些自訂項目會保持不變。若要在這些角色和 組織管理 角色群組間建立角色指派,請參閱設定 Exchange 2010 的共用權限

啟用 Active Directory 分割權限後將無法再使用下列 Cmdlet:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

啟用 Active Directory 分割權限後可以存取下列 Cmdlet,但無法使用它們來建立通訊群組或修改通訊群組成員資格:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

某些 Cmdlet (儘管仍然可以使用) 可能在搭配 Active Directory 分割權限時,只提供有限的功能。這是因為它們可能會讓您設定 Active Directory 網域分割中的收件者物件,以及 Active Directory 組態分割中的 Exchange 組態物件。它們也可讓您設定儲存在網域分割中某個物件的 Exchange 相關屬性。嘗試在網域分割中使用這些 Cmdlet 來建立物件或修改物件上的非 Exchange 相關屬性,將導致錯誤發生。例如,如果您嘗試對信箱新增權限,Add-ADPermission Cmdlet 將傳回錯誤。不過,如果您是要在接收連接器設定權限,則 Add-ADPermission Cmdlet 將成功執行。這是因為信箱是儲存在網域分割中,而接收連接器是儲存在組態分割中。

此外,Exchange 管理主控和 Exchange 控制台中關聯的功能 (如新增信箱精靈) 也將無法再使用,或在您嘗試使用時產生錯誤。

不過,Exchange 系統管理員將能够建立及管理 Exchange 專屬物件,例如傳輸規則等等。

如需設定 Active Directory 分割權限模型的詳細資訊,請參閱設定 Exchange 2010 的分割權限

回到頁首

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。