設定 Exchange 2010 的共用權限

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2012-07-23

藉由共用權限,您可以作為 Microsoft Exchange Server 2010 的系統管理員來建立 Active Directory 安全性主體 (例如使用者),然後再將其設定為 Exchange 收件者。與分割權限 (這些權限在 Exchange 系統管理員和 Active Directory 系統管理員的群組之間分配管理工作) 不同,共用權限不存在工作的區隔。

如需共用與分割權限的相關資訊,請參閱瞭解分割權限

如果您先前已經設定組織的分割權限,則可以設定 Exchange 2010 組織的共用權限。根據您目前使用的是應用角色的存取控制 (RBAC) 分割權限還是 Active Directory 分割權限,切換至共用權限的程序有所不同。請選擇遵循適用於您目前組態的程序。如果下列條件成立,則組織使用的是 Active Directory 分割權限:

  • 存在 Microsoft Exchange 受保護群組組織單位 (OU)。

  • ExchangeWindows 權限安全性群組位於 Microsoft Exchange 受保護群組 OU 之內。

  • Exchange 受信任子系統安全性群組是 ExchangeWindows 權限安全性群組的成員。

  • 沒有針對「建立郵件收件者」角色或「安全性群組建立及成員資格」角色的一般管理角色指派。

如果您未曾設定組織的分割權限,則不需要執行此程序。Exchange 2010 預設是設定爲共用權限。

如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊,請參閱下列主題:

要尋找與權限相關的其他管理工作嗎?請參閱管理進階權限

必要條件

  • Exchange 2010 組織目前必須設定為使用 RBAC 或 Active Directory 分割權限。

  • 您必須有權限可以將「建立郵件收件者」管理角色和「安全性群組建立及成員資格」管理角色指派到 組織管理 管理角色群組或另一個已指派「郵件收件者」角色的角色群組。

從 RBAC 分割權限切換至共用權限

您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「角色群組」項目。

注意事項附註:
您無法使用 EMC 從 RBAC 分割權限切換至共用權限。

若要從 RBAC 分割權限切換至 Exchange 2010 共用權限,您必須將「建立郵件收件者」角色和「安全性群組建立及成員資格」角色指派給同時也指派了「郵件收件者」角色且其中具有 Exchange 2010 系統管理員為其成員的角色群組。在預設的共用權限組態中,組織管理 角色群組包含這些角色。因此,此程序中會包含 組織管理 角色群組。

設定共用權限

若要在 組織管理 角色群組上設定共用權限,請使用有權限可以委派「建立郵件收件者」角色和「安全性群組建立及成員資格」角色之角色指派的帳戶來執行下列動作:

  1. 使用以下命令將針對「建立郵件收件者」角色和「安全性群組建立及成員資格」角色的委派角色指派新增至 組織管理 角色群組。

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    注意事項附註:
    必須為具有「建立郵件收件者」角色和「安全性群組建立及成員資格」角色之委派角色指派的角色群組 (在本程序中是 Active Directory Administrators 角色群組) 指派「角色管理」角色,才能執行 New-ManagementRoleAssignment Cmdlet。可以委派「角色管理」角色的角色受託人必須將該角色指派給 Active Directory Administrators 角色群組。

  2. 使用以下命令將「建立郵件收件者」角色的一般角色指派新增到 組織管理 和 收件者管理 角色群組。

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"

  3. 使用下列命令來將「安全性群組建立及成員資格」角色的一般角色指派新增到 組織管理 角色群組。

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"

如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment

移除 Active Directory 系統管理員的權限 (選用)

如果您想讓系統管理員無法再使用 Exchange 管理工具來建立或管理 Active Directory 物件,則可以選擇性移除授與 Active Directory 系統管理員的權限。如果您要移除 Active Directory 系統管理員的權限,請執行以下程序。

注意事項附註:
儘管您可以移除 Active Directory 系統管理員使用 Exchange 管理工具來管理 Active Directory 物件的權限,但如果其 Active Directory 權限允許,則 Active Directory 系統管理員仍舊可以使用 Active Directory 管理工具來管理 Active Directory 物件。不過,他們無法管理 Active Directory 物件上的 Exchange 特定屬性。如需詳細資訊,請參閱瞭解分割權限

若要移除 Active Directory 系統管理員的 Exchange 相關分割權限,請執行下列動作:

  1. 使用以下命令移除指派「建立郵件收件者」角色給包含 Active Directory 系統管理員為其成員之角色群組或萬用安全性群組 (USG) 的一般和委派角色指派。此命令將 Active Directory Administrators 角色群組用作範例。藉由 WhatIf 參數,您可以查看將移除的角色指派。移除 WhatIf 參數並再次執行該命令以移除角色指派。

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf

  2. 使用以下命令移除指派「安全性群組建立及成員資格」角色給包含 Active Directory 系統管理員為其成員之角色群組或 USG 的一般和委派角色指派。此命令將 Active Directory Administrators 角色群組用作範例。藉由 WhatIf 參數,您可以查看將移除的角色指派。移除 WhatIf 參數並再次執行該命令以移除角色指派。

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf

  3. 選用。如果您要移除 Active Directory 系統管理員的所有 Exchange 權限,則可以將包含它們為其成員的角色群組或 USG 移除。如需如何移除角色群組的詳細資訊,請參閱移除角色群組

如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignmentRemove-ManagementRoleAssignment

從 Active Directory 分割權限切換至共用權限

您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱角色管理權限主題中的「Active Directory 分割權限」項目。

注意事項附註:
您無法使用 EMC 從 Active Directory 分割權限切換至共用權限。

若要從 Active Directory 分割權限切換至 Exchange 2010 共用權限,您必須重新執行 Exchange 安裝程式以停用 Exchange 組織中的 Active Directory 分割權限,然後在角色群組和「建立郵件收件者」角色及「安全性群組建立及成員資格」角色之間建立角色指派。在預設的共用權限組態中,組織管理 角色群組包含這些角色。因此,此程序中會包含 組織管理 角色群組。

重要事項重要事項:
此程序中的 setup.com 命令可變更 Active Directory。您必須使用具有執行這些變更所需權限的帳戶。此帳戶與具有使用 New-ManagementRoleAssignment Cmdlet 建立角色指派之權限的帳戶可能並不相同。請使用具有成功完成本程序中每個步驟所需權限的一個或多個帳戶。

若要從 Active Directory 分割權限切換至共用權限,請執行以下動作:

  1. 在 Windows 命令介面中,從 Exchange 2010 SP1 安裝媒體執行以下命令,以停用 Active Directory 分割權限。

    setup.com /PrepareAD /ActiveDirectorySplitPermissions:false

  2. 從 Exchange 管理命令介面執行以下命令,以便在「建立郵件收件者」角色及「安全性群組建立和管理」角色和 組織管理 及 收件者管理 角色群組之間新增一般角色指派。

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"

  3. 在組織中重新啟動 Exchange 2010 伺服器。

如需詳細的語法及參數資訊,請參閱 New-ManagementRoleAssignment

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。