Partilhar via

Noções básicas sobre coexistência de permissões no Exchange 2007 e no Exchange 2010

  • Artigo

Aplica-se a: Exchange Server 2013

Quando instala Microsoft Exchange Server 2013 numa organização existente Microsoft Exchange Server 2010 ou Microsoft Exchange Server 2007, tem de compreender como as permissões irão funcionar na nova organização. Leia a seção abaixo que se aplica à sua organização.

  • Installing Exchange 2013 into an existing Exchange 2010 organization
  • Installing Exchange 2013 into an existing Exchange 2007 organization

Instalação do Exchange 2013 em uma organização do Exchange 2010 existente

O Exchange 2013 utiliza o mesmo modelo de permissões de Controle de Acesso Baseado em Funções (RBAC) utilizado no Exchange 2010. Quando instala o Exchange 2013 numa organização existente do Exchange 2010, os mesmos grupos de funções de gestão, funções de gestão e âmbitos de gestão aplicam-se aos servidores e destinatários do Exchange 2013 e do Exchange 2010. Os membros de grupos de funções, ou utilizadores atribuídos a funções, podem administrar qualquer servidor ou destinatário do Exchange 2013 ou Exchange 2013 incluído no âmbito do grupo ou função de função. Se você não usar escopos em sua organização e quiser que os membros de seus grupos de função existentes gerenciem os servidores e destinatários do Exchange 2010 e do Exchange 2013, não é necessária qualquer outra ação. Esses administradores poderão gerenciar os servidores e destinatários do Exchange 2013 adicionados à organização. Se você precisar de um lembrete sobre como as permissões funcionam no Exchange 2010 e no Exchange 2013, consulte Permissions.

Na nova organização, convém separar a administração dos servidores e destinatários do Exchange 2010 e do Exchange 2013. Talvez o grupo de administradores responsáveis por administrar os servidores e destinatários do Exchange 2010 não tenham permissão para administrar os servidores e destinatários do Exchange 2013, e vice-versa. Nesse caso, você pode usar os escopos de gerenciamento para definir os servidores e destinatários que cada grupo de administradores pode gerenciar. Depois de criar os escopos que você quiser, copie os grupos de função existentes, adicione os administradores que devem ser membro de cada um e adicione os escopos a esses grupos de função. Depois de concluir, os membros de cada grupo de funções poderão administrar apenas os servidores e destinatários que correspondem aos seus respectivos escopos.

Para obter mais informações sobre os grupos de função, escopos, cópia dos grupos de função e adição dos escopos aos grupos de função, consulte os seguintes tópicos:

Instalação do Exchange 2013 em uma organização do Exchange 2007 existente

O Exchange 2013 inclui permissões de Controle de Acesso Baseadas em Funções (RBAC) que substituem o modelo de autorização baseado na entrada de controlo de acesso do Active Directory (ACE) utilizado no Microsoft Exchange Server 2007. O RBAC é o mecanismo de autorização utilizado para a maior parte da gestão do Exchange 2013. Esse mecanismo inclui as seguintes áreas de gerenciamento:

  • Shell de Gerenciamento do Exchange
  • Centro de administração do Exchange (EAC)
  • Serviços de Web do Exchange

Para obter mais informações sobre como planear a coexistência entre o Exchange 2013 e o Exchange 2007, consulte Atualizar do Exchange 2007 para o Exchange 2013.

Procurando tarefas de gerenciamento relacionadas a permissões? Confira Permissões.

Permissões do Exchange 2013

O modelo de permissões RBAC do Exchange 2013 consiste em grupos de funções de gestão atribuídos a uma das várias funções de gestão. As funções de gestão contêm permissões que permitem aos administradores realizar tarefas na organização do Exchange. Os administradores são adicionados como membros dos grupos de funções e recebem todas as permissões fornecidas pelas funções. A tabela a seguir fornece um exemplo dos grupos de funções, algumas das funções que foram atribuídas a eles e uma descrição do tipo de usuário que poderia ser um membro do grupo de funções.

Exemplos de grupos de funções e funções no Exchange 2013

Grupo de funções de gerenciamento Funções de gerenciamento Membros deste grupo de funções
Gerenciamento de Organização Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
  • Listas de Endereços
  • Exchange Servers
  • Registro no diário
  • Destinatários de Email
  • Pastas Públicas
 Os utilizadores que gerem toda a organização do Exchange 2013 devem ser membros deste grupo de funções. Com algumas exceções, os membros deste grupo de funções podem gerir praticamente qualquer aspeto da organização do Exchange 2013.

Por predefinição, a conta de utilizador utilizada para preparar o Active Directory para o Exchange 2013 é membro deste grupo de funções.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Organization Management.
Gerenciamento de Organizações Somente Exibição As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Monitoramento
  • Configuração Somente para Exibição
  • Destinatários Somente para Exibição
 Os utilizadores que veem a configuração de toda a organização do Exchange 2013 devem ser membros deste grupo de funções. Estes usuários devem conseguir visualizar as configurações do servidor e as informações do destinatário, além de executar as funções de gerenciamento sem a habilidade de alterar a configuração da organização ou do destinatário.

Para obter mais informações sobre este grupo de funções, veja View-only Organization Management (Gestão de Organizações Só de Visualização).
Gerenciamento de Destinatários As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Grupos de distribuição
  • Pastas públicas habilitadas para email
  • Criação de Destinatário de Email
  • Destinatários de Email
  • Controle de Mensagens
  • Migração
  • Mudança de Caixas de Correio
  • Diretivas de Destinatário
 Os utilizadores que gerem destinatários, como caixas de correio, contactos e grupos de distribuição na organização do Exchange 2013, devem ser membros deste grupo de funções. Estes usuários podem criar destinatários, modificar ou excluir destinatários já existentes ou mover caixas de correio.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Recipient Management.
Gerenciamento do Servidor Algumas das funções atribuídas a este grupo de funções são mostradas a seguir:
  • Bancos de dados
  • Conectores do Exchange
  • Exchange Servers
  • Conectores de recebimento
  • Filas de Transporte
 Os utilizadores que gerem a configuração do servidor Exchange, como Receber conectores, certificados, bases de dados e diretórios virtuais, devem ser membros deste grupo de funções. Estes utilizadores podem modificar a configuração do servidor Exchange, criar bases de dados e reiniciar e manipular filas de transporte.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Server Management.
Gerenciamento de Descobertas As funções atribuídas a esse grupo de funções são mostradas a seguir:
  • Guarda Legal
  • Pesquisa de Caixa de Correio
 Os usuários que realizam pesquisas de caixas de correio, para dar suporte a procedimentos legais ou configurar guardas de documentos, devem ser membros deste grupo de funções.

Este é um exemplo de um grupo de funções que pode conter administradores não do Exchange, como pessoal no departamento jurídico. O pessoal jurídico pode efetuar as suas tarefas sem intervenção dos administradores do Exchange.

Para mais informações sobre este grupo de funções, além de uma lista completa das funções atribuídas a este grupo de funções, consulte Discovery Management.

Esta tabela mostra que o Exchange 2013 fornece um nível granular de controlo sobre as permissões que concede aos administradores. Pode escolher entre 12 grupos de funções no Exchange 2013. Para obter uma lista completa dos grupos de funções e das permissões que fornecem, veja Grupos de funções incorporados.

Uma vez que o Exchange 2013 fornece muitos grupos de funções e porque é possível personalizar ainda mais ao criar grupos de funções que têm combinações de funções diferentes, a manipulação de listas de controlo de acesso (ACLs) em objetos do Active Directory já não é necessária e não tem efeito. As ACLs já não são utilizadas para aplicar permissões a administradores ou grupos individuais no Exchange 2013. Todas as tarefas, como um administrador que cria uma caixa de correio ou um usuário que acessa uma caixa de correio, são gerenciadas pelo RBAC. O RBAC autoriza a tarefa e, em seguida, o Exchange executa a tarefa em nome do utilizador, se permitido. O Exchange executa a tarefa no grupo de segurança universal (USG) do Subsistema Fidedigno do Exchange. Com algumas exceções, todas as ACLs em objetos no Active Directory a que o Exchange 2010 tem acesso são concedidas ao UsG do Subsistema Fidedigno do Exchange. Esta é uma alteração fundamental da forma como as permissões são processadas no Exchange 2007.

As permissões concedidas a um utilizador no Active Directory são separadas das permissões concedidas ao utilizador pelo RBAC quando esse utilizador está a utilizar as ferramentas de gestão do Exchange 2013.

Para mais informações sobre o RBAC, consulte Controle de acesso baseado em função de compreensão.

Permissões do Exchange 2007

O modelo administrativo do Exchange 2007 tira partido das florestas do Active Directory para definir limites de segurança. Não existe nenhum isolamento das permissões de segurança em uma floresta específica. Os proprietários de floresta e os administradores corporativos podem sempre ganhar acesso a todos os recursos em qualquer domínio. No Exchange 2007, poderá ter de conceder direitos de administrador da empresa e direitos de administrador de domínio de nível superior apenas temporariamente.

O Exchange 2007 fornece as seguintes funções de administrador predefinidas:

  • Função de Administrador da Organização do Exchange: esta função concede permissões para controlar todos os aspetos da organização do Exchange 2007. Além disso, um administrador que tenha esta função pode conceder permissões a outros administradores do Exchange. Esta função é concedida à conta que utiliza para instalar o Exchange 2007.
  • Função administrador do Exchange View-Only: esta função concede permissões para ver a configuração do Exchange. No entanto, um administrador que tenha esta função não pode modificar objetos na organização do Exchange 2007.
  • Função administrador de destinatários do Exchange: esta função concede permissões para gerir destinatários de e-mail. Um administrador que tenha esta função pode modificar itens relacionados com o Exchange para utilizadores, grupos, contactos e grupos de distribuição.
  • Exchange Server função administrador: esta função concede permissões para gerir um servidor específico. No entanto, esta função não concede permissões para realizar ações que tenham um impacto global na organização do Exchange 2007.
  • Função de Administrador de Pastas Públicas do Exchange: esta função foi adicionada no Exchange 2007 Service Pack 1**.** Esta função concede permissões para gerir pastas públicas na organização do Exchange 2007.

Este modelo de permissões utiliza USGs para todas as funções, exceto para a função de Administrador Exchange Server. Quando executa o comando Configurar/PrepararAD do Exchange 2007, o programa de Configuração cria os USGs no domínio raiz e dá um âmbito ao nível da floresta para os USGs. São atribuídas ACLs aos USGs para gerir objetos do Exchange em todo o Active Directory.

No Exchange 2007, pode separar os administradores ao atribuir-lhes várias funções. As permissões são atribuídas diretamente ao usuário ou ao USG do qual o usuário é membro. Todas as ações realizadas pelo utilizador são executadas no contexto da conta do Active Directory desse utilizador. A tabela seguinte lista as funções de administrador do Exchange 2007 juntamente com as respetivas permissões relacionadas com o Exchange.

Funções de administrador do Exchange 2007

Função de administrador Members Membro de Permissões do Exchange
Administrador da Organização do Exchange A conta de Administrador ou a conta utilizada para instalar o primeiro servidor do Exchange 2007 Administrador de Destinatários do Exchange

Grupo local de administradores do nome> do< servidor		 Controlo total do contentor do Microsoft Exchange no Active Directory
Administrador de View-Only do Exchange Administradores de Destinatários do Exchange

Administradores do Exchange Server (<nome> do servidor)		 Administradores de Destinatários do Exchange

Administradores do Exchange Server		 Acesso de leitura ao contentor do Microsoft Exchange no Active Directory

Acesso de leitura a todos os domínios do Windows que têm destinatários do Exchange
Administrador de Destinatários do Exchange Administradores da Organização do Exchange Administradores do Exchange View-Only Controlo total das propriedades do Exchange em objetos de utilizador do Active Directory
Administrador Exchange Server Administradores da Organização do Exchange Administradores do Exchange View-Only

Grupo local de administradores do nome do< servidor>		 Controlo total do nome do servidor Exchange <>
Exchange Server Cada conta de computador do Exchange 2007 Administradores do Exchange View-Only Especial
Administrador de Pastas Públicas do Exchange Administradores da Organização do Exchange Administradores do Exchange View-Only Controle total para gerenciar todas as pastas públicas (concedido o direito estendido Criar pasta pública de nível superior)

Se precisar de fazer atribuições de permissões mais granulares, pode modificar as ACLs em objetos individuais do Exchange 2007, como listas de endereços ou bases de dados. Você deve adicionar o usuários ou o grupo de segurança de que o usuário é membro diretamente à ACL. Em seguida, as ações são executadas no contexto de um usuário específico.

Permissões de coexistência do Exchange 2013 e do Exchange 2007

Uma vez que os modelos de permissões para o Exchange 2013 e para o Exchange 2007 diferem, as atribuições de permissões do Exchange 2013 são separadas das atribuições de permissões do Exchange 2007. Isto acontece mesmo que ambas as versões do Exchange estejam instaladas na mesma floresta. Sem configuração adicional, os administradores do Exchange 2013 não têm as permissões necessárias para gerir servidores baseados no Exchange 2007 e os administradores do Exchange 2007 não têm as permissões necessárias para gerir servidores baseados no Exchange 2013. Você deve considerar as seguintes perguntas:

  • Pretende conceder aos administradores do Exchange 2013 acesso para gerir servidores do Exchange 2007?
  • Pretende conceder aos administradores do Exchange 2007 acesso para gerir servidores do Exchange 2013?
  • Pretende personalizar as permissões do Exchange 2013 para que correspondam às personalizações efetuadas às ACLs do Exchange 2007?

Concessão de permissões do Exchange 2013 para administradores do Exchange 2007

Se quiser que os administradores do Exchange 2007 administrem servidores do Exchange 2013, os administradores do Exchange 2007 têm de ser adicionados como membros de um ou mais grupos de funções do Exchange 2013. Você pode adicionar tanto usuários quanto USGs a grupos de funções. Desta maneira, as permissões concedidas aos grupos de funções são aplicadas aos usuários ou USGs que você adicionar como membros.

Importante

Se utilizar grupos de segurança do Active Directory locais ou globais do domínio, tem de alterá-los para USGs se pretender adicioná-los como membros de um grupo de funções do Exchange 2013. O Exchange 2013 suporta apenas USGs.

A tabela seguinte descreve o mapeamento entre as funções de administrador do Exchange 2007 e os grupos de funções do Exchange 2013.

Funções de administrador do Exchange 2007 e grupos de funções do Exchange 2010

Funções de administrador do Exchange 2007 Grupo de funções do Exchange 2013
Administrador da Organização do Exchange Gerenciamento de Organização
Administrador de Destinatários do Exchange Gerenciamento de Destinatários
Administrador Exchange Server Gerenciamento do Servidor
Administrador de View-Only do Exchange Gerenciamento de Organizações Somente Exibição
Exchange Server Nenhum grupo de funções equivalente no Exchange 2013

(Para obter mais informações sobre como criar grupos de funções personalizados, veja Gerir grupos de funções.)
Administrador de Pastas Públicas do Exchange Gerenciamento de Pasta Pública

Se todos os seus administradores do Exchange 2007 forem membros de uma das funções administrativas do Exchange 2007, pode adicionar os membros de cada um dos grupos administrativos ao grupo de funções equivalente do Exchange 2013. Por exemplo, se quiser conceder acesso total a todos os administradores da organização do Exchange 2007 aos objetos do Exchange 2013, adicione o USG administradores da Organização do Exchange ao grupo de funções Gestão da Organização.

Para obter mais informações sobre como adicionar utilizadores e USGs a grupos de funções, veja Gerir membros do grupo de funções.

Se modificar ACLs em objetos do Exchange 2007 para conceder permissões mais granulares aos administradores do Exchange 2007 e se quiser atribuir permissões semelhantes aos servidores do Exchange 2013 a esses administradores, siga estes passos:

  1. Reveja as personalizações da ACL efetuadas aos objetos do Exchange 2007 e localize os administradores a quem foram concedidas permissões para cada objeto.

  2. Categorizar cada objeto do Exchange 2007. Por exemplo, determine se o objeto é um banco de dados, servidor ou objeto de destinatário.

  3. Mapeie os objetos para o grupo de funções do Exchange 2013 correspondente. Para obter uma lista de grupos de funções incorporados, veja Grupos de funções incorporados.

  4. Adicione os USGs ou utilizadores para cada tipo de objeto aos grupos de funções do Exchange 2013 correspondentes. Para obter mais informações sobre como adicionar utilizadores e USGs a grupos de funções, veja Gerir membros do grupo de funções.

Depois de concluir estes passos, os administradores do Exchange 2007 serão membros do grupo de funções específico que está mapeado para os objetos adequados do Exchange 2013. Os administradores do Exchange 2007 podem utilizar as ferramentas de gestão do Exchange 2013 para gerir os servidores e destinatários do Exchange 2013.

Importante

Em geral, os servidores e destinatários do Exchange 2007 têm de ser geridos através das ferramentas de gestão do Exchange 2007 e os servidores e destinatários do Exchange 2013 têm de ser geridos através das ferramentas de gestão do Exchange 2013.

Se os grupos de funções internos não fornecerem o conjunto específico de permissões que você deseja conceder para determinados administradores, você poderá criar grupos de funções personalizados. Ao criar um grupo de funções personalizado, é possível escolher quais funções adicionar a ele. Você pode definir os recursos específicos que os membros do grupo de funções gerenciarão. Por exemplo, se quiser que os administradores gerenciem apenas os grupos de distribuição, você poderá criar um grupo de funções personalizado e escolher somente a função de Grupos de Distribuição. Após você fazer isso, os membros desse grupo de funções personalizado poderão gerenciar apenas os grupos de distribuição. Para obter mais informações sobre como criar grupos de funções personalizados, veja Gerir grupos de funções.

Se atribuir permissões seletivas a determinados objetos do Exchange 2007 (por exemplo, permite que os administradores adminisquem apenas bases de dados específicas) e se quiser aplicar a mesma configuração aos seus servidores do Exchange 2013, consulte "Recriar a Personalização da ACL do Exchange 2007 Utilizando Âmbitos de Gestão no Exchange 2013" mais adiante neste tópico.

Concessão de permissões do Exchange 2007 para administradores do Exchange 2013

Se quiser que os administradores do Exchange 2013 administrem servidores do Exchange 2007, adicione os administradores do Exchange 2013 aos USGs ou ao grupo de segurança que corresponde à função de administrador específica do Exchange 2007. Como alternativa, se você tiver configurações de ACL personalizadas, adicione os administradores às ACLs apropriadas. Os grupos de funções são USGs, pelo que os grupos de funções podem ser adicionados diretamente aos USGs da função de administrador do Exchange 2007.

Após terminar, os administradores do Exchange 2013 serão membros da função ou funções de administrador do Exchange 2007 adequadas. Os administradores do Exchange 2013 podem utilizar as ferramentas de gestão do Exchange 2007 para gerir servidores e destinatários do Exchange 2007.

Recriação da personalização de ACL do Exchange 2007 usando os escopos de gerenciamento do Exchange 2013

No Exchange 2007, quando pretender restringir quem pode administrar um arquivo de caixa de correio específico, administrar utilizadores específicos ou controlar as caixas de correio da loja de caixas de correio que são criadas, tem de modificar as ACLs nos objetos que pretende restringir. O Exchange 2013 fornece as mesmas capacidades, mas sem ter de modificar quaisquer ACLs. Fá-lo através da utilização de âmbitos de gestão, que são um componente do RBAC.

Os escopos de gerenciamento oferecem escopos internos e escopos personalizados para definir quais objetos os administradores podem gerenciar. Ao aplicar escopos de gerenciamento, você pode definir quais destinatários podem ser administrados, em quais bancos de dados de caixa de correio as caixas de correio podem ser criadas e quais destinatários ou servidores devem ser administrados somente por um pequeno grupo de administradores.

