Configurar Exchange Server para permissões de divisão

As permissões de divisão permitem que dois grupos separados, como administradores do Active Directory e administradores do Exchange, possam gerir os respetivos serviços, objetos e atributos. Active Directory administradores gerenciam as entidades de segurança, como usuários, que fornecem permissões para acessar uma floresta Active Directory. Exchange administradores gerenciam as Exchange-relacionados atributos nos objetos Active Directory e Exchange-objeto específico de criação e gerenciamento.

Exchange Server 2016 e Exchange Server 2019 oferecem os seguintes tipos de modelos de permissões divididas:

• Permissões de divisão RBAC: as permissões para criar principais de segurança na partição de domínio do Active Directory são controladas pelo Controle de Acesso Baseado em Funções (RBAC). Somente aqueles que são membros dos grupos de função adequada podem criar entidades de segurança.

• Permissões divididas do Active Directory: as permissões para criar principais de segurança na partição de domínio do Active Directory são completamente removidas de qualquer utilizador, serviço ou servidor do Exchange. No RBAC, não é fornecida nenhuma opção para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser executada usando as ferramentas de gerenciamento do Active Directory.

O modelo que você escolher depende a estrutura e as necessidades da sua organização. Escolha o procedimento a seguir que se aplicam ao modelo do qual que você deseja configurar. Recomendamos que você use o modelo de permissões de divisão RBAC. O modelo de permissões de divisão RBAC fornece significativamente mais flexibilidade fornecendo a mesma separação de administração conforme Active Directory dividir permissões.

Para obter mais informações sobre permissões partilhadas e divididas, consulte Dividir permissões no Exchange Server.

Para obter mais informações sobre grupos de funções de gerenciamento, funções de gerenciamento e atribuições de função de gerenciamento comuns e de delegação, consulte os tópicos a seguir:

• Controle de acesso baseado em função de compreensão
• Noções básicas sobre grupos de funções de gerenciamento
• Noções básicas sobre as funções de gerenciamento
• Noções básicas sobre as atribuições de função de gerenciamento

Do que você precisa saber para começar?

• Tempo estimado para concluir cada procedimento: 5 minutos

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o entrada "permissões de divisão deActive Directory " no tópico Permissões de gerenciamento de função .

• O modelo de permissões que selecionar será aplicado a todos os servidores do Exchange 2010 ou posteriores na sua organização.

• Para transferir a versão mais recente do Exchange, consulte Atualizações para Exchange Server.

• Para abrir o Shell de Gerenciamento do Exchange, confira Abrir o Shell de Gerenciamento do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns Exchange Server.

Alternar para dividir permissões de RBAC

Depois de mudar para permissões de divisão RBAC, apenas os administradores do Active Directory poderão criar principais de segurança do Active Directory. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

administradores de Exchange só poderá gerenciar os atributos de Exchange em entidades de segurança Active Directory existente. No entanto, poderão criar e gerir objetos específicos do Exchange, como regras de fluxo de correio (também conhecidas como regras de transporte) e grupos de distribuição. Para obter mais informações, veja a secção "Permissões de Divisão rbac" em Permissões de divisão no Exchange Server.

Para configurar o Exchange para permissões divididas, tem de atribuir a função Criação de Destinatários de Correio e a função Criação e Associação de Grupos de Segurança a um grupo de funções que contenha membros que sejam administradores do Active Directory. Em seguida, você deve remover as atribuições entre essas funções e qualquer grupo de função ou grupo de segurança universal (USG) que contém Exchange administradores.

Para configurar permissões de divisão RBAC, siga os seguintes passos:

1. Se a sua organização estiver atualmente configurada para permissões de divisão do Active Directory, siga os seguintes passos:

   1. No servidor de destino, abra Explorador de Arquivos, clique com o botão direito do rato no ficheiro de imagem ISO do Exchange e, em seguida, selecione Montar. Repare na letra de unidade de DVD virtual atribuída.

   2. Abra uma janela da Linha de Comandos do Windows. Por exemplo:

      • Pressione a tecla Windows+R para abrir a caixa de diálogo Executar, digite cmd.exe e pressione OK.
      • Prima Iniciar. Na caixa Procurar , escreva Linha de Comandos e, em seguida, na lista de resultados, selecione Linha de Comandos.

   3. Na janela Linha de Comandos, execute o seguinte comando para desativar as permissões de divisão do Active Directory:

      Observação

      • O comutador anterior /IAcceptExchangeServerLicenseTerms não funcionará a partir das Exchange Server 2016 e Exchange Server Atualizações Cumulativas (CUs) de setembro de 2019. Agora você deve usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON ou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalações autônomas e com script.

      • Os exemplos a seguir usam a opção /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Você pode alterar a opção para /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. Reinicie todos os servidores do Exchange na sua organização ou aguarde que o token de acesso do Active Directory seja replicado para todos os servidores do Exchange.

2. Efetue os seguintes passos na Shell de Gestão do Exchange:

   1. Crie um grupo de funções para os administradores Active Directory. Além de criar o grupo de funções, o comando cria atribuições da função regular entre o novo grupo de função e a função de criação de destinatário de email e criação de grupos de segurança e função de associação.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Observação

      Se desejar que os membros desse grupo de função possam criar atribuições de função, inclua a função de gerenciamento de função. Você não precisa adicionar essa função agora. No entanto, se você nunca deseja atribuir a função de criação de destinatário de email ou a criação de grupos de segurança e a associação de função para os outros destinatários de função, a função de gerenciamento de função deve ser atribuída a esse novo grupo de função. Etapas a seguir configure o grupo de funções administradores Active Directory como o grupo de função única que pode delegar essas funções.

   2. Crie atribuições de funções delegadas entre o novo grupo de funções e a função Criação de Destinatários de Correio e a função Criação e Associação de Grupos de Segurança ao executar os seguintes comandos:

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. Adicione membros ao novo grupo de funções ao executar o seguinte comando:

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. Substitua a lista de delegados no novo grupo de funções para que apenas os membros do grupo de funções possam adicionar ou remover membros ao executar o seguinte comando:

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Importante

      Membros do grupo de funções Gerenciamento da Organização ou aqueles que são atribuídos a função de gerenciamento de função, seja diretamente ou por meio de outro grupo de funções ou USG, poderá ignorar essa verificação de segurança de representante. Se você deseja impedir que qualquer administrador Exchange adicionando se ao novo grupo de função, você deve removem a atribuição de função entre a função de gerenciamento de função e qualquer administrador Exchange e atribuí-la para outro grupo de função.

   5. Localize todas as atribuições de funções regulares e delegadas à função Criação de Destinatários de Correio ao executar o seguinte comando:

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. Remova todas as atribuições de funções regulares e delegadas à função Criação de Destinatários de Correio que não estejam associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que pretenda manter ao executar o seguinte comando.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Observação

      Se você deseja remover todos os regulares e delegando atribuições de função para a função de criação de destinatário de email em qualquer destinatário da função que não seja o grupo de funções administradores Active Directory, use o seguinte comando. O comutador WhatIf permite-lhe ver que atribuições de funções serão removidas. Remova o comutador WhatIf e execute novamente o comando para remover as atribuições de funções.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. Localize todas as atribuições de funções regulares e delegadas à função Criação e Associação de Grupos de Segurança ao executar o seguinte comando.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. Remova todas as atribuições de funções regulares e delegadas à função Criação e Associação de Grupos de Segurança que não estão associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que pretende manter ao executar o seguinte comando:

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Observação

      Você pode usar o mesmo comando na observação anterior para remover todos os regulares e delegando atribuições de função para a função de criação de grupos de segurança e a associação no qualquer destinatário da função que não seja o grupo de função de administradores Active Directory, conforme mostrado neste exemplo.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

Alternar para divididas permissões do Active Directory

Pode configurar a sua organização do Exchange para permissões de divisão do Active Directory. permissões de divisão de Active Directory remover completamente as permissões que permitem que administradores Exchange e servidores de criação de entidades de segurança em Active Directory ou modificação de atributos de não -Exchange esses objetos de. Quando terminar, somente os administradores Active Directory será capazes de criar Active Directory entidades de segurança. Isso significa que os administradores Exchange não poderão usar os cmdlets a seguir:

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

servidores e administradores Exchange apenas será capazes de gerenciar os atributos de Exchange nos entidades de segurança Active Directory existente. No entanto, eles serão capazes de criar e gerenciar Exchange-planos de discagem de objetos específicos, como regras de transporte e Unificação de mensagens.

Aviso

Depois de ativar as permissões de divisão do Active Directory, os administradores e servidores do Exchange deixarão de poder criar principais de segurança no Active Directory e não poderão gerir a associação ao grupo de distribuição. Estas tarefas têm de ser executadas com as ferramentas de gestão do Active Directory com as permissões necessárias do Active Directory. Antes de fazer esta alteração, deve compreender o impacto que terá nos seus processos de administração e aplicações de terceiros que se integram com o Exchange e o modelo de permissões RBAC.

Para obter mais informações, veja a secção "Permissões de divisão do Active Directory" em Permissões de divisão no Exchange Server.

Para mudar de permissões de divisão rbac ou partilhadas para permissões de divisão do Active Directory, siga os seguintes passos:

1. No servidor de destino, abra Explorador de Arquivos, clique com o botão direito do rato no ficheiro de imagem ISO do Exchange e, em seguida, selecione Montar. Repare na letra de unidade de DVD virtual atribuída.

2. Numa janela da Linha de Comandos do Windows, execute o seguinte comando para ativar as permissões de divisão do Active Directory:

   Observação

   • O comutador anterior /IAcceptExchangeServerLicenseTerms não funcionará a partir das Exchange Server 2016 e Exchange Server Atualizações Cumulativas (CUs) de setembro de 2019. Agora você deve usar /IAcceptExchangeServerLicenseTerms_DiagnosticDataON ou /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF para instalações autônomas e com script.

   • Os exemplos a seguir usam a opção /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Você pode alterar a opção para /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. Se tiver vários domínios do Active Directory na sua organização, tem de executar Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain em cada domínio subordinado que contenha servidores ou objetos do Exchange ou executar Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains a partir de um site que tenha um servidor do Active Directory a partir de cada domínio.

4. Reinicie todos os servidores do Exchange na sua organização ou aguarde que o token de acesso do Active Directory seja replicado para todos os servidores exchange.