Сведения о сосуществовании разрешений в Exchange 2007 и Exchange 2010

Область применения: Exchange Server 2013 г.

При установке Microsoft Exchange Server 2013 в существующую организацию Microsoft Exchange Server 2010 или Microsoft Exchange Server 2007 важно понимать, как разрешения будут работать в новой организации. Прочитайте один из нижеследующих разделов, относящихся к вашей организации.

• Installing Exchange 2013 into an existing Exchange 2010 organization
• Installing Exchange 2013 into an existing Exchange 2007 organization

Установка Exchange 2013 в существующую организацию Exchange 2010

Exchange 2013 использует ту же модель разрешений на основе ролей контроль доступа (RBAC), которая используется в Exchange 2010. При установке Exchange 2013 в существующей организации Exchange 2010 одни и те же группы ролей управления, роли управления и области управления применяются к серверам Exchange 2013 и Exchange 2010 и получателям. Члены групп ролей или пользователи, назначенные ролям, могут администрировать любой сервер Exchange 2013 или Exchange 2013 или получатель, включенный в область действия группы ролей или роли. Если в организации не используются области, и необходимо, чтобы участники существующих групп ролей могли управлять серверами и получателями Exchange 2010 и Exchange 2013, то нет необходимости выполнять какие-либо дополнительные действия. Эти администраторы смогут управлять серверами и получателями Exchange 2013, добавленными в организацию. Сведения о том, как работают разрешения в Exchange 2010 и Exchange 2013, см. в разделе Permissions.

В новой организации может потребоваться разделить администрирование серверов и получателей Exchange 2010 и Exchange 2013. Группа администраторов, отвечающая за администрирование серверов и получателей Exchange 2010, может не иметь прав для администрирования серверов и получателей Exchange 2013 и наоборот. В этом случае можно использовать области управления, чтобы определить серверы и получателей, которыми может управлять каждая группа администраторов. После создания необходимых областей можно скопировать существующие группы ролей, добавить администраторов, которые должны быть участниками каждой группы, а затем добавить области в эти группы ролей. После такой процедуры участники каждой группы ролей смогут администрировать только те серверы и тех получателей, которые входят в соответствующие области.

Дополнительные сведения о группах ролей, областях, копировании групп ролей и добавлении областей в группы ролей см. в следующих разделах.

• Управление группами ролей
• Создание регулярной или монопольной области
• Общие сведения о группах ролей управления
• Общие сведения об областях ролей управления

Установка Exchange 2013 в существующую организацию Exchange 2007

Exchange 2013 включает в себя разрешения управления доступом на основе ролей (RBAC), которые заменяют собой модель авторизации на основе элемента управления доступом (ACE) Active Directory, используемую в Microsoft Exchange Server 2007. Управление доступом на основе ролей (RBAC) — это механизм авторизации, используемый для выполнения большинства задач управления в системе Exchange 2013. Этот механизм включает в себя следующие области управления:

• командную консоль Exchange;
• Центр администрирования Exchange
• Веб-службы Exchange

Дополнительные сведения о планировании совместной работы Exchange 2013 и Exchange 2007 см. в разделе Обновление с Exchange 2007 до Exchange 2013.

Ищете задачи управления, связанные с разрешениями? См. сведения о разрешениях.

Разрешения в Exchange 2013

Модель разрешений RBAC для Exchange 2013 состоит из групп ролей управления, которым назначена одна из нескольких ролей управления. Роли управления содержат разрешения, позволяющие администраторам выполнять задачи в организации Exchange. Администраторы добавляются как члены групп ролей и получают все разрешения, предоставляемые ролями. В следующей таблице приведен пример групп ролей, некоторых ролей, назначенных группам ролей, а также описание типа пользователя, который может быть членом группы ролей.

