Descripción de la coexistencia de permisos en Exchange 2003
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Los permisos de Microsoft Exchange Server 2010 y Exchange Server 2003 son completamente independientes. Esto se debe a que los modelos de permiso de Exchange 2010 y Exchange 2003 son diferentes. Debe tomar medidas para garantizar que los administradores de Exchange 2003 tienen acceso a los servidores de Exchange 2010 y viceversa. Además, la administración de Exchange 2010 y Exchange 2003 se realiza por separado con las herramientas de administración proporcionadas en cada versión. Puede dar permiso a los administradores para que administren la organización combinando Exchange 2010 y Exchange 2003.
Para obtener más información sobre cómo planear la coexistencia entre Exchange 2010 y Exchange 2003, consulteExchange 2003 - Guía de planeamiento para la actualización y coexistencia.
Permisos de Exchange 2010
Exchange 2010 utiliza el modelo de permisos de control de acceso basado en roles (RBAC). Este modelo consta de grupos de roles de administración a los que se asigna uno de varios roles de administración. Estos roles contienen permisos que permiten que los administradores realicen tareas en la organización de Exchange. Los administradores se agregan como miembros de los grupos de roles y reciben todos los permisos que conceden los roles. La siguiente tabla proporciona un ejemplo de los grupos de roles, algunos de los roles que se les asigna y una descripción del tipo de usuario que puede formar parte del grupo de roles.
Ejemplos de grupos de roles y roles de Exchange 2010
Grupo de roles de administración | Roles de administración | Miembros de este grupo de roles |
---|---|---|
Administración de la organización |
Estos son algunos de los roles asignados a este grupo:
|
Los usuarios que tienen que administrar toda la organización de Exchange 2010 deben ser miembros de este grupo de roles. Con algunas excepciones, los miembros de este grupo de roles pueden administrar casi cualquier aspecto de la organización Exchange 2010. De forma predeterminada, la cuenta de usuario utilizada para preparar Active Directory para Exchange 2010 pertenece a este grupo de roles. Para obtener más información sobre este grupo de roles y ver una lista completa de los roles asignados, consulte Administración de organizaciones. |
Ver solamente la administración de la organización |
Estos son los roles asignados a este grupo:
|
Los usuarios que tienen que ver la configuración de toda la organización de Exchange 2010 deben ser miembros de este grupo de roles. Esos usuarios deben poder ver la configuración del servidor y la información del destinatario y ejecutar funciones de supervisión sin cambiar la configuración de la organización o de los destinatarios. Para obtener más información acerca de este grupo de roles, consulte Administración de organizaciones con permiso de vista |
Recipient Management |
Estos son los roles asignados a este grupo:
|
Los usuarios que tienen que administrar destinatarios, así como buzones, contactos y grupos de distribución en la organización de Exchange 2010, deben ser miembros de este grupo de roles. Esos usuarios pueden crear destinatarios, modificar o borrar los destinatarios existentes o mover buzones. Para obtener más información sobre este grupo de roles y ver una lista completa de los roles asignados, consulte Administración de destinatarios. |
Administración de servidor |
Estos son algunos de los roles asignados a este grupo:
|
Los usuarios que tienen que administrar la configuración del servidor de Exchange, como conectores de recepción, certificados, bases de datos y directorios virtuales, deben ser miembros de este grupo de roles. Estos usuarios pueden modificar la configuración del servidor de Exchange, crear bases de datos y reiniciar y manipular colas de transporte. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de servidor. |
Discovery Management |
Estos son los roles asignados a este grupo:
|
Los usuarios que tienen que realizar búsquedas en buzones para permitir procedimientos legales o configurar retenciones legales deben ser miembros de este grupo. Este es un ejemplo de grupo de roles que puede incluir usuarios que no sean administradores de Exchange, como el personal del departamento legal. De esta manera, el personal del departamento legal puede llevar a cabo sus tareas sin la intervención de los administradores de Exchange. Para obtener más información sobre este grupo de roles y para ver una lista completa de los roles asignados, consulte Administración de la detección. |
Tal como se muestra en la tabla anterior, Exchange 2010 proporciona un nivel granular de control sobre los permisos concedidos a los administradores. Puede elegir entre 11 grupos de roles en Exchange 2010. Si desea una lista completa de los grupos de roles y los permisos que proporcionan, consulte Grupos de funciones integradas.
