Configurar o Exchange 2010 para Permissões Divididas
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2012-07-23
As permissões de divisão permitem que dois grupos separados, como administradores do Active Directory e administradores do Microsoft Exchange Server 2010, gerenciem seus respectivos serviços, objetos e atributos. Os administradores do Active Directory gerenciam as entidades de segurança, como usuários, que dão permissões para acessar uma floresta do Active Directory. Os administradores do Exchange gerenciam os atributos relacionados ao Exchange em objetos do Active Directory e na criação e no gerenciamento de objetos específicos do Exchange.
O Microsoft Exchange Server 2010 Service Pack 1 (SP1) oferece os tipos a seguir de modelos de permissão de divisão:
Permissões de divisão do RBAC As permissões para criar entidades de segurança na partição do domínio do Active Directory são controladas pelo RBAC (Controle de Acesso Baseado na Função). Apenas os membros dos grupos de funções apropriados conseguem criar entidades de segurança.
Permissões de divisão do Active Directory As permissões para criar entidades de segurança na partição de domínio do Active Directory são removidas completamente de qualquer usuário, serviço ou servidor do Exchange. No RBAC, não é fornecida nenhuma opção para criar entidades de segurança. A criação de entidades de segurança no Active Directory deve ser feita usando as ferramentas de gerenciamento do Active Directory.
Dica
As permissões de divisão do Active Directory estão disponíveis começando com o Exchange 2010 SP1.
O modelo a ser escolhido depende da estrutura e necessidades da sua organização. Escolha o procedimento a seguir aplicável ao modelo que você deseja configurar. Recomendamos o uso do modelo de permissões de divisão de RBAC. O modelo de permissões de divisão de RBAC fornece significamente mais flexibilidade, ao mesmo tempo que oferece a mesma separação de administração que as permissões de divisão do Active Directory.
Para obter mais informações sobre permissões compartilhadas e divididas, consulte Noções Básicas sobre Permissão de Divisão.
Para obter mais informações sobre grupos de função de gerenciamento, funções de gerenciamento, e atribuições de função de gerenciamento comuns e de delegação, consulte os seguintes tópicos:
Procurando outras tarefas de gerenciamento relacionadas a permissões? Consulte Gerenciando Permissões Avançadas.
Alternar para as permissões de divisão de RBAC
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Permissões de divisão do Active Directory" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para alternar para permissões de divisão de RBAC.
Você pode configurar sua organização do Exchange 2010 para permissões de divisão do RBAC. Quando terminar, apenas os administradores de Active Directory conseguirão criar entidades de segurança do Active Directory. Isso significa que os administradores do Exchange não conseguirão usar os seguintes cmdlets:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Os administradores do Exchange conseguirão apenas gerenciar os atributos do Exchange em entidades de segurança existentes do Active Directory. Entretanto, eles conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte e grupos de distribuição. Para mais informações, consulte a seção "Permissões de divisão de RBAC" no Noções Básicas sobre Permissão de Divisão.
Para configurar o Exchange 2010 para permissões de divisão, é preciso atribuir a função de Criação de Destinatário de Email e a função de Criação de Grupo de Segurança e Associação a um grupo de funções que contém membros que são administradores do Active Directory. Depois, é preciso remover as atribuições entre essas funções e qualquer grupo de funções ou grupo de segurança universal (USG) que contém administradores do Exchange.
Para configurar as permissões de divisão de RBAC, proceda da seguinte forma:
Se a sua organização estiver atualmente configurada para as permissões de divisão do Active Directory, faça o seguinte a partir do prompt de shell de comando do Windows:
Desabilite as permissões de divisão do Active Directory executando o seguinte comando da mídia de instalação do Exchange 2010 SP1.
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
Reinicie os servidores do Exchange 2010 em sua organização ou aguarde até que o token de acesso do Active Directory seja replicado em todos os servidores do Exchange 2010.
Faça o seguinte no Shell de Gerenciamento do Exchange:
Crie um grupo de função para administradores do Active Directory. Além de criar o grupo de funções, o comando cria atribuições de função regulares entre o novo grupo de funções e as funções Criação de Destinatário de Email e Criação de Grupo de Segurança e Associação.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
Dica
Se você desejar que os membros deste grupo possam criar atribuições de função, inclua a função de Gerenciamento de função. Não é necessário adicionar esta função agora. No entanto, sempre que você quiser atribuir as funções de Criação de destinatário de email ou de Criação de grupo de segurança e Associação para outros destinatários de função, a função de Gerenciamento de função deve ser atribuída a este novo grupo de função. As etapas a seguir configuram o grupo de função de Administradores do Active Directory como o único grupo de função que pode delegar estas funções.
Crie atribuições de função de delegação entre o novo grupo de função e as funções de Criação de destinatário de email e de Criação de grupo de segurança e Associação usando os seguintes comandos.
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
Adicione membros ao novo grupo de função usando o comando a seguir.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Substitua a lista de delegações no novo grupo de funções de forma que apenas membros do grupo de funções possam adicionar ou remover membros.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Importante
Os membros do grupo de funções Gerenciamento da Organização ou os atribuídos à função de Gerenciamento de Função, diretamente ou por meio de outro grupo de funções ou USG, podem ignorar essa verificação de segurança de delegação. Se quiser impedir que qualquer administrador do Exchange se adicione ao novo grupo de funções, você deverá remover a atribuição de função entre a função de Gerenciamento de função e qualquer administrador do Exchange e atribuí-la a outro grupo de função.
Localize todas as atribuições de função de delegação e regulares para a função de Criação de Destinatário de Email usando o seguinte comando. O comando exibe apenas as propriedades Name, Role e RoleAssigneeName.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
Remova todas as atribuições de função de delegação e regulares para a função de Criação de Destinatário de Email não associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que deseja manter usando o seguinte comando.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Dica
Se você deseja remover todas as atribuições regulares e de função de delegação para a função de Criação de destinatário de caixa de correio em qualquer outro destinatário de função que não o grupo de função de Administradores do Active Directory, use o comando a seguir. A opção WhatIf permite que você veja quais atribuições de função serão removidas. Remova a opção WhatIf e execute o comando novamente para remover as atribuições de função.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Localize todas as atribuições de função de delegação e regulares para a função de Criação de grupo de segurança e Associação usando o seguinte comando. O comando exibe apenas as propriedades Name, Role e RoleAssigneeName.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
Remova todas as atribuições regulares e de função de delegação para as funções de Criação de grupo de segurança e de Associação que não estão associadas ao novo grupo de funções ou a quaisquer outros grupos de funções, USGs ou atribuições diretas que deseja manter usando o seguinte comando.
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
Dica
Você pode usar o mesmo comando na Observação anterior para remover todas as atribuições regulares e de função de delegação para as funções de Criação de grupo de segurança e de Associação em qualquer outro destinatário de função que não o grupo de função de Administradores do Active Directory, como mostrado neste exemplo.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:
Alternar para as permissões de divisão do Active Directory
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Permissões de divisão do Active Directory" no tópico Função de Gerenciamento de Permissões.
Dica
Não é possível usar o EMC para alternar para permissões de divisão do Active Directory.
Você pode configurar a sua organização do Exchange 2010 para as permissões de divisão do Active Directory. As permissões de divisão do Active Directory removem completamente as permissões que possibilitam aos servidores e administradores do Exchange criarem entidades de segurança no Active Directory ou modificarem atributos que não são do Exchange nestes objetos. Quando terminar, apenas os administradores de Active Directory conseguirão criar entidades de segurança do Active Directory. Isso significa que os administradores do Exchange não conseguirão usar os seguintes cmdlets:
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
Os servidores e administradores do Exchange conseguirão apenas gerenciar os atributos do Exchange em entidades de segurança existentes do Active Directory. Entretanto, eles conseguirão criar e gerenciar objetos específicos do Exchange, como regras de transporte e planos de discagem da Unificação de Mensagens.
Aviso
Depois de habilitar as permissões de divisão do Active Directory, os servidores e administradores do Exchange não mais poderão criar entidades de segurança no Active Directory nem gerenciar a associação do grupo de distribuição. Estas tarefas deverão ser executadas usando as ferramentas de gerenciamento do Active Directory com as permissões do Active Directory requeridas. Antes de fazer esta alteração, você precisa compreender o impacto que isso terá nos processos de administração e aplicativos de terceiros que se integram com o Exchange 2010 e com o modelo de permissões RBAC.
Para mais informações, consulte a seção "Permissões de divisão do Active Directory" no Noções Básicas sobre Permissão de Divisão.
Para alternar de permissões compartilhadas ou permissões de divisão RBAC para permissões de divisão do Active Directory, faça o seguinte:
Por um shell de comando do Windows, execute o comando a seguir da mídia de instalação do Exchange 2010 SP1 para habilitar permissões de divisão do Active Directory.
setup.com /PrepareAD /ActiveDirectorySplitPermissions:true
Reinicie os servidores do Exchange 2010 em sua organização ou aguarde até que o token de acesso do Active Directory seja replicado em todos os servidores do Exchange 2010.
© 2010 Microsoft Corporation. Todos os direitos reservados.