Noções Básicas sobre Permissão de Divisão
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-12-06
As organizações que separam o gerenciamento dos objetos do Microsoft Exchange Server 2010 e o dos objetos do Active Directory usam o que é chamado de modelo de permissões divididas. As permissões divididas permitem que as organizações atribuam permissões específicas e tarefas relacionadas a grupos específicos dentro da organização. Essa separação do trabalho ajuda a manter padrões e fluxos de trabalho e também a controlar as alterações na organização.
O mais alto nível das permissões de divisão é a separação dos gerenciamentos do Exchange e do Active Directory. Muitas organizações têm dois grupos: administradores que gerenciam a infraestrutura do Exchange da organização, incluindo servidores e destinatários, e administradores que gerenciam a infraestrutura do Active Directory. Essa é uma separação importante para muitas organizações, porque a infraestrutura do Active Directory frequentemente se espalha por vários locais, domínios, serviços, aplicações e até florestas do Active Directory. Os administradores do Active Directory devem garantir que as alterações feitas ao Active Directory não afetem negativamente outros serviços. Por causa disso, normalmente apenas um pequeno grupo de administradores tem permissão para gerenciar essa infraestrutura.
Ao mesmo tempo, a infraestrutura do Exchange, incluindo servidores e destinatários, pode ser complexa e exigir conhecimentos especializados. Além disso, o Exchange armazena informações extremamente confidenciais sobre os negócios da organização. Os administradores do Exchange podem acessar essas informações. Limitando o número de administradores do Exchange, a organização limita quem pode fazer alterações na configuração do Exchange e quem pode acessar informações importantes.
As permissões de divisão normalmente fazem distinção entre a criação de entidades no Active Directory, como usuários e grupos de segurança, e a configuração subsequente desses objetos. Isso ajuda a reduzir a chance acessos não-autorizados à rede, controlando quem pode criar objetos que concedam acesso a ela. Frequentemente, somente administradores do Active Directory podem criar entidades de segurança, enquanto outros administradores, como os do Exchange, podem gerenciar atributos específicos em objetos do Active Directory já existentes.
Para suportar as necessidades variáveis de separar o gerenciamento do Exchange e do Active Directory, o Exchange 2010 permite que você escolha entre um modelo de permissões compartilhadas e um de permissões de divisão. O Exchange 2010 tem, como padrão, um modelo de permissões compartilhadas.
Sumário
- Informações sobre Controle de Acesso Baseado em Função e Active Directory
- Permissões compartilhadas
- Permissões de divisão
Informações sobre Controle de Acesso Baseado em Função e Active Directory
Para compreender as permissões de divisão, você precisa entender como o modelo de permissões do Controle de Acesso Baseado em Função (RBAC) do Exchange 2010 funciona com o Active Directory. O modelo RBAC controla quem pode executar que ações e em que objetos essas ações podem ser executadas. Para mais informações sobre os vários componentes do RBAC discutidos neste tópico, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
No Exchange 2010, todas as tarefas executadas em objetos do Exchange devem ser feitas através do Console de Gerenciamento do Exchange, do Shell de Gerenciamento do Exchange ou da interface administrativa da Web do Exchange. Cada uma dessas ferramentas de gerenciamento usa o RBAC para autorizar todas as tarefas que são executadas.
O RBAC é um componente que existe em todos os servidores que executam o Exchange 2010. O RBAC verifica se o usuário executando uma ação é autorizado a fazer isso:
- Se o usuário não tiver autorização para executar a ação, o RBAC não permitirá que a ação prossiga.
- Se o usuário tiver autorização para executar a ação, o RBAC verifica se o usuário tem autorização para fazer a ação no objeto específico sendo solicitado:
- Se o usuário tiver autorização, o RBAC permitirá que a ação continue.
- Se o usuário não tiver autorização, o RBAC não permite que a ação continue.
Se o RBAC permitir que uma ação continue, ela será executada no contexto do Subsistema Confiável do Exchange e não no contexto do usuário. O Subsistema Confiável do Exchange é um grupo de segurança universal (USG) altamente privilegiado que possui acesso de leitura e gravação a todos os objetos relacionados ao Exchange na organização do Exchange. Ele também é um membro do grupo de segurança local Administradores e do USG de Permissões do Windows do Exchange, o que permite que o Exchange crie e gerencie objetos do Active Directory.
Aviso
O USG do Subsistema Confiável do Exchange não deve ser removido de nenhum grupo de segurança e nem das listas de controle de acesso (ACL) de qualquer objeto. O Exchange depende do USG do Subsistema Confiável do Exchange para funcionar. Removendo o USG do Subsistema Confiável do Exchange de qualquer ACL de grupo ou objeto, você poderia causar danos irreparáveis à sua organização do Exchange.
É importante entender que não importa que permissões um usuário do Active Directory tenha ao usar as ferramentas de gerenciamento do Exchange. Se o usuário tiver autorização, via RBAC, para executar uma ação nas ferramentas de gerenciamento do Exchange, o usuário pode executar a ação independente de suas permissões do Active Directory. Por outro lado, se um usuário for um Administrador Corporativo no Active Directory, mas tiver autorização para executar uma ação, como criar uma caixa de correio, nas ferramentas de gerenciamento do Exchange, a ação não terá sucesso, pois o usuário não terá as permissões necessárias, de acordo com o RBAC.
Importante
Apesar do modelo de permissões do RBAC não se aplicar à ferramenta de gerenciamento Usuários e Computadores do Active Directory, essa ferramenta do Active Directory não pode gerenciar a configuração do Exchange. Então, apesar de um usuário poder ter acesso para modificar alguns atributos dos objetos do Active Directory, como o nome de exibição de um usuário, o usuário deve usar as ferramentas de gerenciamento do Exchange e, dessa forma, ser autorizado pelo RBAC, para gerenciar os atributos do Exchange.
Retornar ao início
Permissões compartilhadas
O modelo de permissões compartilhadas é o modelo-padrão para o Exchange 2010. Você não precisa mudar nada, se esse for o modelo de permissões que você quiser usar. Esse modelo não separa o gerenciamento dos objetos do Exchange e do Active Directory de dentro das ferramentas de gerenciamento do Exchange. Ele permite que os administradores que usam as ferramentas de gerenciamento do Exchange criem entidades de segurança no Active Directory.
A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.
Funções de gerenciamento de entidades de segurança
| Função de gerenciamento | Grupo de funções |
|---|---|
Somente grupos de funções, usuários ou USGs que recebem a função Criação de Destinatário de Email podem criar entidades de segurança, como usuários do Active Directory. Por padrão, os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatário são atribuídos a essa função. Por isso, membros desses grupos de funções podem criar entidades de segurança.
Somente grupos de funções, usuários ou USGs a que seja atribuída a função Criação e Associação no Grupo de Segurança podem criar grupos de segurança ou gerenciar suas associações. Por padrão, essa função é atribuída somente ao grupo de funções Gerenciamento da Organização. Assim, somente membros do grupo de funções Gerenciamento da Organização podem criar ou gerenciar a associação nos grupos de segurança.
Você pode atribuir as funções Criação de Destinatário de Email e Criação e Associação de no Grupo de Segurança a outros grupos de funções, usuários ou USGs, se você quiser que outros usuários possam criar entidades de segurança.
Para habilitar o gerenciamento das entidades de segurança existentes no Exchange 2010, a função de Destinatários de Email é atribuída, por padrão, aos grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatário. Somente grupos de funções, usuários ou USGs que recebem a função Destinatário de Email podem gerenciar entidades de segurança. Se você quiser que outros grupos de funções, usuários ou USGs possam gerenciar as entidades de segurança existentes, deverá atribuir a função Destinatários de Email a eles.
Para mais informações sobre como adicionar uma função a um usuário, USG ou grupo de funções, consulte os seguintes tópicos:
Se você tiver mudado de um modelo de permissões de divisão e quiser voltar para um modelo de permissões compartilhadas, consulte Configurar o Exchange 2010 para Permissões Compartilhadas.
Retornar ao início
Permissões de divisão
Se a sua organização separar o gerenciamento do Exchange e o do Active Directory, você precisará configurar o Exchange para suportar o modelo de permissões de divisão. Quando configurado corretamente, somente os administradores que você quiser que criem entidades de segurança, como os administradores do Active Directory, poderão fazê-lo, e somente os administradores do Exchange poderão modificar os atributos do Exchange nas entidades de segurança existentes.
A tabela abaixo mostra as funções que habilitam a criação de entidades de segurança no Exchange e os grupos de funções de gerenciamento a que elas são atribuídas por padrão.
Funções de gerenciamento de entidades de segurança
| Função de gerenciamento | Grupo de funções |
|---|---|
Por padrão, membros dos grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatário podem criar entidades de segurança. Você deve transferir a possibilidade de criar entidades de segurança dos grupos de funções internos para um novo grupo de funções que você criar.
Para configurar um modelo de permissões de divisão, faça o seguinte:
- Crie um grupo de funções que irá conter os administradores do Active Directory que poderão criar entidades de segurança.
- Crie atribuições de função regulares e delegatórias entre a função Criação de Destinatário de Email e o novo grupo de funções.
- Crie atribuições de função regulares e delegatórias entre a função Criação e Associação no Grupo de Segurança e o novo grupo de funções.
- Remova as atribuições regulares e delegatórias de função entre a função Criação de Destinatário de Email e as os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatário.
- Remova as atribuições de função regulares e delegatórias entre a função Criação e Associação no Grupo de Segurança e o grupo de funções Gerenciamento da Organização.
Depois disso, somente membros do novo grupo de funções que você criar poderão criar entidades de segurança, como caixas de correio. O novo grupo só poderá criar os objetos. Ele não poderá configurar os atributos do Exchange no novo objeto. Será necessário um administrador do Active Directory para criar o objeto e, depois, um administrador do Exchange precisará configurar os atributos do Exchange no objeto. Os administradores do Exchange não poderão usar estes cmdlets:
- New-Mailbox
- New-MailUser
- New-MailContact
- New-LinkedUser
- Remove-Mailbox
- Remove-MailUser
- Remove-MailContact
- Remove-LinkedUser
- Add-MailboxPermission
- Add-MailboxFolderPermission
Entretanto, os administradores do Exchange conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte, grupos de distribuição etc.
Se você quiser que o novo grupo de funções também possa gerenciar os atributos do Exchange no novo objeto, a função Destinatários de Email também deverá ser atribuída ao novo grupo de funções.
Para mais informações sobre como configurar permissões de divisão, consulte Configurar o Exchange 2010 para Permissões Divididas.
Retornar ao início