Compartilhar via


Configurar o Exchange 2010 para Permissões Compartilhadas

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-10-07

As permissões compartilhadas permitem que você, como administrador do Exchange Server 2010, crie entidades de segurança do Active Directory, como usuários, e as configure como destinatários do Exchange. Ao contrário das permissões divididas, que separam as tarefas de gerenciamento entre grupos de administradores do Exchange e administradores do Active Directory, não há nenhuma separação de tarefas com permissões compartilhadas.

Para obter mais informações sobre permissões compartilhadas e divididas, consulte Noções Básicas sobre Permissão de Divisão.

Você poderá configurar sua organização do Exchange 2010 para permissões compartilhadas caso já tenha definido antes a sua organização para permissões divididas. Se não tiver nunca configurado a organização para permissões divididas, você não precisará executar esse procedimento. O Exchange 2010 é configurado para permissões compartilhadas por padrão.

Para obter mais informações sobre grupos de função de gerenciamento, funções de gerenciamento, e atribuições de função de gerenciamento comuns e de delegação, consulte os seguintes tópicos:

Procurando outras tarefas de gerenciamento relacionadas a permissões? Consulte Gerenciando Permissões Avançadas.

Pré-requisitos

  • A organização do Exchange 2010 deve estar configurada atualmente para permissões de divisão.
  • É preciso ter permissões para delegar a função de gerenciamento Criação de Destinatário de Email e a função de gerenciamento Criação de Grupo de Segurança e Associação ao grupo de funções de gerenciamento do Gerenciamento da Organização ou outro grupo de funções atribuído à função de Destinatários do Email.

Usar o Shell para configurar o Exchange 2010 para permissões compartilhadas

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

Não é possível usar o EMC para configurar permissões compartilhadas.

Para configurar o Exchange 2010 para permissões compartilhadas, é preciso atribuir a função de Criação de Destinatário de Email e a função de Criação de Grupo de Segurança e Associação a um grupo de funções que também está atribuído à função de Destinatários do Email e tem administradores do Exchange 2010 como membros. Na configuração de permissões compartilhadas padrão, o grupo de funções do Gerenciamento da Organização contém cada uma dessas funções. Devido a isso, o grupo de funções do Gerenciamento da Organização está neste procedimento.

Configurar permissões compartilhadas

Para configurar permissões compartilhadas no grupo de funções do Gerenciamento da Organização, proceda da seguinte forma usando uma conta que tenha permissões para delegar atribuições de função para as funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação:

  1. Adicione uma atribuição de função de delegação para a função de Criação de Destinatário de Email para o grupo de funções do Gerenciamento da Organização usando o seguinte comando.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    
  2. Adicione uma atribuição de função regular para a função de Criação de Destinatário de Email para o grupo de funções do Gerenciamento da Organização usando o seguinte comando.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    
  3. Adicione uma atribuição de função de delegação para a função de Criação de Grupo de Segurança e Associação para o grupo de funções do Gerenciamento da Organização usando o seguinte comando.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    
  4. Adicione uma atribuição de função regular para a função de Criação de Grupo de Segurança e Associação para o grupo de funções do Gerenciamento da Organização usando o seguinte comando.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Remover permissões de administradores do Active Directory (opcional)

Você poderá opcionalmente remover as permissões concedidas aos administradores do Active Directory se não quiser mais que eles criem ou gerenciem objetos do Active Directory usando as ferramentas de gerenciamento do Exchange. Se quiser fazer isso, execute este procedimento.

Dica

Embora você possa remover permissões de administradores do Active Directory para gerenciar objetos do Active Directory usando as ferramentas de gerenciamento do Exchange, os administradores do Active Directory poderão continuar gerenciando objetos do Active Directory usando as ferramentas de gerenciamento do Active Directory, caso as suas permissões do Active Directory permitam isso. Entretanto, eles não poderão gerenciar atributos específicos do Exchange nos objetos do Active Directory. Para obter mais informações, consulte Noções Básicas sobre Permissão de Divisão.

Para remover permissões divididas relacionadas ao Exchange dos administradores do Active Directory, proceda da seguinte forma:

  1. Localize as atribuições de função regulares e de delegação que atribuem a função de Criação de Destinatário de Email ao grupo de funções ou ao grupo de segurança universal (USG) que tem administradores do Active Directory como membros, usando o seguinte comando.

    Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>
    
  2. Localize as atribuições de função regulares e de delegação que atribuem a função de Criação de Grupo de Segurança e Associação ao grupo de funções ou USG que tem administradores do Active Directory como membros, usando o seguinte comando.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>
    
  3. Remova as atribuições de função regulares e de delegação entre a função de Criação de Destinatário de Email e o grupo de funções ou USG que tem administradores do Active Directory, usando os seguintes comandos.

    Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name>
    Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>
    
  4. Remova as atribuições de função regulares e de delegação entre a função de Criação de Grupo de Segurança e Associação e o grupo de funções ou USG que tem administradores do Active Directory, usando os seguintes comandos.

    Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name>
    Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>
    
  5. Opcional. Se quiser remover todas as permissões do Exchange dos administradores do Active Directory, você poderá remover o grupo de funções ou USG de que são membros. Para obter mais informações sobre como remover um grupo de funções, consulte Remover um Grupo de Função.

Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment ou Remove-ManagementRoleAssignment.