Настройка общих разрешений в Exchange 2013Configure Exchange 2013 for shared permissions

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Разрешения общего доступа позволяют администратору Microsoft Exchange Server 2013 создавать участников безопасности Active Directory, например пользователей, и настраивать их как получателей Exchange. В отличие от модели разделения разрешений, которая разделяет задачи управления между группами администраторов Exchange и Active Directory, в разрешениях общего доступа отсутствует разделение задач.Shared permissions enable you, as an administrator of Microsoft Exchange Server 2013, to create Active Directory security principals, such as users, and then configure them as Exchange recipients. Unlike split permissions, which separate management tasks between groups of Exchange administrators and Active Directory administrators, there's no separation of tasks with shared permissions.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.For more information about shared and split permissions, see Understanding split permissions.

Можно настроить разрешения общего доступа в организации Exchange 2013, если в ней предварительно настроено разделение разрешений. Процедура переключения на использование разрешений общего доступа различается в зависимости от того, используется ли в текущий момент разделение разрешений управления доступом на основе ролей (RBAC) или разделение разрешений Active Directory. Выберите одну из следующих процедур, которая соответствует текущей конфигурации. При соблюдении следующих условий организация использует разделение разрешений Active Directory.You can configure your Exchange 2013 organization for shared permissions if you've previously set your organization for split permissions. The procedure to switch to shared permissions is different depending on whether you're currently using Role Based Access Control (RBAC) split permissions or Active Directory split permissions. Choose the procedure that follows that's applicable to your current configuration. If the following are true, your organization is using Active Directory split permissions:

  • Существует подразделение защищенных групп Microsoft Exchange.The Microsoft Exchange Protected Groups organizational unit (OU) exists.

  • Группу безопасности Windows разрешения Exchange находится в Подразделении защищенных групп Microsoft Exchange.The Exchange Windows Permissions security group is located in the Microsoft Exchange Protected Groups OU.

  • В группе безопасности доверенной подсистемы Exchange, принадлежит к группе безопасности разрешения Windows для Exchange.The Exchange Trusted Subsystem security group is a member of the Exchange Windows Permissions security group.

  • Отсутствуют назначения обычной роли управления для роли создания получателей почты или роли создания и членства в группе безопасности.There are no regular management role assignments to the Mail Recipient Creation role or Security Group Creation and Membership role.

Если в организации не настраивалось разделение разрешений, выполнять эту процедуру необязательно. Разрешения общего доступа настраиваются в Exchange 2013 по умолчанию.If you've never configured your organization for split permissions, you don't need to perform this procedure. Exchange 2013 is configured for shared permissions by default.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:For more information about management role groups, management roles, and regular and delegating management role assignments, see the following topics:

Необходимы сведения о других задачах управления, связанных с разрешениями? см. в разделе Дополнительные разрешения.Looking for other management tasks related to permissions? Check out Advanced permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.Procedures in this topic require specific permissions. See each procedure for its permissions information.

  • Используйте Windows PowerShell, командную строку Windows или оба средства, чтобы выполнить эти процедуры. Дополнительные сведения см. в каждой процедуре.You must use Windows PowerShell, the Windows Command Shell, or both, to perform these procedures. For more information, see each procedure.

  • В организации Exchange 2013 в настоящее время необходимо настроить разделение разрешений RBAC или Active Directory.The Exchange 2013 organization must currently be configured for RBAC or Active Directory split permissions.

  • Если в организации присутствуют серверы Microsoft Exchange Server 2010, выбранная модель разрешений будет также применена и к этим серверам.If you have Microsoft Exchange Server 2010 servers in your organization, the permissions model you select will also be applied to those servers.

  • Необходимо иметь разрешения на делегирование ролей управления "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей управления Управление организацией или другой группе ролей, которой назначена роль получателей почты.You must have permissions to delegate the Mail Recipient Creation management role and the Security Group Creation and Membership management role to the Organization Management management role group or another role group that's assigned the Mail Recipients role.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Переключение из режима разделения разрешений RBAC в режим разрешений общего доступаSwitch from RBAC split permissions to shared permissions

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Группы ролей" в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role groups" entry in the Role management permissions topic.

Чтобы переключиться из режима разделения разрешений RBAC в режим разрешений общего доступа Exchange 2013, необходимо назначить роли "Создание получателей почты" и "Создание и членство в группе безопасности" группе ролей, которой также назначена роль получателей почты и членами которой являются администраторы Exchange 2013. В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.To switch from RBAC split permissions to Exchange 2013 shared permissions, you must assign the Mail Recipient Creation role and the Security Group Creation and Membership role to a role group that's also assigned the Mail Recipients role and has Exchange 2013 administrators as members. In the default shared permissions configuration, the Organization Management role group contains each of these roles. Because of this, the Organization Management role group is in this procedure.

Настройка разрешений общего доступаConfigure shared permissions

Чтобы настроить разрешения общего доступа в группе ролей Управление организацией, выполните следующие действия с помощью учетной записи, которая имеет разрешения на делегирование назначений для роли создания получателей почты и роли создания и членства в группе безопасности.To configure shared permissions on the Organization Management role group, do the following using an account that has permissions to delegate role assignments for the Mail Recipient Creation role and the Security Group Creation and Membership role:

  1. Добавьте в группу ролей Управление организацией назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности" с помощью следующих команд:Add delegating role assignments for the Mail Recipient Creation role and Security Group Creation and Membership role to the Organization Management role group using the following commands.

        New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
        New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    

    Примечание

    Группе ролей (в этой процедуре — группа ролей "Администраторы Active Directory"), имеющей назначения роли делегирования для ролей "Создание получателей почты" и "Создание и членство в группе безопасности", необходимо назначить роль "Управление ролями" для запуска командлета New-ManagementRoleAssignment. Уполномоченный роли, имеющий разрешение на делегирование роли "Управление ролями", должен назначить эту роль группе ролей "Администраторы Active Directory".The role group (in this procedure, the Active Directory Administrators role group) that has delegating role assignments for the Mail Recipient Creation role and Security Group Creation and Membership role must be assigned the Role Management role to run the New-ManagementRoleAssignment cmdlet. The role assignee that can delegate the Role Management role must assign that role to the Active Directory Administrators role group.

  2. Добавьте в группы ролей Управление организацией и Управление получателями назначения обычной роли для роли "Создание получателей почты" с помощью следующих команд:Add regular role assignments for the Mail Recipient Creation role to the Organization Management and Recipient Management role groups using the following commands.

        New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
        New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
    
  3. Добавьте группе ролей Управление организацией назначение обычной роли для роли создания и членства в группе безопасности с помощью следующей команды.Add a regular role assignment for the Security Group Creation and Membership role to the Organization Management role group using the following command.

        New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Удаление разрешений, предоставленных администраторам Active Directory (необязательно)Remove permissions from Active Directory administrators (Optional)

Также можно удалить разрешения, предоставленные администраторам Active Directory, чтобы запретить им создавать или управлять объектами Active Directory с помощью средств управления Exchange. Чтобы удалить разрешения, предоставленные администраторам Active Directory, выполните эту процедуру.You can optionally remove the permissions granted to Active Directory administrators if you no longer want them to be able to create or manage Active Directory objects using the Exchange management tools. If you want to remove permissions from Active Directory administrators, perform this procedure.

Примечание

Можно удалить разрешения, предоставленные администраторам Active Directory, на управление объектами Active Directory с помощью средств управления Exchange, но администраторы Active Directory могут продолжать управлять объектами Active Directory с помощью средств управления Active Directory, если им это позволяют разрешения Active Directory. Тем не менее, они не смогут управлять определенными атрибутами Exchange объектов Active Directory. Дополнительные сведения см. в разделе Общие сведения о разделенных разрешениях.Although you can remove permissions for Active Directory administrators to manage Active Directory objects using the Exchange management tools, Active Directory administrators can continue to manage Active Directory objects using Active Directory management tools, if their Active Directory permissions allow it. They won't, however, be able to manage Exchange-specific attributes on Active Directory objects. For more information, see Understanding split permissions.

Чтобы удалить разделение разрешений, связанное с Exchange, для администраторов Active Directory, выполните следующие действия.To remove Exchange-related split permissions from Active Directory administrators, do the following:

  1. Удаление регулярных и делегирование назначения ролей, назначение ролей Mail Recipient Creation группы ролей или универсальной группе безопасности (USG), содержащий администраторам Active Directory как члены, с помощью следующей команды. Эта команда использует группы ролей администраторов Active Directory в качестве примера. Переключатель WhatIf позволяет видеть назначений ролей будут удалены. Удаление переключателя whatIf и выполните команду еще раз, чтобы удалить назначения роли.Remove the regular and delegating role assignments that assign the Mail Recipient Creation role to the role group or universal security group (USG) that contains the Active Directory administrators as members using the following command. This command uses the Active Directory Administrators role group as an example. The WhatIf switch lets you see what role assignments will be removed. Remove the WhatIf switch, and run the command again to remove the role assignments.

        Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  2. Удаление регулярных и делегирование назначения ролей, назначение роли Создание группы безопасности и контроля членства в группе ролей или универсальной группы безопасности, которая содержит администраторам Active Directory как члены, с помощью следующей команды. Эта команда использует группы ролей администраторов Active Directory в качестве примера. Переключатель WhatIf позволяет видеть назначений ролей будут удалены. Удаление переключателя whatIf и выполните команду еще раз, чтобы удалить назначения роли.Remove the regular and delegating role assignments that assign the Security Group Creation and Membership role to the role group or USG that contains the Active Directory administrators as members using the following command. This command uses the Active Directory Administrators role group as an example. The WhatIf switch lets you see what role assignments will be removed. Remove the WhatIf switch, and run the command again to remove the role assignments.

        Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  3. Необязательно. При необходимости удалить все разрешения Exchange, предоставленные администраторам Active Directory, можно удалить группу ролей или универсальную группу безопасности, участниками которой они являются. Дополнительные сведения об удалении группы ролей см. в разделе Управление группами ролей.Optional. If you want to remove all Exchange permissions from the Active Directory administrators, you can remove the role group or USG in which they're members. For more information about how to remove a role group, see Manage role groups.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ManagementRoleAssignment или Remove-ManagementRoleAssignment.For detailed syntax and parameter information, see Get-ManagementRoleAssignment or Remove-ManagementRoleAssignment.

Переключение из режима разделения разрешений Active Directory в режим разрешений общего доступаSwitch from Active Directory split permissions to shared permissions

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Разделение разрешений Active Directory" в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Active Directory split permissions" entry in the Role management permissions topic.

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа Exchange 2013, необходимо повторно запустить программу установки Exchange, чтобы отключить режим разделения разрешений Active Directory в организации Exchange, а затем создать назначения ролей между группой ролей и ролями "Создание получателей почты" и "Создание и членство в группе безопасности". В конфигурации разрешений общего доступа по умолчанию группа ролей Управление организацией содержит все эти роли. Поэтому группа ролей Управление организацией включена в эту процедуру.To switch from Active Directory split permissions to Exchange 2013 shared permissions, you must rerun Exchange Setup to disable Active Directory split permissions in the Exchange organization, and then create role assignments between a role group and the Mail Recipient Creation role and Security Group Creation and Membership role. In the default shared permissions configuration, the Organization Management role group contains each of these roles. Because of this, the Organization Management role group is in this procedure.

Важно!

Команда setup.com в этой процедуре вносит изменения в службу каталогов Active Directory. Необходимо использовать учетную запись с разрешениями, требуемыми для выполнения таких изменений. Такая учетная запись может отличаться от учетной записи с разрешениями на создание назначений ролей с помощью командлета New-ManagementRoleAssignment. Используйте такую учетную запись (или записи) с разрешениями, необходимыми для успешного выполнения каждого шага этой процедуры.The setup.com command in this procedure makes changes to Active Directory. You must use an account that has the permissions required to make these changes. This account might not be the same account that has permissions to create role assignments using the New-ManagementRoleAssignment cmdlet. Use the account, or accounts, with the permissions necessary to successfully complete each step in this procedure.

Чтобы переключиться из режима разделения разрешений Active Directory в режим разрешений общего доступа, выполните следующие действия.To switch from Active Directory split permissions to shared permissions, do the following:

  1. Чтобы выключить разделенные разрешения Active Directory, в командной консоли Windows выполните следующую команду с установочного носителя Exchange 2013.From a Windows command shell, run the following command from the Exchange 2013 installation media to disable Active Directory split permissions.

        setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
    
  2. В командной консоли Exchange выполните следующие команды, чтобы добавить назначения обычной роли между ролями "Создание получателей почты" и "Создание и членство в группе безопасности" и группами ролей Управление организацией и Управление получателями.From the Exchange Management Shell, run the following commands to add regular role assignments between the Mail Recipient Creation role and Security Group Creation and Management role and the Organization Management and Recipient Management role groups.

        New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
        New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
        New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
    
  3. Перезагрузите серверы Exchange 2013 в организации.Restart the Exchange 2013 servers in your organization.

    Примечание

    Если в организации есть серверы Exchange 2010, их также нужно перезагрузить.If you have Exchange 2010 servers in your organization, you also need to restart those servers.

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.