Сведения о сосуществовании разрешений в Exchange 2007 и Exchange 2010Understanding permissions coexistence with Exchange 2007 and Exchange 2010

Применимо к: Exchange Server 2010 с пакетом обновления 2 (SP2), Exchange Server 2013Applies to: Exchange Server 2010 Service Pack 2 (SP2), Exchange Server 2013

При установке Microsoft Exchange Server 2013 в существующую организацию Microsoft Exchange Server 2010 или Microsoft Exchange Server 2007 важно понимать, как разрешения будут работать в новой организации. Прочитайте один из нижеследующих разделов, относящихся к вашей организации.When you install Microsoft Exchange Server 2013 into an existing Microsoft Exchange Server 2010 or Microsoft Exchange Server 2007 organization, you need to understand how permissions will work in the new organization. Read the section below that applies to your organization.

  • Установка Exchange 2013 в существующую организацию Exchange 2010Installing Exchange 2013 into an existing Exchange 2010 organization

  • Установка Exchange 2013 в существующую организацию Exchange 2007Installing Exchange 2013 into an existing Exchange 2007 organization

Установка Exchange 2013 в существующую организацию Exchange 2010Installing Exchange 2013 into an existing Exchange 2010 organization

Exchange 2013 используется та же модель разрешений элемента управления на основе Access ролей (RBAC), который используется в Exchange 2010. При установке Exchange 2013 в уже существующей организации Exchange 2010 же группы ролей управления, роли управления и области управления применимы к серверов Exchange 2013 и Exchange 2010 и получателей. Члены группы ролей или пользователи, которым назначены роли, могут управлять любой Exchange 2013 или сервер Exchange 2013 или получателя, который включен в области действия группы ролей или роли. Если не использовать области в вашей организации и вы хотите членов вашей существующей группы ролей для управления серверами Exchange 2010 и Exchange 2013 и получатели, больше ничего не нужно. Администраторы могут управлять серверы Exchange 2013 и получателей, которые добавляются в организацию. Если вам требуется напоминание на как работают разрешения в Exchange 2010 и Exchange 2013, см.Exchange 2013 uses the same Role Based Access Control (RBAC) permissions model that’s used in Exchange 2010. When you install Exchange 2013 into an existing Exchange 2010 organization, the same management role groups, management roles, and management scopes apply to both Exchange 2013 and Exchange 2010 servers and recipients. Members of role groups, or users assigned to roles, can administer any Exchange 2013 or Exchange 2013 server or recipient that’s included in the scope of the role group or role. If you don't use scopes in your organization and you want the members of your existing role groups to manage Exchange 2010 and Exchange 2013 servers and recipients, you don't have to do anything else. Those administrators will be able to manage Exchange 2013 servers and recipients that are added to the organization. If you need a reminder on how permissions work in Exchange 2010 and Exchange 2013, see Permissions.

В новой организации может потребоваться разделить администрирование серверов и получателей Exchange 2010 и Exchange 2013. Группа администраторов, отвечающая за администрирование серверов и получателей Exchange 2010, может не иметь прав для администрирования серверов и получателей Exchange 2013 и наоборот. В этом случае можно использовать области управления, чтобы определить серверы и получателей, которыми может управлять каждая группа администраторов. После создания необходимых областей можно скопировать существующие группы ролей, добавить администраторов, которые должны быть участниками каждой группы, а затем добавить области в эти группы ролей. После такой процедуры участники каждой группы ролей смогут администрировать только те серверы и тех получателей, которые входят в соответствующие области.In the new organization, you might want to separate the administration of Exchange 2010 and Exchange 2013 servers and recipients. The group of administrators responsible for administering Exchange 2010 servers and recipients may not be allowed to administer Exchange 2013 servers and recipients, and vice versa. In this case, you can use management scopes to define the servers and recipients each group of administrators should be allowed to manage. After you create the scopes you want, you can then copy existing role groups, add the administrators who should be a member of each, and then add the scopes to those role groups. When you're done, the members of each role group will only be able to administer the servers and recipients that match their respective scopes.

Дополнительные сведения о группах ролей, областях, копировании групп ролей и добавлении областей в группы ролей см. в следующих разделах.For more information about role groups, scopes, copying role groups, and adding scopes to role groups, see the following topics:

Установка Exchange 2013 в существующую организацию Exchange 2007Installing Exchange 2013 into an existing Exchange 2007 organization

Exchange 2013 включает в себя разрешения управления доступом на основе ролей (RBAC), которые заменяют собой модель авторизации на основе элемента управления доступом (ACE) Active Directory, используемую в Microsoft Exchange Server 2007. Управление доступом на основе ролей (RBAC) — это механизм авторизации, используемый для выполнения большинства задач управления в системе Exchange 2013. Этот механизм включает в себя следующие области управления:Exchange 2013 includes Role Based Access Control (RBAC) permissions that replace the Active Directory access control entry (ACE)-based authorization model used in Microsoft Exchange Server 2007. RBAC is the authorization mechanism used for most of the management of Exchange 2013. This mechanism includes the following management areas:

  • командную консоль Exchange;Exchange Management Shell

  • Центр администрирования ExchangeExchange admin center (EAC)

  • Веб-службы ExchangeExchange Web Services

Дополнительные сведения о планировании совместной работы Exchange 2013 и Exchange 2007 см. в разделе Обновление с Exchange 2007 до Exchange 2013.For more information about how to plan coexistence between Exchange 2013 and Exchange 2007, see Upgrade from Exchange 2007 to Exchange 2013.

Необходимы сведения о задачах управления, связанных с разрешениями? См. раздел Разрешения.Looking for management tasks related to permissions? Check out Permissions.

Разрешения в Exchange 2013Exchange 2013 permissions

Модель разрешений RBAC Exchange 2013 состоит из групп ролей управления, которым присваивается одна из ролей управления. Роли управления содержат разрешения, которые позволяют администраторам выполнять задачи в организации Exchange. Администраторы добавляются в качестве членов групп ролей. Им предоставляются все разрешения, присущие роли. В следующей таблице содержится пример групп ролей, некоторые присвоенные им роли, а также описание типа пользователя, который может быть членом группы ролей.The Exchange 2013 RBAC permissions model consists of management role groups assigned one of several management roles. Management roles contain permissions that enable administrators to perform tasks in the Exchange organization. Administrators are added as members of the role groups and are granted all the permissions that the roles provide. The following table provides an example of the role groups, some of the roles assigned to role groups, and a description of the kind of user who might be a member of the role group.

Примеры групп ролей и ролей в Exchange 2013Examples of role groups and roles in Exchange 2013

Группа ролей управленияManagement role group Роли управленияManagement roles Члены этой группы ролейMembers of this role group

Управление организациейOrganization Management

Ниже приведены некоторые роли, назначенные этой группе ролей.The following roles are some of the roles assigned to this role group:

  • Списки адресовAddress Lists

  • Серверы ExchangeExchange Servers

  • Ведение журналаJournaling

  • Получатели почтыMail Recipients

  • Общие папкиPublic Folders

Пользователи, управляющие всей организацией Exchange 2013, должны быть членами этой группы ролей. За некоторыми исключениями члены этой группы ролей могут управлять практически всеми аспектами организации Exchange 2013. Users who manage the entire Exchange 2013 organization should be members of this role group. With some exceptions, members of this role group can manage nearly any aspect of the Exchange 2013 organization.

Учетная запись, используемая для подготовки Active Directory для Exchange 2013, является членом группы ролей.By default, the user account used to prepare Active Directory for Exchange 2013 is a member of this role group.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление организацией. For more information about this role group and for a complete list of roles assigned to this role group, see Organization Management.

Управление организацией только с правом на просмотрView Only Organization Management

Ниже перечислены роли, назначенные этой группе ролей.The following roles are assigned to this role group:

  • ОтслеживаниеMonitoring

  • Конфигурация только для чтенияView-Only Configuration

  • Получатели только для чтенияView-Only Recipients

Пользователи, просматривающие конфигурацию всей организации Exchange 2013, должны быть членами этой группы ролей. Эти пользователи должны иметь возможность просмотра конфигурации сервера и сведений о получателях, а также выполнения функций отслеживания без возможности изменения конфигурации организации или получателя. Users who view the configuration of the entire Exchange 2013 organization should be members of this role group. These users must be able to view server configuration and recipient information, and perform monitoring functions without the ability to change organization or recipient configuration.

Дополнительные сведения об этой группе ролей см. в разделе Управление организацией только с правом на просмотр. For more information about this role group, see View-only Organization Management.

Управление получателямиRecipient Management

Ниже перечислены роли, назначенные этой группе ролей.The following roles are assigned to this role group:

  • Группы рассылкиDistribution Groups

  • Общие папки с включенной поддержкой почтыMail Enabled Public Folders

  • Создание получателей почтыMail Recipient Creation

  • Получатели почтыMail Recipients

  • Отслеживание сообщенийMessage Tracking

  • МиграцияMigration

  • Перемещение почтовых ящиковMove Mailboxes

  • Политики получателейRecipient Policies

Пользователи, управляющие получателями в организации Exchange 2013 (например, почтовыми ящиками, контактами и группами рассылки), должны быть членами этой группы ролей. Эти пользователи могут создавать получателей, изменять или удалять существующих получателей, а также перемещать почтовые ящики. Users who manage recipients such as mailboxes, contacts, and distribution groups in the Exchange 2013 organization should be members of this role group. These users can create recipients, modify or delete existing recipients, or move mailboxes.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление получателями. For more information about this role group and for a complete list of roles assigned to this role group, see Recipient Management.

Управление серверомServer Management

Ниже приведены некоторые роли, назначенные этой группе ролей.The following roles are some of the roles assigned to this role group:

  • Базы данныхDatabases

  • Соединители ExchangeExchange Connectors

  • Серверы ExchangeExchange Servers

  • Соединители полученияReceive Connectors

  • Очереди транспортаTransport Queues

Пользователи, управляющие конфигурацией сервера Exchange (например, соединителями получения, сертификатами, базами данных и виртуальными каталогами), должны быть членами этой группы ролей. Эти пользователи могут изменять конфигурацию сервера Exchange, создавать базы данных, перезапускать и изменять очереди транспорта. Users who manage Exchange server configuration such as Receive connectors, certificates, databases, and virtual directories should be members of this role group. These users can modify Exchange server configuration, create databases, and restart and manipulate transport queues.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление сервером. For more information about this role group and for a complete list of roles assigned to this role group, see Server Management.

Управление обнаружениемDiscovery Management

Ниже перечислены роли, назначенные этой группе ролей.The following roles are assigned to this role group:

  • Юридическое удержаниеLegal Hold

  • Поиск в почтовом ящикеMailbox Search

Пользователи, выполняющие поиск почтовых ящиков для поддержки судебного разбирательства или настройки юридического удержания, должны быть членами этой группы ролей.Users who perform searches of mailboxes to support legal proceedings or to configure legal holds should be members of this role group.

Это пример группы ролей, которая может содержать администраторов, не работающих с серверами Exchange (например, сотрудников юридического отдела). Юристы могут выполнять свою работу без вмешательства администраторов Exchange. This is an example of a role group that might contain non-Exchange administrators, such as personnel in the legal department. Legal personnel can perform their tasks without intervention from Exchange administrators.

Дополнительные сведения об этой группе ролей, а также полный список назначенных ей ролей см. в разделе Управление обнаружением. For more information about this role group and for a complete list of roles assigned to this role group, see Discovery Management.

В этой таблице показано, что система Exchange 2013 обеспечивает возможность детального контроля разрешений, предоставляемых администраторам. В системе Exchange 2013 можно выбрать одну из 12 групп ролей. Полный список групп ролей и предоставляемых ими разрешений см. в разделе Встроенные группы ролей.This table shows that Exchange 2013 provides a granular level of control over the permissions that you grant to your administrators. You can choose among 12 role groups in Exchange 2013. For a complete list of role groups and the permissions that they provide, see Built-in role groups.

В связи с большим количеством групп ролей, предоставляемых в системе Exchange 2013, а также с возможностью дальнейшей настройки путем создания групп ролей с различными комбинациями ролей изменение списков управления доступом (ACL) для объектов Active Directory больше не требуется и не приведет к желаемым результатам. Списки управления доступом больше не используются для применения разрешений к отдельным администраторам или группам на сервере Exchange 2013. Все возможные задачи (например, создание почтового ящика администратором или доступ пользователя к почтовому ящику) управляются с помощью модели управления доступом на основе ролей (RBAC). Механизм RBAC авторизует задачу на сервере Exchange, и в случае ее разрешения система Exchange выполняет задачу от имени пользователя в универсальной группе безопасности (USG) доверенной подсистемы Exchange. Практически все списки управления доступом для объектов Active Directory, к которым система Exchange 2010 должна иметь доступ, разрешены в универсальной группе безопасности доверенной подсистемы Exchange. Это фундаментальное изменение процесса обработки разрешений по сравнению с версией Exchange 2007.Because Exchange 2013 provides many role groups and because further customization is possible by creating role groups that have different role combinations, the manipulation of access control lists (ACLs) on Active Directory objects is no longer necessary and has no effect. ACLs are no longer used to apply permissions to individual administrators or groups in Exchange 2013. All tasks, such as an administrator creating a mailbox or a user accessing a mailbox, are managed by RBAC. RBAC authorizes the task, and then Exchange performs the task on behalf of the user if allowed. Exchange performs the task in the Exchange Trusted Subsystem universal security group (USG). With some exceptions, all the ACLs on objects in Active Directory that Exchange 2010 has to access are granted to the Exchange Trusted Subsystem USG. This is a fundamental change from how permissions are handled in Exchange 2007.

Разрешения, предоставленные пользователю в Active Directory, отличаются от разрешений, предоставленных пользователю системой управления доступом на основе ролей, если этот пользователь использует средства управления Exchange 2013.The permissions granted to a user in Active Directory are separate from the permissions granted to the user by RBAC when that user is using the Exchange 2013 management tools.

Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.For more information about RBAC, see Understanding Role Based Access Control.

Разрешения в Exchange 2007Exchange 2007 permissions

В административной модели Exchange 2007 используются леса Active Directory для определения границ безопасности. В пределах одного леса не существует изоляции разрешений безопасности. Владельцы леса и администраторы предприятия могут получить доступ ко всем ресурсам в любом домене и в любое время. В системе Exchange 2007 можно только временно назначить права администратора предприятия и права администратора домена первого уровня.The Exchange 2007 administrative model leverages Active Directory forests to define security boundaries. There is no isolation of security permissions within a specific forest. Forest owners and enterprise administrators can always gain access to all resources in any domain. In Exchange 2007, you may have to grant enterprise administrator rights and top-level domain administrator rights on a temporary basis only.

В системе Exchange 2007 предусмотрены следующие предопределенные роли администраторов.Exchange 2007 provides the following predefined administrator roles:

  • Роль администратора организации Exchange Эта роль предоставляет разрешения на управление всеми аспектами организации Exchange 2007. Кроме того, имеющий эта роль администратора можно предоставить разрешения другим администраторам Exchange. Эта роль назначается учетная запись, используемая для установки Exchange 2007.Exchange Organization Administrator role This role grants permissions to control all aspects of the Exchange 2007 organization. Additionally, an administrator who has this role can grant permissions to other Exchange administrators. This role is granted to the account that you use to install Exchange 2007.

  • Роль администратора Exchange с правами Эта роль предоставляет разрешения для просмотра конфигурации Exchange. Тем не менее администратора, у которого есть эта роль не могут изменять объекты в организации Exchange 2007.Exchange View-Only Administrator role This role grants permissions to view Exchange configuration. However, an administrator who has this role can't modify objects in the Exchange 2007 organization.

  • Роль администратора получателей Exchange Эта роль предоставляет разрешения на управление получателями электронной почты. Администратора, который имеет эту роль можно изменить записи, связанные с Exchange для пользователей, групп, контакты и группы рассылки.Exchange Recipient Administrator role This role grants permissions to manage e-mail recipients. An administrator who has this role can modify Exchange-related items for users, groups, contacts, and distribution groups.

  • Роль администратора Exchange Server Эта роль предоставляет разрешения на управление определенного сервера. Тем не менее эта роль не предоставлять разрешения для выполнения действий, которые глобального сказывается на организации Exchange 2007.Exchange Server Administrator role This role grants permissions to manage a specific server. However, this role doesn't grant permissions to perform actions that have a global impact on the Exchange 2007 organization.

  • Роль администратора Exchange общедоступных папок Эта роль был добавлен в Exchange 2007 с пакетом обновления 1 . Эта роль предоставляет разрешения на управление общих папок в организации Exchange 2007.Exchange Public Folder Administrator role This role was added in Exchange 2007 Service Pack 1 . This role grants permissions to manage public folders in the Exchange 2007 organization.

В этой модели разрешений используются универсальные группы безопасности для всех ролей, кроме роли администратора сервера Exchange. При запуске команды Exchange 2007 Setup /PrepareAD программа установки создает универсальные группы безопасности (USG) в корневом домене и назначает им область всего леса. Группы USG назначаются спискам управления доступом (ACL) для управления объектами Exchange в службе каталогов Active Directory.This permissions model uses USGs for all roles except for the Exchange Server Administrator role. When you run the Exchange 2007 Setup /PrepareAD command, the Setup program creates the USGs in the root domain and gives a forest-wide scope to the USGs. The USGs are assigned ACLs to manage Exchange objects throughout Active Directory.

В системе Exchange 2007 можно разграничивать администраторов путем назначения им различных ролей. Разрешения назначаются напрямую пользователю или универсальной группе безопасности, членом которой является пользователь. Все действия пользователя выполняются в контексте его учетной записи Active Directory. В следующей таблице перечислены административные роли Exchange 2007 и соответствующие им разрешения Exchange.In Exchange 2007, you can separate administrators by assigning them various roles. The permissions are assigned directly either to the user or to the USG of which the user is a member. Any actions performed by the user are performed in the context of that user's Active Directory account. The following table lists the Exchange 2007 administrator roles together with their Exchange-related permissions.

Административные роли Exchange 2007Exchange 2007 administrator roles

Административная рольAdministrator role ЧленыMembers ЧленMember of Разрешения ExchangeExchange permissions

Администратор организации ExchangeExchange Organization Administrator

Учетная запись «Администратор» или учетная запись, используемая для установки первого сервера Exchange 2007The Administrator account or the account used to install the first Exchange 2007 server

Администратор получателей ExchangeExchange Recipient Administrator

Локальную группу администраторов <имя сервера>Administrators local group of <server name>

Полный контроль над контейнером Microsoft Exchange в службе Active DirectoryFull control of the Microsoft Exchange container in Active Directory

Администратор Exchange с правом только на просмотрExchange View-Only Administrator

Администраторы получателей ExchangeExchange Recipient Administrators

Администратор сервера Exchange (<имя сервера>)Exchange Server Administrators (<server name>)

Администраторы получателей ExchangeExchange Recipient Administrators

Администраторы сервера ExchangeExchange Server Administrators

Доступ с правом на чтение к контейнеру Microsoft Exchange в службе Active DirectoryRead access to the Microsoft Exchange container in Active Directory

Доступ с правом на чтение ко всем доменам Windows, имеющим получателей ExchangeRead access to all the Windows domains that have Exchange recipients

Администратор получателей ExchangeExchange Recipient Administrator

Администраторы организации ExchangeExchange Organization Administrators

Администраторы Exchange с правом только на просмотрExchange View-Only Administrators

Полный контроль над свойствами Exchange объектов пользователей Active DirectoryFull control of Exchange properties on Active Directory user objects

Администратор сервера ExchangeExchange Server Administrator

Администраторы организации ExchangeExchange Organization Administrators

Администраторы Exchange с правом только на просмотрExchange View-Only Administrators

Локальную группу администраторов <имя сервера>Administrators local group of <server name>

Полный контроль над сервером Exchange <имясервера>_Full control of Exchange <server name>

Сервер ExchangeExchange Server

Каждая учетная запись компьютера Exchange 2007Each Exchange 2007 computer account

Администраторы Exchange с правом только на просмотрExchange View-Only Administrators

СпециальныйSpecial

Администратор общих папок ExchangeExchange Public Folder Administrator

Администраторы организации ExchangeExchange Organization Administrators

Администраторы Exchange с правом только на просмотрExchange View-Only Administrators

Полный контроль над управлением всеми общими папками (предоставляется расширенное право создания общих папок верхнего уровня)Full control to manage all public folders (granted the Create top level public folder extended right)

Чтобы выполнить более детальное назначение разрешений, можно изменить списки управления доступом для отдельных объектов Exchange 2007, например списков адресов или баз данных. Необходимо добавить пользователя или группу безопасности, членом которой является пользователь, непосредственно в список управления доступом, после чего действия будут выполняться в контексте определенного пользователя.If you need to make more granular permission assignments, you can modify the ACLs on individual Exchange 2007 objects, such as address lists or databases. You must add the user or security group of which the user is a member directly to the ACL. Then, the actions are performed in the context of the particular user.

Дополнительные сведения об управлении разрешениями в Exchange 2007 см. в разделе Настройка разрешений в Exchange Server 2007.For more information about how to manage permissions in Exchange 2007, see Configuring Permissions in Exchange Server 2007.

Разрешения при совместной работе Exchange 2013 и Exchange 2007Exchange 2013 and Exchange 2007 coexistence permissions

Так как модели разрешений для версий Exchange 2013 и Exchange 2007 различаются, назначения разрешений Exchange 2013 отделяются от назначений разрешений Exchange 2007. Это справедливо даже в том случае, когда обе версии Exchange установлены в одном лесу. Без дополнительной настройки администраторы Exchange 2013 не имеют необходимых разрешений для управления серверами Exchange 2007, а администраторы Exchange 2007 — для управления серверами Exchange 2013. Необходимо принять во внимание следующие аспекты.Because the permissions models for Exchange 2013 and for Exchange 2007 differ, Exchange 2013 permission assignments are separate from Exchange 2007 permission assignments. This is true even if both versions of Exchange are installed in the same forest. Without additional configuration, Exchange 2013 administrators don't have the required permissions to manage Exchange 2007-based servers, and Exchange 2007 administrators don't have the required permissions to manage Exchange 2013-based servers. You should consider the following questions:

  • Требуется ли предоставить администраторам Exchange 2013 доступ на управление серверами Exchange 2007?Do you want to grant Exchange 2013 administrators access to manage Exchange 2007 servers?

  • Требуется ли предоставить администраторам Exchange 2007 доступ на управление серверами Exchange 2013?Do you want to grant Exchange 2007 administrators access to manage Exchange 2013 servers?

  • Требуется ли настроить разрешения Exchange 2013 таким образом, чтобы они соответствовали настройкам, выполненным по отношению к спискам управления доступом Exchange 2007?Do you want to customize Exchange 2013 permissions so that they match any customizations that have been made to Exchange 2007 ACLs?

Предоставление разрешений Exchange 2013 администраторам Exchange 2007Granting Exchange 2013 permissions to Exchange 2007 administrators

Чтобы предоставить администраторам Exchange 2007 право управления серверами Exchange 2013, необходимо добавить администраторов Exchange 2007 в одну или несколько групп ролей Exchange 2013. В группы ролей можно добавить пользователей или универсальные группы безопасности. Разрешения, предоставленные группам ролей, будут затем применены к пользователям или универсальным группам безопасности, добавленным в качестве членов.If you want Exchange 2007 administrators to administer Exchange 2013 servers, the Exchange 2007 administrators must be added as members of one or more Exchange 2013 role groups. You can add either users or USGs to role groups. The permissions granted to the role groups are then applied to the users or the USGs that you add as members.

Важно!

При использовании локальных или глобальных групп безопасности домена Active Directory необходимо заменить их на универсальные группы безопасности, чтобы добавить их в качестве участников группы ролей Exchange 2013. Exchange 2013 поддерживает только универсальные группы безопасности.If you use domain local or global Active Directory security groups, you must change them to USGs if you want to add them as members of an Exchange 2013 role group. Exchange 2013 supports only USGs.

В следующей таблице приведено сопоставление административных ролей Exchange 2007 и групп ролей Exchange 2013.The following table describes the mapping between Exchange 2007 administrator roles and Exchange 2013 role groups.

Административные роли Exchange 2007 и группы ролей Exchange 2010Exchange 2007 administrator roles and Exchange 2010 role groups

Административная роль Exchange 2007Exchange 2007 administrator role Группа ролей Exchange 2013Exchange 2013 role group

Администратор организации ExchangeExchange Organization Administrator

Управление организациейOrganization Management

Администратор получателей ExchangeExchange Recipient Administrator

Управление получателямиRecipient Management

Администратор сервера ExchangeExchange Server Administrator

Управление серверомServer Management

Администратор Exchange с правом только на просмотрExchange View-Only Administrator

Управление организацией только с правом на просмотрView Only Organization Management

Сервер ExchangeExchange Server

В системе Exchange 2013 отсутствует соответствующая группа ролейNo equivalent role group in Exchange 2013

(Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.) (For more information about how to create custom role groups, see Manage role groups.)

Администратор общих папок ExchangeExchange Public Folder Administrator

Управление общими папкамиPublic Folder Management

Если все администраторы Exchange 2007 являются членами одной из административных ролей Exchange 2007, можно добавить членов каждой из административных групп в соответствующую группу ролей Exchange 2013. Например, чтобы предоставить всем администраторам организации Exchange 2007 полный доступ к объектам Exchange 2013, добавьте универсальную группу безопасности «Администраторы организации Exchange» в группу ролей Управление организацией.If all your Exchange 2007 administrators are members of one of the Exchange 2007 administrative roles, you can add the members of each of the administrative groups to their equivalent Exchange 2013 role group. For example, if you want to give all Exchange 2007 organization administrators full access to Exchange 2013 objects, add the Exchange Organization Administrators USG to the Organization Management role group.

Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.For more information about how to add users and USGs to role groups, see Manage role group members.

Если для предоставления более детальных разрешений администраторам Exchange 2007 были изменены списки управления доступом для объектов Exchange 2007 и необходимо назначить этим администраторам аналогичные разрешения на управление серверами Exchange 2013, выполните следующие действия:If you modify ACLs on Exchange 2007 objects to grant more granular permissions to Exchange 2007 administrators, and if you want to assign similar permissions to Exchange 2013 servers to those administrators, follow these steps:

  1. Просмотрите изменения настроек списков управления доступом для объектов Exchange 2007 и определите тех администраторов, которым были предоставлены разрешения для каждого объекта.Review the ACL customizations that have been made to the Exchange 2007 objects, and locate the administrators who have been granted permissions to each object.

  2. Классифицируйте каждый объект Exchange 2007. Например, определите, является ли объект базой данных, сервером или получателем.Categorize each Exchange 2007 object. For example, determine whether the object is a database, server, or recipient object.

  3. Сопоставьте объекты с соответствующей группой ролей Exchange 2013. Список встроенных групп ролей см. в разделе Встроенные группы ролей.Map the objects to the corresponding Exchange 2013 role group. For a list of built-in role groups, see Built-in role groups.

  4. Добавьте универсальные группы безопасности или пользователей для каждого типа объекта в соответствующие группы ролей Exchange 2013. Дополнительные сведения о добавлении пользователей и универсальных групп безопасности в группы ролей см. в разделе Управление участниками группы ролей.Add the USGs or users for each kind of object to the corresponding Exchange 2013 role groups. For more information about how to add users and USGs to role groups, see Manage role group members.

После выполнения этих шагов администраторы Exchange 2007 будут входить в определенную группу ролей, сопоставленную с соответствующими объектами Exchange 2013. Администраторы Exchange 2007 могут использовать средства управления Exchange 2013 для управления серверами и получателями Exchange 2013.After you complete these steps, the Exchange 2007 administrators will be members of the specific role group that's mapped to the appropriate Exchange 2013 objects. The Exchange 2007 administrators can use the Exchange 2013 management tools to manage the Exchange 2013 servers and recipients.

Важно!

В общем случае управление серверами и получателями Exchange 2007 должно осуществляться с помощью средств управления Exchange 2007, а управление серверами и получателями Exchange 2013 — с помощью средств управления Exchange 2013.In general, Exchange 2007 servers and recipients must be managed by using Exchange 2007 management tools, and Exchange 2013 servers and recipients must be managed by using Exchange 2013 management tools.

Если встроенные группы ролей не предоставляют определенный набор разрешений, который необходимо предоставить некоторым администраторам, можно создать настраиваемые группы ролей. При создании настраиваемой группы ролей можно выбрать роли, которые необходимо добавить. Можно определить компоненты, которыми должны управлять члены этой группы ролей. Например, если администраторы должны управлять только группами рассылки, можно создать настраиваемую группу ролей и выбрать только роль «Группы рассылки». После этого члены этой группы ролей смогут управлять только группами рассылки. Дополнительные сведения о создании настраиваемых групп ролей см. в разделе Управление группами ролей.If the built-in role groups don't provide the specific set of permissions that you want to grant to some administrators, you can create custom role groups. When you create a custom role group, you can select which roles to add to it. You can define the specific features you want members of the role group to manage. For example, if you want administrators to manage only distribution groups, you can create a custom role group, and then select only the Distribution Groups role. After you do this, members of that custom role group can manage only distribution groups. For more information about how to create custom role groups, see Manage role groups.

Если определенным объектам Exchange 2007 предоставлены отдельные разрешения (например, администраторам разрешено управлять только определенными базами данных) и необходимо применить такую же конфигурацию к серверам Exchange 2013, обратитесь к подразделу «Повторное создание настройки списка управления доступом Exchange 2007 с помощью областей управления в версии Exchange 2013» далее в этом разделе.If you assign selective permissions to certain Exchange 2007 objects (for example, you allow administrators to administer only specific databases), and if you want to apply the same configuration to your Exchange 2013 servers, see "Re-Creating Exchange 2007 ACL Customization Using Management Scopes in Exchange 2013" later in this topic.

Предоставление разрешений Exchange 2007 администраторам Exchange 2013Granting Exchange 2007 permissions to Exchange 2013 administrators

Чтобы предоставить администраторам Exchange 2013 право управления серверами Exchange 2007, добавьте администраторов Exchange 2013 в универсальные группы безопасности или в группу безопасности, соответствующую определенной административной роли Exchange 2007. Или, если существуют настроенные параметры списков управления доступом, добавьте администраторов в соответствующие списки ACL. Группы ролей относятся к универсальным группам безопасности, поэтому их можно добавлять непосредственно в универсальные группы безопасности административных ролей Exchange 2007.If you want Exchange 2013 administrators to administer Exchange 2007 servers, add the Exchange 2013 administrators to the USGs or the security group that corresponds to the particular Exchange 2007 administrator role. Alternatively, if you have customized ACL settings, add the administrators to the appropriate ACLs. Role groups are USGs, so role groups can be added directly to Exchange 2007 administrator role USGs.

После выполнения указанных выше действий администраторы Exchange 2013 будут входить в соответствующую административную роль (или роли) Exchange 2007. Администраторы Exchange 2013 могут использовать средства управления Exchange 2007 для управления серверами и получателями Exchange 2007.After you finish, the Exchange 2013 administrators will be members of the appropriate Exchange 2007 administrator role or roles. The Exchange 2013 administrators can use the Exchange 2007 management tools to manage Exchange 2007 servers and recipients.

Повторная настройка списка управления доступом Exchange 2007 с помощью областей управления в Exchange 2013Re-Creating Exchange 2007 ACL customization using management scopes in Exchange 2013

Чтобы в Exchange 2007 ограничить количество администраторов определенного хранилища почтовых ящиков, администраторов определенных пользователей или определить хранилище, в котором создаются почтовые ящики, необходимо изменить списки управления доступом для ограничиваемых объектов. Exchange 2013 предоставляет те же возможности, но без необходимости изменять списки управления доступом. Эта процедура осуществляется с помощью областей управления, которые являются компонентом системы управления доступом на основе ролей.In Exchange 2007, when you want to restrict who can administer a specific mailbox store, administer specific users, or control which mailbox store mailboxes are created on, you must modify the ACLs on the objects you want to restrict. Exchange 2013 provides the same capabilities, but without having to modify any ACLs. It does this by using management scopes, which are a component of RBAC.

Области управления включают в себя встроенные и настраиваемые области для определения объектов, управляемых администраторами. Применение областей управления позволяет определить администрируемых получателей, базы данных, в которых разрешено создавать почтовые ящики, а также получателей и серверы, которые могут администрироваться только небольшой группой администраторов.Management scopes provide built-in scopes and custom scopes to define the objects that administrators can manage. By applying management scopes, you can define which recipients can be administered, which mailbox databases mailboxes can be created on, and which recipients or servers should be administered by a small group of administrators and by no one else.

Можно создать следующие типы областей управления:You can create the following types of management scopes:

  • Предварительно определенные относительное Предварительно определенные относительный областей, включаются в Exchange 2013. Можно управлять пользователь видит и пользователь изменяет. К примеру предварительно заданных относительно области можно управлять ли пользователи видеть только сведения о них самих или сведения о во всей организации.Predefined relative Predefined relative scopes are included in Exchange 2013. You can control what a user sees and what a user modifies. For example, predefined relative scopes can control whether users see only information about themselves or information about the entire organization.

  • Получатель Получателей областей управления список получателей, которые администратор может создать, изменить или удалить. Выбор может быть основана на подразделения (OU) и фильтра получателя. Фильтры получателей укажите критерии, по которым должно соответствовать получателя должны быть включены в области действия. Например можно создать область фильтра получателей, которая включает в себя всех пользователей в определенном месте или в определенном подразделении. Можно даже объединить организационных подразделений и фильтры получателей в соответствии с только пользователей, кто входит в рамках определенного Подразделения и пользователей, которые отчет определенному менеджеру.Recipient Recipient scopes control which recipients an administrator can create, modify, or delete. These selections can be based on an organizational unit (OU), a recipient filter, or both. Recipient filters specify the criteria that a recipient must match to be included in the scope. For example, you might create a recipient filter scope that includes all users in a certain location or in a specific department. You can even combine OUs and recipient filters to match only users who are within a specific OU and who report to a specific manager.

  • Сервер Сервер областей управления администратор может управлять серверами. Можно указать список серверов или серверов фильтры. Для списков серверов необходимо определить статический список серверов, на которых можно управлять. Фильтры Server работают точно так же, как получателя фильтры, то можно указать критерии, по которым должны совпадать. Например можно создать области сервера, которая соответствует всех серверов в рамках отдельного сайта Active Directory.Server Server scopes control which servers an administrator can manage. You can specify either server lists or server filters. For server lists, you define a static list of servers that can be managed. Server filters work in the same manner as recipient filters in that you can specify the criteria that have to be matched. For example, you might create a server scope that matches all servers within a particular Active Directory site.

  • Базы данных Базы данных, какие базы данных администратор может управлять областей управления. Они также можно управлять которого могут быть созданы базы данных почтовых ящиков на или которого можно переместить базы данных почтовых ящиков. Как сервер областях они может быть определен как списки или фильтры. Например можно создать список или фильтр, который позволяет администраторам создавать почтовые ящики на или перемещение почтовых ящиков в базы данных определенного почтового ящика, управляемые определенным подразделением.Database Database scopes control which databases an administrator can manage. They can also control which databases mailboxes can be created on or which databases mailboxes can be moved to. Like server scopes, they can be defined as lists or as filters. For example, you might create a list or filter that allows administrators to create mailboxes on or move mailboxes to specific mailbox databases managed by a specific subsidiary.

  • Эксклюзивная область   Области получателей, серверов и баз данных можно создавать как эксклюзивные. Эксклюзивные области работают как запрещающие элементы управления доступом в списках управления доступом. Если какой-либо компонент входит в эксклюзивную область, то управление этим объектом осуществляется только администраторами, которым назначена эта эксклюзивная область. Это справедливо даже в том случае, если этот компонент соответствует другой неэксклюзивной области. Такая функция особенно полезна, если требуется поручить управление почтовым ящиком руководителя только нескольким надежным сотрудникам. Даже если более широкая обычная область получателей включает в себя почтовый ящик руководителя, администраторы с более широкой обычной областью не смогут управлять этим почтовым ящиком, если им не назначена эксклюзивная область.Exclusive Recipient, server, and database scopes can also be created as exclusive scopes. Exclusive scopes work in the same manner as deny access ACEs in ACLs. If anything matches an exclusive scope, only the administrators assigned an exclusive scope can manage that object. This is true even if another scope that isn't exclusive matches the same object. This is especially useful when you might want only a few, highly trusted individuals to be able to manage an executive's mailbox. Even if another regular recipient scope is broader and includes the executive's mailbox in the scope, the administrators assigned the broader, regular recipient scope won't be able to manage that executive's mailbox unless they are also assigned the exclusive scope.

Области управления используются вместе с ролями управления, их назначениями, а также с группами таких ролей для определения администраторов объектов и способа управления этими объектами. Дополнительные сведения см. в следующих разделах:Management scopes are used with management roles, management role assignments, and management role groups to control who can manage what objects and in what manner they can manage those objects. For more information, see the following topics:

Чтобы создать модель разрешений, определенную через настроенные списки управления доступом, в системе Exchange 2013 с помощью областей управления, необходимо определить настроенные списки ACL и создать соответствующие им области управления. Фильтруемые свойства объектов получателей, серверов и баз данных можно использовать для создания области управления, включающей в себя объекты, доступ к которым должен контролироваться этой областью. Дополнительные сведения о свойствах, для которых можно использовать фильтры областей управления, см. в разделе Общие сведения о фильтрах области ролей управления.To create the same permissions model in Exchange 2013 using management scopes that you might have defined using customized ACLs, you must inventory the ACLs that you've customized, and then create management scopes that match them. You can use the filterable properties available on recipient, server, and database objects to create management scopes that include the objects to which you want each management scope to control access. For more information about the properties that you can use with management scope filters, see Understanding management role scope filters.

Дополнительные сведения о создании областей управления см. в разделе Создание регулярной или монопольной области.For more information about how to create management scopes, see Create a regular or exclusive scope.