Configurar Exchange 2010 para permisos compartidos

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-10-07

Los permisos compartidos le permiten, como administrador de Exchange Server 2010, crear entidades de seguridad de Active Directory, tales como usuarios, y luego configurarlos como destinatarios de Exchange. A diferencia de los permisos divididos, que dividen las tareas de administración entre grupos de administradores de Exchange y administradores de Active Directory, no existe la división de tareas con los permisos compartidos.

Para obtener más información acerca de los permisos compartidos y divididos, consulte Descripción de los permisos de división.

Puede configurar la organización de Exchange 2010 para permisos compartidos si ya estableció los permisos divididos en la organización. Si nunca configuró los permisos divididos en la organización, no es necesario que realice este procedimiento. Exchange 2010 está configurado para permisos compartidos de forma predeterminada.

Para obtener más información acerca de grupos de funciones de administración, funciones de administración y asignaciones de funciones de administraciones regulares y delegadas, consulte los siguientes temas:

• Descripción del control de acceso basado en funciones
• Descripción de los grupos de funciones de administración
• Descripción de las funciones de administración
• Descripción de las asignaciones de funciones de administración

¿Está buscando otras tareas de administración relacionadas con permisos? Consulte Administración de permisos avanzados.

Requisitos previos

• La organización de Exchange 2010 debe estar configurada de hecho para permisos divididos.
• Debe tener permisos para delegar la función de administración Creación de destinatarios de correo y la función de administración Pertenencia y creación de grupos de seguridad en el grupo de funciones de administración de Administración de la organización o en otro grupo de funciones que tenga asignada la función Destinatarios de correo.

Usar el Shell para configurar Exchange 2010 para permisos compartidos

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Grupos de funciones" en el tema Permisos de administración de funciones.

Nota

No puede usar la EMC para configurar permisos compartidos.

Para configurar Exchange 2010 para permisos compartidos, debe asignar la función Creación de destinatarios de correo y la función Pertenencia y creación de grupos de seguridad a un grupo de funciones que tenga asignada además la función Destinatarios de correo y cuente con administradores de Exchange 2010 como miembros. En la configuración predeterminada de permisos compartidos, el grupo de funciones Administración de la organización incluye cada una de estas funciones. Es por ello que el grupo de funciones Administración de la organización figura en este procedimiento.

Configurar permisos compartidos

Para configurar permisos compartidos en el grupo de funciones Administración de la organización, realice las siguientes acciones con una cuenta que tenga permisos para delegar asignaciones de funciones para la función Creación de destinatarios de correo y la función Pertenencia y creación de grupos de seguridad:

1. Agregue una asignación de función de delegación a la función Creación de destinatarios de correo al grupo de funciones Administración de la organización con el comando siguiente.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   

2. Agregue una asignación de función regular a la función Creación de destinatarios de correo al grupo de funciones Administración de la organización con el comando siguiente.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   

3. Agregue una asignación de función de delegación a la función Pertenencia y creación de grupos de seguridad al grupo de funciones Administración de la organización con el comando siguiente.

   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   

4. Agregue una asignación de función regular a la función Pertenencia y creación de grupos de seguridad al grupo de funciones Administración de la organización con el comando siguiente.

   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-ManagementRoleAssignment.

Quitar permisos de administradores de Active Directory (opcional)

Como opción, puede quitar los permisos concedidos a los administradores de Active Directory si ya no desea que puedan crear o administrar objetos de Active Directory con las herramientas de administración de Exchange. Si desea hacerlo, realice este procedimiento.

Nota

Aunque puede quitarle a los administradores de Active Directory los permisos para administrar objetos de Active Directory con herramientas de administración de Exchange, los administradores de Active Directory pueden continuar administrando objetos de Active Directory con herramientas de administración de Active Directory si sus permisos de Active Directory así lo permiten. No obstante, no podrán administrar atributos específicos de Exchange en objetos de Active Directory. Para obtener más información, consulte Descripción de los permisos de división.

Para quitar permisos divididos relacionados con Exchange a los administradores de Active Directory, realice las siguientes acciones:

1. Busque las asignaciones de funciones regulares y de delegación que asignan la función Creación de destinatarios de correo al grupo de funciones o al grupo de seguridad universal (USG) que incluye a los administradores de Active Directory como usuarios con el siguiente comando.

   Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>
   

2. Busque las asignaciones de funciones regulares y de delegación que asignan la función Pertenencia y creación de grupos de seguridad al grupo de funciones o al USG que incluye a los administradores de Active Directory como usuarios con el siguiente comando.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>
   

3. Quite las asignaciones de funciones regulares y de delegación entre la función Creación de destinatarios de correo y el grupo de funciones o el USG que incluye a los administradores de Active Directory con los siguientes comandos.

   Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name>
   Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>
   

4. Quite las asignaciones de funciones regulares y de delegación entre la función Pertenencia y creación de grupos de seguridad y el grupo de funciones o el USG que incluye a los administradores de Active Directory con los siguientes comandos.

   Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name>
   Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>
   

5. Opcional. Si desea quitarles todos los permisos de Exchange a los administradores de Active Directory, puede quitar el grupo de funciones o el USG del cual son miembros. Si desea obtener más información sobre cómo quitar un grupo de funciones, consulte Quitar un grupo de funciones.

Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-ManagementRoleAssignment o Remove-ManagementRoleAssignment.