É possível criar os seguintes tipos de escopos de gerenciamento:

  • Relativo predefinido: os âmbitos relativos predefinidos estão incluídos no Exchange 2013. Você pode controlar o que um usuário pode ver e modificar. Por exemplo, os escopos relativos predefinidos podem controlar se os usuários veem somente informações sobre eles mesmos ou sobre toda a organização.

  • Destinatário: os âmbitos dos destinatários controlam os destinatários que um administrador pode criar, modificar ou eliminar. Essas seleções podem estar baseados em uma UO (Unidade Organizacional), um filtro de destinatário ou em ambos. Os filtros de destinatário especificam os critérios que um destinatário precisa cumprir a fim de ser incluído em um escopo. Por exemplo, você pode criar um escopo de filtro de destinatário que inclua todos os usuários em determinado local ou em um departamento específico. Você pode até mesmo combinar UOs e filtros de destinatários para correspondência apenas com usuários que estejam em uma UO específica e se reportam somente para um determinado administrador.

  • Servidor: os âmbitos do servidor controlam os servidores que um administrador pode gerir. Você pode especificar listas de servidores ou filtros de servidores. Para listas de servidores, você define uma lista estática de servidores que podem ser gerenciados. Os filtros de servidores funcionam da mesma forma que filtros de destinatários em que você pode especificar os critérios que precisam ter correspondência. Por exemplo, pode criar um âmbito de servidor que corresponda a todos os servidores num determinado site do Active Directory.

  • Base de dados: os âmbitos da base de dados controlam as bases de dados que um administrador pode gerir. Eles também controlam em quais bancos de dados as caixas de correio podem ser criadas ou para quais serão movidas. Como escopos de servidor, eles podem ser definidos como listas ou filtros. Por exemplo, é possível criar uma lista ou filtro que possibilite aos administradores criar caixas de correio em determinados bancos de dados de caixa de correio (ou mover essas caixas para eles) gerenciadas por uma subsidiária específica.

  • Exclusivo: os âmbitos de destinatário, servidor e base de dados também podem ser criados como âmbitos exclusivos. Os escopos exclusivos trabalham do mesmo modo que negar acesso de ACEs em ACLs. Se alguma coisa correspondem a um escopo exclusivo, somente os administradores atribuídos a um escopo exclusivo podem gerenciar esse objeto. Isso será verdadeiro se outro escopo que não é exclusivo corresponder ao mesmo objeto. Isso é útil especialmente quando você decidir que apenas poucas pessoas de alta confiança podem gerenciar a caixa de correio de um executivo. Mesmo que outro escopo de destinatário regular seja mais amplo e inclua a caixa de correio do executivo no escopo, os administradores aos quais foi atribuído esse escopo regular mais amplo não poderão gerenciar a caixa de correio desse executivo, a menos que seja atribuído a eles o escopo exclusivo.

Os escopos de gerenciamento são usados com funções de gerenciamento, atribuições de função de gerenciamento e grupos de funções de gerenciamento a fim de controlar quem pode gerenciar quais objetos e de qual maneira. Para mais informações, confira os seguintes tópicos:

Para criar o mesmo modelo de permissões no Exchange 2013 com âmbitos de gestão que possa ter definido com ACLs personalizadas, tem de inventariar as ACLs que personalizou e, em seguida, criar âmbitos de gestão que correspondam aos mesmos. Você pode usar as propriedades filtráveis que estão disponíveis nos objetos de banco de dados, servidor ou destinatário a fim de criar escopos de gerenciamento que incluam os objetos aos quais você deseja que cada escopo de gerenciamento possa controlar o acesso. Para obter mais informações sobre as propriedades que pode utilizar com filtros de âmbito de gestão, veja Compreender os filtros do âmbito da função de gestão.

Para obter mais informações sobre como criar âmbitos de gestão, veja Criar um âmbito regular ou exclusivo.