Debido al número de grupos de roles proporcionados por Exchange 2010 y dado que es posible personalizarlo más creando grupos con combinaciones de roles diferentes, no es necesario manipular listas de control de acceso (ACL) en los objetos de Active Directory ni surte ningún efecto. Las ACL ya no se utilizan para aplicar permisos a los administradores individuales o grupos de Exchange 2010. Todas las tareas, como un administrador que crea un buzón o un usuario que tiene acceso a un buzón, se administran mediante RBAC. RBAC autoriza la tarea si está permitida. Exchange realiza la tarea en nombre del usuario del grupo de seguridad universal (USG) del subsistema de confianza de Exchange. Con algunas excepciones, todas las ACL de objetos de Active Directory que Exchange 2010 necesita para tener acceso se conceden al USG del subsistema de confianza de Exchange. Se trata de un cambio fundamental respecto a cómo se controlan los permisos en Exchange 2003.
Los permisos concedidos a un usuario en Active Directory son independientes de los que concede el RBAC cuando el usuario utiliza las herramientas de administración de Exchange 2010.
Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.
Permisos de Exchange 2003
Exchange 2003 incluye los siguientes roles administrativos:
Permiso de vista de Exchange Este rol concede permiso a un administrador de Exchange 2003 para ver el servidor de Exchange 2003 y la información de los destinatarios.
Administrador de Exchange Este rol concede a los administradores de Exchange 2003 todos los permisos para los servidores y destinatarios de Exchange 2003 excepto la capacidad de tomar posesión de buzones de usuarios, cambiarles los permisos o abrirlos. Si el administrador va a tener que agregar objetos o modificar propiedades de objetos, pero no va a tener que delegar permisos para los objetos, asigne este rol.
Administrador total de Exchange Este rol concede a un administrador de Exchange 2003 todos los permisos para los servidores y destinatarios de Exchange 2003 incluyendo la capacidad de tomar posesión de buzones de usuarios, cambiarles los permisos o abrirlos. Este rol se asigna a los administradores que tengan que delegar permisos para objetos.
Exchange 2003 permite repartir a los administradores entre uno de estos roles. Los permisos se asignan directamente al usuario o al USG al que pertenece. Las acciones realizadas por el usuario se llevan a cabo en el contexto de su cuenta de Active Directory.
Si necesita asignar permisos en un nivel más granular, puede modificar las ACL en objetos individuales de Exchange 2003, como listas de direcciones o bases de datos. Al igual que ocurre con los roles administrativos, el usuario o el grupo de seguridad al que pertenece el usuario, se agrega directamente a la ACL y las acciones se ejecutan en el contexto del usuario.
Para obtener más información acerca de los grupos administrativos de Exchange 2003, consulte el artículo 823018 de Microsoft Knowledge Base Información general de permisos de funciones administrativas de Exchange en Exchange 2003.
Los permisos en la coexistencia de Exchange 2010 y Exchange 2003
Tal como se describe más arriba, los modelos de permisos de Exchange 2010 y Exchange 2003 son diferentes. Exchange 2010 usa grupos de roles para conceder permisos y Exchange 2003 utiliza una combinación de grupos administrativos y ACL. Los permisos de Exchange 2010 y Exchange 2003 son completamente independientes aunque ambas versiones existan en el mismo bosque. Esto significa que, de manera predeterminada, y sin ninguna configuración adicional, los administradores de Exchange 2003 no tienen permisos para administrar los servidores de Exchange 2010 y viceversa. Esta situación genera cuestiones que hay que tener en cuenta:
¿Desea que los administradores de Exchange 2010 tengan acceso para administrar los servidores de Exchange 2003 y viceversa?
¿Desea personalizar los permisos de Exchange 2010 para que coincidan con las personalizaciones realizadas en Exchange 2003?
Conceder permisos de Exchange 2010 a los administradores de Exchange 2003
Si desea que los administradores de Exchange 2003 administren los servidores de Exchange 2010, debe añadir los administradores de Exchange 2003 a uno o más grupos de roles de Exchange 2010. Puede agregar usuarios o USG a grupos de roles. Los permisos concedidos a los grupos de roles se aplicarán a los usuarios o USG que agregue como miembros.
Importante
Si utiliza grupos de seguridad de Active Directory locales o globales, debe convertirlos en USG para agregarlos como miembros de un grupo de roles de Exchange 2010. Exchange 2010 solo admite USG.
En la siguiente tabla se ofrecen las correspondencias entre los roles administrativos de Exchange 2003 y los grupos de roles de Exchange 2010.
Roles administrativos de Exchange 2003 y grupos de roles de Exchange 2010
Rol administrativo de Exchange 2003 | Grupo de roles de Exchange 2010 |
---|---|
Administrador total de Exchange |
Administración de la organización |
Administrador de Exchange |
No hay ningún grupo de roles equivalente incluido con Exchange 2010. Cree en Exchange 2010 un grupo de roles personalizado basado en el grupo de roles de Administración de la organización pero sin asignaciones de roles de delegación para tener un grupo de roles equivalente al grupo de roles Administrador de Exchange. Para obtener más información acerca de la creación de grupos de roles, consulte Crear un grupo de funciones |
Permiso de vista de Exchange |
Ver solamente la administración de la organización |
Si todos los administradores de Exchange 2003 son miembros de uno de los tres roles administrativos de Exchange 2003, tendrá que agregar a los miembros de cada uno de los grupos administrativos al grupo de roles de Exchange 2010 equivalente. Para obtener más información acerca de cómo agregar usuarios y USG a grupos de roles, consulte Agregar miembros a un grupo de funciones.
Si ha modificado las ACL de los objetos de Exchange 2003 para conceder permisos más granulares a los administradores de Exchange 2003 y desea asignar permisos similares a los servidores de Exchange 2010 para esos administradores, siga estos pasos:
Haga un inventario de la personalización de las ACL que ha realizado en los objetos de Exchange 2003 e identifique a los administradores que han recibido permisos para cada uno.
Clasifique todos los objetos de Exchange 2003 en función de si se trata de una base de datos, un servidor o un receptor.
Asigne los objetos al grupo de roles de Exchange 2010 correspondiente. Para obtener una lista de grupos de roles integrados, consulte Grupos de funciones integradas.
Agregue los USG o los usuarios de cada tipo de objeto a los grupos de roles de Exchange 2010 correspondientes. Para obtener más información acerca de cómo agregar usuarios y USG a grupos de roles, consulte Agregar miembros a un grupo de funciones.
Cuando haya terminado, los administradores de Exchange 2003 deberían ser miembros del grupo de roles correspondiente a los objetos de Exchange 2010 que necesiten administrar. Ahora podrán utilizar las herramientas de Exchange 2010 para administrar los servidores y destinatarios de Exchange 2010.
Importante
En general, los servidores y destinatarios de Exchange 2003 deben administrarse con herramientas de Exchange 2003 y los de Exchange 2010, con las herramientas de Exchange 2010. Para obtener más información, consulte Exchange 2003 - Guía de planeamiento para la actualización y coexistencia.
Si los grupos de roles integrados no proporcionan el conjunto de permisos que desea conceder a determinados administradores, puede crear grupos de roles personalizados. Cuando crea un grupo de roles personalizado puede elegir qué roles desea agregar. Así puede definir las características específicas que desea que administren los miembros del grupo. Por ejemplo, si solo quiere que los administradores administren grupos de distribución, puede crear un grupo de roles personalizado y elegir solo el rol Grupos de distribución. Los miembros de ese grupo de roles personalizado solo podrán administrar grupos de distribución. Para obtener más información acerca de cómo crear grupos de roles personalizados, consulte Crear un grupo de funciones.
Si ha concedido permisos selectivos a determinados objetos de Exchange 2003, como permitir que los administradores administren solo bases de datos específicas, y desea aplicar la misma configuración a los servidores de Exchange 2010, consulte "Volver a crear la personalización de ACL de Exchange 2003 mediante los ámbitos de administración de Exchange 2010", más adelante en este tema.
Conceder permisos de Exchange 2003 a los administradores de Exchange 2010
Si desea que los administradores de Exchange 2010 administren servidores de Exchange 2003, debe agregar los administradores de Exchange 2010 a uno de los tres grupos administrativos de Exchange 2003 o agregarlos a las ACL adecuadas si ha personalizado los permisos de Exchange 2003. Puede agregar usuarios o USG a grupos administrativos de Exchange 2003. Los grupos de roles son USG, por lo que se pueden agregar directamente a los grupos administrativos de Exchange 2003. En este tema se explica cómo agregar administradores de Exchange 2010 a los grupos administrativos de Exchange 2003 integrados.
Se aplica la misma correspondencia entre grupos de roles de Exchange 2010 y roles administrativos de Exchange 2003 que se muestra en "Roles administrativos de Exchange 2003 y grupos de roles de Exchange 2010", anteriormente en este tema. Si desea que los administradores de la organización de Exchange 2010 tengan acceso absoluto a los roles administrativos de Exchange 2003, agregue el grupo de roles Administración de la organización al grupo administrativo Administradores totales de Exchange. Haga lo mismo con el grupo de roles Ver solamente la administración de la organización y el grupo administrativo Permiso de vista de Exchange.
Cuando haya terminado, los administradores de Exchange 2010 deberían ser miembros del grupo administrativo correspondiente al grupo de roles al que pertenezcan. Entonces podrán utilizar las herramientas de Exchange 2003 para administrar los servidores y destinatarios de Exchange 2003.
Importante
En general, los servidores y los destinatarios de Exchange 2003 deben administrarse con herramientas de administración de Exchange 2003 y los de Exchange 2010, con las herramientas de Exchange 2010. Para obtener más información, consulte Exchange 2003 - Guía de planeamiento para la actualización y coexistencia.
Para obtener más información acerca de cómo agregar usuarios a los USG o a los grupos administrativos de Exchange 2003, consulte el artículo 823018 de Microsoft Knowledge Base Información general de permisos de funciones administrativas de Exchange en Exchange 2003.
Volver a crear la personalización de ACL de Exchange 2003 mediante los ámbitos de administración de Exchange 2010
En Exchange 2003, si desea limitar quién puede administrar un almacén de buzones específico, administrar usuarios específicos o controlar en qué almacén se crean los buzones, tendrá que modificar las ACL de los objetos que desea restringir. Exchange 2010 proporciona las mismas capacidades, pero sin tener que modificar las ACL. Para eso utiliza los ámbitos de administración, que son un componente de RBAC.
Los ámbitos de administración permiten usar ámbitos integrados y personalizados para definir qué objetos pueden administrar los administradores. Aplicando ámbitos de administración, es posible definir qué destinatarios se administran, en qué bases de datos pueden crearse buzones y qué destinatarios o servidores debe administrar exclusivamente un pequeño grupo de administradores.
Se pueden crear los siguientes tipos de ámbitos de administración:
Relativos predefinidos Exchange 2010 incluye ámbitos relativos predefinidos. Permiten controlar lo que un usuario puede ver y modificar. Por ejemplo, los ámbitos relativos predefinidos pueden controlar si los usuarios ven solo su propia información o información sobre toda la organización.
Destinatario Los ámbitos de destinatarios controlan los destinatarios que un administrador puede crear, modificar o eliminar. Pueden basarse en una unidad organizativa (OU), en un filtro de destinatarios o en ambos. Los filtros de destinatarios especifican los criterios que un destinatario debe cumplir para estar incluido en el ámbito. Por ejemplo, podría crear un ámbito de filtro de destinatarios que incluye a todos los usuarios de una ubicación determinada o de un departamento específico. También podría combinar filtros de OU y destinatarios para que devuelva solo los usuarios de una OU específica que trabajan para un jefe concreto.
Servidor Los ámbitos del servidor controlan qué servidores puede administrar un administrador. Puede especificar listas de servidores o filtros de servidores. Si se usan listas, se define una lista estática de servidores que pueden administrarse. Los filtros de servidor funcionan igual que los de destinatario: se especifican criterios que deben cumplirse. Por ejemplo, podría crear un ámbito de servidor que coincida con todos los servidores de un sitio de Active Directory particular.
Base de datos Los ámbitos de base de datos controlan qué bases de datos puede administrar un administrador. También controlan en qué bases de datos es posible crear buzones o a cuáles pueden moverse. Al igual que los ámbitos del servidor, se pueden definir como listas o como filtros. Por ejemplo, podría crear una lista o un filtro que permita a los administradores crear o mover buzones en bases de datos de buzones administradas por una subsidiaria en particular.
Exclusiva Exceptuando los ámbitos relativos predefinidos, cualquiera de los ámbitos anteriores puede crearse como ámbito exclusivo. Los ámbitos exclusivos funcionan como entradas de control de acceso (ACE) de denegación en las ACL. Si algo coincide con un ámbito exclusivo, solo los administradores asignados al ámbito exclusivo pueden administrar el objeto, aunque coincida con otro ámbito que no sea exclusivo. Esto es especialmente útil para los ejecutivos porque permite que solo un pequeño grupo de personas de confianza puedan administrar sus buzones. Aunque haya otro ámbito de destinatarios más amplio que incluya el buzón del ejecutivo, los administradores asignados al ámbito más amplio no podrán administrar el buzón de ese ejecutivo a no ser que tengan asignado también el ámbito exclusivo.
Los ámbitos de administración se usan con roles de administración, asignaciones de roles de administración y grupos de roles de administración para controlar qué objetos puede administrar cada persona y dónde puede hacerlo. Para obtener más información al respecto, consulte los temas siguientes:
Para crear el mismo modelo de permisos en Exchange 2010 utilizando ámbitos de administración que ha definido en Exchange 2003 utilizando ACL personalizadas, debe realizar un inventario de las ACL personalizadas y crear ámbitos de administración coincidentes. Puede utilizar las propiedades que se filtran y estén disponibles en objetos de destinatario, servidor y base de datos para crear ámbitos de administración que incluyan los objetos que desee que controle cada ámbito de administración. Para obtener más información acerca de las propiedades que desea usar con los filtros de ámbitos de administración, consulte Descripción de filtros de ámbito de funciones de administración.
Para obtener más información sobre cómo crear los ámbitos de administración, consulte Crear un ámbito regular o exclusivo.
© 2010 Microsoft Corporation. Reservados todos los derechos.