Примеры групп ролей и ролей в Exchange 2013

Группа ролей управления	Роли управления	Члены этой группы ролей
Управление организацией	Ниже приведены некоторые роли, назначенные этой группе ролей. Списки адресов Серверы Exchange Ведение журнала Получатели почты Общие папки	Пользователи, управляющие всей организацией Exchange 2013, должны быть членами этой группы ролей. За некоторыми исключениями члены этой группы ролей могут управлять практически всеми аспектами организации Exchange 2013. Учетная запись, используемая для подготовки Active Directory для Exchange 2013, является членом группы ролей. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление организацией.
Управление организацией только с правом на просмотр	Ниже перечислены роли, назначенные этой группе ролей. Отслеживание Конфигурация только для чтения Получатели только для чтения	Пользователи, просматривающие конфигурацию всей организации Exchange 2013, должны быть членами этой группы ролей. Эти пользователи должны иметь возможность просмотра конфигурации сервера и сведений о получателях, а также выполнения функций отслеживания без возможности изменения конфигурации организации или получателя. Дополнительные сведения об этой группе ролей см. в разделе Управление организацией только с правом на просмотр.
Управление получателями	Ниже перечислены роли, назначенные этой группе ролей. Группы рассылки Общие папки с включенной поддержкой почты Создание получателей почты Получатели почты Отслеживание сообщений Миграция Перемещение почтовых ящиков Политики получателей	Пользователи, управляющие получателями в организации Exchange 2013 (например, почтовыми ящиками, контактами и группами рассылки), должны быть членами этой группы ролей. Эти пользователи могут создавать получателей, изменять или удалять существующих получателей, а также перемещать почтовые ящики. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление получателями.
Управление сервером	Ниже приведены некоторые роли, назначенные этой группе ролей. Базы данных Соединители Exchange Серверы Exchange Соединители получения Очереди транспорта	Пользователи, управляющие конфигурацией сервера Exchange (например, соединителями получения, сертификатами, базами данных и виртуальными каталогами), должны быть членами этой группы ролей. Эти пользователи могут изменять конфигурацию сервера Exchange, создавать базы данных, перезапускать и изменять очереди транспорта. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление сервером.
Управление обнаружением	Ниже перечислены роли, назначенные этой группе ролей. Юридическое удержание Поиск в почтовом ящике	Пользователи, выполняющие поиск почтовых ящиков для поддержки судебного разбирательства или настройки юридического удержания, должны быть членами этой группы ролей. Это пример группы ролей, которая может содержать администраторов, не работающих с серверами Exchange (например, сотрудников юридического отдела). Юристы могут выполнять свою работу без вмешательства администраторов Exchange. Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление обнаружением.

В этой таблице показано, что Exchange 2013 обеспечивает детальный уровень контроля над разрешениями, предоставляемыми администраторам. В Exchange 2013 можно выбрать 12 групп ролей. Полный список групп ролей и предоставляемых ими разрешений см. в разделе Встроенные группы ролей.

Так как Exchange 2013 предоставляет множество групп ролей, а дальнейшая настройка возможна путем создания групп ролей с различными сочетаниями ролей, управление списками управления доступом (ACL) в объектах Active Directory больше не требуется и не оказывает никакого влияния. Списки ACL больше не используются для применения разрешений к отдельным администраторам или группам в Exchange 2013. Все возможные задачи (например, создание почтового ящика администратором или доступ пользователя к почтовому ящику) управляются с помощью модели управления доступом на основе ролей (RBAC). RBAC авторизует задачу, а затем Exchange выполняет ее от имени пользователя, если это разрешено. Exchange выполняет задачу в универсальной группе безопасности (USG) доверенной подсистемы Exchange. За некоторыми исключениями все списки управления доступом к объектам в Active Directory, к которым должен получить доступ Exchange 2010, предоставляются usg доверенной подсистемы Exchange. Это фундаментальное изменение по принципу обработки разрешений в Exchange 2007.

Разрешения, предоставленные пользователю в Active Directory, отличаются от разрешений, предоставленных пользователю системой управления доступом на основе ролей, если этот пользователь использует средства управления Exchange 2013.

Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.

Разрешения в Exchange 2007

В административной модели Exchange 2007 используются леса Active Directory для определения границ безопасности. В пределах одного леса не существует изоляции разрешений безопасности. Владельцы леса и администраторы предприятия могут получить доступ ко всем ресурсам в любом домене и в любое время. В системе Exchange 2007 можно только временно назначить права администратора предприятия и права администратора домена первого уровня.

В системе Exchange 2007 предусмотрены следующие предопределенные роли администраторов.

