Настройка разделенных разрешений в Exchange 2013Configure Exchange 2013 for split permissions

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Благодаря разделенным разрешениям можно включить две отдельные группы, например администраторов Active Directory и администраторов Microsoft Exchange Server 2013, для управления соответствующими службами, объектами и атрибутами. Администраторы Active Directory управляют участниками безопасности, например пользователями, которые предоставляют разрешения на доступ к лесу Active Directory. Администраторы Exchange управляют связанными с Exchange атрибутами объектов Active Directory, а также отвечают за создание и контроль объектов, относящихся к Exchange.Split permissions enable two separate groups, such as Active Directory administrators and Microsoft Exchange Server 2013 administrators, to manage their respective services, objects, and attributes. Active Directory administrators manage security principals, such as users, that provide permissions to access an Active Directory forest. Exchange administrators manage the Exchange-related attributes on Active Directory objects and Exchange-specific object creation and management.

Microsoft Exchange Server 2013 предлагает следующие типы моделей разделенных разрешений.Microsoft Exchange Server 2013 offers the following types of split permissions models:

  • Разделение разрешения RBAC Разрешения на создание участников безопасности в разделе домена Active Directory, управляются с ролью на основе Access элемента управления (RBAC). Только теми надстройками, которые являются участниками группы ролей соответствующие можно создавать участников безопасности.RBAC split permissions Permissions to create security principals in the Active Directory domain partition are controlled by Role Based Access Control (RBAC). Only those who are members of the appropriate role groups can create security principals.

  • Разделения разрешений Active Directory Разрешения на создание участников безопасности в разделе домена Active Directory, полностью удаляются из любого пользователя, службы или сервера Exchange. Параметр не предоставляется в RBAC создавать участников безопасности. Создание участников безопасности в службе каталогов Active Directory необходимо выполнить с помощью средства управления Active Directory.Active Directory split permissions Permissions to create security principals in the Active Directory domain partition are completely removed from any Exchange user, service, or server. No option is provided in RBAC to create security principals. Creation of security principals in Active Directory must be performed using Active Directory management tools.

    Примечание

    Разделенные разрешения Active Directory доступны в организациях с Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1) или более поздней версией, Exchange 2013 или обеими версиями Exchange.Active Directory split permissions are available in organizations running Microsoft Exchange Server 2010 Service Pack 1 (SP1) or later, Exchange 2013, or both versions of Exchange.

Выбор модели зависит от структуры и потребностей организации. Выберите процедуру, применимую к модели, которую необходимо настроить. Рекомендуется использовать модель разделения разрешений RBAC. Модель разделения разрешений RBAC обеспечивает значительно большую гибкость при сохранении почти такого же разделения администрирования, как при разделении разрешений Active Directory.The model that you choose depends on the structure and needs of your organization. Choose the procedure that follows that's applicable to the model you want to configure. We recommend that you use the RBAC split permissions model. The RBAC split permissions model provides significantly more flexibility while providing the same administration separation as Active Directory split permissions.

Дополнительные сведения о разрешениях на совместный и раздельный доступ см. в разделе Общие сведения о разделенных разрешениях.For more information about shared and split permissions, see Understanding split permissions.

Дополнительные сведения о группах ролей управления, ролях управления, регулярных назначениях ролей управления и назначениях делегирования ролей управления см. в следующих разделах:For more information about management role groups, management roles, and regular and delegating management role assignments, see the following topics:

Необходимы сведения о других задачах управления, связанных с разрешениями? см. в разделе Дополнительные разрешения.Looking for other management tasks related to permissions? Check out Advanced permissions.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минутEstimated time to complete each procedure: 5 minutes

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Разделение разрешений Active Directory" в разделе Разрешения управления ролями.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Active Directory split permissions" entry in the Role management permissions topic.

  • Для выполнения этих процедур необходимо использовать Windows PowerShell, командную консоль Windows или оба этих средства. Дополнительные сведения см. в каждой процедуре.You must use Windows PowerShell, Windows Command Shell, or both, to perform these procedures. For more information, see each procedure.

  • Если в организации присутствуют серверы Exchange 2010, выбранная модель разрешений будет также применена и к этим серверам.If you have Exchange 2010 servers in your organization, the permissions model you select will also be applied to those servers.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Переключение на разделение разрешений RBACSwitch to RBAC split permissions

В организации Exchange 2013 можно настроить разделение разрешений RBAC. После завершения настройки только администраторы Active Directory смогут создавать участников безопасности Active Directory. Это означает, что администраторы Exchange не смогут использовать следующие командлеты:You can configure your Exchange 2013 organization for RBAC split permissions. When you are done, only Active Directory administrators will be able to create Active Directory security principals. This means that Exchange administrators won't be able to use the following cmdlets:

  • New-MailboxNew-Mailbox

  • Новый MailContactNew-MailContact

  • Новый MailUserNew-MailUser

  • Новый RemoteMailboxNew-RemoteMailbox

  • Remove-MailboxRemove-Mailbox

  • Remove-MailContactRemove-MailContact

  • Remove-MailUserRemove-MailUser

  • Remove-RemoteMailboxRemove-RemoteMailbox

Администраторы Exchange будут управлять только атрибутами Exchange для существующих участников безопасности Active Directory. Однако они смогут создавать объекты, связанные с Exchange, например правила транспорта и группы рассылки, а также управлять этими объектами. Дополнительные сведения см. в подразделе "Разделение разрешений RBAC" в разделе Общие сведения о разделенных разрешениях.Exchange administrators will only be able to manage the Exchange attributes on existing Active Directory security principals. However, They will be able to create and manage Exchange-specific objects, such as transport rules and distribution groups. For more information, see the "RBAC Split Permissions" section in Understanding split permissions.

Для настройки в Exchange 2013 разделения разрешений необходимо группе ролей назначить роль создания получателей почты и роль создания и участия в группе безопасности, которая также содержит участников, являющихся администраторами Active Directory. После этого необходимо удалить назначения между этими ролями и любой группой ролей или универсальной группой безопасности (USG), содержащей администраторов Exchange.To configure Exchange 2013 for split permissions, you must assign the Mail Recipient Creation role and the Security Group Creation and Membership role to a role group that contains members that are Active Directory administrators. You must then remove the assignments between those roles and any role group or universal security group (USG) that contains Exchange administrators.

Чтобы настроить разделение разрешений RBAC, выполните следующие действия.To configure RBAC split permissions, do the following:

  1. Если организация в данный момент настроена для разделенных разрешений Active Directory, выполните следующие действия в командной строке командной консоли Windows.If your organization is currently configured for Active Directory split permissions, do the following from a Windows command shell prompt.

    1. Отключите разделенные разрешения Active Directory, выполнив следующую команду с установочного носителя Exchange 2013.Disable Active Directory split permissions by running the following command from the Exchange 2013 installation media.

      setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
      
    2. Перезапустите серверы Exchange 2013 в организации или подождите, пока маркер доступа к службе каталогов Active Directory не будет реплицирован на все серверы Exchange 2013.Restart the Exchange 2013 servers in your organization or wait for the Active Directory access token to replicate to all of your Exchange 2013 servers.

      Примечание

      Если в организации есть серверы Exchange 2010, их также нужно перезагрузить.If you have Exchange 2010 servers in your organization, you also need to restart those servers.

  2. В командной консоли Exchange выполните следующие действия:Do the following from the Exchange Management Shell:

    1. Создайте группу ролей для администраторов Active Directory. Кроме создания группы ролей, команда создает стандартные назначения ролей между новой группой ролей и ролью создания получателей почты, а также ролью создания и участия в группе безопасности.Create a role group for the Active Directory administrators. In addition to creating the role group, the command creates regular role assignments between the new role group and the Mail Recipient Creation role and the Security Group Creation and Membership role.

          New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Примечание

      Если требуется, чтобы члены этой группы ролей могли создавать назначения ролей, включите роль управления ролями. Нет необходимости добавлять эту роль сейчас. Тем не менее, если в какой-либо момент потребуется назначить роль создания получателей почты (Mail Recipient Creation) или роль создания и участия в группе безопасности (Security Group Creation and Membership) другим уполномоченным ролей, то роль управления ролями должна быть назначена этой новой группе ролей. Ниже приводится процедура настройки группы ролей администраторов Active Directory в качестве единственной группы ролей, которая может делегировать эти роли.If you want members of this role group to be able to create role assignments, include the Role Management role. You don't have to add this role now. However, if you ever want to assign either the Mail Recipient Creation role or Security Group Creation and Membership role to other role assignees, the Role Management role must be assigned to this new role group. The steps that follow configure the Active Directory Administrators role group as the only role group that can delegate these roles.

    2. Создайте назначения ролей делегирования между новой группой ролей, с одной стороны, и ролью создания получателей почты (Mail Recipient Creation) и ролью создания и участия в группе безопасности (Security Group Creation and Membership), с другой стороны, с помощью следующих команд.Create delegating role assignments between the new role group and the Mail Recipient Creation role and Security Group Creation and Membership role using the following commands.

          New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
          New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      
    3. Добавьте участников в новую группу ролей с помощью следующей команды.Add members to the new role group using the following command.

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      
    4. Замените список делегатов на новую группу ролей, чтобы только участники группы ролей могли добавлять или удалять участников.Replace the delegate list on the new role group so that only members of the role group can add or remove members.

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Важно!

      Члены группы ролей Управление организацией, а также те, которым назначена роль управления ролями напрямую или через другую группу ролей либо универсальную группу безопасности, могут пропускать проверку безопасности делегатов. Чтобы запретить администратору Exchange добавлять себя в новую группу ролей, необходимо удалить назначение роли между ролью управления ролями и любым администратором Exchange, а затем назначить ее другой группе.Members of the Organization Management role group, or those who are assigned the Role Management role, either directly or through another role group or USG, can bypass this delegate security check. If you want to prevent any Exchange administrator from adding himself or herself to the new role group, you must remove the role assignment between the Role Management role and any Exchange administrator and assign it to another role group.

    5. Найдите все назначения стандартных ролей и назначения ролей делегирования для роли создания получателей почты с помощью следующей команды. Данная команда отображает только свойства Name, Role и RoleAssigneeName.Find all of the regular and delegating role assignments to the Mail Recipient Creation role using the following command. The command displays only the Name, Role, and RoleAssigneeName properties.

          Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      
    6. Удалите все назначения стандартных ролей и ролей делегирования для роли создания получателей почты, не связанные с новой группой ролей или с любыми другими группами, универсальными группами безопасности или прямыми назначениями, которые необходимо сохранить, с помощью следующей команды.Remove all of the regular and delegating role assignments to the Mail Recipient Creation role that aren't associated with the new role group or any other role groups, USGs, or direct assignments you want to keep using the following command.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Примечание

      Если вы хотите удалить все регулярных и делегирование назначения ролей для роли Mail Recipient Creation на любой получателю роли, отличный от группы ролей администраторов Active Directory, используйте следующую команду. Переключатель WhatIf позволяет видеть назначений ролей будут удалены. Удаление переключателя whatIf и выполните команду еще раз, чтобы удалить назначения роли.If you want to remove all of the regular and delegating role assignments to the Mail Recipient Creation role on any role assignee other than the Active Directory Administrators role group, use the following command. The WhatIf switch lets you see what role assignments will be removed. Remove the WhatIf switch and run the command again to remove the role assignments.

          Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      
    7. Найдите все назначения стандартных ролей и назначения ролей делегирования для роли создания и участия в группе безопасности (Security Group Creation and Membership) с помощью следующей команды. Данная команда отображает только свойства Name, Role и RoleAssigneeName.Find all of the regular and delegating role assignments to the Security Group Creation and Membership role using the following command. The command displays only the Name, Role, and RoleAssigneeName properties.

          Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      
    8. Удалите все назначения стандартных ролей и ролей делегирования для роли создания и участия в группе безопасности (Security Group Creation and Membership), не связанные с новой группой ролей или с любыми другими группами, универсальными группами безопасности или прямыми назначениями, которые необходимо сохранить, с помощью следующей команды:Remove all of the regular and delegating role assignments to the Security Group Creation and Membership role that aren't associated with the new role group or any other role groups, USGs, or direct assignments you want to keep using the following command.

          Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Примечание

      Такую же команду из предыдущего замечания можно использовать с целью удаления всех назначений стандартных ролей и ролей делегирования для роли создания и участия в группе безопасности по отношению к любому уполномоченному роли, не связанному с группой ролей администраторов Active Directory, как показано в этом примере.You can use the same command in the preceding Note to remove all of the regular and delegating role assignments to the Security Group Creation and Membership role on any role assignee other than the Active Directory Administrators role group, as shown in this example.

          Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:For detailed syntax and parameter information, see the following topics:

Переключение на разделение разрешений Active DirectorySwitch to Active Directory split permissions

Организацию Exchange 2013 можно настроить на разделение разрешений Active Directory. При разделении разрешений Active Directory полностью удаляются разрешения, которые позволяют администраторам и серверам Exchange создавать участников безопасности в службе Active Directory или изменять не связанные с системой Exchange атрибуты этих объектов. После завершения настройки только администраторы Active Directory смогут создавать участников безопасности Active Directory. Это означает, что администраторы Exchange не смогут использовать следующие командлеты:You can configure your Exchange 2013 organization for Active Directory split permissions. Active Directory split permissions completely remove the permissions that allow Exchange administrators and servers from creating security principals in Active Directory or modifying non-Exchange attributes on those objects. When you are done, only Active Directory administrators will be able to create Active Directory security principals. This means that Exchange administrators won't be able to use the following cmdlets:

  • Добавление DistributionGroupMemberAdd-DistributionGroupMember

  • Новый DistributionGroupNew-DistributionGroup

  • New-MailboxNew-Mailbox

  • Новый MailContactNew-MailContact

  • Новый MailUserNew-MailUser

  • Новый RemoteMailboxNew-RemoteMailbox

  • Remove-DistributionGroupRemove-DistributionGroup

  • Remove-DistributionGroupMemberRemove-DistributionGroupMember

  • Remove-MailboxRemove-Mailbox

  • Remove-MailContactRemove-MailContact

  • Remove-MailUserRemove-MailUser

  • Remove-RemoteMailboxRemove-RemoteMailbox

  • Update-DistributionGroupMemberUpdate-DistributionGroupMember

Администраторы и серверы Exchange будут управлять только атрибутами Exchange для существующих участников безопасности Active Directory. Однако они смогут создавать объекты, связанные с Exchange, например правила транспорта и абонентские группы единой системы обмена сообщениями, а также управлять этими объектами.Exchange administrators and servers will only be able to manage the Exchange attributes on existing Active Directory security principals. However, they will be able to create and manage Exchange-specific objects, such as transport rules and Unified Messaging dial plans.

Предупреждение

После включения Active Directory разделение разрешения для администраторов Exchange и серверы больше не смогут создавать участников безопасности в службе каталогов Active Directory и они не сможет управлять членством в группе рассылки. Использование средств управления Active Directory с разрешениями Active Directory необходимо выполнить эти задачи. Прежде чем вносить изменения, следует усвоить воздействие он будет на процессы администрирования и приложениями сторонних производителей, которые интегрируются с Exchange 2013 и модели разрешений RBAC.After you enable Active Directory split permissions, Exchange administrators and servers will no longer be able to create security principals in Active Directory, and they won't be able to manage distribution group membership. These tasks must be performed using Active Directory management tools with the required Active Directory permissions. Before you make this change, you should understand the impact it will have on your administration processes and third-party applications that integrate with Exchange 2013 and the RBAC permissions model.
Дополнительные сведения см в разделе «Active Directory разделения разрешений» в split Общие сведения о разрешениях.For more information, see the "Active Directory split permissions" section in Understanding split permissions.

Чтобы переключиться с разрешений общего доступа или разделения разрешений RBAC на разделение разрешений Active Directory, выполните следующие действия:To switch from shared or RBAC split permissions to Active Directory split permissions, do the following:

  1. Чтобы включить разделенные разрешения Active Directory, в командной консоли Windows выполните следующую команду с установочного носителя Exchange 2013.From a Windows command shell, run the following command from the Exchange 2013 installation media to enable Active Directory split permissions.

    setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true
    
  2. Если в вашей организации есть несколько доменов Active Directory, необходимо выполнить setup.exe /PrepareDomain в дочернем домене, содержащий Exchange серверы или объектов или запустите setup.exe /PrepareAllDomains с сайта, который имеет сервера Active Directory из каждого домена.If you have multiple Active Directory domains in your organization, you must either run setup.exe /PrepareDomain in each child domain that contains Exchange servers or objects or run setup.exe /PrepareAllDomains from a site that has an Active Directory server from every domain.

  3. Перезапустите серверы Exchange 2013 в организации или подождите, пока маркер доступа к Active Directory не будет реплицирован на все серверы Exchange 2013.Restart the Exchange 2013 servers in your organization or wait for the Active Directory access token to replicate to all of you Exchange 2013 servers.

    Примечание

    Если в организации есть серверы Exchange 2010, их также нужно перезагрузить.If you have Exchange 2010 servers in your organization, you also need to restart those servers.