Configurazione di Exchange 2010 per le autorizzazioni suddivise
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-10-07
Le autorizzazioni suddivise consentono a due gruppi separati, ad esempio gli amministratori di Active Directory e di Microsoft Exchange Server 2010 di gestire gli attributi, gli oggetti e i servizi relativi. Gli amministratori di Active Directory gestiscono le entità di protezione, ad esempio gli utenti, che forniscono le autorizzazioni per accedere ad una foresta di Active Directory. Gli amministratori di Exchange gestiscono gli attributi relativi a Exchange sugli oggetti Active Directory e la creazione e gestione degli oggetti specifici di Exchange.
Per ulteriori informazioni sulle autorizzazioni condivise e suddivise, vedere Informazioni sulla divisione delle autorizzazioni.
È possibile configurare le autorizzazioni suddivise nell'organizzazione di Exchange 2010. Al termine dell'operazione, solo gli amministratori di Active Directory saranno in grado di creare le entità di protezione di Active Directory. Ciò significa che gli amministratori di Exchange non potranno utilizzare i cmdlet seguenti:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Gli amministratori di Exchange potranno gestire solo gli attributi di Exchange sulle entità di protezione esistenti di Active Directory. Tuttavia, potranno creare e gestire oggetti specifici di Exchange, ad esempio le regole di trasporto e i gruppi di distribuzione.
Per ulteriori informazioni sui gruppi del ruolo di gestione, i ruoli di gestione e le assegnazioni del ruolo di gestione regolari e di delega, vedere i seguenti argomenti:
- Informazioni sul controllo di accesso basato sui ruoli
- Informazioni sui gruppi del ruolo di gestione
- Informazioni sui ruoli di gestione
- Informazioni sulle assegnazioni del ruolo di gestione
Per informazioni sulle altre attività di gestione relative alle autorizzazioni, vedere Gestione delle autorizzazioni avanzate.
Configurazione delle autorizzazioni suddivise su Exchange 2010 tramite Shell
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gruppi di ruolo" nell'argomento Autorizzazioni per la gestione del ruolo.
Nota
Non è possibile utilizzare EMC per configurare le autorizzazioni suddivise.
Per configurare le autorizzazioni suddivise su Exchange 2010, è necessario assegnare il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza al gruppo di ruoli contenente gli amministratori di Active Directory. Quindi, è necessario rimuovere le assegnazioni tra questi ruoli e qualsiasi gruppo di ruoli o gruppo di protezione universale contenente gli amministratori di Exchange.
Per configurare le autorizzazioni suddivise, fare quanto segue:
Creare un gruppo di ruoli per gli amministratori di Active Directory. Oltre a creare il gruppo di ruoli, il comando crea assegnazioni di ruolo regolari tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica e Creazione e appartenenza a un gruppo di sicurezza.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"Creare un'assegnazione di ruolo di delega tra il nuovo gruppo di ruoli e il ruolo Creazione destinatario di posta elettronica utilizzando il comando seguente.
New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -DelegatingCreare un'assegnazione di ruolo di delega tra il nuovo gruppo di ruoli e il ruolo Creazione e appartenenza a un gruppo di sicurezza utilizzando il comando seguente.
New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -DelegatingAggiungere membri al nuovo gruppo di ruoli utilizzando il comando seguente.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>Sostituire l'elenco di delegati sul nuovo gruppo di ruoli in modo che solo i membri del gruppo possono aggiungere o rimuovere i membri.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"Importante
I membri del gruppo di ruoli Gestione organizzazione o quelli assegnati al ruolo Gestione ruolo direttamente o mediante un altro gruppo di ruoli o gruppo di protezione universale, possono ignorare questo controllo di protezione delegato. Se si desidera impedire a qualsiasi amministratore di Exchange di aggiungersi al nuovo gruppo di ruoli, è necessario rimuovere l'assegnazione di ruolo tra il ruolo Gestione ruolo e qualsiasi amministratore di Exchange e attribuirla a un altro gruppo.
Individuare tutte le assegnazione di ruolo di delega e regolari per il ruolo Creazione destinatario di posta elettronica utilizzando il comando seguente.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation"Rimuovere tutte le assegnazioni di ruolo di delega e regolari per il ruolo Creazione destinatario di posta elettronica non associate al nuovo gruppo di ruoli o a qualsiasi altro gruppo di ruoli o gruppo di protezione universale o le assegnazioni dirette che si desidera mantenere utilizzando il comando seguente.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>Individuare tutte le assegnazione di ruolo di delega e regolari per il ruolo Creazione e gestione del gruppo di protezione utilizzando il comando seguente.
Get-ManagementRoleAssignment -Role "Security Group Creation and Management"Rimuovere tutte le assegnazioni di ruolo di delega e regolari per il ruolo Creazione e gestione del gruppo di sicurezza non associate al nuovo gruppo di ruoli o a qualsiasi altro gruppo di ruoli o gruppo di protezione universale o le assegnazioni dirette che si desidera mantenere utilizzando il comando seguente.
Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>
Per ulteriori informazioni sulla sintassi e sui parametri, vedere gli argomenti seguenti: