Configurazione di Exchange 2010 per le autorizzazioni condivise
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-10-07
Le autorizzazioni condivise consentono all'utente, in qualità di amministratore di Exchange Server 2010, di creare le entità di protezione di Active Directory e di configurarle come destinatari di Exchange. A differenza delle autorizzazioni suddivise, che separano le attività di gestione tra i gruppi di amministratori di Exchange e di amministratori di Active Directory, le autorizzazioni condivise non separano alcuna attività.
Per ulteriori informazioni sulle autorizzazioni condivise e suddivise, vedere Informazioni sulla divisione delle autorizzazioni.
È possibile configurare l'organizzazione di Exchange 2010 per le autorizzazioni condivise se è stata già configurata per le autorizzazioni suddivise. Se l'organizzazione non è stata mai configurata per le autorizzazioni suddivise, non è necessario eseguire questa procedura. Per impostazione predefinita, Exchange 2010 viene configurato per le autorizzazioni di condivisione.
Per ulteriori informazioni sui gruppi del ruolo di gestione, i ruoli di gestione e le assegnazioni del ruolo di gestione regolari e di delega, vedere i seguenti argomenti:
- Informazioni sul controllo di accesso basato sui ruoli
- Informazioni sui gruppi del ruolo di gestione
- Informazioni sui ruoli di gestione
- Informazioni sulle assegnazioni del ruolo di gestione
Per informazioni sulle altre attività di gestione relative alle autorizzazioni, vedere Gestione delle autorizzazioni avanzate.
Prerequisiti
- L'organizzazione di Exchange 2010 deve essere al momento configurata per le autorizzazioni suddivise.
- È necessario disporre delle autorizzazioni per delegare il ruolo di gestione Creazione destinatario di posta elettronica e il ruolo di gestione Creazione e appartenenza a un gruppo di sicurezza al gruppo del ruolo di gestione Gestione organizzazione o a un altro gruppo di ruoli assegnato al ruolo Destinatari di posta.
Configurazione delle autorizzazioni condivise su Exchange 2010 tramite Shell
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.
Nota
Non è possibile utilizzare EMC per configurare le autorizzazioni condivise.
Per configurare le autorizzazioni condivise su Exchange 2010, è necessario assegnare il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli assegnato al ruolo Destinatari di posta e con amministratori di Exchange 2010 come membri. Nella configurazione predefinita delle autorizzazioni condivise, il gruppo di ruoli Gestione organizzazione contiene ciascuno di questi ruoli. Di conseguenza, il gruppo di ruoli Gestione organizzazione compare in questa procedura.
Configurazione delle autorizzazioni condivise
Per configurare le autorizzazioni condivise sul gruppo di ruoli Gestione organizzazione, effettuare l'operazione seguente utilizzando un account con le autorizzazioni per delegare le assegnazioni di ruolo per il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza:
Aggiungere un'assegnazione del ruolo di delega per il ruolo Creazione destinatario di posta elettronica al gruppo di ruoli Gestione organizzazione utilizzando il comando seguente.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -DelegatingAggiungere un'assegnazione del ruolo regolare per il ruolo Creazione destinatario di posta elettronica al gruppo di ruoli Gestione organizzazione utilizzando il comando seguente.
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"Aggiungere un'assegnazione del ruolo di delega per il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli Gestione organizzazione utilizzando il comando seguente.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -DelegatingAggiungere un'assegnazione del ruolo regolare per il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli Gestione organizzazione utilizzando il comando seguente.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ManagementRoleAssignment.
Eliminazione delle autorizzazioni dagli amministratori di Active Directory (facoltativo)
Facoltativamente, è possibile rimuovere le autorizzazioni concesse agli amministratori di Active Directory se non si desidera più che creino o gestiscano gli oggetti di Active Directory utilizzando gli strumenti di gestione di Exchange. Se si desidera eseguire questa operazione, attenersi a questa procedura.
Nota
Anche se è possibile rimuovere le autorizzazioni per gli amministratori di Active Directory in modo che non siano più in grado di gestire gli oggetti di Active Directory utilizzando gli strumenti di gestione di Exchange, gli amministratori di Active Directory possono continuare a gestire gli oggetti di Active Directory con gli strumenti di gestione di Active Directory, se le autorizzazioni di Active Directory lo consentono. Tuttavia, non saranno in grado di gestire attributi specifici di Exchange sugli oggetti di Active Directory. Per ulteriori informazioni, vedere Informazioni sulla divisione delle autorizzazioni.
Per rimuovere le autorizzazioni suddivise relative a Exchange dagli amministratori di Active Directory, fare quanto segue:
Individuare le assegnazioni del ruolo di delega e regolare che applicano il ruolo Creazione destinatario di posta elettronica al gruppo di ruoli o al gruppo di protezione universale che contiene gli amministratori di Active Directory come membri utilizzando il comando seguente.
Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>Individuare le assegnazioni del ruolo di delega e regolare che applicano il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli o al gruppo di protezione universale che contiene gli amministratori di Active Directory come membri utilizzando il comando seguente.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>Rimuovere le assegnazioni del ruolo di delega e regolare tra il ruolo Creazione destinatario di posta elettronica e il gruppo di ruoli o il gruppo di protezione universale che contiene gli amministratori di Active Directory utilizzando il comando seguente.
Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name> Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>Rimuovere le assegnazioni del ruolo di delega e regolare tra il ruolo Creazione e appartenenza a un gruppo di sicurezza e il gruppo di ruoli o il gruppo di protezione universale che contiene gli amministratori di Active Directory utilizzando il comando seguente.
Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name> Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>Facoltativo. Se si desidera rimuovere tutte le autorizzazioni di Exchange dagli amministratori di Active Directory, è possibile rimuovere il gruppo di ruoli o il gruppo di protezione universale in cui sono membri. Per ulteriori informazioni sulla rimozione di un gruppo di ruoli, vedere Eliminazione di un gruppo di ruoli.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ManagementRoleAssignment o Remove-ManagementRoleAssignment.