Configuración de Exchange Server para permisos divididos
Los permisos divididos permiten que dos grupos independientes, como administradores de Active Directory y administradores de Exchange, administren sus respectivos servicios, objetos y atributos. Los administradores de Active Directory administran entidades de seguridad, como usuarios que proporcionan permisos de acceso a un bosque Active Directory. Los administradores de Exchange administran los atributos relacionados con Exchange en objetos de Active Directory, y la creación y administración de objetos específicos de Exchange.
Exchange Server 2016 y Exchange Server 2019 ofrecen los siguientes tipos de modelos de permisos divididos:
Permisos de división de RBAC: los permisos para crear entidades de seguridad en la partición de dominio de Active Directory se controlan mediante Access Control basadas en roles (RBAC). Solo aquellas personas que son miembros de los grupos de funciones apropiados pueden crear entidades de seguridad.
Permisos divididos de Active Directory: los permisos para crear entidades de seguridad en la partición de dominio de Active Directory se quitan por completo de cualquier usuario, servicio o servidor de Exchange. En el RBAC, no se brinda ninguna opción para crear entidades de seguridad. La creación de entidades de seguridad en Active Directory se debe realizar mediante el uso de las herramientas de administración de Active Directory.
El modelo que usted elija dependerá de la estructura y las necesidades de su organización. A continuación, elija el procedimiento que sea aplicable al modelo que desea configurar. Recomendamos que use el modelo de permisos divididos de RBAC. El modelo de permisos divididos de RBAC brinda mucho más flexibilidad y, al mismo tiempo, brinda la misma separación de administración que los permisos divididos de Active Directory.
Para obtener más información sobre los permisos compartidos y divididos, consulte Dividir permisos en Exchange Server.
Para obtener más información acerca de grupos de funciones de administración, funciones de administración y asignaciones de funciones de administraciones regulares y delegadas, consulte los siguientes temas:
- Descripción del control de acceso basado en funciones
- Descripción de los grupos de roles de administración
- Descripción de los roles de administración
- Descripción de las asignaciones de funciones de administración
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: 5 minutos
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el La entrada "Permisos divididos de Active Directory" en el tema Permisos de administración de roles.
El modelo de permisos que seleccione se aplicará a todos los servidores de Exchange 2010 o posteriores de la organización.
Para descargar la versión más reciente de Exchange, consulte Novedades para obtener Exchange Server.
Para abrir el Shell de administración de Exchange, consulte Abrir el Shell de administración de Exchange.
Sugerencia
¿Problemas? Pida ayuda en los foros de Exchange Server.
Cambie a permisos divididos de RBAC
Después de cambiar a permisos divididos de RBAC, solo los administradores de Active Directory podrán crear entidades de seguridad de Active Directory. Esto significa que los administradores de Exchange no podrán usar los siguientes cmdlets:
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Los administradores de Exchange solo podrán administrar los atributos de Exchange en entidades de seguridad de Active Directory existentes. Sin embargo, podrán crear y administrar objetos específicos de Exchange, como reglas de flujo de correo (también conocidas como reglas de transporte) y grupos de distribución. Para obtener más información, vea la sección "Permisos divididos de RBAC" en Permisos divididos en Exchange Server.
Para configurar Exchange para permisos divididos, debe asignar el rol Creación de destinatarios de correo y el rol Creación y pertenencia de grupos de seguridad a un grupo de roles que contenga miembros que sean administradores de Active Directory. Luego, debe eliminar las asignaciones entre estas funciones y cualquier grupo de funciones o grupo de seguridad universal (USG) que contenga administradores de Exchange.
Para configurar los permisos de división de RBAC, siga estos pasos:
Si su organización está configurada actualmente para permisos divididos de Active Directory, siga estos pasos:
En el servidor de destino, abra Explorador de archivos, haga clic con el botón derecho en el archivo de imagen ISO de Exchange y, a continuación, seleccione Montar. Tenga en cuenta la letra de unidad de DVD virtual que se ha asignado.
Abra una ventana del símbolo del sistema de Windows. Por ejemplo:
- Presione la tecla Windows + "R" para abrir el cuadro de diálogo Ejecutar, escriba cmd.exe y, después, presione Aceptar.
- Presione Inicio. En el cuadro Buscar, escriba Símbolo del sistema y, en la lista de resultados, seleccione Símbolo del sistema.
En la ventana símbolo del sistema, ejecute el siguiente comando para deshabilitar los permisos divididos de Active Directory:
Nota:
El modificador /IAcceptExchangeServerLicenseTerms anterior no funcionará a partir de la Exchange Server de 2016 y Exchange Server 2019 de septiembre de 2021 Novedades acumulativas (CPU). Ahora debe usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON o /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalaciones desatendidas y con scripts.
Los ejemplos siguientes usan el modificador /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Depende de usted cambiar el modificador a /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
Reinicie todos los servidores de Exchange de su organización o espere a que el token de acceso de Active Directory se replique en todos los servidores de Exchange.
Siga estos pasos en el Shell de administración de Exchange:
Cree un grupo de funciones para los administradores de Active Directory. Además de crear el grupo de funciones, el comando crea asignaciones de funciones normales entre el nuevo grupo de funciones y las funciones Creación de destinatarios de correo y Pertenencia y creación de grupos de seguridad.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
Nota:
Si desea que los miembros de este grupo de funciones pueda crear asignaciones de funciones, incluya la función Administración de función. No es necesario agregar este rol ahora. Sin embargo, si desea asignar la función Creación de destinatarios de correo o la función Pertenencia y creación de grupos de seguridad a otros usuarios a los que se les asignan funciones, la función Administración de funciones debe asignarse a este nuevo grupo de funciones. Los siguientes pasos configuran el grupo de funciones Administradores de Active Directory como el único grupo que puede delegar estas funciones.
Cree asignaciones de roles de delegación entre el nuevo grupo de roles y el rol Creación de destinatarios de correo y el rol Creación y pertenencia de grupos de seguridad mediante la ejecución de los siguientes comandos:
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
Para agregar miembros al nuevo grupo de roles, ejecute el siguiente comando:
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Reemplace la lista de delegados en el nuevo grupo de roles para que solo los miembros del grupo de roles puedan agregar o quitar miembros mediante la ejecución del siguiente comando:
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Importante
Los miembros del grupo de roles Administración de la organización, o quienes tengan asignada el rol Administración de roles, ya sea de forma directa o mediante otro grupo de roles o grupo de seguridad universal, pueden pasar por alto esta comprobación de seguridad de delegación. Si desea impedir que cualquier administrador de Exchange se agregue a un nuevo grupo de funciones, debe quitar la asignación de funciones entre la función Administrador de funciones y cualquier administrador de Exchange, y asignarla a otro grupo de funciones.
Ejecute el siguiente comando para buscar todas las asignaciones de roles regulares y de delegación al rol De creación de destinatarios de correo:
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
Quite todas las asignaciones de roles normales y delegadas al rol de creación de destinatarios de correo que no estén asociadas al nuevo grupo de roles ni a ningún otro grupo de roles, grupos de roles o asignaciones directas que quiera mantener mediante la ejecución del siguiente comando.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Nota:
Use el siguiente comando si desea quitar todas las asignaciones de funciones normales y de delegación de la función Creación de destinatario de correo o de cualquier usuario al que se le asignan funciones que no sea el grupo de funciones Administradores de Active Directory. El modificador WhatIf le permite ver qué asignaciones de roles se quitarán. Quite el modificador WhatIf y vuelva a ejecutar el comando para quitar las asignaciones de roles.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Ejecute el siguiente comando para buscar todas las asignaciones de roles normales y delegadas al rol Creación y pertenencia de grupos de seguridad.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
Ejecute el siguiente comando para quitar todas las asignaciones de roles normales y delegadas al rol de creación y pertenencia de grupos de seguridad que no están asociados al nuevo grupo de roles ni a ningún otro grupo de roles, GRUPOS de servidores de usuario o asignaciones directas que quiera mantener:
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
Nota:
Puede usar el mismo comando en la Nota anterior para quitar todas las asignaciones de funciones normales y de delegación correspondientes a la función Pertenencia y creación de grupos de seguridad o cualquier usuario al que se le asignan funciones que no sea el grupo de funciones Administradores de Active Directory, tal como se muestra en este ejemplo.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los siguientes temas:
- New-RoleGroup
- New-ManagementRoleAssignment
- Add-RoleGroupMember
- Set-RoleGroup
- Get-ManagementRoleAssignment
- Remove-ManagementRoleAssignment
Cambie a permisos divididos de Active Directory
Puede configurar la organización de Exchange para permisos divididos de Active Directory. Los permisos divididos de Active Directory quitan, por completo, los permisos que permiten que los administradores y servidores de Exchange creen entidades de seguridad en Active Directory o modifiquen atributos que no pertenecen a Exchange en esos objetos. Al finalizar, solo los administradores de Active Directory podrán crear entidades de seguridad de Active Directory. Esto significa que los administradores de Exchange no podrán usar los siguientes cmdlets:
- Add-DistributionGroupMember
- New-DistributionGroup
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
- Update-DistributionGroupMember
Los administradores y servidores de Exchange solo podrán administrar los atributos de Exchange en entidades de seguridad de Active Directory existentes. No obstante, podrán crear y administrar objetos específicos de Exchange, como reglas de transporte y planes de marcado de Mensajería unificada.
Advertencia
Después de habilitar los permisos divididos de Active Directory, los administradores y servidores de Exchange no podrán crear entidades de seguridad en Active Directory y no podrán administrar la pertenencia a grupos de distribución. Estas tareas se deben realizar mediante el uso de las herramientas de administración de Active Directory con los permisos de Active Directory requeridos. Antes de realizar este cambio, debe comprender el impacto que tendrá en los procesos de administración y las aplicaciones de terceros que se integran con Exchange y el modelo de permisos de RBAC.
Para obtener más información, consulte la sección "Permisos divididos de Active Directory" en Dividir permisos en Exchange Server.
Para cambiar de permisos compartidos o divididos de RBAC a permisos divididos de Active Directory, siga estos pasos:
En el servidor de destino, abra Explorador de archivos, haga clic con el botón derecho en el archivo de imagen ISO de Exchange y, a continuación, seleccione Montar. Tenga en cuenta la letra de unidad de DVD virtual que se ha asignado.
En una ventana del símbolo del sistema de Windows, ejecute el siguiente comando para habilitar los permisos divididos de Active Directory:
Nota:
El modificador /IAcceptExchangeServerLicenseTerms anterior no funcionará a partir de la Exchange Server de 2016 y Exchange Server 2019 de septiembre de 2021 Novedades acumulativas (CPU). Ahora debe usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON o /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalaciones desatendidas y con scripts.
Los ejemplos siguientes usan el modificador /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Depende de usted cambiar el modificador a /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
Si tiene varios dominios de Active Directory en su organización, debe ejecutar
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain
en cada dominio secundario que contenga servidores o objetos de Exchange o ejecutar desdeSetup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
un sitio que tenga un servidor de Active Directory desde cada dominio.Reinicie todos los servidores de Exchange de su organización o espere a que el token de acceso de Active Directory se replique en todos los servidores de Exchange.