• Роль администратора организации Exchange. Эта роль предоставляет разрешения на управление всеми аспектами организации Exchange 2007. Кроме того, администратор, которому назначена эта роль, может предоставлять разрешения другим администраторам Exchange. Эта роль назначается учетной записи, используемой для установки системы Exchange 2007.
• Роль администратора exchange View-Only. Эта роль предоставляет разрешения на просмотр конфигурации Exchange. Но администратор, которому назначена эта роль, не может изменять объекты в организации Exchange 2007.
• Роль администратора получателей Exchange. Эта роль предоставляет разрешения на управление получателями электронной почты. Администратор, которому назначена эта роль, может изменять связанные с Exchange элементы для пользователей, групп, контактов и групп рассылки.
• Exchange Server роль администратора. Эта роль предоставляет разрешения на управление определенным сервером. Однако эта роль не предоставляет разрешения на выполнение действий, оказывающих глобальное влияние на организацию Exchange 2007.
• Роль администратора общедоступных папок Exchange. Эта роль была добавлена в Exchange 2007 с пакетом обновления 1 (SP1)**.** Эта роль предоставляет разрешения на управление общедоступными папками в организации Exchange 2007.

В этой модели разрешений используются универсальные группы безопасности для всех ролей, кроме роли администратора сервера Exchange. При запуске команды Exchange 2007 Setup /PrepareAD программа установки создает универсальные группы безопасности (USG) в корневом домене и назначает им область всего леса. Группы USG назначаются спискам управления доступом (ACL) для управления объектами Exchange в службе каталогов Active Directory.

В системе Exchange 2007 можно разграничивать администраторов путем назначения им различных ролей. Разрешения назначаются напрямую пользователю или универсальной группе безопасности, членом которой является пользователь. Все действия пользователя выполняются в контексте его учетной записи Active Directory. В следующей таблице перечислены административные роли Exchange 2007 и соответствующие им разрешения Exchange.

Административные роли Exchange 2007

Административная роль	Members	Член	Разрешения Exchange
Администратор организации Exchange	Учетная запись «Администратор» или учетная запись, используемая для установки первого сервера Exchange 2007	Администратор получателей Exchange Локальная группа администраторов <имени> сервера	Полный контроль над контейнером Microsoft Exchange в службе Active Directory
Администратор Exchange с правом только на просмотр	Администраторы получателей Exchange администраторы Exchange Server (<имя> сервера)	Администраторы получателей Exchange Администраторы сервера Exchange	Доступ с правом на чтение к контейнеру Microsoft Exchange в службе Active Directory Доступ с правом на чтение ко всем доменам Windows, имеющим получателей Exchange
Администратор получателей Exchange	Администраторы организации Exchange	Администраторы Exchange с правом только на просмотр	Полный контроль над свойствами Exchange объектов пользователей Active Directory
Администратор сервера Exchange	Администраторы организации Exchange	Администраторы Exchange с правом только на просмотр Локальная группа администраторов <имени сервера>	Полный контроль над сервером Exchange <имясервера>_
Сервер Exchange	Каждая учетная запись компьютера Exchange 2007	Администраторы Exchange с правом только на просмотр	Специальный
Администратор общих папок Exchange	Администраторы организации Exchange	Администраторы Exchange с правом только на просмотр	Полный контроль над управлением всеми общими папками (предоставляется расширенное право создания общих папок верхнего уровня)

Если вам нужно сделать более детализированные назначения разрешений, можно изменить списки управления доступом для отдельных объектов Exchange 2007, таких как списки адресов или базы данных. Необходимо добавить пользователя или группу безопасности, членом которой является пользователь, непосредственно в список ACL. Затем действия выполняются в контексте конкретного пользователя.

Разрешения при совместной работе Exchange 2013 и Exchange 2007

Так как модели разрешений для версий Exchange 2013 и Exchange 2007 различаются, назначения разрешений Exchange 2013 отделяются от назначений разрешений Exchange 2007. Это справедливо даже в том случае, когда обе версии Exchange установлены в одном лесу. Без дополнительной настройки администраторы Exchange 2013 не имеют необходимых разрешений для управления серверами Exchange 2007, а администраторы Exchange 2007 — для управления серверами Exchange 2013. Необходимо принять во внимание следующие аспекты.

• Требуется ли предоставить администраторам Exchange 2013 доступ на управление серверами Exchange 2007?
• Требуется ли предоставить администраторам Exchange 2007 доступ на управление серверами Exchange 2013?
• Требуется ли настроить разрешения Exchange 2013 таким образом, чтобы они соответствовали настройкам, выполненным по отношению к спискам управления доступом Exchange 2007?

Предоставление разрешений Exchange 2013 администраторам Exchange 2007

Чтобы предоставить администраторам Exchange 2007 право управления серверами Exchange 2013, необходимо добавить администраторов Exchange 2007 в одну или несколько групп ролей Exchange 2013. В группы ролей можно добавить пользователей или универсальные группы безопасности. Разрешения, предоставленные группам ролей, будут затем применены к пользователям или универсальным группам безопасности, добавленным в качестве членов.

Важно!

При использовании локальных или глобальных групп безопасности домена Active Directory необходимо заменить их на универсальные группы безопасности, чтобы добавить их в качестве участников группы ролей Exchange 2013. Exchange 2013 поддерживает только универсальные группы безопасности.

В следующей таблице приведено сопоставление административных ролей Exchange 2007 и групп ролей Exchange 2013.

Административные роли Exchange 2007 и группы ролей Exchange 2010

Административная роль Exchange 2007	Группа ролей Exchange 2013
Администратор организации Exchange	Управление организацией
Администратор получателей Exchange	Управление получателями
Администратор сервера Exchange	Управление сервером
Администратор Exchange с правом только на просмотр	Управление организацией только с правом на просмотр
Сервер Exchange	В системе Exchange 2013 отсутствует соответствующая группа ролей (Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.)
Администратор общих папок Exchange	Управление общими папками

Если все администраторы Exchange 2007 являются членами одной из административных ролей Exchange 2007, можно добавить членов каждой из административных групп в соответствующую группу ролей Exchange 2013. Например, чтобы предоставить всем администраторам организации Exchange 2007 полный доступ к объектам Exchange 2013, добавьте универсальную группу безопасности «Администраторы организации Exchange» в группу ролей Управление организацией.

Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.

Если для предоставления более детальных разрешений администраторам Exchange 2007 были изменены списки управления доступом для объектов Exchange 2007 и необходимо назначить этим администраторам аналогичные разрешения на управление серверами Exchange 2013, выполните следующие действия:

1. Просмотрите изменения настроек списков управления доступом для объектов Exchange 2007 и определите тех администраторов, которым были предоставлены разрешения для каждого объекта.

2. Классифицируйте каждый объект Exchange 2007. Например, определите, является ли объект базой данных, сервером или получателем.

3. Сопоставьте объекты с соответствующей группой ролей Exchange 2013. Список встроенных групп ролей см. в разделе Встроенные группы ролей.

4. Добавьте группы безопасности или пользователей для каждого типа объекта в соответствующие группы ролей Exchange 2013. Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.

После выполнения этих шагов администраторы Exchange 2007 будут входить в определенную группу ролей, сопоставленную с соответствующими объектами Exchange 2013. Администраторы Exchange 2007 могут использовать средства управления Exchange 2013 для управления серверами и получателями Exchange 2013.

Важно!

В общем случае управление серверами и получателями Exchange 2007 должно осуществляться с помощью средств управления Exchange 2007, а управление серверами и получателями Exchange 2013 — с помощью средств управления Exchange 2013.

Если встроенные группы ролей не предоставляют определенный набор разрешений, который необходимо предоставить некоторым администраторам, можно создать настраиваемые группы ролей. При создании настраиваемой группы ролей можно выбрать роли, которые необходимо добавить. Можно определить компоненты, которыми должны управлять члены этой группы ролей. Например, если администраторы должны управлять только группами рассылки, можно создать настраиваемую группу ролей и выбрать только роль «Группы рассылки». После этого члены этой группы ролей смогут управлять только группами рассылки. Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.

Если определенным объектам Exchange 2007 предоставлены отдельные разрешения (например, администраторам разрешено управлять только определенными базами данных) и необходимо применить такую же конфигурацию к серверам Exchange 2013, обратитесь к подразделу «Повторное создание настройки списка управления доступом Exchange 2007 с помощью областей управления в версии Exchange 2013» далее в этом разделе.

Предоставление разрешений Exchange 2007 администраторам Exchange 2013

Чтобы предоставить администраторам Exchange 2013 право управления серверами Exchange 2007, добавьте администраторов Exchange 2013 в универсальные группы безопасности или в группу безопасности, соответствующую определенной административной роли Exchange 2007. Или, если существуют настроенные параметры списков управления доступом, добавьте администраторов в соответствующие списки ACL. Группы ролей относятся к универсальным группам безопасности, поэтому их можно добавлять непосредственно в универсальные группы безопасности административных ролей Exchange 2007.

После выполнения указанных выше действий администраторы Exchange 2013 будут входить в соответствующую административную роль (или роли) Exchange 2007. Администраторы Exchange 2013 могут использовать средства управления Exchange 2007 для управления серверами и получателями Exchange 2007.

Повторная настройка списка управления доступом Exchange 2007 с помощью областей управления в Exchange 2013

Чтобы в Exchange 2007 ограничить количество администраторов определенного хранилища почтовых ящиков, администраторов определенных пользователей или определить хранилище, в котором создаются почтовые ящики, необходимо изменить списки управления доступом для ограничиваемых объектов. Exchange 2013 предоставляет те же возможности, но без необходимости изменять списки управления доступом. Эта процедура осуществляется с помощью областей управления, которые являются компонентом системы управления доступом на основе ролей.

Области управления включают в себя встроенные и настраиваемые области для определения объектов, управляемых администраторами. Применение областей управления позволяет определить администрируемых получателей, базы данных, в которых разрешено создавать почтовые ящики, а также получателей и серверы, которые могут администрироваться только небольшой группой администраторов.

Можно создать следующие типы областей управления:

• Предопределенное относительное. Предопределенные относительные области включены в Exchange 2013. Можно управлять всеми видимыми и доступными для изменения компонентами. Например, в предварительно определенных относительных областях можно определить необходимость отображения для пользователя только сведений о нем самом или сведений обо всей организации.

• Получатель: области получателей определяют получателей, которые администратор может создавать, изменять или удалять. Указать получателей можно на основе подразделения и/или фильтра получателей. Фильтры получателей определяют критерии, которым должны соответствовать все получатели области. Например, можно создать область фильтра получателей, которая содержит всех пользователей в определенном местоположении или отделе. Можно даже совмещать подразделения и фильтры получателей, чтобы выбирать пользователей в определенном подразделении, которые отправляют отчеты определенному менеджеру.

• Сервер. Области сервера определяют, какими серверами может управлять администратор. Можно указать списки серверов или серверные фильтры. Для списков серверов определяется статический список серверов, которыми можно управлять. Фильтры сервера работают так же, как и фильтры получателей, в котором можно указать критерии, которые должны быть сопоставлены. Например, можно создать область сервера, которая соответствует всем серверам на определенном сайте Active Directory.

• База данных. Области баз данных определяют, какими базами данных может управлять администратор. Они также могут определять базы данных, в которых разрешено создавать или в которые разрешено перемещать почтовые ящики. Подобно областям серверов, их можно определить в виде списков или фильтров. Например, можно создать список или фильтр, позволяющий администраторам создавать или перемещать почтовые ящики в определенные базы данных, управляемые отдельным подразделением.

• Монопольное. Области получателей, сервера и базы данных также можно создавать в виде монопольных областей. Эксклюзивные области работают как запрещающие элементы управления доступом в списках управления доступом. Если какой-либо компонент входит в эксклюзивную область, то управление этим объектом осуществляется только администраторами, которым назначена эта эксклюзивная область. Это справедливо даже в том случае, если этот компонент соответствует другой неэксклюзивной области. Такая функция особенно полезна, если требуется поручить управление почтовым ящиком руководителя только нескольким надежным сотрудникам. Даже если более широкая обычная область получателей включает в себя почтовый ящик руководителя, администраторы с более широкой обычной областью не смогут управлять этим почтовым ящиком, если им не назначена эксклюзивная область.

Области управления используются вместе с ролями управления, их назначениями, а также с группами таких ролей для определения администраторов объектов и способа управления этими объектами. Дополнительную информацию см. в следующих статьях:

• Общие сведения об областях ролей управления
• Общие сведения об исключительных областях
• Общие сведения о назначениях ролей управления
• Общие сведения о группах ролей управления
• Общие сведения о ролях управления

Чтобы создать ту же модель разрешений в Exchange 2013 с помощью областей управления, которые, возможно, были определены с помощью настраиваемых списков управления доступом, необходимо провести инвентаризацию настроенных списков управления, а затем создать соответствующие области управления. Фильтруемые свойства объектов получателей, серверов и баз данных можно использовать для создания области управления, включающей в себя объекты, доступ к которым должен контролироваться этой областью. Дополнительные сведения о свойствах, которые можно использовать с фильтрами области управления, см. в статье Общие сведения о фильтрах области ролей управления.

Дополнительные сведения о создании областей управления см. в разделе Создание регулярной или монопольной области.