Descripción de los permisos de división

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-12-06

Las organizaciones que separan la administración de los objetos de Microsoft Exchange Server 2010 y los objetos de Active Directory usan un modelo denominado permisos divididos. Los permisos divididos permiten a las organizaciones asignar permisos específicos y tareas relacionadas a grupos específicos dentro de la organización. Esta separación de tareas ayuda a mantener estándares y flujos de trabajo, y a controlar los cambios en la organización.

El nivel más alto de permisos divididos es la separación de la administración de Exchange y la administración de Active Directory. Muchas organizaciones cuentan con dos grupos: administradores que administran la infraestructura de Exchange de la organización, incluidos servidores y destinatarios, y administradores que administran la infraestructura de Active Directory. Esta separación es importante para muchas organizaciones dado que la infraestructura de Active Directory suele abarcar muchas ubicaciones, dominios, servicios, aplicaciones e incluso bosques de Active Directory. Los administradores de Active Directory deben asegurarse de que los cambios que se realizan a Active Directory no afecten negativamente a ninguno de los demás servicios. En consecuencia, generalmente se permite solo a un pequeño grupo de administradores administrar dicha infraestructura.

Al mismo tiempo, la infraestructura de Exchange, incluidos servidores y destinatarios, también puede ser compleja y puede requerir conocimiento especializado. Además, Exchange almacena información extremadamente confidencial sobre el negocio de la organización. Los administradores de Exchange potencialmente pueden tener acceso a esta información. Al limitar la cantidad de administradores de Exchange, la organización limita quién puede realizar cambios a la configuración de Exchange y quién puede tener acceso a la información confidencial.

Por lo general, los permisos divididos hacen una distinción entre la creación de entidades de seguridad en Active Directory, por ejemplo, usuarios y grupos de seguridad, y la posterior configuración de dichos objetos. Esto ayuda a reducir la posibilidad del acceso no autorizado a la red al controlar quién puede crear objetos que concedan acceso a ella. En la mayoría de los casos, solo los administradores de Active Directory pueden crear entidades de seguridad mientras que otros administradores, como los administradores de Exchange, pueden administrar atributos específicos en objetos de Active Directory existentes.

Para satisfacer las diversas necesidades de separar la administración de Exchange y Active Directory, Exchange 2010 le permite elegir entre un modelo de permisos compartidos y un modelo de permisos divididos. Exchange 2010 establece un modelo de permisos compartidos de forma predeterminada.

Contenido

• Explicación del control de acceso basado en roles y Active Directory
• Permisos compartidos
• Permisos divididos

Explicación del control de acceso basado en roles y Active Directory

Para comprender los permisos divididos, debe comprender la forma en que el modelo de permisos de control de acceso basado en roles (RBAC) de Exchange 2010 funciona con Active Directory. El modelo RBAC controla quién puede realizar determinadas acciones y sobre qué objetos se pueden realizar dichas acciones. Para obtener más información acerca de los diversos componentes de RBAC tratados en este tema, consulte Descripción del control de acceso basado en funciones.

En Exchange 2010, todas las tareas que se realizan en los objetos de Exchange se deben llevar a cabo a través de la Consola de administración de Exchange, el Shell de administración de Exchange o la interfaz administrativa Web Exchange. Cada una de estas herramientas de administración usa RBAC para autorizar todas las tareas que se realizan.

RBAC es un componente que existe en todos los servidores que ejecutan Exchange 2010. RBAC comprueba si el usuario que realiza una acción está autorizado para realizarla:

• Si el usuario no está autorizado para realizar la acción, RBAC no permite continuar con la acción.
• Si el usuario está autorizado para realizar la acción, RBAC comprueba si el usuario está autorizado para realizar la acción respecto del objeto específico que se solicita:
  • Si el usuario está autorizado, RBAC permite continuar con la acción.
  • Si el usuario no está autorizado, RBAC no permite continuar con la acción.

