Noções básicas sobre coexistência de permissões no Exchange 2007 e no Exchange 2010

Aplica-se a: Exchange Server 2013

Ao instalar Microsoft Exchange Server 2013 em uma organização existente Microsoft Exchange Server 2010 ou Microsoft Exchange Server 2007, você precisa entender como as permissões funcionarão na nova organização. Leia a seção abaixo que se aplica à sua organização.

  • Installing Exchange 2013 into an existing Exchange 2010 organization
  • Installing Exchange 2013 into an existing Exchange 2007 organization

Instalação do Exchange 2013 em uma organização do Exchange 2010 existente

O Exchange 2013 usa o mesmo modelo de permissões RBAC (role based Controle de Acesso) usado no Exchange 2010. Quando você instala o Exchange 2013 em uma organização existente do Exchange 2010, os mesmos grupos de funções de gerenciamento, funções de gerenciamento e escopos de gerenciamento se aplicam a servidores e destinatários do Exchange 2013 e do Exchange 2010. Membros de grupos de funções ou usuários atribuídos a funções podem administrar qualquer servidor ou destinatário do Exchange 2013 ou exchange 2013 incluído no escopo do grupo de funções ou função. Se você não usar escopos em sua organização e quiser que os membros de seus grupos de função existentes gerenciem os servidores e destinatários do Exchange 2010 e do Exchange 2013, não é necessária qualquer outra ação. Esses administradores poderão gerenciar os servidores e destinatários do Exchange 2013 adicionados à organização. Se você precisar de um lembrete sobre como as permissões funcionam no Exchange 2010 e no Exchange 2013, consulte Permissions.

Na nova organização, convém separar a administração dos servidores e destinatários do Exchange 2010 e do Exchange 2013. Talvez o grupo de administradores responsáveis por administrar os servidores e destinatários do Exchange 2010 não tenham permissão para administrar os servidores e destinatários do Exchange 2013, e vice-versa. Nesse caso, você pode usar os escopos de gerenciamento para definir os servidores e destinatários que cada grupo de administradores pode gerenciar. Depois de criar os escopos que você quiser, copie os grupos de função existentes, adicione os administradores que devem ser membro de cada um e adicione os escopos a esses grupos de função. Depois de concluir, os membros de cada grupo de funções poderão administrar apenas os servidores e destinatários que correspondem aos seus respectivos escopos.

Para obter mais informações sobre os grupos de função, escopos, cópia dos grupos de função e adição dos escopos aos grupos de função, consulte os seguintes tópicos:

Instalação do Exchange 2013 em uma organização do Exchange 2007 existente

O Exchange 2013 inclui permissões RBAC (Role Based Controle de Acesso) que substituem o modelo de autorização baseado em ACE (entrada de acesso) do Active Directory usado no Microsoft Exchange Server 2007. RBAC é o mecanismo de autorização usado para a maior parte do gerenciamento do Exchange 2013. Esse mecanismo inclui as seguintes áreas de gerenciamento:

  • Shell de Gerenciamento do Exchange
  • Centro de administração do Exchange (EAC)
  • Serviços de Web do Exchange

Para obter mais informações sobre como planejar a coexistência entre o Exchange 2013 e o Exchange 2007, confira Atualizar do Exchange 2007 para o Exchange 2013.

Procurando tarefas de gerenciamento relacionadas a permissões? Confira Permissões.

Permissões do Exchange 2013

O modelo de permissões RBAC do Exchange 2013 consiste em grupos de funções de gerenciamento atribuídos a uma das várias funções de gerenciamento. As funções de gerenciamento contêm permissões que permitem que os administradores executem tarefas na organização exchange. Os administradores são adicionados como membros dos grupos de funções e recebem todas as permissões fornecidas pelas funções. A tabela a seguir fornece um exemplo dos grupos de funções, algumas das funções que foram atribuídas a eles e uma descrição do tipo de usuário que poderia ser um membro do grupo de funções.

Exemplos de grupos de funções e funções no Exchange 2013

Grupo de funções de gerenciamento Funções de gerenciamento Membros deste grupo de funções
Gerenciamento de Organização Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
  • Listas de Endereços
  • Exchange Servers
  • Registro no diário
  • Destinatários de Email
  • Pastas Públicas
Os usuários que gerenciam toda a organização do Exchange 2013 devem ser membros desse grupo de funções. Com algumas exceções, os membros desse grupo de funções podem gerenciar quase qualquer aspecto da organização do Exchange 2013.

Por padrão, a conta de usuário usada para preparar o Active Directory para o Exchange 2013 é um membro desse grupo de funções.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Organization Management.
Gerenciamento de Organizações Somente Exibição As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Monitoramento
  • Configuração Somente para Exibição
  • Destinatários Somente para Exibição
Os usuários que exibem a configuração de toda a organização do Exchange 2013 devem ser membros desse grupo de funções. Estes usuários devem conseguir visualizar as configurações do servidor e as informações do destinatário, além de executar as funções de gerenciamento sem a habilidade de alterar a configuração da organização ou do destinatário.

Para obter mais informações sobre esse grupo de funções, consulte Gerenciamento de Organização somente exibição.
Gerenciamento de Destinatários As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Grupos de distribuição
  • Pastas públicas habilitadas para email
  • Criação de Destinatário de Email
  • Destinatários de Email
  • Controle de Mensagens
  • Migração
  • Mudança de Caixas de Correio
  • Diretivas de Destinatário
Os usuários que gerenciam destinatários como caixas de correio, contatos e grupos de distribuição na organização do Exchange 2013 devem ser membros desse grupo de funções. Estes usuários podem criar destinatários, modificar ou excluir destinatários já existentes ou mover caixas de correio.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Recipient Management.
Gerenciamento do Servidor Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
  • Bancos de dados
  • Conectores do Exchange
  • Exchange Servers
  • Conectores de recebimento
  • Filas de Transporte
Os usuários que gerenciam a configuração do servidor do Exchange, como conectores de recebimento, certificados, bancos de dados e diretórios virtuais, devem ser membros desse grupo de funções. Esses usuários podem modificar a configuração do servidor do Exchange, criar bancos de dados e reiniciar e manipular filas de transporte.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Server Management.
Gerenciamento de Descobertas As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Guarda Legal
  • Pesquisa de Caixa de Correio
Os usuários que realizam pesquisas de caixas de correio, para dar suporte a procedimentos legais ou configurar guardas de documentos, devem ser membros deste grupo de funções.

Este é um exemplo de um grupo de funções que pode conter administradores que não são do Exchange, como pessoal no departamento jurídico. O pessoal legal pode executar suas tarefas sem intervenção dos administradores do Exchange.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Discovery Management.

Esta tabela mostra que o Exchange 2013 fornece um nível granular de controle sobre as permissões concedidas aos administradores. Você pode escolher entre 12 grupos de funções no Exchange 2013. Para obter uma lista completa de grupos de funções e as permissões que eles fornecem, confira Grupos de funções internos.

Como o Exchange 2013 fornece muitos grupos de funções e como a personalização adicional é possível criando grupos de funções com combinações de função diferentes, a manipulação das ACLs (listas de controle de acesso) em objetos do Active Directory não é mais necessária e não tem efeito. As ACLs não são mais usadas para aplicar permissões a administradores ou grupos individuais no Exchange 2013. Todas as tarefas, como um administrador que cria uma caixa de correio ou um usuário que acessa uma caixa de correio, são gerenciadas pelo RBAC. O RBAC autoriza a tarefa e, em seguida, o Exchange executa a tarefa em nome do usuário, se permitido. O Exchange executa a tarefa no grupo de segurança universal do Subsistema Confiável do Exchange (USG). Com algumas exceções, todas as ACLs em objetos no Active Directory que o Exchange 2010 tem para acessar são concedidas ao USG do Subsistema Confiável do Exchange. Essa é uma alteração fundamental da forma como as permissões são tratadas no Exchange 2007.

As permissões concedidas a um usuário no Active Directory são separadas das permissões concedidas ao usuário pelo RBAC quando esse usuário está usando as ferramentas de gerenciamento do Exchange 2013.

Para mais informações sobre o RBAC, consulte Controle de acesso baseado em função de compreensão.

Permissões do Exchange 2007

O modelo administrativo do Exchange 2007 aproveita as florestas do Active Directory para definir limites de segurança. Não existe nenhum isolamento das permissões de segurança em uma floresta específica. Os proprietários de floresta e os administradores corporativos podem sempre ganhar acesso a todos os recursos em qualquer domínio. No Exchange 2007, talvez seja necessário conceder direitos de administrador corporativo e direitos de administrador de domínio de nível superior apenas temporariamente.

O Exchange 2007 fornece as seguintes funções de administrador predefinidas:

  • Função de Administrador da Organização do Exchange: essa função concede permissões para controlar todos os aspectos da organização do Exchange 2007. Além disso, um administrador que tem essa função pode conceder permissões a outros administradores do Exchange. Essa função é concedida à conta que você usa para instalar o Exchange 2007.
  • Função administrador do Exchange View-Only: essa função concede permissões para exibir a configuração do Exchange. No entanto, um administrador que tem essa função não pode modificar objetos na organização do Exchange 2007.
  • Função administrador de destinatário do Exchange: essa função concede permissões para gerenciar destinatários de email. Um administrador que tem essa função pode modificar itens relacionados ao Exchange para usuários, grupos, contatos e grupos de distribuição.
  • Exchange Server função de administrador: essa função concede permissões para gerenciar um servidor específico. No entanto, essa função não concede permissões para executar ações que tenham um impacto global na organização do Exchange 2007.
  • Função Administrador de Pasta Pública do Exchange: essa função foi adicionada no Exchange 2007 Service Pack 1**.** Essa função concede permissões para gerenciar pastas públicas na organização exchange 2007.

Esse modelo de permissões usa USGs para todas as funções, exceto para a função administrador de Exchange Server. Quando você executa o comando Configuração/PreparaAD do Exchange 2007, o programa de instalação cria os USGs no domínio raiz e fornece um escopo em toda a floresta para os USGs. Os USGs recebem ACLs para gerenciar objetos do Exchange em todo o Active Directory.

No Exchange 2007, você pode separar os administradores atribuindo-lhes várias funções. As permissões são atribuídas diretamente ao usuário ou ao USG do qual o usuário é membro. Todas as ações executadas pelo usuário são executadas no contexto da conta do Active Directory desse usuário. A tabela a seguir lista as funções de administrador do Exchange 2007 junto com suas permissões relacionadas ao Exchange.

Funções de administrador do Exchange 2007

Função de administrador Members Membro de Permissões do Exchange
Administrador da Organização exchange A conta administrador ou a conta usada para instalar o primeiro servidor do Exchange 2007 Administrador do Destinatário do Exchange

Administradores grupo local de nome> do< servidor
Controle total do contêiner do Microsoft Exchange no Active Directory
Administrador do Exchange View-Only Administradores do Destinatário do Exchange

administradores Exchange Server (<nome> do servidor)
Administradores do Destinatário do Exchange

administradores Exchange Server
Ler o acesso ao contêiner do Microsoft Exchange no Active Directory

Ler o acesso a todos os domínios do Windows que têm destinatários do Exchange
Administrador do Destinatário do Exchange Administradores da Organização exchange Administradores do Exchange View-Only Controle total das propriedades do Exchange em objetos de usuário do Active Directory
Administrador do Exchange Server Administradores da Organização exchange Administradores do Exchange View-Only

Administradores grupo local de nome do< servidor>
Controle completo do nome do servidor exchange <>
Exchange Server Cada conta de computador do Exchange 2007 Administradores do Exchange View-Only Especial
Administrador de pastas públicas do Exchange Administradores da Organização exchange Administradores do Exchange View-Only Controle total para gerenciar todas as pastas públicas (concedido o direito estendido Criar pasta pública de nível superior)

Se você precisar fazer atribuições de permissão mais granulares, poderá modificar as ACLs em objetos individuais do Exchange 2007, como listas de endereços ou bancos de dados. Você deve adicionar o usuários ou o grupo de segurança de que o usuário é membro diretamente à ACL. Em seguida, as ações são executadas no contexto de um usuário específico.

Permissões de coexistência do Exchange 2013 e do Exchange 2007

Como os modelos de permissões para o Exchange 2013 e para o Exchange 2007 diferem, as atribuições de permissão do Exchange 2013 são separadas das atribuições de permissão do Exchange 2007. Isso é verdadeiro mesmo se ambas as versões do Exchange estiverem instaladas na mesma floresta. Sem configuração adicional, os administradores do Exchange 2013 não têm as permissões necessárias para gerenciar servidores baseados no Exchange 2007 e os administradores do Exchange 2007 não têm as permissões necessárias para gerenciar servidores baseados no Exchange 2013. Você deve considerar as seguintes perguntas:

  • Deseja conceder aos administradores do Exchange 2013 acesso para gerenciar servidores do Exchange 2007?
  • Deseja conceder aos administradores do Exchange 2007 acesso para gerenciar servidores do Exchange 2013?
  • Deseja personalizar as permissões do Exchange 2013 para que elas correspondam a todas as personalizações feitas com ACLs do Exchange 2007?

Concessão de permissões do Exchange 2013 para administradores do Exchange 2007

Se você quiser que os administradores do Exchange 2007 administrem servidores do Exchange 2013, os administradores do Exchange 2007 devem ser adicionados como membros de um ou mais grupos de funções do Exchange 2013. Você pode adicionar tanto usuários quanto USGs a grupos de funções. Desta maneira, as permissões concedidas aos grupos de funções são aplicadas aos usuários ou USGs que você adicionar como membros.

Importante

Se você usar grupos de segurança locais ou globais do Active Directory de domínio, deverá alterá-los para USGs se quiser adicioná-los como membros de um grupo de funções do Exchange 2013. O Exchange 2013 dá suporte apenas a USGs.

A tabela a seguir descreve o mapeamento entre as funções de administrador do Exchange 2007 e os grupos de funções do Exchange 2013.

Funções de administrador do Exchange 2007 e grupos de funções do Exchange 2010

Funções de administrador do Exchange 2007 Grupo de funções do Exchange 2013
Administrador da Organização exchange Gerenciamento de Organização
Administrador do Destinatário do Exchange Gerenciamento de Destinatários
Administrador do Exchange Server Gerenciamento do Servidor
Administrador do Exchange View-Only Gerenciamento de Organizações Somente Exibição
Exchange Server Nenhum grupo de função equivalente no Exchange 2013

(Para obter mais informações sobre como criar grupos de funções personalizados, consulte Gerenciar grupos de funções.)
Administrador de pastas públicas do Exchange Gerenciamento de Pasta Pública

Se todos os administradores do Exchange 2007 forem membros de uma das funções administrativas do Exchange 2007, você poderá adicionar os membros de cada um dos grupos administrativos ao grupo de funções equivalente do Exchange 2013. Por exemplo, se você quiser dar a todos os administradores da organização do Exchange 2007 acesso total aos objetos do Exchange 2013, adicione o USG dos Administradores da Organização do Exchange ao grupo de funções gerenciamento de organização.

Para obter mais informações sobre como adicionar usuários e USGs a grupos de funções, consulte Gerenciar membros do grupo de funções.

Se você modificar ACLs em objetos do Exchange 2007 para conceder mais permissões granulares aos administradores do Exchange 2007 e, se quiser atribuir permissões semelhantes aos servidores do Exchange 2013 a esses administradores, siga estas etapas:

  1. Examine as personalizações de ACL feitas nos objetos do Exchange 2007 e localize os administradores que receberam permissões para cada objeto.

  2. Categorize cada objeto do Exchange 2007. Por exemplo, determine se o objeto é um banco de dados, servidor ou objeto de destinatário.

  3. Mapeie os objetos para o grupo de funções correspondente do Exchange 2013. Para obter uma lista de grupos de funções internos, consulte Grupos de funções internos.

  4. Adicione os USGs ou usuários para cada tipo de objeto aos grupos de funções correspondentes do Exchange 2013. Para obter mais informações sobre como adicionar usuários e USGs a grupos de funções, consulte Gerenciar membros do grupo de funções.

Depois de concluir essas etapas, os administradores do Exchange 2007 serão membros do grupo de funções específico mapeado para os objetos apropriados do Exchange 2013. Os administradores do Exchange 2007 podem usar as ferramentas de gerenciamento do Exchange 2013 para gerenciar os servidores e destinatários do Exchange 2013.

Importante

Em geral, os servidores e destinatários do Exchange 2007 devem ser gerenciados usando ferramentas de gerenciamento do Exchange 2007 e os servidores e destinatários do Exchange 2013 devem ser gerenciados usando ferramentas de gerenciamento do Exchange 2013.

Se os grupos de funções internos não fornecerem o conjunto específico de permissões que você deseja conceder para determinados administradores, você poderá criar grupos de funções personalizados. Ao criar um grupo de funções personalizado, é possível escolher quais funções adicionar a ele. Você pode definir os recursos específicos que os membros do grupo de funções gerenciarão. Por exemplo, se quiser que os administradores gerenciem apenas os grupos de distribuição, você poderá criar um grupo de funções personalizado e escolher somente a função de Grupos de Distribuição. Após você fazer isso, os membros desse grupo de funções personalizado poderão gerenciar apenas os grupos de distribuição. Para obter mais informações sobre como criar grupos de funções personalizados, consulte Gerenciar grupos de funções.

Se você atribuir permissões seletivas a determinados objetos do Exchange 2007 (por exemplo, você permitirá que os administradores administrem apenas bancos de dados específicos) e, se você quiser aplicar a mesma configuração aos servidores do Exchange 2013, consulte "Recriando a Personalização da ACL do Exchange 2007 usando escopos de gerenciamento no Exchange 2013" mais tarde neste tópico.

Concessão de permissões do Exchange 2007 para administradores do Exchange 2013

Se você quiser que os administradores do Exchange 2013 administrem servidores do Exchange 2007, adicione os administradores do Exchange 2013 aos USGs ou ao grupo de segurança que corresponde à função de administrador específica do Exchange 2007. Como alternativa, se você tiver configurações de ACL personalizadas, adicione os administradores às ACLs apropriadas. Os grupos de funções são USGs, portanto, os grupos de funções podem ser adicionados diretamente aos USGs de função de administrador do Exchange 2007.

Após concluir, os administradores do Exchange 2013 serão membros da função ou funções de administrador apropriadas do Exchange 2007. Os administradores do Exchange 2013 podem usar as ferramentas de gerenciamento do Exchange 2007 para gerenciar servidores e destinatários do Exchange 2007.

Recriação da personalização de ACL do Exchange 2007 usando os escopos de gerenciamento do Exchange 2013

No Exchange 2007, quando você deseja restringir quem pode administrar um repositório de caixas de correio específico, administrar usuários específicos ou controlar em quais caixas de correio de armazenamento de caixas de correio são criadas, você deve modificar as ACLs nos objetos que você deseja restringir. O Exchange 2013 fornece os mesmos recursos, mas sem precisar modificar as ACLs. Ele faz isso usando escopos de gerenciamento, que são um componente do RBAC.

Os escopos de gerenciamento oferecem escopos internos e escopos personalizados para definir quais objetos os administradores podem gerenciar. Ao aplicar escopos de gerenciamento, você pode definir quais destinatários podem ser administrados, em quais bancos de dados de caixa de correio as caixas de correio podem ser criadas e quais destinatários ou servidores devem ser administrados somente por um pequeno grupo de administradores.

É possível criar os seguintes tipos de escopos de gerenciamento:

  • Relativo predefinido: escopos relativos predefinidos são incluídos no Exchange 2013. Você pode controlar o que um usuário pode ver e modificar. Por exemplo, os escopos relativos predefinidos podem controlar se os usuários veem somente informações sobre eles mesmos ou sobre toda a organização.

  • Destinatário: os escopos do destinatário controlam quais destinatários um administrador pode criar, modificar ou excluir. Essas seleções podem estar baseados em uma UO (Unidade Organizacional), um filtro de destinatário ou em ambos. Os filtros de destinatário especificam os critérios que um destinatário precisa cumprir a fim de ser incluído em um escopo. Por exemplo, você pode criar um escopo de filtro de destinatário que inclua todos os usuários em determinado local ou em um departamento específico. Você pode até mesmo combinar UOs e filtros de destinatários para correspondência apenas com usuários que estejam em uma UO específica e se reportam somente para um determinado administrador.

  • Servidor: os escopos do servidor controlam quais servidores um administrador pode gerenciar. Você pode especificar listas de servidores ou filtros de servidores. Para listas de servidores, você define uma lista estática de servidores que podem ser gerenciados. Os filtros de servidores funcionam da mesma forma que filtros de destinatários em que você pode especificar os critérios que precisam ter correspondência. Por exemplo, você pode criar um escopo de servidor que corresponda a todos os servidores em um determinado site do Active Directory.

  • Banco de dados: os escopos de banco de dados controlam quais bancos de dados um administrador pode gerenciar. Eles também controlam em quais bancos de dados as caixas de correio podem ser criadas ou para quais serão movidas. Como escopos de servidor, eles podem ser definidos como listas ou filtros. Por exemplo, é possível criar uma lista ou filtro que possibilite aos administradores criar caixas de correio em determinados bancos de dados de caixa de correio (ou mover essas caixas para eles) gerenciadas por uma subsidiária específica.

  • Exclusivo: escopos de destinatário, servidor e banco de dados também podem ser criados como escopos exclusivos. Os escopos exclusivos trabalham do mesmo modo que negar acesso de ACEs em ACLs. Se alguma coisa correspondem a um escopo exclusivo, somente os administradores atribuídos a um escopo exclusivo podem gerenciar esse objeto. Isso será verdadeiro se outro escopo que não é exclusivo corresponder ao mesmo objeto. Isso é útil especialmente quando você decidir que apenas poucas pessoas de alta confiança podem gerenciar a caixa de correio de um executivo. Mesmo que outro escopo de destinatário regular seja mais amplo e inclua a caixa de correio do executivo no escopo, os administradores aos quais foi atribuído esse escopo regular mais amplo não poderão gerenciar a caixa de correio desse executivo, a menos que seja atribuído a eles o escopo exclusivo.

Os escopos de gerenciamento são usados com funções de gerenciamento, atribuições de função de gerenciamento e grupos de funções de gerenciamento a fim de controlar quem pode gerenciar quais objetos e de qual maneira. Para mais informações, confira os seguintes tópicos:

Para criar o mesmo modelo de permissões no Exchange 2013 usando escopos de gerenciamento que você pode ter definido usando ACLs personalizadas, você deve fazer o inventário das ACLs personalizadas e criar escopos de gerenciamento que correspondam a elas. Você pode usar as propriedades filtráveis que estão disponíveis nos objetos de banco de dados, servidor ou destinatário a fim de criar escopos de gerenciamento que incluam os objetos aos quais você deseja que cada escopo de gerenciamento possa controlar o acesso. Para obter mais informações sobre as propriedades que você pode usar com filtros de escopo de gerenciamento, confira Entender filtros de escopo de função de gerenciamento.

Para obter mais informações sobre como criar escopos de gerenciamento, consulte Criar um escopo regular ou exclusivo.