분할 권한에 대한 Exchange Server 구성
분할 권한을 사용하면 Active Directory 관리자 및 Exchange 관리자와 같은 두 개의 개별 그룹이 해당 서비스, 개체 및 특성을 관리할 수 있습니다. Active Directory 관리자는 Active Directory 포리스트에 대한 액세스 권한을 제공하는 사용자 등의 보안 주체를 관리합니다. Exchange 관리자는 Active Directory 개체에 대한 Exchange 관련 특성을 관리하고 Exchange 관련 개체를 만들고 관리합니다.
Exchange Server 2016 및 Exchange Server 2019는 다음과 같은 유형의 분할 권한 모델을 제공합니다.
RBAC 분할 권한: Active Directory 도메인 파티션에서 보안 주체를 만들 수 있는 권한은 RBAC(역할 기반 Access Control)에 의해 제어됩니다. 적절한 역할 그룹의 구성원만 보안 주체를 만들 수 있습니다.
Active Directory 분할 권한: Active Directory 도메인 파티션에서 보안 주체를 만들 수 있는 권한은 Exchange 사용자, 서비스 또는 서버에서 완전히 제거됩니다. RBAC에는 보안 주체를 만들 수 있는 옵션이 제공되지 않습니다. Active Directory에서 보안 주체를 만들려면 Active Directory 관리 도구를 사용해야 합니다.
선택하는 모델은 조직의 구조와 요구 사항에 따라 결정됩니다. 구성하고자 하는 모델에 적합한 절차를 아래에서 선택하십시오. RBAC 사용 권한 분할 모델을 사용하는 것이 좋습니다. RBAC 사용 권한 분할 모델은 Active Directory 사용 권한 분할과 같은 수준의 관리 분리 기능을 제공하지만 유연성은 훨씬 뛰어납니다.
공유 및 분할 권한에 대한 자세한 내용은 Exchange Server 권한 분할을 참조하세요.
관리 역할 그룹, 관리 역할과, 일반 및 위임 관리 역할 할당에 대한 자세한 내용은 다음 항목을 참조하십시오.
시작하기 전에 알아야 할 사항은 무엇인가요?
각 절차의 예상 완료 시간: 5분
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 역할 관리 권한 항목의 "Active Directory 분할 권한" 항목을 참조하세요.
선택한 권한 모델은 조직의 모든 Exchange 2010 이상 서버에 적용됩니다.
최신 버전의 Exchange를 다운로드하려면 Exchange Server 대한 업데이트 참조하세요.
Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.
팁
문제가 있습니까? Exchange Server 포럼에서 도움을 요청하세요.
RBAC 사용 권한 분할로 전환
RBAC 분할 권한으로 전환한 후에는 Active Directory 관리자만 Active Directory 보안 주체를 만들 수 있습니다. 즉, Exchange 관리자는 다음 cmdlet을 사용할 수 없습니다.
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Exchange 관리자는 기존 Active Directory 보안 주체의 Exchange 특성만 관리할 수 있습니다. 그러나 메일 흐름 규칙(전송 규칙이라고도 함) 및 메일 그룹과 같은 Exchange 관련 개체를 만들고 관리할 수 있습니다. 자세한 내용은 Exchange Server 권한 분할의 "RBAC 분할 권한" 섹션을 참조하세요.
분할 권한에 대한 Exchange를 구성하려면 메일 받는 사람 만들기 역할 및 보안 그룹 만들기 및 멤버 자격 역할을 Active Directory 관리자인 멤버가 포함된 역할 그룹에 할당해야 합니다. 그런 다음 그러한 역할 및 Exchange 관리자가 포함된 모든 역할 그룹 또는 USG(유니버설 보안 그룹) 사이에서 할당을 제거해야 합니다.
RBAC 분할 권한을 구성하려면 다음 단계를 수행합니다.
조직이 현재 Active Directory 분할 권한에 대해 구성된 경우 다음 단계를 수행합니다.
대상 서버에서 파일 탐색기 열고 Exchange ISO 이미지 파일을 마우스 오른쪽 단추로 클릭한 다음 탑재를 선택합니다. 할당된 가상 DVD 드라이브 문자를 확인합니다.
Windows 명령 프롬프트 창을 엽니다. 예시:
- Windows 키+'R'을 눌러 실행 대화 상자를 열고 cmd.exe를 입력한 후 확인을 누릅니다.
- 시작을 누릅니다. 검색 상자에 명령 프롬프트를 입력한 다음, 결과 목록에서 명령 프롬프트를 선택합니다.
명령 프롬프트 창에서 다음 명령을 실행하여 Active Directory 분할 권한을 사용하지 않도록 설정합니다.
참고
이전 /IAcceptExchangeServerLicenseTerms 스위치는 Exchange Server 2016 Exchange Server 및 2019년 9월 2021년 9월 CPU(누적 업데이트)부터 작동하지 않습니다. 이제 무인 및 스크립팅된 설치에는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 또는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF를 사용해야 합니다.
아래 예제에서는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 스위치를 사용합니다. 스위치를 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF로 변경해야 합니다.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
조직의 모든 Exchange 서버를 다시 시작하거나 Active Directory 액세스 토큰이 모든 Exchange 서버에 복제되기를 기다립니다.
Exchange 관리 셸에서 다음 단계를 수행합니다.
Active Directory 관리자의 역할 그룹을 만듭니다. 이 명령은 역할 그룹을 만드는 것 외에도 새 역할 그룹과 Mail Recipient Creation 역할 및 Security Group Creation and Membership 역할 사이에 일반 역할 할당을 만듭니다.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
참고
이 역할 그룹의 구성원이 역할 할당을 만들 수 있게 하려면 Role Management 역할을 포함합니다. 지금은 이 역할을 추가할 필요가 없습니다. 하지만 Mail Recipient Creation 역할이나 Security Group Creation and Membership 역할을 다른 역할 담당자에게 할당하려는 경우에는 이 새 역할 그룹에 Role Management 역할을 할당해야 합니다. 다음 단계에서는 Active Directory 관리자 역할 그룹을 이러한 역할을 위임할 수 있는 유일한 역할 그룹으로 구성합니다.
다음 명령을 실행하여 새 역할 그룹과 메일 받는 사람 만들기 역할과 보안 그룹 만들기 및 멤버 자격 역할 간에 위임 역할 할당을 만듭니다.
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
다음 명령을 실행하여 새 역할 그룹에 멤버를 추가합니다.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
다음 명령을 실행하여 역할 그룹의 멤버만 멤버를 추가하거나 제거할 수 있도록 새 역할 그룹의 대리자 목록을 바꿉니다.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
중요
조직 관리 역할 그룹 구성원이나 직접 또는 다른 역할 그룹이나 USG를 통해 역할 관리 역할이 할당된 사용자는 이 위임 보안 검사를 무시할 수 있습니다. Exchange 관리자가 새 역할 그룹에 자신을 추가하지 못하게 하려면 Role Management 역할과 Exchange 관리자 사이의 모든 역할 할당을 제거하고 관리자를 다른 역할 그룹에 할당해야 합니다.
다음 명령을 실행하여 메일 받는 사람 만들기 역할에 대한 일반 및 위임 역할 할당을 모두 찾습니다.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
다음 명령을 실행하여 유지하려는 새 역할 그룹 또는 다른 역할 그룹, USG 또는 직접 할당과 연결되지 않은 메일 받는 사람 만들기 역할에 대한 일반 및 위임 역할 할당을 모두 제거합니다.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
참고
Active Directory 관리자 역할 그룹이 아닌 역할 담당자에게서 Mail Recipient Creation 역할에 대한 모든 일반 및 위임 역할 할당을 제거하려면 다음 명령을 사용합니다. WhatIf 스위치를 사용하면 제거될 역할 할당을 확인할 수 있습니다. WhatIf 스위치를 제거하고 명령을 다시 실행하여 역할 할당을 제거합니다.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
다음 명령을 실행하여 보안 그룹 만들기 및 멤버 자격 역할에 대한 일반 및 위임 역할 할당을 모두 찾습니다.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
다음 명령을 실행하여 유지하려는 새 역할 그룹 또는 다른 역할 그룹, USG 또는 직접 할당과 연결되지 않은 보안 그룹 만들기 및 멤버 자격 역할에 대한 일반 및 위임 역할 할당을 모두 제거합니다.
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
참고
이 예에서와 같이, 위 참고와 동일한 명령을 사용하여 Active Directory 관리자 역할 그룹이 아닌 모든 역할 담당자에게서 Security Group Creation and Membership 역할에 대한 일반 및 위임 할당을 모두 제거할 수 있습니다.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
구문 및 매개 변수에 대한 자세한 내용은 다음 항목을 참조하십시오.
- New-RoleGroup
- New-ManagementRoleAssignment
- Add-RoleGroupMember
- Set-RoleGroup
- Get-ManagementRoleAssignment
- Remove-ManagementRoleAssignment
Active Directory 사용 권한 분할로 전환
Active Directory 분할 권한에 대한 Exchange 조직을 구성할 수 있습니다. Active Directory 사용 권한 분할은 Exchange 관리자 및 서버가 Active Directory에서 보안 주체를 만들거나 해당 개체에서 비 Exchange 특성을 수정하도록 해 주는 사용 권한을 완전히 제거합니다. 구성이 완료되면 Active Directory 관리자만 Active Directory 보안 주체를 만들 수 있습니다. 즉, Exchange 관리자는 다음 cmdlet을 사용할 수 없습니다.
- Add-DistributionGroupMember
- New-DistributionGroup
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
- Update-DistributionGroupMember
Exchange 관리자 및 서버는 기존 Active Directory 보안 주체의 Exchange 특성만 관리할 수 있습니다. 하지만 전송 규칙 및 통합 메시징 다이얼 플랜과 같은 Exchange 관련 개체를 만들고 관리할 수 있습니다.
경고
Active Directory 사용 권한 분할을 사용하도록 설정하면 Exchange 관리자 및 서버는 더 이상 Active Directory에 보안 주체를 만들 수 없으며 메일 그룹 구성원도 관리할 수 없습니다. 이러한 작업은 필요한 Active Directory 사용 권한을 갖춘 Active Directory 관리 도구를 사용하여 수행해야 합니다. 이 변경을 하기 전에 Exchange 및 RBAC 권한 모델과 통합되는 관리 프로세스 및 타사 애플리케이션에 미치는 영향을 이해해야 합니다.
자세한 내용은 Exchange Server 권한 분할의 "Active Directory 분할 권한" 섹션을 참조하세요.
공유 또는 RBAC 분할 권한에서 Active Directory 분할 권한으로 전환하려면 다음 단계를 수행합니다.
대상 서버에서 파일 탐색기 열고 Exchange ISO 이미지 파일을 마우스 오른쪽 단추로 클릭한 다음 탑재를 선택합니다. 할당된 가상 DVD 드라이브 문자를 확인합니다.
Windows 명령 프롬프트 창에서 다음 명령을 실행하여 Active Directory 분할 권한을 사용하도록 설정합니다.
참고
이전 /IAcceptExchangeServerLicenseTerms 스위치는 Exchange Server 2016 Exchange Server 및 2019년 9월 2021년 9월 CPU(누적 업데이트)부터 작동하지 않습니다. 이제 무인 및 스크립팅된 설치에는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 또는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF를 사용해야 합니다.
아래 예제에서는 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 스위치를 사용합니다. 스위치를 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF로 변경해야 합니다.
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
조직에 여러 Active Directory 도메인이 있는 경우 Exchange 서버 또는 개체가 포함된 각 자식 도메인에서 실행
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain
하거나 모든 도메인의 Active Directory 서버가 있는 사이트에서 실행Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
해야 합니다.조직의 모든 Exchange 서버를 다시 시작하거나 Active Directory 액세스 토큰이 모든 Exchange 서버에 복제되기를 기다립니다.