Consideraciones sobre permisos
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-07-12
Al diseñar la integración de Microsoft Exchange Server 2007 en la estructura del servicio de directorio de Active Directory, hay que tener en cuenta el modelo administrativo de la organización. Con Exchange 2007, dispone de flexibilidad para asignar permisos a los administradores. En general, se recomienda que piense en cómo afectan las siguientes capacidades de Active Directory y Exchange 2007 al modo en el que organiza las funciones administrativas:
Un solo administrador puede realizar tareas para Microsoft Windows Server 2003 y Exchange.
Puede dividir permisos entre administradores de Exchange y administradores de Windows.
Puede aislar las funciones de administrador de Exchange y de Windows si utiliza un bosque de recursos de Exchange.
En las secciones de este tema se describen la flexibilidad de la configuración de permisos y de las funciones administrativas disponibles en Exchange 2007.
Descripción del modelo de permisos divididos de Exchange y Active Directory
En muchas organizaciones de Microsoft Exchange, sobre todo en las grandes y medianas, puede haber más de un administrador de Exchange. Dado que estos administradores pueden realizar un conjunto específico de tareas de administración, Exchange Server 2007 contiene funciones de administrador predefinidas y un modelo de permisos divididos que permite configurar permisos específicos en Active Directory para realizar diversas tareas administrativas en la organización. En Exchange 2007, los permisos de atributos de destinatarios de Exchange se encuentran agrupados. De esta forma, se minimiza la configuración manual de permisos que debe realizar para separar los permisos de Exchange de otros permisos de administración. Para obtener más información acerca de cómo planear e implementar su modelo de permisos, consulte los siguientes temas.
Cambios en el modelo de permisos y seguridad
El modelo de permisos y seguridad de Exchange Server 2003 ha cambiado en Exchange 2007. En esta sección, se proporciona información acerca de los cambios del modelo de permisos de Exchange y se describen las diferencias.
Conjuntos de propiedades
Un conjunto de propiedades es un grupo de atributos de Active Directory. Puede controlar el acceso a este grupo de atributos de Active Directory al configurar una entrada de control de acceso (ACE) en lugar de configurar una entrada de control de acceso en cada propiedad. El conjunto de propiedades que agrupa todos los atributos de Exchange de destinatario se llama información de correo electrónico.
Nota
Los grupos de seguridad de Exchange Server 2003 que tenían permiso de acceso a las propiedades de destinatario en los servidores de Exchange Server 2003 tendrán permiso para obtener acceso al conjunto de propiedades de correo electrónico de Exchange 2007, siempre que utilice Setup.com de Exchange 2007 o Setup.com con el parámetro /PrepareAD para actualizar el esquema Active Directory.
Para obtener más información acerca de conjuntos de propiedades, consulte Conjuntos de propiedades en Exchange Server 2007.
Modelo de permisos y seguridad de Exchange 2003
Para ayudar a simplificar la administración de los permisos, Exchange Server 2003 ofrecía funciones de seguridad predefinidas que estaban disponibles en el Asistente para delegar la administración de Exchange 2003. Estas funciones eran una colección de permisos estandarizados que se podían aplicar en el nivel de la organización o de grupos administrativos.
En Exchange 2003, las siguientes funciones de seguridad estaban disponibles a través del Asistente para delegar del Administrador del sistema de Exchange:
Administrador total de Exchange
Administrador de Exchange
Administrador con permiso de vista de Exchange
Este modelo tenía las siguientes limitaciones:
Falta de concreción. El grupo de administrador de Exchange era demasiado grande y algunos clientes deseaban administrar su modelo de permisos y seguridad a nivel de cada servidor.
La percepción de que las funciones de seguridad de Exchange Server 2003 sólo tenían diferencias muy sutiles.
No había una separación clara entre la administración de usuarios y grupos por parte de los administradores de Windows (Active Directory) y los administradores de destinatarios de Exchange. Por ejemplo, había que conceder a los administradores de Exchange permisos de alto nivel (permisos de operador de cuentas en los dominios de Exchange) para realizar tareas relacionadas con los destinatarios de Windows.
Modelo de permisos y seguridad de Exchange 2007
Para mejorar la administración de las funciones de administrador de Exchange, que se denominaban "grupos de seguridad" en Exchange 2003, se han incluido las siguientes características nuevas o mejoradas en el modelo de permisos y seguridad de Exchange:
Nuevas funciones de administrador que son similares a los grupos de seguridad integrados en Windows Server. Para obtener más información acerca de estas funciones de administrador, consulte "Funciones de administrador en Exchange 2007" más adelante en este tema.
Puede utilizar la Consola de administración de Exchange (anteriormente el Administrador del sistema de Exchange) y la Shell de administración de Exchange para ver, agregar y quitar miembros de cualquier función de administrador.
Funciones de administrador en Exchange 2007
Exchange 2007 dispone de los grupos predefinidos siguientes que administran los datos de configuración de Exchange:
Administradores de la organización de Exchange
Administradores de destinatarios de Exchange
Administrador con permisos de sólo vista de Exchange
Exchange Administradores de carpeta pública (Novedad en el Service Pack 1 de Exchange Server 2007)
Durante la fase Instalación /PrepareAD de Exchange (la fase de organización y preparación que es similar a ForestPrep de Exchange 2003), estas funciones de administrador de Exchange (excepto la de administrador de servidor de Exchange) se crean en una nueva unidad de organización de grupos de seguridad (OU) de Microsoft Exchange que se encuentra ubicada en el dominio en que se ejecuta /PrepareAD.
Cuando se agrega una función de administrador a un usuario, ese usuario hereda los permisos que permiten esa función. Estas funciones de administrador tienen permisos para administrar datos de Exchange en Active Directory. Existen tres tipos de datos de Exchange que pueden administrar estos grupos:
Datos globales Se trata de datos de un contenedor de configuración de Active Directory que no están asociados a ningún servidor en particular. Estos datos incluyen (aunque sin limitarse a ellos) directivas de buzón, listas de direcciones y la configuración de mensajería unificada de Exchange. Generalmente, los datos globales afectan a toda la organización y, potencialmente, pueden afectar a todos los usuarios. Es recomendable permitir únicamente unos pocos usuarios de confianza para configurar o cambiar datos globales.
Datos de destinatarios Los destinatarios de Exchange son objetos de usuario de Active Directory que pueden recibir o enviar mensajes de correo electrónico. Entre algunos ejemplos de datos de destinatarios, se incluyen contactos habilitados para correo, grupos de distribución, buzones y tipos de destinatarios específicos como, por ejemplo, objetos proxy de carpeta pública.
Datos de servidor Los datos de servidor de Exchange se encuentran en Active Directory, en el nodo del servidor especificado. Entre algunos ejemplos de estos datos, se incluyen conectores de recepción, directorios virtuales, configuraciones por servidor y datos de grupos de almacenamiento y buzones.
Función de administradores de la organización de Exchange
La función de administradores de la organización de Exchange ofrece a los administradores acceso completo a todas las propiedades y objetos de Exchange en la organización de Exchange. Durante la instalación de Exchange, en el dominio raíz, Instalación /PrepareAD crea el grupo de seguridad de Active Directory denominado Administradores de la organización de Exchange en el contenedor Grupos de seguridad de Microsoft Exchange de Usuarios y equipos de Active Directory.
Cuando se agrega un usuario al grupo de la función Administradores de la organización de Exchange, ese usuario se convierte en miembro del grupo de funciones de administrador denominado Administradores de la organización de Exchange. Exchange 2007 crea este grupo durante la preparación de Active Directory. Los miembros de la función de Administradores de la organización de Exchange tienen los permisos siguientes:
Propietarios de la organización de Exchange en el contenedor de configuración de Active Directory. Como propietarios, los miembros de la función tienen completo control sobre los datos de la organización de Exchange en el contenedor de configuración de Active Directory y el grupo de administradores de servidor de Exchange.
Permiso de lectura en todos los contenedores de usuario de dominio de Active Directory. Exchange concede este permiso durante la instalación del primer servidor de Exchange 2007 en el dominio, por cada dominio de la organización. Estos permisos se conceden al ser miembro de la función Administrador de destinatarios de Exchange.
Permiso de escritura en todos los atributos específicos de Exchange en todos los contenedores de usuario de dominio de Active Directory. Exchange 2007 concede este permiso durante la instalación del primer servidor de Exchange 2007 en el dominio, por cada dominio de la organización. Estos permisos se conceden al ser miembro de la función Administrador de destinatarios de Exchange.
Propietario de todos los datos de configuración de servidores locales. Como propietarios, los miembros tienen control completo sobre el servidor local de Exchange. Exchange 2007 concede este permiso durante la instalación de cada servidor de Exchange.
Los usuarios que son miembros de esta función de administrador de organización de Exchange tienen el nivel de permisos más alto de la organización de Exchange. Todas las tareas que afectan a toda la organización de Exchange requieren pertenecer a este grupo. Entre algunos ejemplos de tareas que requieren permisos de administrador de la organización de Exchange se encuentran la creación o eliminación de conectores, el cambio de directivas de servidor y el cambio de valores de configuración globales.
Nota
Cuando instale Exchange 2007, el programa de instalación agregará la función Administradores de la organización de Exchange como miembro del grupo local de administradores en el equipo donde esté instalando Exchange. Tenga en cuenta que el grupo local de administradores de un controlador de dominio tiene permisos diferentes a los del grupo local de administradores de un servidor miembro. Si instala Exchange 2007 en un controlador de dominio, los usuarios en la función Administradores de la organización de Exchange tendrán permisos de Windows adicionales de los que carecerían si instalara Exchange 2007 en un equipo que no sea un controlador de dominio.
Función de administradores de destinatarios de Exchange
La función de administradores de destinatarios de Exchange tiene permisos para modificar cualquier propiedad de Exchange en un usuario, contacto, grupo, lista de distribución dinámica u objeto de carpeta pública de Active Directory. Durante la ejecución del programa de Instalación /PrepareAD de Exchange, el grupo de funciones de administradores de destinatarios de Exchange se crea en el contenedor de grupos de seguridad de Microsoft Exchange de Active Directory. Esta función también le permite administrar la configuración de buzones de mensajería unificada y la configuración de buzones de acceso de cliente. Los miembros de la función de administradores de destinatarios de la organización de Exchange tienen los permisos siguientes:
Permiso de lectura en todos los contenedores de usuario de dominio de Active Directory en los que se ha ejecutado el programa de Instalación /PrepareDomain en dichos dominios.
Permiso de escritura en todos los atributos específicos de Exchange en los contenedores de usuario de dominio de Active Directory en los que se ha ejecutado Instalación /PrepareDomain en dichos dominios.
Pertenencia a la función de administradores de sólo vista de Exchange.
Los usuarios que son miembros de esta función de administrador de destinatarios de Exchange no tienen permisos sobre los dominios en los que no se ha ejecutado Instalación /PrepareDomain . Al agregar un nuevo dominio de Exchange, asegúrese de ejecutar Instalación /PrepareDomain en el nuevo dominio para conceder permisos a los grupos de funciones de administrador de Exchange en ese dominio.
Función de administradores de servidores de Exchange
La función de administradores de servidores de Exchange sólo tiene acceso a los datos de configuración de Exchange del servidor local, ya sea en Active Directory o en el equipo físico en el cual está instalado Exchange 2007. Los usuarios que pertenecen a la función de administradores de servidores de Exchange tienen permisos para administrar un servidor en particular, pero no tienen permisos para realizar operaciones que tengan un impacto global en la organización de Exchange.
Exchange 2007 crea esta función de administrador durante la instalación. Los miembros de la función Administrador de servidor de Exchange tienen los siguientes permisos:
Propietario de todos los datos de configuración de servidores locales. Como propietarios, los miembros de la función tienen control completo sobre los datos de configuración del servidor local.
Administrador local en el equipo en el que está instalado Exchange.
Miembros de la función de administradores de sólo vista de Exchange.
Administradores con permisos de sólo vista de Exchange
La función de administradores de sólo vista de Exchange tiene permiso de sólo lectura en todo el árbol de la organización de Exchange en el contenedor de configuración de Active Directory y permiso de sólo lectura en todos los contenedores de dominio de Windows que tienen destinatarios de Exchange.
Durante la ejecución del programa de Instalación /PrepareAD de Exchange, la función de administradores de sólo vista de Exchange se crea en el contenedor de grupos de seguridad de Microsoft Exchange en Active Directory.
Administradores de carpetas públicas de Exchange
Novedades en el Service Pack 1 (SP1) de Exchange 2007
La función de Administradores de carpetas públicas de Exchange tiene permisos administrativos para administrar todas las carpetas públicas. Esta función de administrador tiene concedido el derecho extendido "Crear carpeta pública de alto nivel". Los miembros de esta función pueden crear e eliminar carpetas públicas y administrar configuraciones de carpeta pública como réplicas, cuotas, límites de edad, permisos administrativos y permisos de cliente. Esta función de administrador puede habilitar el correo de carpetas públicas, pero no puede modificar propiedades de correo relacionadas con los destinatarios, como las direcciones proxy. Esta capacidad requiere la pertinencia a la función de administradores de destinatarios de Exchange.
Resumen de los permisos y funciones de administrador
En la siguiente tabla, se enumeran las funciones de administrador de Exchange 2007 y sus permisos de Exchange relacionados.
| Función de administrador | Usuarios | Miembro de | Permisos de Exchange |
|---|---|---|---|
Administradores de la organización de Exchange |
Administrador o la cuenta que se ha utilizado para instalar el primer servidor de Exchange 2007. |
Administrador de destinatarios de Exchange Grupo local de administradores de <Nombre de servidor> |
Control completo del contenedor de Microsoft Exchange en Active Directory |
Administradores de destinatarios de Exchange |
Administradores de la organización de Exchange |
Administrador con permisos de sólo vista de Exchange |
Control completo de las propiedades de Exchange en el objeto de usuario de Active Directory |
Administradores de servidores de Exchange |
|
Administrador con permisos de sólo vista de Exchange Grupo local de administradores de <Nombre de servidor> |
Control completo de Exchange <Nombre de servidor> |
Administrador con permisos de sólo vista de Exchange |
Administradores de destinatarios de Exchange Administradores de carpetas públicas de Exchange |
Administradores de destinatarios de Exchange Administradores de servidores de Exchange |
Permiso de lectura en el contenedor de Microsoft Exchange en Active Directory. Permiso de lectura en todos los dominios de Windows que tienen destinatarios de Exchange. |
Servidores de Exchange |
Cada cuenta de equipo de Exchange 2007 |
Administrador con permisos de sólo vista de Exchange |
Especial |
Administradores de carpetas públicas de Exchange |
Administradores de la organización de Exchange |
Administrador con permiso de vista de Exchange |
Capacidad de administrar de forma administrativa las carpetas públicas. |
Atributos de libretas de direcciones
Exchange utiliza muchos atributos para almacenar los datos de Exchange. Exchange utiliza también otros atributos de destinatarios que pueden utilizarse con otras aplicaciones compatibles con directorios que utilizan los datos de Exchange. Por lo tanto, estos atributos no se agregaron a los conjuntos de propiedades específicas de Exchange. Estos atributos pueden residir en otros grupos de propiedades creados durante la instalación de Active Directory o puede que no pertenezcan a ningún grupo de propiedades.
Los atributos enumerados en la siguiente tabla son los datos que se proporcionan a los usuarios finales a través de Microsoft Office Outlook en la lista global de direcciones (GAL). Si un administrador de Exchange requiere la capacidad de actualizar estos atributos y no es miembro de ningún grupo de seguridad privilegiado de un dominio como, por ejemplo, el grupo de operadores de cuenta, el administrador de Active Directory debe conceder permiso de lectura/escritura.
| Se aplica a un objeto | Ubicación de la consola de administración de Exchange | Atributo | Descripción |
|---|---|---|---|
Usuario, Contacto |
Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto |
givenName |
Nombre |
Usuario, Contacto |
Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto |
initials |
Inicial del segundo nombre |
Usuario, Contacto |
Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto |
sn |
Apellidos |
Usuario, Contacto |
Ficha Información del usuario o Información de contacto en las propiedades de usuario o contacto |
info |
Campo de notas |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
streetAddress |
Dirección |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
l |
City |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
st |
Estado/Provincia |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
postalCode |
Código postal |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
countryCode |
País o región |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
telephoneNumber |
Teléfono de la oficina |
Usuario, Contacto |
Sólo disponible en el Shell de administración de Exchange |
otherTelephoneNumber |
Teléfono de la oficina alternativo |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
pager |
Pager |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
facsimileTelephoneNumber |
Fax |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
homePhone |
Teléfono de casa |
Usuario, Contacto |
Sólo disponible en el Shell de administración de Exchange |
otherHomePhone |
Teléfono de casa alternativo |
Usuario, Contacto |
Ficha Dirección y teléfono en las propiedades de usuario o contacto |
mobile |
Teléfono móvil |
Usuario, Contacto |
Sólo disponible en el Shell de administración de Exchange |
otherfacsimileTelephoneNumber |
Fax alternativo |
Contacto |
Sólo disponible en el Shell de administración de Exchange |
telephoneAssistant |
Teléfono del ayudante |
Contacto |
edición de Interfaces del servicio Active Directory (ADSI)/LDAP |
telephoneAssistant |
Teléfono del ayudante |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
title |
Title |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
company |
Company |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
department |
Department |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
physicalDeliveryOfficeName |
Office |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
manager |
Administrador |
Usuario, Contacto |
Ficha Organización en las propiedades de usuario o contacto |
directReports |
Informes directos |
Usuario, Contacto |
Sólo disponible en el Shell de administración de Exchange |
msExchAssistantName |
Nombre del ayudante |
Grupo |
Ficha Información de grupo en propiedades de grupo |
managedBy |
Propietario del grupo |
Grupo |
Ficha Información de grupo en propiedades de grupo |
info |
Campo de notas |
Información adicional
Para más información acerca de cómo delegar permisos mediante las funciones administrativas de Exchange, consulte Add-ExchangeAdministrator.
Para obtener información acerca de cómo preparar Active Directory y sus dominios para Exchange 2007, consulte Cómo preparar Active Directory y dominios.