Informazioni sulla divisione delle autorizzazioni

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2015-03-09

Le organizzazioni che separano la gestione degli oggetti Microsoft Exchange Server 2010 e quelli Active Directory utilizzano il cosiddetto modello di divisione delle autorizzazioni. La divisione delle autorizzazioni consente alle organizzazioni di assegnare le specifiche autorizzazioni e le relative attività ai gruppi specifici all'interno dell'organizzazione. Questa separazione del lavoro consente di mantenere gli standard e i flussi di lavoro e di controllare le modifiche nell'organizzazione.

Il più alto livello di divisione delle autorizzazioni è la separazione tra la gestione di Exchange e la gestione di Active Directory. Molte organizzazioni dispongono di due gruppi: gli amministratori che gestiscono l'infrastruttura Exchange dell'organizzazione, compresi i server e i destinatari, e gli amministratori che gestiscono l'infrastruttura Active Directory. Si tratta di una separazione importante per molte organizzazioni, in quanto l'infrastruttura Active Directory spesso interessa molti percorsi, domini, servizi, applicazioni e persino foreste di Active Directory. Gli amministratori di Active Directory devono garantire che le modifiche apportate a Active Directory non influiscano negativamente sugli altri servizi. Di conseguenza, la gestione di quell'infrastruttura in genere è consentita solo a un piccolo gruppo di amministratori.

Allo stesso tempo, l'infrastruttura per Exchange, compresi i server e i destinatari, può anche essere complessa e richiedere conoscenze specifiche. Inoltre, Exchange consente di archiviare le informazioni estremamente riservate sull'organizzazione. Gli amministratori di Exchange possono potenzialmente accedere a queste informazioni. Limitando il numero degli amministratori di Exchange, l'organizzazione è in grado di limitare il numero di utenti che possono apportare modifiche alla configurazione di Exchange e accedere alle informazioni riservate.

In genere, la divisione delle autorizzazioni distingue tra la creazione delle entità di sicurezza in Active Directory, come gli utenti e i gruppi di protezione, e la successiva configurazione di tali oggetti. In questo modo è possibile ridurre il rischio di accessi non autorizzati alla rete perché si controlla chi può creare gli oggetti che consentono di accedervi. In genere, solo gli amministratori di Active Directory possono creare le entità di sicurezza, mentre altri amministratori (ad esempio, quelli di Exchange) possono gestire gli specifici attributi per gli oggetti Active Directory esistenti.

Per supportare le differenti esigenze di separazione della gestione di Exchange e Active Directory, Exchange 2010 consente di scegliere se applicare un modello di autorizzazioni condivise o suddivise. Microsoft Exchange Server 2010 Service Pack 1 (SP1) offre due tipi di modelli di suddivisione delle autorizzazioni: RBAC e Active Directory. Impostazioni predefinite di Exchange 2010 SP1 in un modello di autorizzazioni condivise.

Sommario

Spiegazione del controllo di accesso basato sui ruoli e Active Directory

Autorizzazioni condivise

Divisione delle autorizzazioni

Autorizzazioni di suddivisione RBAC

Autorizzazioni di suddivisione di Active Directory

Spiegazione del controllo di accesso basato sui ruoli e Active Directory

Per comprendere la divisione delle autorizzazioni, è necessario comprendere prima l'interazione del modello di autorizzazioni Controllo di accesso basato sui ruoli (RBAC) di Exchange 2010 con Active Directory. Il modello RBAC consente di controllare chi può eseguire le azioni e su quali oggetti possono essere eseguite tali azioni. Per ulteriori informazioni sui vari componenti di RBAC trattati in questo argomento, vedere Informazioni sul controllo di accesso basato sui ruoli.

In Exchange 2010, tutte le attività eseguite sugli oggetti Exchange devono essere effettuate tramite Exchange Management Console, Exchange Management Shell o l'interfaccia amministrativa Web di Exchange. Ciascuno di questi strumenti di gestione utilizza RBAC per autorizzare tutte le attività eseguite.

RBAC è un componente presente su ciascun server su cui è installato Exchange 2010, ad eccezione dei server Trasporto Edge. RBAC consente di controllare se l'utente è autorizzato a eseguire un'azione:

  • Se l'utente non è autorizzato a eseguire l'azione, RBAC non consente la prosecuzione dell'azione.

  • Se l'utente è autorizzato a eseguire l'azione, RBAC controlla se l'utente è autorizzato a eseguire l'azione sull'oggetto specifico richiesto:

    • Se l'utente è autorizzato, RBAC consente la prosecuzione dell'azione.

    • Se l'utente non è autorizzato, RBAC non consente la prosecuzione dell'azione.

Se RBAC ne consente la prosecuzione, l'azione viene eseguita nel contesto di Sottosistema attendibile Exchange e non nel contesto dell'utente. Sottosistema attendibile Exchange è un gruppo di sicurezza universale con privilegi elevati che dispone dell'accesso in lettura/scrittura a ogni oggetto correlato a Exchange nell'organizzazione Exchange. È anche un membro del gruppo di sicurezza locale Administrators e del gruppo di sicurezza universale Autorizzazioni di Windows di Exchange che consente a Exchange di creare e gestire gli oggetti Active Directory.

Avviso

Non apportare modifiche manuali all'appartenenza del gruppo di protezione Sottosistema attendibile Exchange. Inoltre, evitare di aggiungerlo o rimuoverlo dagli elenchi di controllo di accesso (ACL) degli oggetti. Apportando delle modifiche al gruppo di sicurezza universale Sottosistema attendibile Exchange, si potrebbero causare danni irreparabili all'organizzazione Exchange.

È importante tenere presente che, al momento di utilizzare gli strumenti di gestione di Exchange, non importa di quali autorizzazioni di Active Directory dispone un utente. Se un utente è autorizzato tramite RBAC a eseguire un'azione con gli strumenti di gestione di Exchange, può eseguire l'azione indipendentemente dalle autorizzazioni di cui dispone per Active Directory. Al contrario, se un utente è un Enterprise Admin di Active Directory, ma non è autorizzato a eseguire un'azione (ad esempio, la creazione di una cassetta postale), non potrà eseguire l'azione con gli strumenti di gestione di Exchange, in quanto non dispone delle autorizzazioni RBAC necessarie.

Importante

Sebbene il modello di autorizzazioni RBAC non venga applicato allo strumento di gestione Utenti e computer di Active Directory, gli Utenti e computer di Active Directory non possono gestire la configurazione di Exchange. Pertanto, anche se un utente dispone dell'accesso per modificare alcuni attributi degli oggetti Active Directory (ad esempio, il nome visualizzato di un utente), l'utente deve utilizzare gli strumenti di gestione di Exchange, e cioè essere autorizzato da RBAC, per gestire gli attributi di Exchange.

Inizio pagina

Autorizzazioni condivise

Il modello di autorizzazioni condivise è predefinito per Exchange 2010. Non è necessario apportare alcuna modifica per utilizzare questo modello di autorizzazioni. Questo modello non consente di separare la gestione degli oggetti Exchange e Active Directory negli strumenti di gestione di Exchange. Consente agli amministratori che utilizzano gli strumenti di gestione di Exchange di creare le entità di sicurezza in Active Directory.

Nella tabella seguente vengono descritti i ruoli che consentono di creare le entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui sono assegnati per impostazione predefinita.

Ruoli di gestione per le entità di sicurezza

Ruolo di gestione Gruppo di ruoli

Ruolo Creazione destinatario di posta elettronica

Gestione dell'organizzazione

Gestione dei destinatari

Creazione gruppo di sicurezza e ruolo di appartenenza

Gestione dell'organizzazione

Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Creazione destinatario di posta possono creare le entità di sicurezza, come gli utenti di Active Directory. Per impostazione predefinita, vengono assegnati a questo ruolo i gruppi di ruoli Gestione organizzazione e Gestione destinatari. Pertanto, i membri di questi gruppi di ruoli possono creare le entità di sicurezza.

Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Creazione e appartenenza a un gruppo di protezione possono creare i gruppi di protezione o gestirne le appartenenze. Per impostazione predefinita, viene assegnato a questo ruolo solo il gruppo di ruoli Gestione organizzazione. Pertanto, solo i membri del gruppo di ruoli Gestione organizzazione possono creare o gestire l'appartenenza ai gruppi di protezione.

Se si desidera che altri utenti siano in grado di creare le entità di sicurezza, è possibile assegnare il ruolo Creazione destinatario di posta e il ruolo Creazione e appartenenza a un gruppo di protezione ad altri gruppi di ruoli, utenti o gruppi di protezione universali.

Per abilitare la gestione delle entità di sicurezza esistenti in Exchange 2010, il ruolo Destinatari di posta viene assegnato per impostazione predefinita ai gruppi di ruoli Gestione organizzazione e Gestione destinatari. Solo i gruppi di ruoli, gli utenti o i gruppi di protezione universali assegnati al ruolo Destinatari di posta possono gestire le entità di sicurezza esistenti. Se si desidera che altri gruppi di ruoli, utenti o gruppi di protezione universali siano in grado di gestire le entità di sicurezza esistenti, è necessario assegnare loro il ruolo Destinatari di posta.

Per ulteriori informazioni sull'aggiunta di ruoli ai gruppi di ruoli, agli utenti o ai gruppi di protezione universali, vedere i seguenti argomenti:

Se si è passati a un modello di divisione delle autorizzazioni e si desidera tornare a un modello di autorizzazioni condivise, vedere Configurazione di Exchange 2010 per le autorizzazioni condivise.

Inizio pagina

Divisione delle autorizzazioni

Se l'organizzazione separa la gestione di Exchange dalla gestione di Active Directory, è necessario configurare Exchange per il supporto del modello di divisione delle autorizzazioni. Se configurato correttamente, solo gli amministratori a cui si desidera dare la possibilità di creare le entità di sicurezza, come gli amministratori di Active Directory, saranno in grado di eseguire questa operazione e solo gli amministratori di Exchange saranno in grado di modificare gli attributi di Exchange per le entità di sicurezza esistenti. Tale divisione delle autorizzazioni ricade approssimativamente lungo le linee delle partizioni di dominio e configurazione in Active Directory. Le partizioni sono dette anche contesti dei nomi. Nella partizione di dominio vengono archiviati gli utenti, i gruppi e altri oggetti per un determinato dominio. Nella partizione di configurazione vengono archiviate informazioni sulla configurazione a livello di foresta per i servizi che utilizzavano Active Directory, quali Exchange. I dati archiviati nella partizione di dominio vengono generalmente gestiti da amministratori di Active Directory, anche se gli oggetti potrebbero contenere attributi specifici di Exchange che possono essere gestiti da amministratori di Exchange. I dati archiviati nella partizione di configurazione vengono gestiti dagli amministratori per ciascun rispettivo servizio che archivi dati in questa partizione. Per Exchange, generalmente si tratta di amministratori di Exchange.

Exchange 2010SP1 supporta i due tipi di divisione delle autorizzazioni riportati di seguito:

  • Autorizzazioni suddivise RBAC   Le autorizzazioni per la creazione delle entità di sicurezza nella partizione di dominio di Active Directory sono controllate da RBAC. Le entità di sicurezza possono essere create solo dai servizi, dai server Exchange e dai membri dei gruppi di ruoli appropriati. 

  • Autorizzazioni suddivise Active Directory   Le autorizzazioni per la creazione delle entità di sicurezza nella partizione di dominio di Active Directory vengono completamente rimosse da qualsiasi utente, servizio o server Exchange. Per creare le entità di sicurezza, non viene fornita alcuna opzione in RBAC. La creazione delle entità di sicurezza in Active Directory deve essere eseguita utilizzando gli strumenti di gestione di Active Directory.

    Importante

    Sebbene le autorizzazioni di suddivisione di Active Directory possano essere abilitate o disabilitate solo eseguendo l'installazione su un computer su cui è installato Exchange 2010 SP1, la configurazione delle autorizzazioni di suddivisione di Active Directory viene applicata sia alla versione di produzione (RTM) di Exchange 2010 sia ai server Exchange 2010 SP1. Tutto ciò non incide, tuttavia, sui server Microsoft Exchange Server 2003 o Microsoft Exchange Server 2007.

Se l'organizzazione decide di utilizzare un modello di suddivisione delle autorizzazioni invece di autorizzazioni condivise, si consiglia di utilizzare il modello di suddivisione delle autorizzazioni RBAC. Il modello di suddivisione delle autorizzazioni RBAC garantisce una maggiore flessibilità fornendo nel contempo una separazione amministrativa molto simile a quella offerta dalle autorizzazioni suddivise Active Directory; l'unica differenza è rappresentata dal fatto che nel modello di suddivisione delle autorizzazioni RBAC i servizi e i server Exchange possono creare entità di sicurezza.

Verrà chiesto se si desidera abilitare le autorizzazioni di suddivisione di Active Directory durante l'installazione. Se si decide di abilitare le autorizzazioni di suddivisione di Active Directory, è possibile modificare solo le autorizzazioni condivise e le autorizzazioni di suddivisione RBAC ripetendo l'installazione e disabilitando le autorizzazioni di suddivisione di Active Directory. Questa opzione viene applicata all' intera organizzazione Exchange 2010.

Nelle sezioni seguenti, vengono descritte più dettagliatamente le autorizzazioni di suddivisione RBAC e di Active Directory.

Inizio pagina

Autorizzazioni di suddivisione RBAC

Il modello di sicurezza RBAC modifica le assegnazioni predefinite dei ruoli di gestione per creare una separazione tra chi può creare le entità di sicurezza nella partizione del dominio in Active Directory e chi gestisce i dati dell'organizzazione Exchange nella partizione di configurazione in Active Directory. Le entità di sicurezza, quali utenti con cassette postali e gruppi di distribuzione, possono essere create dagli amministratori con ruolo Creazione destinatario di posta elettronica o Creazione e appartenenza a un gruppo di sicurezza. Queste autorizzazioni rimangono distinte da quelle richieste per creare entità di sicurezza al di fuori degli strumenti di gestione di Exchange. Gli amministratori di Exchange a cui non è assegnato il ruolo Creazione destinatario di posta elettronica o Creazione e appartenenza a un gruppo di sicurezza possono ancora modificare gli attributi associati a Exchange sulle entità di sicurezza. Anche gli amministratori di Active Directory hanno la possibilità di utilizzare gli strumenti di gestione di Exchange per creare le entità di sicurezza di Active Directory.

I server Exchange e Sottosistema attendibile Exchange dispongono anche delle autorizzazioni per creare entità di sicurezza in Active Directory per contro di altri utenti e programmi di terzi che vanno ad integrarsi con RBAC.

Le autorizzazioni di suddivisione RBAC rappresentano un'ottima scelta per l'organizzazione nel caso in cui si verifica quanto segue:

  • L'organizzazione non richiede che la creazione delle entità di sicurezza venga eseguita utilizzando solo gli strumenti di gestione di Active Directory e solo da utenti a cui sono state assegnate autorizzazioni di Active Directory specifiche.

  • L'organizzazione consente ai servizi, quali i server Exchange, di creare entità di sicurezza.

  • Si desidera semplificare il processo necessario per creare cassette postali, utenti abilitati alla posta, gruppi di distribuzione e gruppi di ruoli, consentendone la creazione direttamente dagli strumenti di gestione di Exchange.

  • Si desidera gestire l'appartenenza ai gruppi di distribuzione e ai gruppi di ruoli direttamente dagli strumenti di gestione di Exchange.

  • Si dispone di programmi di terzi che prevedono che i server Exchange siano in grado di creare entità di sicurezza.

Se l'organizzazione richiede una separazione totale nell'amministrazione di Exchange e di Active Directory in cui non è possibile eseguire alcuna operazione di amministrazione in Active Directory utilizzando gli strumenti di gestione di Exchange o i servizi di Exchange, vedere la sezione Autorizzazioni di suddivisione di Active Directory più avanti in questo argomento.

Il passaggio dalle autorizzazioni condivise alle autorizzazioni di suddivisione RBAC è un processo manuale in cui vengono rimosse le autorizzazioni richieste per creare entità di sicurezza dai gruppi di ruoli concessi loro per impostazione predefinita. Nella tabella seguente vengono descritti i ruoli che consentono di creare le entità di sicurezza in Exchange e i gruppi di ruoli di gestione a cui sono assegnati per impostazione predefinita.

Ruoli di gestione per le entità di sicurezza

Ruolo di gestione Gruppo di ruoli

Ruolo Creazione destinatario di posta elettronica

Gestione dell'organizzazione

Gestione dei destinatari

Creazione gruppo di sicurezza e ruolo di appartenenza

Gestione dell'organizzazione

Per impostazione predefinita, i membri dei gruppi di ruoli Gestione organizzazione e Gestione destinatari possono creare entità di sicurezza. È necessario trasferire la capacità di creare le entità di sicurezza dai gruppi di ruoli incorporati a un nuovo gruppo di ruoli creato.

Per configurare le autorizzazioni di suddivisione RBAC, è necessario effettuare le seguenti operazioni:

  1. Disabilitare le autorizzazioni di suddivisione di Active Directory se abilitate.

  2. Creare un gruppo di ruoli, contenente gli amministratori di Active Directory che saranno in grado di creare le entità di sicurezza.

  3. Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione destinatario di posta e il nuovo gruppo di ruoli.

  4. Creare assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di protezione e il nuovo gruppo di ruoli.

  5. Rimuovere le assegnazioni dei ruoli di gestione regolari e di delega tra il ruolo Creazione destinatario di posta elettronica e i gruppi di ruoli Gestione organizzazione e Gestione destinatari.

  6. Rimuovere le assegnazioni dei ruoli regolari e di delega tra il ruolo Creazione e appartenenza a un gruppo di sicurezza e il gruppo di ruoli Gestione organizzazione.

Una volta effettuate queste operazioni, solo i membri del nuovo gruppo di ruoli creato saranno in grado di creare le entità di sicurezza, come le cassette postali. Il nuovo gruppo sarà solo in grado di creare gli oggetti. Non sarà in grado di configurare gli attributi di Exchange per il nuovo oggetto. Un amministratore di Active Directory che è membro del nuovo gruppo dovrà creare l'oggetto, quindi un amministratore di Exchange dovrà configurare gli attributi di Exchange per l'oggetto. Gli amministratori di Exchange non saranno in grado di utilizzare i seguenti cmdlet:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Gli amministratori di Exchange potranno, tuttavia, creare e gestire gli oggetti specifici di Exchange, quali le regole di trasporto, i gruppi di distribuzione e così via, e gestire gli attributi specifici di Exchange per qualsiasi oggetto.

Inoltre, le funzionalità associate in Exchange Management Console e nel Pannello di controllo di Exchange, quali Creazione guidata nuova cassetta postale, non saranno più disponibili oppure genereranno un errore se si tenta di utilizzarle.

Se si desidera che il nuovo gruppo di ruoli sia anche in grado di gestire gli attributi di Exchange per il nuovo oggetto, anche il ruolo Destinatari di posta deve essere assegnato al nuovo gruppo di ruoli.

Per ulteriori informazioni sulla configurazione di un modello di divisione delle autorizzazioni, vedere Configurazione di Exchange 2010 per le autorizzazioni suddivise.

Inizio pagina

Autorizzazioni di suddivisione di Active Directory

Con le autorizzazioni di suddivisione di Active Directory, la creazione di entità di sicurezza nella partizione di dominio di Active Directory, quali cassette postali e gruppi di distribuzione, deve essere eseguita utilizzando gli strumenti di gestione di Active Directory. Vengono apportate diverse modifiche alle autorizzazioni concesse a Sottosistema attendibile Exchange e ai server Exchange per limitare le operazioni che possono essere eseguite dagli amministratori e dai server Exchange. Le seguenti modifiche alla funzionalità si verificano quando vengono abilitate le autorizzazioni suddivise di Active Directory:

  • Dagli strumenti di gestione di Exchange, viene rimossa la creazione di cassette postali, utenti abilitati all'utilizzo della posta, gruppi di distribuzione e altre entità di sicurezza.

  • È possibile aggiungere o rimuovere membri dai gruppi di distribuzione utilizzando gli strumenti di gestione di Exchange.

  • Tutte le autorizzazioni concesse a Sottosistema attendibile Exchange e ai server Exchange per la creazione delle entità di sicurezza vengono rimosse.

  • I server Exchange  e gli strumenti di gestione di Exchange possono modificare solo gli attributi di Exchange relativi alle entità di sicurezza in Active Directory.

Ad esempio, per creare una cassetta postale con le autorizzazioni di suddivisione di Active Directory abilitate, è necessario creare prima un utente utilizzando gli strumenti di Active Directory da un utente che dispone delle autorizzazioni di Active Directory necessarie. Quindi, è possibile abilitare l'utente all'utilizzo della cassetta postale utilizzando gli strumenti di gestione di Exchange. Solo gli attributi associati a Exchange della cassetta postale possono essere modificati dagli amministratori di Exchange utilizzando gli strumenti di gestione di Exchange.

Le autorizzazioni di suddivisione di Active Directory rappresentano un'ottima scelta per l'organizzazione nel caso in cui si verifica quanto segue:

  • L'organizzazione richiede che le entità di sicurezza vengano create utilizzando solo gli strumenti di gestione di Active Directory o solo dagli utenti a cui sono associate determinate autorizzazioni in Active Directory.

  • Si desidera separare completamente la creazione delle entità di sicurezza dalla gestione dell'organizzazione Exchange.

  • Si desidera eseguire l'intera gestione dei gruppi di distribuzione, inclusa la creazione di gruppi di distribuzione e l'aggiunta e rimozione di membri di tali gruppi, utilizzando gli strumenti di gestione di Active Directory.

  • Si desidera evitare che i server Exchange o i programmi di terzi che utilizzano Exchange possano creare entità di sicurezza.

Importante

Il passaggio alle autorizzazioni di suddivisione di Active Directory è una scelta che può essere effettuata durante l'installazione di Exchange 2010 SP1 utilizzando l'installazione guidata o il parametro ActiveDirectorySplitPermissions durante l'esecuzione di setup.com dalla riga di comando. È anche possibile abilitare o disabilitare le autorizzazioni di suddivisione di Active Directory dopo aver installato Exchange 2010 eseguendo nuovamente setup.com dalla riga di comando. Per abilitare le autorizzazioni di suddivisione di Active Directory, impostare il parametro ActiveDirectorySplitPermissions su true. Per disabilitarle, impostarlo su false. È necessario specificare sempre l'opzione PrepareAD insieme al parametro ActiveDirectorySplitPermissions.
Se nella foresta sono presenti più domini, è necessario specificare l'opzione PrepareAllDomains quando si applicano le autorizzazioni suddivise di Active Directory o si esegue la configurazione con l'opzione PrepareDomain in ciascun dominio. Se si sceglie di eseguire la configurazione con l'opzione PrepareDomain in ciascun dominio piuttosto che utilizzare l'opzione PrepareAllDomains, è necessario preparare ciascun dominio che contiene i server Exchange, gli oggetti abilitati all'utilizzo della posta o i server di catalogo globale accessibili da un server Exchange.

Importante

Non è possibile abilitare le autorizzazioni di suddivisione di Active Directory se si è installato Exchange 2010 su un controller di dominio.
Una volta abilitate o disabilitate le autorizzazioni di suddivisione di Active Directory, si consiglia di riavviare i server Exchange 2010 all'interno dell'organizzazione in modo che registrino il nuovo token di accesso di Active Directory con le autorizzazioni aggiornate.

Exchange 2010 SP1 ottiene le autorizzazioni suddivise di Active Directory rimuovendo le autorizzazioni e l'appartenenza dal gruppo di sicurezza Autorizzazioni di Windows di Exchange. Questo gruppo di sicurezza, nelle autorizzazioni condivise e nelle autorizzazioni di suddivisione RBAC, gode delle autorizzazioni per molti attributi e oggetti non Exchange in Active Directory. Quando si rimuovono le autorizzazioni e l'appartenenza a questo gruppo di sicurezza, i servizi e gli amministratori di Exchange non possono più creare o modificare tali oggetti non Exchange Active Directory.

Per un elenco delle modifiche apportate al gruppo di sicurezza Autorizzazioni di Windows di Exchange e ad altri componenti di Exchange durante l'abilitazione o disabilitazione delle autorizzazioni suddivise di Active Directory, vedere la seguente tabella.

Nota

Le assegnazioni dei ruoli ai gruppi di ruoli che consentono agli amministratori di Exchange di creare entità di sicurezza sono rimosse quando è abilitato il modello di suddivisione delle autorizzazioni di Active Directory. Ciò serve a rimuovere l'accesso ai cmdlet che, in caso contrario, causerebbero un errore durante la relativa esecuzione, in quanto non dispongono delle autorizzazioni necessarie per la creazione dell'oggetto di Active Directory associato.

Modifiche alle autorizzazioni di suddivisione di Active Directory

Azione Modifiche apportate da Exchange

Abilitare le autorizzazioni di suddivisione di Active Directory durante la prima installazione del server Exchange 2010 SP1

Quanto segue si verifica quando si abilitano le autorizzazioni di suddivisione di Active Directory mediante l'installazione guidata o eseguendo setup.com con i parametri /PrepareAD e /ActiveDirectorySplitPermissions:true:

  • Viene creata un'unità organizzativa (OU) denominata Gruppi di protezione di Microsoft Exchange.

  • Il gruppo di sicurezza Autorizzazioni di Exchange Windows viene creato nell'unità organizzativa Gruppi di protezione di Microsoft Exchange.

  • Il gruppo di sicurezza Sottosistema attendibile Exchange non viene aggiunto al gruppo di sicurezza Autorizzazioni di Exchange Windows.

  • Creazione di assegnazioni dei ruoli di gestione senza delega nei ruoli di gestione in cui vengono ignorati i seguenti tipi di ruolo di gestione:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Voci di controllo di accesso (ACE) che sarebbero state assegnate al gruppo di sicurezza Autorizzazioni di Exchange Windows non vengono aggiunte all'oggetto di dominio di Active Directory.

Se si esegue la configurazione con l'opzione PrepareAllDomains o PrepareDomain, in ciascun dominio figlio si verifica quanto segue:

  • Tutte le voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Exchange Windows vengono rimosse dall'oggetto di dominio.

  • Le voci di controllo di accesso vengono impostate in ciascun dominio come definito in Riferimenti per le autorizzazioni di distribuzione di Exchange 2010 con l'eccezione di eventuali voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange.

Passaggio dalle autorizzazioni condivise o autorizzazioni di suddivisione RBAC alle autorizzazioni di suddivisione di Active Directory

Quanto riportato di seguito si verifica quando si esegue il comando setup.com con i parametri /PrepareAD e /ActiveDirectorySplitPermissions:true:

  • Viene creata un'unità organizzativa denominata Gruppi di protezione di Microsoft Exchange.

  • Il gruppo di sicurezza Autorizzazioni di Exchange Windows viene spostato nell'unità organizzativa Gruppi di protezione di Microsoft Exchange.

  • Il gruppo di sicurezza Sottosistema attendibile Exchange viene rimosso dal gruppo di sicurezza Autorizzazioni di Exchange Windows.

  • Tutte le assegnazioni dei ruoli senza delega effettuate ai ruoli di gestione con i seguenti tipi di ruolo vengono rimosse:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Tutte le voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange vengono rimosse dall'oggetto di dominio.

Se si esegue la configurazione con l'opzione PrepareAllDomains o PrepareDomain, in ciascun dominio figlio si verifica quanto segue:

  • Tutte le voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange vengono rimosse dall'oggetto di dominio.

  • Le voci di controllo di accesso vengono impostate in ciascun dominio come definito in Riferimenti per le autorizzazioni di distribuzione di Exchange 2010 con l'eccezione di eventuali voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange.

Passaggio dalle autorizzazioni di suddivisione di Active Directory alle autorizzazioni condivise o alle autorizzazioni di suddivisione RBAC

Quanto riportato di seguito si verifica quando si esegue il comando setup.com con i parametri /PrepareAD e /ActiveDirectorySplitPermissions:false:

  • Il gruppo di sicurezza Autorizzazioni di Exchange Windows viene spostato nell'unità organizzativa Gruppi di sicurezza di Microsoft Exchange.

  • L'unità organizzativa Gruppi di protezione di Microsoft Exchange viene rimossa.

  • Il gruppo di sicurezza Sottosistemi attendibili Exchange viene aggiunto al gruppo di sicurezza Autorizzazioni di Exchange Windows.

  • Le voci di controllo di accesso vengono aggiunte all'oggetto di dominio per il gruppo di sicurezza Autorizzazioni di Exchange Windows.

Se si esegue la configurazione con l'opzione PrepareAllDomains o PrepareDomain, in ciascun dominio figlio si verifica quanto segue:

  • Le voci di controllo di accesso vengono aggiunte all'oggetto di dominio per il gruppo di sicurezza Autorizzazioni di Windows di Exchange.

  • Le voci di controllo di accesso vengono impostate in ciascun dominio come definito in Riferimenti per le autorizzazioni di distribuzione di Exchange 2010 con l'eccezione di eventuali voci di controllo di accesso assegnate al gruppo di sicurezza Autorizzazioni di Windows di Exchange.

Le assegnazioni dei ruoli per i ruoli Creazione destinatario di posta elettronica e Creazione e appartenenza a un gruppo di sicurezza non vengono create automaticamente al momento del passaggio dalle autorizzazioni di suddivisione di Active Directory alle autorizzazioni condivise. Se si erano personalizzate le assegnazioni dei ruoli con delega prima dell'abilitazione delle autorizzazioni di suddivisione di Active Directory, tali personalizzazioni rimangono invariate. Per creare assegnazioni dei ruoli tra tali ruoli e il gruppo di ruolo Gestione organizzazione, vedere Configurazione di Exchange 2010 per le autorizzazioni condivise.

Una volta abilitate le autorizzazioni di suddivisione di Active Directory, i seguenti cmdlet non sono più disponibili:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Una volta abilitate le autorizzazioni di suddivisione di Active Directory, è possibile accedere ai seguenti cmdlet senza però poterli utilizzare per creare gruppi di distribuzione o modificare l'appartenenza a un gruppo di distribuzione:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

Alcuni cmdlet, sebbene ancora disponibili, possono offrire solo una funzionalità limitata quando utilizzati con le autorizzazioni di suddivisione di Active Directory. Ciò avviene in quanto potrebbero consentire di configurare oggetti destinatario presenti nella partizione di dominio di Active Directory e oggetti di configurazione di Exchange presenti nella partizione di configurazione Active Directory. Potrebbero anche consentire la configurazione degli attributi associati a Exchange sugli oggetti archiviati nella partizione di dominio. I tentativi di utilizzare i cmdlet per creare oggetti o modificare attributi non associati a Exchange sugli oggetti nella partizione di dominio comporteranno un errore. Ad esempio, il cmdlet Add-ADPermission restituirà un errore se si tenta di aggiungere autorizzazioni a una cassetta postale. Tuttavia, il cmdlet Add-ADPermission verrà portato a termine se si configurano le autorizzazioni su un connettore di ricezione. Ciò avviene in quanto una cassetta postale viene archiviata nella partizione di dominio mentre i connettori di ricezione vengono archiviati nella partizione di configurazione.

Inoltre, le funzionalità associate in Exchange Management Console e nel Pannello di controllo di Exchange, quali Creazione guidata nuova cassetta postale, non saranno più disponibili o genereranno un errore se si tenta di utilizzarle.

Gli amministratori di Exchange saranno, tuttavia, in grado di creare e gestire oggetti specifici di Exchange, quali regole di trasporto e così via.

Per ulteriori informazioni sulla configurazione di un modello di suddivisione delle autorizzazioni di Active Directory, vedere Configurazione di Exchange 2010 per le autorizzazioni suddivise.

Inizio pagina

 ©2010 Microsoft Corporation. Tutti i diritti riservati.