瞭解與 Exchange 2003 共存的權限
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
Microsoft Exchange Server 2010 與 Exchange Server 2003 中的權限是完全不同的。這是因為 Exchange 2010 和 Exchange 2003 是使用不同的權限模型。您必須採取步驟授與現有的 Exchange 2003 系統管理員對您 Exchange 2010 伺服器的權限,反之亦然。此外,Exchange 2010 和 Exchange 2003 是使用各自版本提供的管理工具分開執行管理。您可以授與權限給您的系統管理員,使其能夠管理結合的 Exchange 2010 和 Exchange 2003 組織。
如需規劃 Exchange 2010 與 Exchange 2003 間之共存的詳細資訊,請參閱 Exchange 2003 - 升級和共存規劃藍圖。
Exchange 2010 權限
Exchange 2010 使用應用角色的存取控制 (RBAC) 權限模型。這個模型包含指派了許多管理角色之一的管理角色群組。管理角色包含可讓系統管理員在 Exchange 組織中執行工作的權限。系統管理員會新增為角色群組的成員,並且會被授與角色所提供的所有權限。下表提供角色群組的範例、這些角色群組被指派的一些角色,以及可能是角色群組成員之使用者類型的描述。
Exchange 2010 中之角色群組與角色的範例
| 管理角色群組 | 管理角色 | 這個角色群組的成員 |
|---|---|---|
組織管理 |
下列是指派給這個角色群組的一些角色:
|
需要管理整個 Exchange 2010 組織的使用者必須是這個角色群組的成員。除了某些例外,這個角色群組的成員幾乎可以管理 Exchange 2010 組織的任何層面。 根據預設,用於為 Exchange 2010 準備 Active Directory 的使用者帳戶是這個角色群組的成員。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱組織管理。 |
僅限檢視組織管理 |
下列是指派給這個角色群組的角色:
|
必須檢視整個 Exchange 2010 組織之組態的使用者必須是這個角色群組的成員。這些使用者必須能夠檢視伺服器組態、收件者資訊,而且必須能夠執行監視功能,但不能變更組織或收件者組態。 如需這個角色群組的詳細資訊,請參閱僅檢視組織管理。 |
收件者管理 |
下列是指派給這個角色群組的角色:
|
必須管理 Exchange 2010 組織中之收件者 (例如信箱、連絡人及通訊群組) 的使用者必須是這個角色群組的成員。這些使用者可以建立收件者、修改或刪除現有的收件者或移動信箱。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱收件者管理。 |
伺服器管理 |
下列是指派給這個角色群組的一些角色:
|
必須管理 Exchange 伺服器組態 (例如接收連接器、憑證、資料庫及虛擬目錄) 的使用者必須是這個角色群組的成員。這些使用者可以修改 Exchange 伺服器組態、建立資料庫及重新啟動和操作傳輸佇列。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱伺服器管理。 |
探索管理 |
下列是指派給這個角色群組的角色:
|
必須執行信箱搜尋以支援法律訴訟或設定合法持有的使用者必須是這個角色群組的成員。 這是可能包含非 Exchange 系統管理員 (例如法務部門中的人員) 的角色群組的範例。這可以讓法務人員在不需 Exchange 系統管理員介入的情況下執行其工作。 如需這個角色群組的詳細資訊,以及指派至這個角色群組之角色的完整清單,請參閱探索管理。 |
