Configurazione di Exchange 2013 per le autorizzazioni condivise

  • Articolo

Si applica a: Exchange Server 2013

Le autorizzazioni condivise consentono all'utente, in qualità di amministratore di Microsoft Exchange Server 2013, di creare le entità di sicurezza di Active Directory, come gli utenti, quindi di configurarle come destinatari di Exchange. A differenza delle autorizzazioni suddivise, che separano le attività di gestione tra i gruppi di amministratori di Exchange e di amministratori di Active Directory, le autorizzazioni condivise non separano alcuna attività.

Per ulteriori informazioni sulle autorizzazioni condivise e suddivise, vedere Informazioni sulle autorizzazioni diviso.

È possibile configurare l'organizzazione di Exchange 2013 per le autorizzazioni condivise se è stata già configurata per le autorizzazioni suddivise. La procedura per passare alle autorizzazioni condivise varia in base alla divisione delle autorizzazioni utilizzata: controllo di accesso basato sui ruoli (RBAC) o Active Directory. Selezionare la seguente procedura applicabile alla configurazione corrente. L'organizzazione utilizza la divisione delle autorizzazioni Active Directory se le seguenti condizioni sono vere:

  • L'unità organizzativa Gruppi di protezione di Microsoft Exchange esiste già.

  • Il gruppo di sicurezza Autorizzazioni di Windows di Exchange si trova nell'unità organizzativa Gruppi protetti di Microsoft Exchange.

  • Il gruppo di sicurezza Exchange Trusted Subsystem è un membro del gruppo di sicurezza Exchange Windows Permissions.

  • Non esistono assegnazioni dei ruoli di gestione regolari al ruolo Creazione destinatario di posta elettronica o al ruolo Creazione e appartenenza a un gruppo di sicurezza.

Se l'organizzazione non è stata mai configurata per le autorizzazioni suddivise, non è necessario eseguire questa procedura. Per impostazione predefinita, Exchange 2013 viene configurato per le autorizzazioni di condivisione.

Per ulteriori informazioni sui gruppi del ruolo di gestione, i ruoli di gestione e le assegnazioni del ruolo di gestione regolari e di delega, vedere i seguenti argomenti:

Per altre attività di gestione relative alle autorizzazioni, Vedere Autorizzazioni avanzate.

Che cosa è necessario sapere prima di iniziare?

  • Tempo stimato per il completamento di ciascuna procedura: 5 minuti

  • Le procedure descritte in questo argomento richiedono autorizzazioni specifiche. Vedere ciascuna procedura per le informazioni sulle autorizzazioni necessarie.

  • Per eseguire queste procedure, è necessario utilizzare Windows PowerShell, Windows Command Shell o entrambi. Per ulteriori informazioni, vedere la specifica procedura.

  • L'organizzazione di Exchange 2013 deve essere attualmente configurata per la divisione delle autorizzazioni Active Directory o RBAC.

  • Se l'organizzazione dispone di server Microsoft Exchange Server 2010, il modello delle autorizzazioni selezionato verrà applicato anche a quei server.

  • È necessario disporre delle autorizzazioni per delegare il ruolo di gestione Creazione destinatario di posta elettronica e il ruolo di gestione Creazione e appartenenza a un gruppo di sicurezza al gruppo del ruolo di gestione Gestione organizzazione o a un altro gruppo di ruoli assegnato al ruolo Destinatari di posta.

  • Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.

Passaggio dalle autorizzazioni suddivise RBAC alle autorizzazioni condivise

Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per sapere quali autorizzazioni sono necessarie, vedere "Gruppi di ruoli" nell'argomento Autorizzazioni per la gestione del ruolo.

Per passare dalle autorizzazioni suddivise RBAC alle autorizzazioni condivise di Exchange 2013, è necessario assegnare il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza a un gruppo di ruoli a cui viene assegnato anche il ruolo Destinatari di posta e che ha come membri gli amministratori di Exchange 2013. Nella configurazione predefinita delle autorizzazioni condivise, il gruppo di ruoli Gestione organizzazione contiene entrambi i ruoli. Per questo motivo, il gruppo di ruoli Gestione organizzazione si trova in questa procedura.

Configurazione delle autorizzazioni condivise

Per configurare le autorizzazioni condivise sul gruppo di ruoli Gestione organizzazione, effettuare l'operazione seguente utilizzando un account con le autorizzazioni per delegare le assegnazioni di ruolo per il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza:

  1. Aggiungere le assegnazioni del ruolo di delega per il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli Gestione organizzazione utilizzando i comandi seguenti.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating

    Nota

    Al gruppo di ruoli (in questa procedura, il gruppo di ruoli Administrators di Active Directory), che dispone delle assegnazioni del ruolo di delega per il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza, deve essere assegnato il ruolo Gestione ruoli per eseguire il cmdlet New-ManagementRoleAssignment. L'assegnatario del ruolo che può delegare il ruolo Gestione ruoli deve assegnare tale ruolo al gruppo di ruoli Administrators di Active Directory.

  2. Aggiungere assegnazioni di ruolo regolari per il ruolo Creazione destinatario di posta elettronica ai gruppi di ruoli Gestione organizzazione e Gestione destinatari utilizzando i comandi seguenti.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"

  3. Aggiungere un'assegnazione del ruolo regolare per il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli Gestione organizzazione utilizzando il comando seguente.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.

Eliminazione delle autorizzazioni dagli amministratori di Active Directory (facoltativo)

Facoltativamente, è possibile rimuovere le autorizzazioni concesse agli amministratori di Active Directory se non si desidera più che creino o gestiscano gli oggetti di Active Directory utilizzando gli strumenti di gestione di Exchange. Se si desidera rimuovere le autorizzazioni dagli amministratori di Active Directory, eseguire questa procedura.

Nota

Anche se è possibile rimuovere le autorizzazioni per gli amministratori di Active Directory in modo che non siano più in grado di gestire gli oggetti di Active Directory utilizzando gli strumenti di gestione di Exchange, gli amministratori di Active Directory possono continuare a gestire gli oggetti di Active Directory con gli strumenti di gestione di Active Directory, se le autorizzazioni di Active Directory lo consentono. Tuttavia, non saranno in grado di gestire attributi specifici di Exchange sugli oggetti di Active Directory. Per ulteriori informazioni, vedere Informazioni sulle autorizzazioni diviso.

Per rimuovere le autorizzazioni suddivise relative a Exchange dagli amministratori di Active Directory, fare quanto segue:

  1. Rimuovere le assegnazioni di ruolo regolari e di delega che associano il ruolo Creazione destinatario di posta elettronica al gruppo di ruoli o al gruppo di sicurezza universale (USG) contenente gli amministratori di Active Directory come membri utilizzando il comando seguente. Questo comando utilizza come esempio il gruppo di ruoli Administrators di Active Directory. L'opzione WhatIf consente di visualizzare le assegnazioni di ruolo che verranno rimosse. Rimuovere l'opzione WhatIf ed eseguire di nuovo il comando per rimuovere le assegnazioni di ruolo.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf

  2. Rimuovere le assegnazioni del ruolo di delega e regolare che applicano il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli o al gruppo di protezione universale che contiene gli amministratori di Active Directory come membri utilizzando il comando seguente. Questo comando utilizza come esempio il gruppo di ruoli Administrators di Active Directory. L'opzione WhatIf consente di visualizzare le assegnazioni di ruolo che verranno rimosse. Rimuovere l'opzione WhatIf ed eseguire di nuovo il comando per rimuovere le assegnazioni di ruolo.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf

  3. Facoltativo. Se si desidera rimuovere tutte le autorizzazioni di Exchange dagli amministratori di Active Directory, è possibile rimuovere il gruppo di ruoli o il gruppo di protezione universale in cui sono membri. Per ulteriori informazioni sulla rimozione di un gruppo di ruoli, vedere Gestire gruppi di ruoli.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ManagementRoleAssignment o Remove-ManagementRoleAssignment.

Passaggio dalle autorizzazioni suddivise Active Directory alle autorizzazioni condivise

Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per sapere quali autorizzazioni sono necessarie, vedere "Autorizzazioni suddivise Active Directory" nell'argomento Autorizzazioni per la gestione del ruolo.

Per passare dalle autorizzazioni suddivise Active Directory alle autorizzazioni condivise di Exchange 2013, è necessario eseguire di nuovo il programma di installazione di Exchange per disabilitare le autorizzazioni suddivise Active Directory nell'organizzazione di Exchange, quindi creare le assegnazioni di ruolo tra un gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza. Nella configurazione predefinita delle autorizzazioni condivise, il gruppo di ruoli Gestione organizzazione contiene entrambi i ruoli. Per questo motivo, il gruppo di ruoli Gestione organizzazione si trova in questa procedura.

Importante

Il comando setup.com di questa procedura apporta modifiche a Active Directory. È necessario utilizzare un account che dispone delle autorizzazioni necessarie per apportare queste modifiche. Questo account non può corrispondere a quello che dispone delle autorizzazioni per creare le assegnazioni di ruolo utilizzando il cmdlet New-ManagementRoleAssignment. Utilizzare l'account, o gli account, con le autorizzazioni necessarie per completare correttamente ogni passo della procedura.

Per passare dalle autorizzazioni suddivise Active Directory alle autorizzazioni condivise, effettuare le seguenti operazioni:

  1. Da una shell dei comandi di Windows, eseguire il comando seguente dal supporto di installazione di Exchange 2013 per disabilitare le autorizzazioni suddivise di Active Directory.

    setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false

  2. Da Exchange Management Shell, eseguire i comandi seguenti per aggiungere le assegnazioni di ruolo regolari tra il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e gestione del gruppo di sicurezza e i gruppi di ruoli Gestione organizzazione e Gestione destinatari.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"

  3. Riavviare i server Exchange 2013 dell'organizzazione.

    Nota

    Se nell'organizzazione sono presenti server Exchange 2010, è anche necessario riavviare tali server.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.