Compartilhar via


Configurar o Exchange 2010 para Permissões Divididas

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-10-07

As permissões de divisão permitem dois grupos separados, como administradores do Active Directory e administradores do Microsoft Exchange Server 2010, gerenciem seus respectivos serviços, objetos e atributos. Os administradores do Active Directory gerenciam as entidades de segurança, como usuários, que dão permissões para acessar uma floresta do Active Directory. Os administradores do Exchange gerenciam os atributos relacionados a Exchange em objetos do Active Directory e na criação e no gerenciamento de objetos específicos do Exchange.

Para obter mais informações sobre permissões compartilhadas e divididas, consulte Noções Básicas sobre Permissão de Divisão.

Você pode configurar sua organização do Exchange 2010 para permissões de divisão. Quando terminar, apenas os administradores de Active Directory conseguirão criar entidades de segurança do Active Directory. Isso significa que os administradores do Exchange não conseguirão usar os seguintes cmdlets:

  • New-Mailbox
  • New-MailUser
  • New-MailContact
  • New-LinkedUser
  • Remove-Mailbox
  • Remove-MailUser
  • Remove-MailContact
  • Remove-LinkedUser
  • Add-MailboxPermission
  • Add-MailboxFolderPermission

Os administradores do Exchange conseguirão apenas gerenciar os atributos do Exchange em entidades de segurança existentes do Active Directory. Entretanto, eles conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte e grupos de distribuição.

Para obter mais informações sobre grupos de função de gerenciamento, funções de gerenciamento, e atribuições de função de gerenciamento comuns e de delegação, consulte os seguintes tópicos:

Procurando outras tarefas de gerenciamento relacionadas a permissões? Consulte Gerenciando Permissões Avançadas.

Usar o Shell para configurar o Exchange 2010 para permissões de divisão

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

Não é possível usar o EMC para configurar permissões de divisão.

Para configurar o Exchange 2010 para permissões de divisão, é preciso atribuir a função de Criação de Destinatário de Email e a função de Criação de Grupo de Segurança e Associação a um grupo de funções que contém membros que são administradores do Active Directory. Depois, é preciso remover as atribuições entre essas funções e qualquer grupo de funções ou grupo de segurança universal (USG) que contém administradores do Exchange.

Para configurar as permissões de divisão, proceda da seguinte forma:

  1. Crie um grupo de função para administradores do Active Directory. Além de criar o grupo de funções, o comando cria atribuições de função regulares entre o novo grupo de funções e as funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação.

    New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"
    
  2. Crie uma atribuição de função de delegação entre o novo grupo de funções e a função de Criação de Destinatário de Email usando o seguinte comando.

    New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
    
  3. Crie uma atribuição de função de delegação entre o novo grupo de funções e a função de Criação de Grupo de Segurança e Associação usando o seguinte comando.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
    
  4. Adicione membros ao novo grupo de função usando o comando a seguir.

    Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
    
  5. Substitua a lista de delegações no novo grupo de funções de forma que apenas membros do grupo de funções possam adicionar ou remover membros.

    Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
    

    Importante

    Os membros do grupo de funções Gerenciamento da Organização ou os atribuídos à função de Gerenciamento de Função, diretamente ou por meio de outro grupo de funções ou USG, podem ignorar essa verificação de segurança de delegação. Se quiser impedir que qualquer administrador do Exchange se adicione ao novo grupo de funções, você deverá remover a atribuição de função entre a função de Gerenciamento de Função e qualquer administrador do Exchange e atribuí-la a outro grupo.

  6. Localize todas as atribuições de função de delegação e regulares para a função de Criação de Destinatário de Email usando o seguinte comando.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation"
    
  7. Remova todas as atribuições de função de delegação e regulares para a função de Criação de Destinatário de Email não associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que deseja manter usando o seguinte comando.

    Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
    
  8. Localize todas as atribuições de função de delegação e regulares para a função de Criação de Grupo de Segurança e Gerenciamento usando o seguinte comando.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Management"
    
  9. Remova todas as atribuições de função de delegação e regulares para a função de Criação de Grupo de Segurança e Gerenciamento não associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que deseja manter usando o seguinte comando.

    Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>
    

Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos: