Share via

Configurar Exchange 2010 para permisos divididos

  • Artículo

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-10-07

Los permisos divididos habilitan dos grupos distintos, como administradores de Active Directory y administradores de Microsoft Exchange Server 2010, para administrar sus respectivos servicios, objetos y atributos. Los administradores de Active Directory administran entidades de seguridad, como usuarios, que proporcionan permisos de acceso a un bosque Active Directory. Los administradores de Exchange administran los atributos relacionados con Exchange en objetos de Active Directory, y la creación y administración de objetos específicos de Exchange.

Para obtener más información acerca de los permisos compartidos y divididos, consulte Descripción de los permisos de división.

Puede configurar la organización de Exchange 2010 para los permisos divididos. Al finalizar, solo los administradores de Active Directory podrán crear entidades de seguridad de Active Directory. Esto significa que los administradores de Exchange no podrán usar los siguientes cmdlets:

  • New-Mailbox
  • New-MailUser
  • New-MailContact
  • New-LinkedUser
  • Remove-Mailbox
  • Remove-MailUser
  • Remove-MailContact
  • Remove-LinkedUser
  • Add-MailboxPermission
  • Add-MailboxFolderPermission

Los administradores de Exchange solo podrán administrar los atributos de Exchange en entidades de seguridad de Active Directory existentes. No obstante, podrán crear y administrar objetos específicos de Exchange, como reglas de transporte y grupos de distribución.

Para obtener más información acerca de grupos de funciones de administración, funciones de administración y asignaciones de funciones de administraciones regulares y delegadas, consulte los siguientes temas:

¿Está buscando otras tareas de administración relacionadas con permisos? Consulte Administración de permisos avanzados.

Usar el Shell para configurar Exchange 2010 para permisos divididos

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Grupos de funciones" en el tema Permisos de administración de funciones.

Nota

No puede usar la EMC para configurar permisos divididos.

Para configurar Exchange 2010 para permisos divididos, debe asignar las funciones Creación de destinatarios de correo y Pertenencia y creación de grupos de seguridad a un grupo de funciones que contiene miembros que son administradores de Active Directory. Luego, debe eliminar las asignaciones entre estas funciones y cualquier grupo de funciones o grupo de seguridad universal (USG) que contenga administradores de Exchange.

Para configurar los permisos de división, realice las siguientes acciones:

  1. Cree un grupo de funciones para los administradores de Active Directory. Además de crear el grupo de funciones, el comando crea asignaciones de funciones normales entre el nuevo grupo de funciones y las funciones Creación de destinatarios de correo y Pertenencia y creación de grupos de seguridad.

    New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"

  2. Use el siguiente comando para crear una asignación de funciones de delegación entre el grupo de funciones nuevo y la función Creación de destinatarios de correo.

    New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating

  3. Use el siguiente comando para crear una asignación de funciones de delegación entre el grupo de funciones nuevo y la función Pertenencia y creación de grupos de seguridad.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating

  4. Agregue miembros al grupo de funciones nuevo utilizando el siguiente comando.

    Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>

  5. Reemplace la lista de delegaciones en el nuevo grupo de funciones para que solamente los miembros del grupo de funciones puedan agregar o quitar miembros.

    Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"

    Importante

    Los miembros del grupo de funciones Administración de la organización, o quienes tengan asignada la función Administración de funciones, ya sea de forma directa o mediante otro grupo de funciones o USG, pueden pasar por alto esta comprobación de seguridad de delegación. Si desea impedir que cualquier administrador de Exchange se agregue a un nuevo grupo de funciones, debe quitar la asignación de funciones entre la función Administrador de funciones y cualquier administrador de Exchange, y asignarla a otro grupo.

  6. Utilice el siguiente comando para buscar todas las asignaciones de funciones normales y de delegación que correspondan a la función Creación de destinatarios de correo.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation"

  7. Utilice el siguiente comando para trasladar a la función Creación de destinatarios de correo todas las asignaciones de funciones normales y de delegación que no estén asociadas con el nuevo grupo de funciones u otro grupo de funciones, USG o asignaciones directas que desea mantener.

    Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>

  8. Utilice el siguiente comando para buscar todas las asignaciones de funciones normales y de delegación que correspondan a la función Creación y administración de grupos de seguridad.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Management"

  9. Utilice el siguiente comando para trasladar a la función Creación y administración de grupos de seguridad todas las asignaciones de funciones normales y de delegación que no estén asociadas con el nuevo grupo de funciones u otro grupo de funciones, USG o asignaciones directas que desea mantener.

    Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los siguientes temas: