Compartilhar via


Configurar o Exchange 2010 para Permissões Compartilhadas

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2012-07-23

As permissões compartilhadas permitem que você, como administrador do Microsoft Exchange Server 2010, crie entidades de segurança do Active Directory, como usuários, e as configure como destinatários do Exchange. Ao contrário das permissões divididas, que separam as tarefas de gerenciamento entre grupos de administradores do Exchange e administradores do Active Directory, não há nenhuma separação de tarefas com permissões compartilhadas.

Para obter mais informações sobre permissões compartilhadas e divididas, consulte Noções Básicas sobre Permissão de Divisão.

Você poderá configurar sua organização do Exchange 2010 para permissões compartilhadas caso já tenha definido antes a sua organização para permissões divididas. O procedimento para alternar para permissões compartilhadas muda dependendo das permissões que você está usando atualmente, sejam permissões de divisão de RBAC (controle de acesso baseado na função) ou permissões de divisão do Active Directory. Escolha o procedimento a seguir aplicável a sua configuração atual. Se o seguinte for verdadeiro, sua organização está usando permissões de divisão do Active Directory:

  • A OU (unidade organizacional) dos Grupos Protegidos do Microsoft Exchange existe.

  • O grupo de segurança de Permissões do Exchange Windows está localizado na OU dos Grupos Protegidos do Microsoft Exchange.

  • O grupo de segurança de Subsistema Confiável do Exchange é um membro do grupo de segurança de Permissões do Exchange Windows.

  • Não há atribuições de função de gerenciamento regular à função Criação de destinatário de email ou Criação de grupo de segurança e Associação.

Se não tiver nunca configurado a organização para permissões divididas, você não precisará executar esse procedimento. O Exchange 2010 é configurado para permissões compartilhadas por padrão.

Para obter mais informações sobre grupos de função de gerenciamento, funções de gerenciamento, e atribuições de função de gerenciamento comuns e de delegação, consulte os seguintes tópicos:

Procurando outras tarefas de gerenciamento relacionadas a permissões? Consulte Gerenciando Permissões Avançadas.

Pré-requisitos

  • A organização do Exchange 2010 deve estar configurada atualmente para RBAC ou permissões de divisão do Active Directory.

  • É preciso ter permissões para delegar a função de gerenciamento Criação de Destinatário de Email e a função de gerenciamento Criação de Grupo de Segurança e Associação ao grupo de funções de gerenciamento do Gerenciamento da Organização ou outro grupo de funções atribuído à função de Destinatários do Email.

Alternar de permissões de divisão de RBAC para permissões compartilhadas

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de funções" no tópico Função de Gerenciamento de Permissões.

Dica

Não é possível usar o EMC para alternar de permissões de divisão RBAC para permissões compartilhadas.

Para alternar de permissões de divisão de RBAC para permissões compartilhadas do Exchange 2010, é preciso atribuir a função Criação de destinatário de email e a função Criação de grupo de segurança e Associação a um grupo de funções ao qual também foi atribuída a função Destinatários de email e que possui administradores do Exchange 2010 como membros. Na configuração de permissões compartilhadas padrão, o grupo de funções do Gerenciamento da Organização contém cada uma dessas funções. Devido a isso, o grupo de funções do Gerenciamento da Organização está neste procedimento.

Configurar permissões compartilhadas

Para configurar permissões compartilhadas no grupo de funções do Gerenciamento da Organização, proceda da seguinte forma usando uma conta que tenha permissões para delegar atribuições de função para as funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação:

  1. Adicione atribuições de função de delegação para a função Criação de destinatário de email e Criação de grupo de segurança e Associação para o grupo de funções do Gerenciamento da Organização usando os seguintes comandos.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    

    Dica

    O grupo de funções (neste procedimento, o grupo de funções Administradores do Active Directory) que possui atribuições de função de delegação para a função Criação de destinatário de email e Criação de grupo de segurança e Associação deve ter como atribuição a função Gerenciamento de funções para executar o cmdlet New-ManagementRoleAssignment. O destinatário da função que pode delegar a função Gerenciamento de funções deve atribuir essa função ao grupo de funções Administradores do Active Directory.

  2. Adicione atribuições de função regular para a função Criação de destinatário de email para os grupos de funções do Gerenciamento da Organização e Gerenciamento de Destinatários usando os seguintes comandos.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
    
  3. Adicione uma atribuição de função regular para a função de Criação de Grupo de Segurança e Associação para o grupo de funções do Gerenciamento da Organização usando o seguinte comando.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Remover permissões de administradores do Active Directory (opcional)

Você poderá opcionalmente remover as permissões concedidas aos administradores do Active Directory se não quiser mais que eles criem ou gerenciem objetos do Active Directory usando as ferramentas de gerenciamento do Exchange. Se você deseja remover permissões de administradores do Active Directory, siga este procedimento.

Dica

Embora você possa remover permissões de administradores do Active Directory para gerenciar objetos do Active Directory usando as ferramentas de gerenciamento do Exchange, os administradores do Active Directory poderão continuar gerenciando objetos do Active Directory usando as ferramentas de gerenciamento do Active Directory, caso as suas permissões do Active Directory permitam isso. Entretanto, eles não poderão gerenciar atributos específicos do Exchange nos objetos do Active Directory. Para obter mais informações, consulte Noções Básicas sobre Permissão de Divisão.

Para remover permissões divididas relacionadas ao Exchange dos administradores do Active Directory, proceda da seguinte forma:

  1. Remova as atribuições de função regulares e de delegação que atribuem a função Criação de destinatário de email ao grupo de funções ou ao USG (grupo de segurança universal) que contém administradores do Active Directory como membros, usando o seguinte comando. Esse comando utiliza o grupo de funções Administradores do Active Directory como exemplo. A opção WhatIf permite que você veja quais atribuições de função serão removidas. Remova a opção WhatIf e execute o comando novamente para remover as atribuições de função.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  2. Remova as atribuições de função regulares e de delegação que atribuem a função Criação de grupo de segurança e Associação ao grupo de funções ou USG que contém administradores do Active Directory como membros, usando o comando a seguir. Esse comando utiliza o grupo de funções Administradores do Active Directory como exemplo. A opção WhatIf permite que você veja quais atribuições de função serão removidas. Remova a opção WhatIf e execute o comando novamente para remover as atribuições de função.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
    
  3. Opcional. Se quiser remover todas as permissões do Exchange dos administradores do Active Directory, você poderá remover o grupo de funções ou USG de que são membros. Para obter mais informações sobre como remover um grupo de funções, consulte Remover um Grupo de Função.

Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment ou Remove-ManagementRoleAssignment.

Alternar de permissões de divisão do Active Directory para permissões compartilhadas

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Permissões de divisão do Active Directory" no tópico Função de Gerenciamento de Permissões.

Dica

Não é possível usar o EMC para alternar de permissões de divisão do Active Directory para permissões compartilhadas.

Para alternar de permissões de divisão do Active Directory para permissões compartilhadas do Exchange 2010, você deve executar novamente a Instalação do Exchange para desabilitar as permissões de divisão do Active Directory na organização do Exchange, e depois criar atribuições de funções entre um grupo de funções e a função Criação de destinatário de email e Criação de grupo de segurança e Atribuição. Na configuração de permissões compartilhadas padrão, o grupo de funções do Gerenciamento da Organização contém cada uma dessas funções. Devido a isso, o grupo de funções do Gerenciamento da Organização está neste procedimento.

Importante

O comando setup.com neste procedimento faz alterações no Active Directory. Você deve usar uma conta que possui as permissões exigidas para fazer essas alterações. Essa conta não pode ser a mesma que possui permissões para criar atribuições de função usando o cmdlet New-ManagementRoleAssignment. Use a conta, ou as contas, com as permissões necessárias para completar com êxito cada etapa deste procedimento.

Para alternar de permissões de divisão do Active Directory para permissões compartilhadas, faça o seguinte:

  1. Por um shell de comando do Windows, execute o comando a seguir da mídia de instalação do Exchange 2010 SP1 para desabilitar permissões de divisão do Active Directory.

    setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
    
  2. Do Shell de Gerenciamento do Exchange, execute os seguintes comandos para adicionar atribuições de função regulares entre a função Criação de destinatário de email e Criação de grupo de segurança e Gerenciamento e os grupos de funções Gerenciamento da Organização e Gerenciamento de Destinatários.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
    
  3. Reinicialize os servidores do Exchange 2010 em sua organização.

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

 © 2010 Microsoft Corporation. Todos os direitos reservados.