Informazioni sulle autorizzazioni per più foreste

Si applica a: Exchange Server 2013

Molte organizzazioni distribuiscono più foreste per creare confini di protezione al loro interno. L'utilizzo di più foreste consente agli amministratori di definire questi confini di protezione in modo più adeguato ai loro requisiti, assicurando che abbia accesso alle risorse il minor numero possibile di persone oppure segmentando i reparti dell'organizzazione.

Microsoft Exchange Server 2013 supporta due tipi di topologie a più foreste:

  • Tra foreste: le topologie tra foreste possono avere più foreste, ognuna con la propria installazione di Exchange.

  • Foresta di risorse: le topologie delle foreste di risorse hanno una foresta di Exchange e una o più foreste di account.

Ai fini di questo argomento, la foresta che contiene i gruppi di protezione universali (USG, Universal Security Group) e gli utenti all'esterno della foresta in cui è installato Exchange 2013, sia che si tratti di una foresta di account o di un'altra foresta di risorse, è denominata foresta esterna.

La configurazione delle autorizzazioni in una topologia a più foreste si basa sulla corretta configurazione dei trust tra foreste e della sincronizzazione dell'elenco indirizzi globale (GAL, Global Address List) per la creazione di cassette postali collegate. La foresta Exchange 2013 deve considerare attendibile la foresta esterna che contiene i gruppi di protezione universali associati a gruppi di ruoli collegati e utenti associati alle cassette postali collegate.

Exchange 2013 utilizza un modello di autorizzazioni di controllo di accesso basato sui ruoli (RBAC, Role Based Access Control). I gruppi di ruoli di gestione di cui gli amministratori sono membri e i criteri di assegnazione dei ruoli di gestione a cui gli utenti finali sono associati determinato le operazioni che ogni amministratore e ogni utente finale può eseguire. Per comprendere le autorizzazioni per più foreste, è necessario avere familiarità con il controllo di accesso basato sui ruoli. Per ulteriori informazioni sul controllo di accesso basato sui ruoli, sui gruppi di ruoli e sui criteri di assegnazione dei ruoli, vedere gli argomenti seguenti:

Autorizzazioni in una topologia a più foreste

Il controllo di accesso basato sui ruoli applica autorizzazioni a tutti gli oggetti Exchange in un'unica foresta e la configurazione del controllo di accesso basato sui ruoli in ogni foresta è impostata in modo indipendente da tutte le altre foreste. Quando si crea un gruppo di ruoli in una foresta, tale gruppo di ruoli non è presente in alcuna altra foresta e le autorizzazioni concesse da tale gruppo di ruoli si applicano esclusivamente alla foresta in cui è stato creato. Ad esempio, un membro di un gruppo di ruoli che concede autorizzazioni per la creazione di una cassetta postale può creare una cassetta postale solo nella foresta che contiene tale gruppo di ruoli.

Se sono presenti più foreste di Exchange e si desidera configurare le autorizzazioni in maniera identica in ogni foresta, è necessario applicare esplicitamente la stessa configurazione in ogni foresta. Ad esempio, se sono presenti due foreste di Exchange 2013 e si desidera creare un gruppo di ruoli Compliance Management per gestire le autorizzazioni per il reparto legale, è necessario procedere come segue:

  • In ogni foresta, creare un gruppo di ruoli denominato Compliance Management. Se gli amministratori appartengono a una foresta esterna separata da qualsiasi foresta Exchange, creare entrambi i gruppi di ruoli come gruppi di ruoli collegati. Per altre informazioni sui gruppi di ruoli, vedere la sezione Autorizzazioni tra limiti.
  • In ogni foresta, creare assegnazioni di ruolo tra i nuovi gruppi di ruoli e i ruoli che si desidera utilizzare.
  • Come parte delle nuove assegnazioni di ruolo, facoltativamente è possibile aggiungere ambiti che includano gli oggetti server e destinatario in ogni foresta.
  • Se i gruppi di ruoli sono stati creati come gruppi di ruoli collegati, aggiungere membri al gruppo di protezione universale associato nella foresta esterna.

Nella figura seguente viene illustrato come i gruppi di ruoli configurati nelle foreste Exchange 2013 sono associati alle loro foreste rispettive. Il gruppo di ruoli Organization Management nella foresta Exchange 2013 A concede le autorizzazioni solo per la gestione delle cassette postali e dei server in tale foresta. Analogamente, i gruppi di ruoli nella foresta Exchange 2013 B concedono autorizzazioni solo per le cassette postali e i server in tale foresta.

Nella figura è inoltre illustrato che in ogni foresta viene creato il gruppo di ruoli personalizzato A. Anche se sono stati creati con lo stesso nome, ognuno è un'entità separata. Infatti, come mostrato nella figura, a ognuno possono essere assegnati ruoli di gestione diversi nelle rispettive foreste. Al gruppo di ruoli personalizzato A nella foresta Exchange 2013 A sono assegnati i ruoli di ricerca delle cassette postali e di verifica dei messaggi mentre al gruppo di ruoli personalizzato A nella foresta Exchange 2013 B sono assegnati i ruoli di ricerca delle cassette postali e di gestione conservazione.

Infine, anche gli ambiti di gestione creati in ogni foresta sono vincolati dalla foresta. Gli ambiti server creati in ogni foresta possono contenere esclusivamente i server membri di tale foresta. L'ambito del server A può contenere solo i server all'interno della foresta A di Exchange 2013, mentre l'ambito B del server può contenere solo i server inclusi nella foresta B di Exchange 2013. Analogamente, l'ambito del destinatario nella foresta B di Exchange 2013 può contenere solo cassette postali all'interno della foresta B di Exchange 2013.

Relazioni dell'ambito dei limiti del controllo degli accessi in base al ruolo e della foresta.

Autorizzazioni oltre i limiti

Le autorizzazioni concesse dal controllo di accesso basato sui ruoli consentono esclusivamente agli utenti di visualizzare o modificare gli oggetti Exchange in una foresta specifica. Tuttavia, è possibile concedere autorizzazioni per la visualizzazione e la modifica di oggetti Exchange in una foresta a utenti all'esterno di tale foresta. Utilizzando le autorizzazioni tra confini, è possibile centralizzare gli account di gestione di Exchange in un'unica foresta anziché dover autenticare ogni singola foresta per l'esecuzione delle attività.

Nota

Le autorizzazioni concesse a un utente all'esterno di una foresta Exchange verranno comunque applicate solo a tale foresta Exchange specifica. Ad esempio, se un utente in una foresta è membro del gruppo di ruoli collegato Organization Management contenuto in ForestA, l'utente potrà gestire solo gli oggetti Exchange contenuti in ForestA. Un utente deve essere reso membro di gruppi di ruoli collegati in ogni foresta Exchange per ottenere le autorizzazioni per la gestione di ogni foresta.

Le autorizzazioni oltre i limiti consentono inoltre di applicare criteri di assegnazione di ruolo alle cassette postali degli utenti che possiedono cassette postali in una foresta di Exchange, ma i cui account utente risiedono in una foresta di account. Exchange 2013 supporta le autorizzazioni oltre i limiti utilizzando gruppi di ruoli collegati e cassette postali collegati, come spiegato nelle sezioni successive.

Autorizzazioni amministrative

Le autorizzazioni amministrative vengono concesse tra i confini delle foreste mediante l'uso di gruppi di ruoli collegati e di cassette postali collegate.

Un gruppo di ruoli collegato viene creato nell'organizzazione Exchange 2013 e collegato a un gruppo di protezione universale tra il confine delle foreste nella foresta esterna. Il gruppo di protezione universale a cui il gruppo di ruoli è collegato può essere:

  • Un gruppo di protezione universale dedicato per l'utilizzo specifico del gruppo di ruoli collegato
  • Un gruppo di protezione universale collegato a gruppi di ruoli in più foreste Exchange 2013
  • Un gruppo di protezione universale di gruppo di ruoli in un altra foresta Exchange 2013
  • Un gruppo di sicurezza del servizio amministrativo associato a un ruolo amministrativo di Exchange Server 2007 o a un gruppo di ruoli di Exchange 2010

Il gruppo di protezione universale a cui il gruppo di ruoli è collegato deve trovarsi in un'altra foresta. È possibile collegare un gruppo di ruoli collegato a un gruppo di protezione universale nella stessa foresta.

Nella figura seguente è illustrato che i gruppi di protezione universale di una foresta di account possono essere associati a gruppi di ruoli in una o più foreste di risorse Exchange 2013. I membri dei gruppi di protezione universale nella foresta di account diventano effettivamente membri dei gruppi di ruoli tramite i gruppi di protezione universale.

Gruppo di ruoli collegato e relazioni USG.

Quando si crea un gruppo di ruoli collegato, si assegnano ruoli al gruppo di ruoli collegato nella foresta Exchange 2013. Le assegnazioni che associano i ruoli al gruppo di ruoli collegato possono includere ambiti di gestione, se necessario. Questi ambiti sono limitati alla foresta in cui il gruppo di ruoli collegato è creato.

L'appartenenza del gruppo di ruoli collegato è gestita aggiungendo e rimuovendo membri dal gruppo di protezione universale nella foresta esterna. Quando si aggiungono membri a questo gruppo di protezione universale, a tali membri sono concesse le autorizzazioni assegnate al gruppo di ruoli collegato nella foresta Exchange 2013. Se si sono collegati più gruppi di ruoli allo stesso gruppo di protezione universale, ai membri di tale gruppo di protezione universale sono concesse le autorizzazioni assegnate a ogni gruppo di ruoli collegato in ogni foresta Exchange 2013.

Non è possibile gestire l'appartenenza di un gruppo di ruoli collegato dalla foresta Exchange 2013.

Un secondo metodo per assegnare autorizzazioni amministrative tra i confini delle foreste è tramite l'uso di cassette postali collegate. Perché gli utenti di una foresta di account possano utilizzare una distribuzione Exchange 2013 in una foresta di risorse Exchange 2013 separata, è necessario configurare cassette postali collegate per ogni utente. Le cassette postali collegate possono essere aggiunte come membri ai gruppi di ruoli nella foresta Exchange 2013. Quando una cassetta postale collegata diventa membro di un gruppo di ruoli, a tale cassetta postale collegata, e a sua volta all'utente nella foresta di account associata alla cassetta postale collegata, vengono concesse le autorizzazioni fornite dal gruppo di ruoli.

Nella figura seguente è illustrata la relazione tra gli utenti in una foresta di account, le cassette postali collegate ad essi associate e i gruppi di ruolo di cui sono membri.

Relazioni tra gruppi di ruoli e cassette postali collegate.

I gruppi di ruoli collegati e le cassette postali collegate presentano vantaggi e svantaggi, quando utilizzati per assegnare autorizzazioni amministrative tra i confini delle foreste. Nella tabella seguente ne vengono descritti alcuni.

Vantaggi e svantaggi di gruppi di ruoli collegati e cassette postali collegate

Gruppi di ruoli collegati o cassette postali collegate Vantaggio Svantaggio
Gruppi di ruoli collegati È possibile associare più gruppi di ruoli collegati da più foreste di Exchange 2013 a un singolo gruppo di sicurezza di sicurezza in una foresta di account o in un'altra foresta di risorse di Exchange. In questo modo è possibile amministrare topologie di foresta di Exchange complesse tramite un piccolo set di gruppi di sicurezza di sicurezza in una singola foresta. Un gruppo di ruoli normale non può essere convertito in un gruppo di ruoli collegato. È necessario creare manualmente gruppi di ruoli collegati per sostituire ogni gruppo di ruoli normale che presenta autorizzazioni che si desiderano concedere tra un confine tra foreste. Per ulteriori informazioni, vedere Configure cross-boundary permissions.
Cassette postali collegate Le cassette postali collegate consentono di usare i gruppi di ruoli esistenti all'interno della foresta di Exchange. Le cassette postali collegate vengono aggiunte come membri ai gruppi di ruoli esistenti, come le cassette postali normali, i gruppi di sicurezza di sicurezza e gli utenti nella stessa foresta di Exchange. Se si concedono autorizzazioni in più foreste di Exchange 2013 usando cassette postali collegate collegate a un singolo utente in una foresta di account, è necessario modificare l'appartenenza al gruppo di ruoli in ogni foresta di Exchange 2013 se si desidera modificare le autorizzazioni concesse all'utente.

Si consiglia di utilizzare gruppi di ruoli collegati per concedere autorizzazioni tra i confini delle foreste se si prevede di avere più foreste di risorse Exchange.

Autorizzazioni dell'utente finale

Le autorizzazioni dell'utente finale sono assegnate alle singole cassette postali utilizzando criteri di assegnazione dei ruoli. Quando Exchange 2013 viene installato in una foresta di risorse, le cassette postali collegate vengono create nella foresta di risorse e vengono associate agli account utente nella foresta di account.

Quando viene creata una cassetta postale collegata, viene assegnata a un criterio predefinito di assegnazione di ruolo come una cassetta postale normale. Il criterio di assegnazione di ruolo determina quali autorizzazioni dell'utente finale sono concesse alla cassetta postale. Queste autorizzazioni consentono agli utenti di visualizzare e modificare le impostazioni relativa alla seguente e ad altre funzionalità:

  • Informazioni sul profilo dell'utente finale
  • Messaggi vocali degli utenti finali
  • Appartenenza e proprietà distribuzione degli utenti finali

Quando un criterio di assegnazione di ruolo viene assegnato a una cassetta postale collegata, all'utente nella foresta di account associata alla cassetta postale collegata vengono concesse autorizzazioni per la gestione delle funzionalità disponibili a tale utente. Le autorizzazioni si applicano esclusivamente alle risorse nella foresta Exchange in cui è contenuta la cassetta postale collegata. Nella figura seguente viene illustrata la relazione tra l'utente finale nella foresta di account, la relativa cassetta postale associata e il criterio di assegnazione di ruolo assegnato alla cassetta postale collegata. Inoltre, una cassetta postale associata a un utente amministratore nella foresta di account può essere associata a più gruppi di ruoli oltre a una criterio di assegnazione di ruolo.

Relazioni tra gruppi di ruoli e criteri di assegnazione.

Configurare le autorizzazioni oltre i limiti

Per configurare le autorizzazioni tra confini in una topologia a più foreste, è necessario creare gruppi di ruoli collegati per ognuno dei gruppi di ruoli che si desidera collegare a gruppi di protezione universale in una foresta esterna. È pertanto necessario creare un gruppo di ruoli collegato per ogni gruppo di ruoli incorporato. È necessario:

  1. Creare un gruppo di protezione universale per ogni gruppo di ruoli collegato da creare. Aggiungere membri al gruppo di protezione universale a cui si desidera concedere autorizzazioni.

  2. Creare un gruppo di ruoli collegato per ogni gruppo di ruoli incorporato. Quando viene creato il gruppo di ruoli collegato, si verifica quanto segue:

    • Gli stessi ruoli assegnati al gruppo di ruoli incorporato vengono assegnati al nuovo gruppo di ruoli collegato.
    • Il gruppo di ruoli collegato viene associato al gruppo di protezione universale nella foresta esterna.
  3. Creare gruppi di ruoli collegati per tutti i gruppi di ruoli personalizzati che si sono creati.

  4. Facoltativamente, assegnare ambiti personalizzati ai nuovi gruppi di ruoli collegati.

Per informazioni dettagliate sull'esecuzione di questi passaggi, vedere gli argomenti seguenti:

Se è necessario modificare il gruppo di protezione universale a cui è associato un gruppo di ruoli collegato, vedere Gestire i gruppi di ruoli collegato.

Quando viene creata una cassetta postale collegata, viene automaticamente assegnata a un criterio di assegnazione di ruolo. È possibile modificare il criterio di assegnazione di ruolo assegnato alla cassetta postale collegata o modificare il criterio di assegnazione di ruolo assegnato alle cassette postali per impostazione predefinita al momento della loro creazione. Per ulteriori informazioni, vedere gli argomenti seguenti: