Exchange 2003의 동시 사용 권한 이해
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2016-11-28
Microsoft Exchange Server 2010과 Exchange Server 2003의 사용 권한은 완전히 별개입니다. 이는 Exchange 2010과 Exchange 2003이 사용하는 사용 권한 모델이 서로 다르기 때문입니다. 기존 Exchange 2003 관리자 권한을 Exchange 2010 서버에 부여해야 합니다(그 반대도 포함). 또한 Exchange 2010과 Exchange 2003의 관리는 각 버전에서 제공하는 관리 도구를 사용하여 별도로 수행됩니다. 관리자에게 귀하의 조합된 Exchange 2010 및 Exchange 2003 조직을 관리할 수 있도록 권한을 부여할 수 있습니다.
Exchange 2010과 Exchange 2003의 동시 사용 계획에 대한 자세한 내용은 Exchange 2003 - 업그레이드 및 동시 사용 계획 로드맵을 참조하십시오.
Exchange 2010 사용 권한
Exchange 2010은 RBAC(역할 기반 액세스 제어) 사용 권한 모델을 사용합니다. 이 모델은 다양한 관리 역할 중 하나가 할당된 관리 역할 그룹으로 구성됩니다. 관리 역할에는 Exchange 조직에서 관리자가 작업을 수행할 수 있는 권한이 포함되어 있습니다. 관리자는 역할 그룹의 구성원으로 추가되고 해당 역할이 제공하는 모든 사용 권한을 부여받습니다. 다음 표에서는 역할 그룹의 예, 몇 가지 할당된 역할, 역할 그룹의 구성원이 될 수 있는 사용자 유형에 대한 설명을 제공합니다.
Exchange 2010의 역할 그룹 및 역할의 예
| 관리 역할 그룹 | 관리 역할 | 이 역할 그룹의 구성원 |
|---|---|---|
조직 관리 |
이 역할 그룹에 할당된 역할 중 일부는 다음과 같습니다.
|
전체 Exchange 2010 조직을 관리해야 하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 몇 가지 예외를 제외하면 이 역할 그룹의 구성원은 Exchange 2010 조직의 거의 모든 측면을 관리할 수 있습니다. 기본적으로 Exchange 2010을 위한 Active Directory를 준비하는 데 사용되는 사용자 계정은 이 역할 그룹의 구성원입니다. 이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 조직 관리를 참조하십시오. |
Organization Management만 보기 |
이 역할 그룹에 할당된 역할은 다음과 같습니다.
|
전체 Exchange 2010 조직의 구성을 확인해야 하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 서버 구성, 받는 사람 정보를 보고 조직 또는 받는 사람 구성을 변경할 수 있는 기능 없이도 모니터링 기능을 수행할 수 있어야 합니다. 이 역할 그룹에 대한 자세한 내용은 보기 전용 조직 관리를 참조하십시오. |
받는 사람 관리 |
이 역할 그룹에 할당된 역할은 다음과 같습니다.
|
Exchange 2010 조직에서 사서함, 연락처, 메일 그룹과 같은 받는 사람을 관리해야 하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 받는 사람을 만들거나, 기존의 받는 사람을 수정 또는 삭제하거나 사서함을 이동할 수 있습니다. 이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 받는 사람 관리를 참조하십시오. |
서버 관리 |
이 역할 그룹에 할당된 역할 중 일부는 다음과 같습니다.
|
수신 커넥터, 인증서, 데이터베이스, 가상 디렉터리와 같은 Exchange 서버 구성을 관리해야 하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 이러한 사용자는 Exchange 서버 구성을 수정하고, 데이터베이스를 만들고, 전송 큐를 다시 시작 및 조작할 수 있습니다. 이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 서버 관리를 참조하십시오. |
검색 관리 |
이 역할 그룹에 할당된 역할은 다음과 같습니다.
|
법적 절차를 지원하거나 법적 보존을 구성하기 위해 사서함 검색을 수행해야 하는 사용자는 이 역할 그룹의 구성원이어야 합니다. 다음은 법률 부서 직원과 같은 비 Exchange 관리자를 포함할 수 있는 역할 그룹의 예입니다. 이 역할 그룹을 사용하면 직원이 Exchange 관리자의 개입 없이 작업을 수행할 수 있습니다. 이 역할 그룹에 대한 자세한 내용과 이 역할 그룹에 할당된 역할의 전체 목록은 검색 관리를 참조하십시오. |
이전 표에 설명된 것처럼 Exchange 2010은 관리자에게 부여한 사용 권한을 세부적으로 제어할 수 있는 기능을 제공합니다. Exchange 2010의 11개 역할 그룹 중에서 선택할 수 있습니다. 역할 그룹과 역할 그룹이 제공하는 사용 권한의 전체 목록은 기본 제공 역할 그룹을 참조하십시오.
Exchange 2010이 다양한 역할 그룹을 제공하고 여러 가지 역할 조합을 이용해 역할 그룹을 생성함으로써 추가 사용자 정의가 가능하므로 Active Directory 개체의 ACL(액세스 제어 목록) 조작이 더 이상 필요하지 않으며 적용되지 않습니다. Exchange 2010에서 개별 관리자 또는 그룹에 사용 권한을 적용하는 데 ACL이 더 이상 사용되지 않습니다. 관리자가 사서함을 만드는 작업 또는 사용자가 사서함을 액세스하는 작업 등의 모든 작업은 RBAC에서 관리합니다. RBAC가 작업을 인증하고, 작업이 허용되는 경우 Exchange가 Exchange Trusted Subsystem USG(유니버설 보안 그룹)의 사용자를 대신하여 작업을 수행합니다. 몇 가지 예외를 제외하면 Exchange 2010이 액세스해야 하는 Active Directory에 포함된 개체의 모든 ACL이 Exchange Trusted Subsystem USG에 부여됩니다. 이것이 Exchange 2003에서 변경된 사용 권한 처리 방법의 기본적인 내용입니다.
Active Directory의 사용자에게 부여된 권한은 사용자가 Exchange 2010 관리 도구를 사용할 때 RBAC에서 사용자에게 부여한 권한과는 별개입니다.
RBAC에 대한 자세한 내용은 역할 기반 액세스 제어 이해를 참조하십시오.
Exchange 2003 사용 권한
Exchange 2003에는 다음과 같은 관리 역할이 있습니다.
Exchange 보기 권한만 이 역할은 Exchange 2003 관리자에게 Exchange 2003 서버와 받는 사람 정보를 볼 수 있는 권한을 부여합니다.
Exchange 관리자 이 역할은 Exchange 2003 관리자에게 소유권을 가져올 수 있는 권한을 제외하고 Exchange 2003 서버와 받는 사람에 대한 모든 권한을 부여합니다. 관리자가 개체를 추가하거나 개체 속성을 수정해야 하지만 해당 개체에 대한 권한을 위임할 필요가 없는 경우 이 역할이 할당됩니다.
전체 Exchange 관리자 이 역할은 Exchange 2003 관리자에게 권한 변경 기능을 포함하여 Exchange 2003 서버 및 받는 사람에 대한 모든 권한을 부여합니다. 권한을 개체에 위임해야 하는 관리자에게 이 역할을 할당합니다.
Exchange 2003을 사용하여 관리자를 이러한 역할 중 하나로 분류할 수 있습니다. 사용 권한이 사용자 또는 해당 사용자가 구성원인 USG에 직접 할당됩니다. 사용자가 수행한 작업이 사용자의 Active Directory 계정의 컨텍스트에서 수행됩니다.
사용 권한을 더 세분화된 수준으로 할당해야 할 경우 주소 목록 및 데이터베이스와 같은 개별 Exchange 2003 개체에서 ACL을 수정해야 합니다. 관리자 역할과 마찬가지로 사용자 또는 해당 사용자가 구성원인 보안 그룹이 ACL에 직접 추가되고 작업이 사용자의 컨텍스트에서 수행됩니다.
Exchange 2003 관리 그룹에 대한 자세한 내용은 Microsoft 기술 자료 문서 823018, Exchange 2003의 Exchange 관리 역할 권한 개요를 참조하십시오.
Exchange 2010과 Exchange 2003의 동시 사용 권한
이 항목의 앞부분에서 설명한 대로 Exchange 2010과 Exchange 2003의 사용 권한 모델은 서로 다릅니다. Exchange 2010은 역할 그룹을 이용해 사용 권한을 부여하는 한편 Exchange 2003은 관리 그룹과 ACL의 조합을 이용해 사용 권한을 부여합니다. Exchange 2010과 Exchange 2003의 사용 권한은 두 버전 모두 동일한 포리스트에 있는 경우에도 완전히 별개입니다. 다시 말해서 기본적으로, 그리고 추가로 구성하지 않는 한 Exchange 2003 관리자는 Exchange 2010 서버를 관리할 수 있는 권한이 없으며 Exchange 2010 관리자는 Exchange 2003 서버를 관리할 수 있는 권한이 없습니다. 따라서 다음과 같은 질문을 고려해야 합니다.
Exchange 2003 서버를 관리하기 위해 Exchange 2010 관리자 권한을 부여할 것인가(반대의 경우 포함)?
Exchange 2010 사용 권한을 Exchange 2003과 동일하게 사용자 지정할 것인가?
Exchange 2003 관리자에게 Exchange 2010 사용 권한 부여
Exchange 2003 관리자가 Exchange 2010 서버를 관리할 수 있으려면 Exchange 2003 관리자가 하나 이상의 Exchange 2010 역할 그룹에 구성원으로 추가되어야 합니다. 사용자 또는 USG를 역할 그룹에 추가할 수 있습니다. 역할 그룹에 부여된 사용 권한은 구성원으로 추가한 사용자 또는 USG에 적용됩니다.
중요
도메인 로컬 또는 글로벌 Active Directory 보안 그룹을 사용하는 경우 이 그룹을 Exchange 2010 역할 그룹의 구성원으로 추가하려면 USG로 변경해야 합니다. Exchange 2010은 USG만 지원합니다.
다음 표에서는 Exchange 2003 관리 역할과 Exchange 2010 역할 그룹 간의 매핑을 제공합니다.
Exchange 2003 관리 역할 및 Exchange 2010 역할 그룹
| Exchange 2003 관리 역할 | Exchange 2010 역할 그룹 |
|---|---|
전체 Exchange 관리자 |
조직 관리 |
Exchange 관리자 |
Exchange 2010에 포함된 동등한 역할 그룹이 없습니다. 조직 관리 역할 그룹을 기반으로 하되 위임 역할 할당을 사용하지 않는 사용자 지정 역할 그룹은 Exchange 관리자 역할 그룹과 동등한 역할 그룹이 포함되도록 Exchange 2010에서 만들어져야 합니다. 사용자 지정 역할 그룹 만들기에 대한 자세한 내용은 역할 그룹 만들기를 참조하십시오. |
Exchange 보기 권한만 |
Organization Management만 보기 |
모든 Exchange 2003 관리자가 세 가지 Exchange 2003 관리 역할 중 하나의 구성원인 경우 각 관리 그룹의 구성원들을 해당 Exchange 2010 역할 그룹에 추가해야 합니다. 사용자와 USG를 역할 그룹에 추가하는 방법에 대한 자세한 내용은 역할 그룹에 구성원 추가를 참조하십시오.
Exchange 2003 관리자에게 더 세부적인 사용 권한을 부여하기 위해 Exchange 2003 개체의 ACL을 수정한 경우 해당 관리자에게 Exchange 2010 서버와 유사한 사용 권한을 할당하려면 다음을 수행해야 합니다.
Exchange 2003 개체에 대해 수행한 ACL 사용자 지정 목록을 만들고 각각에 대한 사용 권한을 부여 받은 관리자를 식별합니다.
데이터베이스, 서버 또는 받는 사람 개체 등 각 Exchange 2003 개체를 분류합니다.
개체를 해당 Exchange 2010 역할 그룹에 매핑합니다. 기본 제공 역할 그룹 목록을 보려면 기본 제공 역할 그룹을 참조하십시오.
각 개체 유형의 USG 또는 사용자를 해당 Exchange 2010 역할 그룹에 추가합니다. 사용자와 USG를 역할 그룹에 추가하는 방법에 대한 자세한 내용은 역할 그룹에 구성원 추가를 참조하십시오.
이 작업을 완료하면 Exchange 2003 관리자가 관리해야 하는 Exchange 2010 개체에 매핑되는 역할 그룹의 구성원이 되어야 합니다. 이제 관리자가 Exchange 2010 관리 도구를 사용하여 Exchange 2010 서버와 받는 사람을 관리할 수 있습니다.
중요
일반적으로 Exchange 2003 서버와 받는 사람은 Exchange 2003 관리 도구로 관리하고, Exchange 2010 서버와 받는 사람은 Exchange 2010 관리 도구로 관리해야 합니다. 자세한 내용은 Exchange 2003 - 업그레이드 및 동시 사용 계획 로드맵을 참조하십시오.
기본 제공 역할 그룹에서 제공하지 않는 특정 권한 집합을 몇몇 관리자에게 부여하려는 경우 사용자 지정 역할 그룹을 만들 수 있습니다. 사용자 지정 역할 그룹을 만들면 역할 그룹에 추가할 역할을 선택할 수 있습니다. 그러면 역할 그룹의 구성원에게 관리하도록 할 특정 기능을 정의할 수 있습니다. 예를 들어, 관리자가 메일 그룹만 관리하도록 하려면 사용자 지정 역할 그룹을 만들고 메일 그룹 역할을 선택하면 됩니다. 그러면 사용자 지정 역할 그룹의 구성원이 메일 그룹만 관리할 수 있게 됩니다. 사용자 지정 역할 그룹을 만드는 방법에 대한 자세한 내용은 역할 그룹 만들기를 참조하십시오.
관리자에게 특정 데이터베이스만 관리하도록 허용하는 등 특정 Exchange 2003 개체에 선택적 사용 권한을 부여한 경우 동일한 구성을 Exchange 2010 서버에 적용하려면 이 항목의 뒷부분에 나오는 "Exchange 2003의 관리 범위를 사용하여 Exchange 2010 ACL 사용자 지정 다시 만들기"를 참조하십시오.
Exchange 2010 관리자에게 Exchange 2003 사용 권한 부여
Exchange 2010 관리자가 Exchange 2003 서버를 관리하도록 하려면 Exchange 2010 관리자를 세 가지 Exchange 2003 관리 그룹 중 하나에 추가하거나 Exchange 2003 사용 권한을 사용자 지정한 경우 해당 ACL에 추가해야 합니다. 사용자 또는 USG를 Exchange 2003 관리 그룹에 추가할 수 있습니다. 역할 그룹이 USG이므로 Exchange 2003 관리 그룹에 직접 추가할 수 있습니다. 이 항목에서는 Exchange 2010 관리자를 기본 제공 Exchange 2003 관리 그룹에 추가하는 방법에 대해 설명합니다.
이 항목의 앞부분에 있는 "Exchange 2003 관리 역할 및 Exchange 2010 역할 그룹"에 표시된 Exchange 2010 역할 그룹과 Exchange 2003 관리 역할 간에 동일한 매핑이 적용됩니다. Exchange 2010 조직 관리자가 Exchange 2003 관리 역할에 대한 모든 권한을 보유하도록 하려면 조직 관리 역할 그룹을 Exchange 전체 관리자 관리 그룹에 추가합니다. Organization Management만 보기 역할 그룹과 Exchange 보기 권한만 관리 그룹에도 동일한 작업을 수행합니다.
이 작업을 완료하면 Exchange 2010 관리자가 해당 역할 그룹에 매핑되는 관리 그룹의 구성원이 되어야 합니다. 이제 관리자가 Exchange 2003 관리 도구를 사용하여 Exchange 2003 서버와 받는 사람을 관리할 수 있습니다.
중요
일반적으로 Exchange 2003 서버와 받는 사람은 Exchange 2003 관리 도구로 관리하고, Exchange 2010 서버와 받는 사람은 Exchange 2010 관리 도구로 관리해야 합니다. 자세한 내용은 Exchange 2003 - 업그레이드 및 동시 사용 계획 로드맵을 참조하십시오.
사용자 또는 USG를 Exchange 2003 관리 그룹에 추가하는 방법에 대한 자세한 내용은 기술 자료 문서 823018, Exchange 2003의 Exchange 관리 역할 권한 개요를 참조하십시오.
Exchange 2010의 관리 범위를 사용하여 Exchange 2003 ACL 사용자 지정 다시 만들기
Exchange 2003에서는 특정 사서함 저장소 또는 특정 사용자를 관리하거나 사서함이 만들어진 사서함 저장소를 제어할 수 있는 사람을 제한하려면 제한할 개체의 ACL을 수정해야 합니다. Exchange 2010은 동일한 기능을 제공하지만 ACL을 수정할 필요가 없습니다. RBAC의 구성 요소인 관리 범위를 사용하여 이 작업을 수행할 수 있습니다.
관리 범위는 기본 제공 범위와 사용자 지정 범위를 사용하여 관리자가 관리할 수 있는 개체를 정의할 수 있는 기능을 제공합니다. 관리 범위를 적용하여 관리 가능한 받는 사람, 사서함을 만들 수 있는 사서함 데이터베이스, 소규모 관리자 그룹이 관리하거나 아무도 관리해서는 안 되는 받는 사람 또는 서버를 정의할 수 있습니다.
다음과 같은 유형의 관리 범위를 만들 수 있습니다.
미리 정의된 상대 미리 정의된 상대 범위가 Exchange 2010에 포함되어 있습니다. 사용자가 보고 수정할 수 있는 항목을 제어할 수 있습니다. 예를 들어, 미리 정의된 상대 범위는 사용자에게 본인에 대한 정보만 표시할지 또는 전체 조직에 대한 정보를 표시할지를 제어할 수 있습니다.
받는 사람 받는 사람 범위는 관리자가 생성, 수정 또는 삭제할 수 있는 받는 사람을 제어합니다. 이러한 범위는 OU(조직 단위), 받는 사람 필터 또는 둘 다를 기준으로 할 수 있습니다. 받는 사람 필터는 받는 사람이 범위에 포함되기 위해 일치시켜야 하는 기준을 지정합니다. 예를 들어, 특정 위치 또는 특정 부서의 모든 사용자를 포함하는 받는 사람 필터 범위를 만들 수 있습니다. OU와 받는 사람 필터를 결합하여 특정 OU 내의 사용자와 보고서만 특정 관리자에게 일치시킬 수 있습니다.
서버 서버 범위는 관리자가 관리할 수 있는 서버를 제어합니다. 서버 목록 또는 서버 필터를 지정할 수 있습니다. 서버 목록을 이용해 관리할 수 있는 서버의 정적 목록을 정의합니다. 서버 필터는 받는 사람 필터와 같은 방식으로 작동하며 일치시켜야 하는 기준을 지정할 수 있습니다. 예를 들어, 특정 Active Directory 사이트 내의 모든 서버를 일치시키는 서버 범위를 만들 수 있습니다.
데이터베이스 데이터베이스 범위는 관리자가 관리할 수 있는 데이터베이스를 제어합니다. 또한 사서함을 만들거나 이동할 수 있는 데이터베이스를 제어합니다. 서버 범위와 마찬가지로 목록 또는 필터로 정의될 수 있습니다. 예를 들어, 관리자가 특정 지사에 의해 관리되는 특정 사서함 데이터베이스에 사서함을 만들거나 이동할 수 있도록 하는 목록 또는 필터를 만들 수 있습니다.
배타적 미리 정의된 상대 범위를 제외하고 위에서 설명한 모든 범위를 배타적 범위로도 만들 수 있습니다. 배타적 범위는 ACL의 거부 ACE(액세스 제어 항목)와 유사하게 작동합니다. 배타적 범위와 일치하는 개체가 있을 경우 배타적이지 않은 다른 범위가 동일 개체와 일치하더라도 배타적 범위에 할당된 관리자만 해당 개체를 관리할 수 있습니다. 이 기능은 신뢰할 수 있는 몇몇 개인에게만 사서함을 관리하도록 할 수 있으므로 임원에게 특히 유용합니다. 더 넓은 다른 일반 받는 사람 범위에 임원의 사서함이 포함된 경우에도 배타적 범위에 할당되지 않는 한 더 넓은 일반 받는 사람 범위에 할당된 관리자가 임원의 사서함을 관리할 수 없습니다.
관리 범위는 관리 역할, 관리 역할 할당, 관리 역할 그룹과 함께 사용하여 개체를 관리할 수 있는 사람과 위치를 제어할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.
사용자 지정 ACL을 사용하여 Exchange 2003에 정의한 관리 범위를 이용해 Exchange 2010에 동일한 사용 권한 모델을 만들려면 사용자 지정한 ACL 목록을 만들고 이와 일치하는 관리 범위를 만들어야 합니다. 받는 사람, 서버, 데이터베이스 개체에 사용 가능한 필터링할 수 있는 속성을 이용해 각 관리 범위에서 액세스를 제어할 개체를 포함하는 관리 범위를 만들 수 있습니다. 관리 범위 필터와 함께 사용할 수 있는 속성에 대한 자세한 내용은 관리 역할 범위 필터 이해를 참조하십시오.
관리 범위를 만드는 방법에 대한 자세한 내용은 일반 또는 배타적 범위 만들기를 참조하십시오.
© 2010 Microsoft Corporation. 모든 권리 보유.