Configurar o Exchange 2013 para permissões divididas
Aplica-se a: Exchange Server 2013
Permissões de divisão permitem que dois grupos separados, como os administradores Active Directory e administradores de Exchange Server 2013 da Microsoft, para gerenciar seus respectivos serviços, objetos e atributos. Active Directory administradores gerenciam as entidades de segurança, como usuários, que fornecem permissões para acessar uma floresta Active Directory. Exchange administradores gerenciam as Exchange-relacionados atributos nos objetos Active Directory e Exchange-objeto específico de criação e gerenciamento.
Microsoft Exchange Server 2013 oferece os seguintes tipos de modelos de permissões de divisão:
Permissões de divisão RBAC: as permissões para criar entidades de segurança na partição de domínio do Active Directory são controladas pelo RBAC (Role Based Controle de Acesso). Somente aqueles que são membros dos grupos de função adequada podem criar entidades de segurança.
Permissões de divisão do Active Directory: as permissões para criar entidades de segurança na partição de domínio do Active Directory são completamente removidas de qualquer usuário, serviço ou servidor do Exchange. No RBAC, não é fornecida nenhuma opção para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser executada usando as ferramentas de gerenciamento do Active Directory.
Observação
as permissões de divisão de Active Directory estão disponíveis nas organizações que executa o Microsoft Exchange Server 2010 Service Pack 1 (SP1) ou posterior, ou ambas as versões do ExchangeExchange 2013.
O modelo que você escolher depende a estrutura e as necessidades da sua organização. Escolha o procedimento a seguir que se aplicam ao modelo do qual que você deseja configurar. Recomendamos que você use o modelo de permissões de divisão RBAC. O modelo de permissões de divisão RBAC fornece significativamente mais flexibilidade fornecendo a mesma separação de administração conforme Active Directory dividir permissões.
Para obter mais informações sobre compartilhados e divididos permissões, consulte Compreendendo as permissões de divisão.
Para obter mais informações sobre grupos de funções de gerenciamento, funções de gerenciamento e atribuições de função de gerenciamento comuns e de delegação, consulte os tópicos a seguir:
Procurando outras tarefas de gerenciamento relacionadas às permissões? Confira Permissões avançadas.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: 5 minutos
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o entrada "permissões de divisão deActive Directory " no tópico Permissões de gerenciamento de função .
Você deve usar o Windows PowerShell, Shell de comando do Windows ou ambos, para executar estes procedimentos. Para obter mais informações, consulte cada procedimento.
Se você tiver servidores Exchange 2010 em sua organização, o modelo de permissões que você selecionar também será aplicado para esses servidores.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Alternar para dividir permissões de RBAC
Você pode configurar sua organização Exchange 2013 RBAC dividir permissões. Quando terminar, somente os administradores Active Directory será capazes de criar Active Directory entidades de segurança. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
administradores de Exchange só poderá gerenciar os atributos de Exchange em entidades de segurança Active Directory existente. No entanto, eles serão capazes de criar e gerenciar Exchange-objetos específicos, como regras de transporte e grupos de distribuição. Para obter mais informações, consulte a seção "Permissões de divisão de RBAC" em Compreendendo as permissões de divisão.
Para configurar Exchange 2013 para permissões de divisão, você deve atribuir a função de criação de destinatário de email e a função de criação de grupos de segurança e a associação a um grupo de função que contém os membros que estão Active Directory administradores. Em seguida, você deve remover as atribuições entre essas funções e qualquer grupo de função ou grupo de segurança universal (USG) que contém Exchange administradores.
Para configurar permissões de divisão de RBAC, faça o seguinte:
Se sua organização estiver configurada para Active Directory dividir permissões, faça o seguinte em um prompt shell Windows.
Desabilite Active Directory dividir permissões executando o comando a seguir a partir da mídia de instalação Exchange 2013.
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
Reinicie os servidores de Exchange 2013 em sua organização ou aguardar até que o token de acesso Active Directory replicar para todos os servidores de Exchange 2013.
Observação
Se você tiver servidores Exchange 2010 em sua organização, você também precisará reiniciar esses servidores.
Faça o seguinte de Exchange Shell de gerenciamento:
Crie um grupo de funções para os administradores Active Directory. Além de criar o grupo de funções, o comando cria atribuições da função regular entre o novo grupo de função e a função de criação de destinatário de email e criação de grupos de segurança e função de associação.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
Observação
Se desejar que os membros desse grupo de função possam criar atribuições de função, inclua a função de gerenciamento de função. Você não precisa adicionar essa função agora. No entanto, se você nunca deseja atribuir a função de criação de destinatário de email ou a criação de grupos de segurança e a associação de função para os outros destinatários de função, a função de gerenciamento de função deve ser atribuída a esse novo grupo de função. Etapas a seguir configure o grupo de funções administradores Active Directory como o grupo de função única que pode delegar essas funções.
Crie delegação atribuições de função entre o novo grupo de função e a função de criação de destinatário de email e criação de grupos de segurança e função de associação usando os seguintes comandos.
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
Adicione membros ao novo grupo de função usando o seguinte comando.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Substitua a lista de representantes no novo grupo de função para que apenas os membros do grupo de função podem adicionar ou remover membros.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Importante
Membros do grupo de funções Gerenciamento da Organização ou aqueles que são atribuídos a função de gerenciamento de função, seja diretamente ou por meio de outro grupo de funções ou USG, poderá ignorar essa verificação de segurança de representante. Se você deseja impedir que qualquer administrador Exchange adicionando se ao novo grupo de função, você deve removem a atribuição de função entre a função de gerenciamento de função e qualquer administrador Exchange e atribuí-la para outro grupo de função.
Encontre todos os regulares e delegando atribuições de função para a função de criação de destinatário de email usando o seguinte comando. O comando exibe apenas as propriedades Name, Role e RoleAssigneeName.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
Remova todos os regulares e delegando atribuições de função para a função de criação de destinatário de email que não estejam associadas um novo grupo de funções ou quaisquer outros grupos de função, USGs ou diretas atribuições que você deseja manter usando o seguinte comando.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Observação
Se você deseja remover todos os regulares e delegando atribuições de função para a função de criação de destinatário de email em qualquer destinatário da função que não seja o grupo de funções administradores Active Directory, use o seguinte comando. A opção WhatIf permite que você veja quais atribuições de função serão removidas. Remova a opção WhatIf e execute o comando novamente para remover as atribuições de função.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
Encontre todos os regulares e delegando atribuições de função para a função de associação e de criação de grupos de segurança usando o seguinte comando. O comando exibe apenas as propriedades Name, Role e RoleAssigneeName.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
Remova todos os regulares e delegando atribuições de função para a função de associação e de criação de grupos de segurança que não estejam associadas um novo grupo de funções ou quaisquer outros grupos de função, USGs ou diretas atribuições que você deseja manter usando o seguinte comando.
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
Observação
Você pode usar o mesmo comando na observação anterior para remover todos os regulares e delegando atribuições de função para a função de criação de grupos de segurança e a associação no qualquer destinatário da função que não seja o grupo de função de administradores Active Directory, conforme mostrado neste exemplo.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:
Alternar para divididas permissões do Active Directory
Você pode configurar sua organização de Exchange 2013 para Active Directory dividir permissões. permissões de divisão de Active Directory remover completamente as permissões que permitem que administradores Exchange e servidores de criação de entidades de segurança em Active Directory ou modificação de atributos de não -Exchange esses objetos de. Quando terminar, somente os administradores Active Directory será capazes de criar Active Directory entidades de segurança. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
servidores e administradores Exchange apenas será capazes de gerenciar os atributos de Exchange nos entidades de segurança Active Directory existente. No entanto, eles serão capazes de criar e gerenciar Exchange-planos de discagem de objetos específicos, como regras de transporte e Unificação de mensagens.
Aviso
Depois de habilitar permissões de divisão do Active Directory, os administradores e servidores do Exchange não poderão mais criar entidades de segurança no Active Directory e não poderão gerenciar a associação do grupo de distribuição. Essas tarefas devem ser executadas usando ferramentas de gerenciamento do Active Directory com as permissões necessárias do Active Directory. Antes de fazer essa alteração, você deve entender o impacto que ela terá em seus processos de administração e aplicativos de terceiros que se integram ao Exchange 2013 e ao modelo de permissões RBAC.
Para obter mais informações, confira a seção "Permissões de divisão do Active Directory" no Entendimento de permissões divididas.
Para alternar entre compartilhados ou RBAC dividir permissões para Active Directory dividir permissões, faça o seguinte:
A partir de um shell de comando Windows, execute o seguinte comando na mídia de instalação Exchange 2013 para permitir que as permissões de divisão de Active Directory.
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true
Se você tiver vários domínios do Active Directory em sua organização, deverá ser executado
setup.exe /PrepareDomain
em cada domínio filho que contém servidores ou objetos do Exchange ou executadosetup.exe /PrepareAllDomains
em um site que tenha um servidor active directory de todos os domínios.Reinicie os servidores de Exchange 2013 em sua organização ou aguardar até que o token de acesso Active Directory replicar para todos os servidores de Exchange 2013.
Observação
Se você tiver servidores Exchange 2010 em sua organização, você também precisará reiniciar esses servidores.