如前一個表格所顯示,Exchange 2010 提供您授與系統管理員之權限的細微層次控制。您可以從 Exchange 2010 內的 11 個角色群組中選取。如需角色群組及其提供之權限的完整清單,請參閱內建角色群組。
因為 Exchange 2010 提供的角色群組數目,而且因為建立具有不同角色組合之角色群組可進行更多自訂,所以不必再使用 Active Directory 物件的存取控制清單 (ACL),而且這些清單也不會有任何效果。系統不會再使用 ACL 來將權限套用到 Exchange 2010 中的個別系統管理員或群組。所有工作 (例如建立信箱的系統管理員或存取信箱的使用者) 都由 RBAC 管理。RBAC 會授權工作,如果允許的話,Exchange 會代替 Exchange 受信任子系統萬用安全性群組 (USG) 中的使用者執行工作。除了某些例外,Active Directory 中 Exchange 2010 需要存取的物件上所有 ACL 都會授與 Exchange 信任子系統 USG。這是從 Exchange 2003 中處理權限方式的根本變更。
授與 Active Directory 中之使用者的權限,與使用者使用 Exchange 2010 管理工具時 RBAC 授與使用者的權限不同。
如需有關 RBAC 的詳細資訊,請參閱瞭解應用角色的存取控制。
Exchange 2003 權限
Exchange 2003 有下列管理角色:
Exchange 僅檢視 這個角色會授與 Exchange 2003 系統管理員檢視 Exchange 2003 伺服器和收件者資訊的權限。
Exchange 系統管理員 這個角色會授與 Exchange 2003 系統管理員對 Exchange 2003 伺服器與收件者的所有權限 (取得擁有權、變更權限或開啟使用者信箱的能力除外)。若系統管理員必須新增物件或修改物件內容,但不需委派物件的權限時,就會指派這個角色。
Exchange 系統高權限管理員 這個角色會授與 Exchange 2003 系統管理員對 Exchange 2003 伺服器與收件者的所有權限,包括變更權限的能力。這個角色是指派給需要委派權限給物件的系統管理員。
Exchange 2003 可讓您將系統管理員分割為這些角色之一。權限會直接指派給使用者或使用身為成員的 USG。使用者執行的任何動作,都會在該使用者的 Active Directory 帳戶環境中執行。
如果需要進行更細微的權限指派,您必須修改個別 Exchange 2003 物件的 ACL,例如通訊清單和資料庫。如同系統管理員角色,使用者或使用者為成員之一的安全群組會直接新增到 ACL,而在讓使用者的環境下執行動作。
如需 Exchange 2003 管理群組的詳細資訊,請參閱 Microsoft 知識庫文章 823018<Exchange 2003 中 Exchange 系統管理角色權限的概觀>(機器翻譯)。
Exchange 2010 與 Exchange 2003 共存中的權限
如同本主題前面所述,Exchange 2010 與 Exchange 2003 是使用不同的權限模型。Exchange 2010 使用角色群組來授與權限,而 Exchange 2003 則使用管理群組與 ACL 的組合來授與權限。儘管 Exchange 2010 與 Exchange 2003 這兩個版本存在於同一個樹系中,但是兩者的權限完全不同。這表示根據預設且不需任何其他組態,Exchange 2003 系統管理員没有管理 Exchange 2010 伺服器的權限,反之亦然。這種情況會造成一些必須考慮的問題:
您要授與 Exchange 2010 系統管理員存取權以管理 Exchange 2003 伺服器嗎 (反之亦然)?
您要自訂 Exchange 2010 權限,使其符合您對 Exchange 2003 所做的自訂嗎?
授與 Exchange 2010 權限給 Exchange 2003 系統管理員
如果要讓 Exchange 2003 系統管理員管理 Exchange 2010 伺服器,您的 Exchange 2003 系統管理員必須新增為一個或多個 Exchange 2010 角色群組的成員。您可以新增使用者或 USG 至角色群組。然後授與角色群組的權限會套用至您新增為成員的使用者或 USG。
.gif "重要事項") 重要事項: |
|---|
| 如果您使用網域本機或全域 Active Directory 安全性群組,若是想要將其新增為 Exchange 2010 角色群組的成員,必須將其變更為 USG。Exchange 2010 只支援 USG。 |
下表提供 Exchange 2003 管理角色與 Exchange 2010 角色群組之間的對應。
Exchange 2003 管理角色與 Exchange 2010 角色群組
| Exchange 2003 管理角色 | Exchange 2010 角色群組 |
|---|---|
Exchange 系統高權限管理員 |
組織管理 |
Exchange 系統管理員 |
Exchange 2010 未包含同等的角色群組。以 組織管理 角色群組為基礎但沒有任何委派角色指派的自訂角色群組,必須在 Exchange 2010 中建立,讓角色群組等於 Exchange 系統管理員角色群組。 如需建立自訂角色群組的詳細資訊,請參閱建立角色群組。 |
Exchange 僅檢視 |
僅限檢視組織管理 |
如果您所有的 Exchange 2003 系統管理員是三個 Exchange 2003 管理角色之一的成員,您必須將每一個管理群組的成員新增至同等的 Exchange 2010 角色群組。如需新增使用者與 USG 至角色群組的詳細資訊,請參閱將成員新增至角色群組。
如果您修改了 Exchange 2003 物件的 ACL 以授與 Exchange 2003 系統管理員更精細的權限,並想要指派 Exchange 2010 伺服器的相似權限給這些系統管理員,必須執行下列工作:
詳細記下您對 Exchange 2003 物件所做的 ACL 自訂,並識別每個系統管理員授與的權限。
將每個 Exchange 2003 物件分類,例如分類為資料庫、伺服器或收件者物件。
將物件對應至對應的 Exchange 2010 角色群組。如需內建角色群組的清單,請參閱內建角色群組。
將每一種類型物件的 USG 或使用者新增至對應的 Exchange 2010 角色群組。如需新增使用者與 USG 至角色群組的詳細資訊,請參閱將成員新增至角色群組。
完成之後,您的 Exchange 2003 系統管理員應為對應至其必須管理之 Exchange 2010 物件的角色群組的成員。現在他們可以使用 Exchange 2010 管理工具管理 Exchange 2010 伺服器和收件者。
| 重要事項: |
|---|
| 一般而言,Exchange 2003 伺服器與收件者必須以 Exchange 2003 管理工具管理,而 Exchange 2010 伺服器和收件者必須以 Exchange 2010 管理工具管理。如需詳細資訊,請參閱Exchange 2003 - 升級和共存規劃藍圖。 |
如果內建角色群組未提供您想要授與某些系統管理員的特定權限集,您可以建立自訂角色群組。當您建立自訂角色群組時,可以選擇要新增至群組的角色。這可以讓您定義希望角色群組成員管理的特定功能。例如,您若是只希望系統管理員管理通訊群組,可以建立自訂角色群組,並只選擇 Distribution Groups 角色。該自訂角色群組的成員只能夠管理通訊群組。如需如何建立自訂角色群組的詳細資訊,請參閱建立角色群組。
如果您授與了選擇性權限給某些 Exchange 2003 物件 (例如只允許系統管理員管理特定的資料庫),而您想要套用相同的組態至 Exchange 2010 伺服器,請參閱本主題後面的「使用 Exchange 2003 中的管理範圍重新建立 Exchange 2010 ACL 自訂」。
授與 Exchange 2003 權限給 Exchange 2010 系統管理員
如果要讓 Exchange 2010 系統管理員管理 Exchange 2003 伺服器,必須將您的 Exchange 2010 系統管理員新增到三個 Exchange 2003 管理群組之一,或者您若是自訂了 Exchange 2003 權限,可將其新增至適當的 ACL。您可以新增使用者或 USG 到 Exchange 2003 管理群組。角色群組為 USG,因此可以將它們直接新增至 Exchange 2003 系統管理群組。本主題討論新增 Exchange 2010 系統管理員至內建的 Exchange 2003 系統管理群組。
適用本主題前面「Exchange 2003 管理角色和 Exchange 2010 角色群組」表格中顯示的 Exchange 2010 角色群組與 Exchange 2003 管理角色之間的相同對應。如果想讓您的 Exchange 2010 組織系統管理員擁有您的 Exchange 2003 管理角色的完整存取權,請將 組織管理 角色群組新增至 Exchange 系統高權限管理員管理群組。為 僅限檢視組織管理 角色群組和 Exchange 僅檢視管理群組執行相同工作。
完成之後,您的 Exchange 2010 系統管理員必須是對應至其所在之角色群組的管理群組的成員。現在他們可以使用 Exchange 2003 管理工具管理 Exchange 2003 伺服器與收件者。
| 重要事項: |
|---|
| 一般而言,Exchange 2003 伺服器與收件者必須以 Exchange 2003 管理工具管理,而 Exchange 2010 伺服器和收件者必須以 Exchange 2010 管理工具管理。如需詳細資訊,請參閱Exchange 2003 - 升級和共存規劃藍圖。 |
如需新增使用者或 USG 至 Exchange 2003 管理群組的詳細資訊,請參閱知識庫文章 823018<Exchange 2003 中 Exchange 系統管理角色權限的概觀>(機器翻譯)。
使用 Exchange 2010 中的管理範圍重新建立 Exchange 2003 ACL 自訂
在 Exchange 2003 中,如果要限制誰可以管理特定信箱儲存區、管理特定使用者或控制在哪個信箱儲存區上建立信箱,必須修改要限制之物件的 ACL。Exchange 2010 提供相同的功能,但不必修改任何 ACL。它會使用管理範圍 (也就是RBAC 的元件) 執行此功能。
管理範圍提供使用內建範圍和自訂範圍定義系統管理員可以管理之物件的能力。透過套用管理範圍,您可以定義能夠管理哪些收件者、可以在哪些信箱資料庫上建立信箱,以及哪些收件者或伺服器應由一小組系統管理員管理,不能由其他人管理。
可以建立下列類型的管理範圍:
預先定義的相對 Exchange 2010 包含預先定義的相對範圍。您可以控制使用者看到和能夠修改的內容。例如,預先定義的相對範圍可以控制使用者是只看得到自己的相關資訊,或者看得到整個組織的相關資訊。
收件者 收件者範圍控制系統管理員可以建立、修改或刪除哪些收件者範圍。可以根據組織單位 (OU)、收件者篩選器或這兩者為基礎。收件者篩選器指定收件者若要包含在範圍中,必須符合的準則。例如,您可以建立包含特定位置或特定部門中所有使用者的收件者篩選器範圍。您甚至可以結合 OU 與收件者篩選器,只合配在特定 OU 之內的使用者,並且只向特定經理報告。
伺服器 伺服器範圍控制系統管理員可以管理哪些伺服器。您可以指定伺服器清單或伺服器篩選器。藉由使用伺服器清單,您可以定義可以管理的伺服器靜態清單。伺服器篩選器的運作方式與收件者篩選器相同,您可以指定必須符合的準則。例如,您可能會建立符合特定 Active Directory 網站中所有伺服器的伺服器範圍。
資料庫 資料庫範圍控制系統管理員可以管理哪些資料庫。他們也可以控制可以建立或移動信箱的資料庫。它們也像伺服器範圍一樣,可以定義為清單或篩選器。例如,您可能要建立一個清單或篩選器,允許系統管理員建立或移動由特定子公司管理之特定信箱資料庫上的信箱。
獨佔 除了預先定義的相對範圍之外,前述的任何範圍也可以建立為獨佔範圍。獨佔範圍的作用方式類似 ACL 中的拒絕存取控制項目 (ACE)。如果有任何項目符合獨佔範圍,只有指派了獨佔範圍的系統管理員可以管理該物件,即使有其他非獨佔的範圍符合相同的物件也一樣。這對高階主管特別有用,因為您可能只想讓少數極受信任的人能夠管理其信箱。即使另一個較廣的一般收件者範圍在其範圍中包含高階主管的信箱,指派了較廣的一般收件者範圍的系統管理員除非也指派了獨佔範圍,否則將無法管理高階主管的信箱。
管理範圍可以配合管理角色、管理角色指派和管理角色群組使用,以控制誰可以管理哪些物件和在哪裡管理。如需詳細資訊,請參閱下列主題:
若要使用您在 Exchange 2003 中使用自訂 ACL 定義的管理範圍在 Exchange 2010 中建立相同的權限模型,必須詳細記下您已自訂的 ACL,並建立與其符合的管理範圍。您可以使用收件者、伺服器和資料庫物件上的可篩選內容,建立包含您要每個管理範圍控制存取之物件的管理範圍。如需您可配合管理範圍篩選器使用之內容的詳細資訊,請參閱瞭解管理角色範圍篩選器。
如需建立管理範圍的詳細資訊,請參閱建立一般或獨佔範圍。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。