Si RBAC permite continuar con la acción, ésta se realiza en el contexto del Subsistema de confianza de Exchange y no en el contexto del usuario. El Subsistema de confianza de Exchange es un grupo de seguridad universal con privilegios elevados (USG) que dispone de acceso de lectura y escritura a todos los objetos relacionados con Exchange de la organización de Exchange. También es miembro del grupo de seguridad local Administradores y del grupo de seguridad universal de permisos de Windows Exchange, que permite a Exchange crear y administrar objetos de Active Directory.

Advertencia

El USG del Subsistema de confianza de Exchange no se debe quitar de ningún grupo de seguridad ni de las listas de control de acceso (ACL) de ningún objeto. Exchange depende del USG del Subsistema de confianza de Exchange para funcionar. Al quitar el USG del Subsistema de confianza de Exchange de cualquier grupo o ACL de objeto, puede causar daños irreparables a la organización de Exchange.

Resulta importante comprender que no importa los permisos de Active Directory que tenga un usuario al usar las herramientas de administración de Exchange. Si el usuario está autorizado, a través de RBAC, para realizar una acción en las herramientas de administración de Exchange, puede realizar la acción independientemente de los permisos de Active Directory que tenga. Al contrario, si un usuario es un administrador de organización de Active Directory pero no está autorizado para realizar una acción, por ejemplo, crear un buzón de correo, en las herramientas de administración de Exchange, la acción no se realizará porque el usuario no dispone de los permisos necesarios de acuerdo con RBAC.

Importante

Si bien el modelo de permisos RBAC no se aplica a la herramienta de administración Usuarios y equipos de Active Directory, Usuarios y equipos de Active Directory no puede administrar la configuración de Exchange. Por ello, si bien un usuario puede tener acceso para modificar algunos atributos en los objetos de Active Directory, como el nombre para mostrar de un usuario, el usuario debe usar las herramientas de administración de Exchange y, por lo tanto, debe tener la autorización de RBAC para administrar los atributos de Exchange.

Volver al principio

Permisos compartidos

El modelo de permisos compartidos es el modelo predeterminado en Exchange 2010. No es necesario realizar ningún cambio si este es el modelo de permisos que desea usar. Este modelo no separa la administración de los objetos de Exchange y de Active Directory dentro de las herramientas de administración de Exchange. Permite a los administradores que usan las herramientas de administración de Exchange crear entidades de seguridad en Active Directory.

En la tabla siguiente se muestran los roles que permiten la creación de entidades de seguridad en Exchange y los grupos de roles de administración a los que están asignadas de forma predeterminada.

Roles de administración de entidades de seguridad

Rol de administración	Grupo de roles
Función Creación de destinatarios de correo	Administración de organizaciones Administración de destinatarios
Función Pertenencia y Creación de grupos de seguridad	Administración de organizaciones

Solo los grupos de roles, usuarios o USG que tienen asignado el rol Creación de destinatarios de correo pueden crear entidades de seguridad tales como usuarios de Active Directory. De forma predeterminada, los grupos de roles Administración de organización y Administración de destinatarios tienen este rol asignado. Por lo tanto, los miembros de estos grupos de roles pueden crear entidades de seguridad.

Solo los grupos de roles, usuarios o USG que tienen asignado el rol Pertenencia y creación de grupos de seguridad pueden crear grupos de seguridad o administrar su pertenencia a los grupos. De forma predeterminada, solo el grupo de roles de administración de la organización tiene este rol asignado. Por lo tanto, solo los miembros del grupo de roles de administración de la organización pueden crear o administrar la pertenencia a grupos de seguridad.

Puede asignar el rol Creación de destinatarios de correo y el rol Pertenencia y creación de grupos de seguridad a otros grupos de roles, usuarios o USG si desea que otros usuarios puedan crear entidades de seguridad.

Para permitir la administración de entidades de seguridad existentes en Exchange 2010, el rol Destinatarios de correo está asignado a los grupos de roles Administración de organización y Administración de destinatarios de forma predeterminada.‏ Solo los grupos de roles, usuarios o USG que tienen asignado el rol Destinatarios de correo pueden administrar entidades de seguridad existentes. Si desea que otros grupos de roles, usuarios o USG puedan administrar entidades de seguridad existentes, debe asignarles el rol Destinatarios de correo.

Para obtener más información acerca de la adición de roles a grupos de roles, usuarios o grupos de seguridad universal, consulte los siguientes temas:

• Agregar una función a un grupo de funciones
• Agregar una función a un usuario o grupo de seguridad universal

Si cambió a un modelo de permisos divididos y desea volver a cambiar a un modelo de permisos compartidos, consulte Configurar Exchange 2010 para permisos compartidos.

Volver al principio

Permisos divididos

Si la organización separa la administración de Exchange y la administración de Active Directory, debe configurar Exchange de manera que admita el modelo de permisos divididos. Cuando se configura correctamente, solo los administradores que usted desea que creen entidades de seguridad, como los administradores de Active Directory, podrán hacerlo y solo los administradores de Exchange podrán modificar los atributos de Exchange en entidades de seguridad existentes.

En la tabla siguiente se muestran los roles que permiten la creación de entidades de seguridad en Exchange y los grupos de roles de administración a los que están asignadas de forma predeterminada.

Roles de administración de entidades de seguridad

Rol de administración	Grupo de roles
Función Creación de destinatarios de correo	Administración de organizaciones Administración de destinatarios
Función Pertenencia y Creación de grupos de seguridad	Administración de organizaciones

De forma predeterminada, los miembros de los grupos de roles Administración de organización y Administración de destinatarios pueden crear entidades de seguridad. Debe transferir la capacidad para crear entidades de seguridad de los grupos de roles integrados a un nuevo grupo de roles que cree.

Para configurar un modelo de permisos divididos, debe realizar lo siguiente:

1. Cree un grupo de roles, que contendrá los administradores de Active Directory que podrán crear entidades de seguridad.
2. Cree asignaciones de roles regulares y de delegación entre el rol Creación de destinatarios de correo y el nuevo grupo de roles.
3. Cree asignaciones de roles regulares y de delegación entre el rol Pertenencia y creación de grupos de seguridad y el nuevo grupo de roles.
4. Elimine las asignaciones de roles de administración regulares y de delegación entre el rol Creación de destinatarios de correo y los grupos de roles Administración de organización y Administración de destinatarios.
5. Elimine las asignaciones de roles regulares y de delegación entre el rol Pertenencia y creación de grupos de seguridad y el grupo de roles de administración de la organización.

Después de realizar estas acciones, solo los miembros del nuevo grupo de roles que cree podrán crear entidades de seguridad, tales como buzones de correo. El grupo nuevo solo podrá crear los objetos. No podrá configurar los atributos de Exchange en el objeto nuevo. Un administrador de Active Directory deberá crear el objeto y luego, un administrador de Exchange deberá configurar los atributos de Exchange del objeto. Los administradores de Exchange no podrán usar los siguientes cmdlets:

• New-Mailbox
• New-MailUser
• New-MailContact
• New-LinkedUser
• Remove-Mailbox
• Remove-MailUser
• Remove-MailContact
• Remove-LinkedUser
• Add-MailboxPermission
• Add-MailboxFolderPermission

No obstante, los administradores de Exchange podrán crear y administrar objetos específicos de Exchange, como reglas de transporte, grupos de distribución, etc.

Si desea que el nuevo grupo de roles también pueda administrar los atributos de Exchange del objeto nuevo, también se debe asignar el rol Destinatarios de correo al nuevo grupo de roles.

Para obtener más información acerca de la configuración de un modelo de permisos divididos, consulte Configurar Exchange 2010 para permisos divididos.

Volver al principio