Поделиться через


Планирование и реализация модели разделения разрешений

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2008-02-05

Модель разделения разрешений в организации обычно реализуется для ограничения определенных разрешений, предоставляемых администраторам, с целью повышения подотчетности и безопасности. В Microsoft Exchange Server 2007 разрешения на атрибуты получателей Exchange группируются. Это минимизирует настройку разрешений вручную, которую необходимо выполнять для отделения разрешений Exchange от других административных разрешений.

По умолчанию только администраторы организации Exchange могут управлять и данными получателей, и данными конфигурации Exchange. Однако для управления созданием, изменением и удалением объектов в определенном домене администраторы должны входить в группу безопасности операторов учета Windows или в группу безопасности более высокого уровня. Дополнительные сведения о предоставлении разрешений операторов учета см. на веб-узле Справка по Windows Server 2003 (на английском языке).

Управление доступом

Для управления атрибутами объектов, связанными с Exchange, в контексте именования доменов леса группе администраторов сервера Exchange должны быть предоставлены разрешения на изменения. Для этого необходимо изменить дескриптор безопасности объекта, содержащего атрибуты.

Дескриптор безопасности содержит два списка управления доступом (ACL). ACL — это список пользователей или объектов групп безопасности, которым разрешен или запрещен доступ к ресурсу или объекту. ACL позволяют применять определенные разрешения ко всему объекту, к набору свойств или к отдельному свойству объекта. В дескрипторе безопасности объекта содержатся два типа ACL, которые описаны ниже.

  • Списки управления доступом на уровне пользователей (DACL). Списки управления доступом на уровне пользователей определяют пользователей и группы, для которых назначены или удалены разрешения на доступ к объекту. Если DACL не определяет явно пользователя или любые группы, членом которых является пользователь, доступ к объекту для этого пользователя запрещен. По умолчанию списком DACL управляет владелец объекта или лицо, создавшее объект. В нем содержатся элементы управления доступом, которые определяют доступ пользователя к объекту.

  • Системные списки управления доступом. Системные списки управления доступом определяют пользователей или группы, для которых необходимо выполнять аудит при успешном получении доступа к объекту и отказе в доступе к нему. По умолчанию системным списком управления доступом управляет владелец объекта или лицо, создавшее объект. В системном списке управления доступом содержатся элементы управления доступом, которые определяют необходимость записи успешных или неудачных попыток доступа к объекту пользователем с определенным разрешением, например разрешением на полный доступ и чтение.

Элемент управления доступом — это элемент в списке DACL, который предоставляет разрешения пользователю или группе. Кроме того, это элемент в системном списке управления доступом объекта, который определяет события безопасности, аудит которых необходимо выполнять для пользователя или группы.

Методы применения разрешений

Лес службы каталогов Active Directory состоит из одного или нескольких доменов, имеющих общую конфигурацию и границу схемы. В этих доменах объекты можно поместить в контейнеры, называемые подразделениями. Администраторы каждой организации должны разработать структуру подразделений, которая соответствует требованиям организации и оптимизирует делегирование административных разрешений.

Дополнительные сведения о разработке структуры подразделений см. в статьях Рекомендации по проектированию службы каталогов Active Directory для управления сетями Windows (на английском языке) и Рекомендации по делегированию администрирования службы каталогов Active Directory (на английском языке).

При разработке модели делегирования необходимо учитывать то, что существует несколько методов применения разрешений. В этом разделе рассматриваются только два метода:

  • применение разрешений на уровне домена;

  • применение разрешений на уровне подразделения.

Применение разрешений на уровне домена

При применении делегированных разрешений на уровне домена разрешения наследуются всеми объектами, включая пользователей, контакты, группы, DNS домена и компьютеры. На контроллерах доменов с Microsoft Windows 2000 Server добавление наследуемых элементов управления доступом на уровне домена приводит к изменению DACL для каждого объекта в домене. В зависимости от количества добавленных элементов управления доступом и числа объектов в домене эти изменения могут приводить к переполнению ACL. Переполнение ACL — это увеличение размера ACL за счет наличия у объектов ненужных элементов управления доступом. Переполнение ACL приводит к увеличению физического размера файла Ntds.dit во всех контроллерах домена в данном домене. Это может стать причиной возникновения проблем с производительностью Active Directory.

На контроллерах доменов с Microsoft Windows Server 2003 уникальный дескриптор безопасности не сохраняется для каждого объекта, который его наследует, а сохраняется только один раз. Это снижает избыточность данных и рост базы данных в результате изменений в наследуемых элементах управления доступом.

Применение разрешений на уровне подразделения

Рекомендуется применять разрешения к родительскому подразделению. Это позволяет применять разрешения только к объектам определенного класса, которые содержатся в подразделении и его дочерних контейнерах. Для применения данного метода необходимо, чтобы все управляемые объекты находились в одном родительском подразделении. Этот способ может быть невозможно использовать в организации из-за бизнес-требований. В таком случае можно применить разрешения к нескольким подразделениям.

Применение разрешений

Корпорация Microsoft предлагает два средства для применения разрешений:

  • редактор ADSI (AdsiEdit.msc);

  • DSACLS (Dsacls.exe).

Оба средства находятся на компакт-диске Windows Server 2003 в папке Support\Tools. Для применения разрешений можно использовать некоторые продукты сторонних разработчиков.

noteПримечание.
Неправильное изменение атрибутов объектов Active Directory с помощью редактора ADSI, DSACLS, средства LDP (Ldp.exe) или другого клиента LDAP версии 3 может привести к возникновению серьезных проблем, для решения которых может потребоваться переустановка Windows Server, Exchange 2007 или обоих продуктов. Ответственность за изменение атрибутов объектов Active Directory несет пользователь.

Дополнительные сведения об использовании редактора ADSI см. в статье Использование редактора ADSI для применения разрешений (на английском языке).

Для применения разрешений в Exchange 2007 рекомендуется использовать командлет Add-ADPermission командной консоли Exchange. Дополнительные сведения см. в разделе Add-ADPermission. Дополнительные сведения о командной консоли Exchange см. в разделе Использование среды управления Exchange.

Примеры применения разрешений

Благодаря реализации наборов свойств в Exchange 2007 для реализации модели разделения разрешений требуется гораздо меньше элементов управления доступом, чем в более ранних версиях Exchange Server.

Для управления всеми свойствами, связанными с почтой, администратор сервера Exchange 2007 должен иметь перечисленные ниже разрешения в разделе домена.

  • Доступ на запись к следующим наборам свойств:

    • личные сведения Exchange

    • сведения Exchange

  • Доступ на запись к следующим атрибутам:

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • Разрешение на создание объектов msExchDynamicDistributionList

  • Разрешение на удаление объектов msExchDynamicDistributionList

  • Разрешение «Полный доступ» для объектов msExchDynamicDistributionList

  • Разрешение «Обычное чтение», включающее разрешение на чтение, а также разрешения «Список содержимого», «Список объектов» и «Чтение всех свойств».

В дополнение к этим разрешениям администратор получателей должен также иметь следующие разрешения в организации Exchange:

  • роль администратора Exchange с правами на просмотр или более высокую роль.

    noteПримечание.
    Для определенных операций, например перемещения почтовых ящиков, требуется роль администратора сервера Exchange или более высокая роль.
  • Доступ на запись к атрибутам msExchLastAppliedRecipientFilter и msExchRecipientFilterFlags контейнера списков адресов в организации Exchange. Эти разрешения необходимы, чтобы администратор получателей мог выполнить командлет Update-AddressList.

  • Доступ на запись к атрибутам msExchLastAppliedRecipientFilter и msExchRecipientFilterFlags контейнера политик получателей в организации Exchange. Эти разрешения необходимы, чтобы администратор получателей мог выполнить командлет Update-EmailAddressPolicy.

  • Расширенное право доступа к службе обновления получателей в административной группе Exchange 2007. Это расширенное право необходимо, так как в Exchange 2007 во время подготовки для получателей указываются сведения, относящиеся к адресу.

noteПримечание.
Эти разрешения предназначены для управления атрибутами, относящимися к Exchange. Администраторы Exchange могут управлять атрибутами, созданными вне сервера Exchange, только в том случае, если им делегированы соответствующие разрешения.

Применение разрешений с помощью командной консоли Exchange

В этом разделе приведен пример использования командной командной консоли Exchange для делегирования разрешений.

Приведенные в данном примере команды позволяют администраторам в группе безопасности OU1AdminGroup включать и отключать поддержку почты для получателей, управлять адресами электронной почты и отображаемыми именами всех пользователей, групп и контактов, содержащихся в иерархии подразделения Container1 в лесу Contoso.com, который содержит организацию Exchange ContosoOrg.

Если необходимо выполнить эти задачи в организации, выполните указанные ниже команды для каждого контейнера, к которому необходимо предоставить доступ. Замените имя домена, организации Exchange и сведения об учетной записи сведениями о собственном домене.

Для предоставления разрешений команды нужно выполнять в указанном порядке.

  1. Для управления атрибутами объектов, относящимися к серверу Exchange, в подразделении выполните следующую команду:

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail
    
  2. Для предоставления общего разрешения на чтение для всех объектов в подразделении выполните следующую команду:

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead
    
  3. Для предоставления соответствующего разрешения на управление динамическими группами рассылки в подразделении выполните следующие команды:

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList
    

    Для Exchange Server 2007 с пакетом обновления 1 (SP1) выполните следующую команду:

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList
    
  4. Для предоставления группе безопасности OU1AdminGroup расширенного права доступа к службе обновления получателей выполните следующую команду:

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents
    
  5. Для предоставления группе безопасности OU1AdminGroup возможности обновлять списки адресов и политики адресов электронной почты выполните следующие команды:

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
    Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
    

При успешном выполнении каждой команды выводятся добавленные к объекту элементы управления доступом.

Применение разрешений с помощью средства DSACLS

В этом разделе приведен пример использования средства DSACLS (Dsacls.exe) для применения разрешений.

DSACLS — это средство командной строки, которое можно использовать для запроса и изменения разрешений и атрибутов безопасности объектов Active Directory. Средство DSACLS входит в средства поддержки Windows Server 2003. Это средство командной строки также является эквивалентом вкладки Безопасность в таких оснастках Windows 2000 Server Active Directory, как «Active Directory — пользователи и компьютеры» и «Active Directory — сайты и службы».

Приведенные в данном примере команды позволяют администраторам в группе безопасности OU1AdminGroup включать и отключать поддержку почты для получателей, управлять адресами электронной почты и отображаемыми именами пользователей, групп и контактов, содержащихся в иерархии подразделения OUContainer1 в лесу Contoso.com, который содержит организацию Exchange ContosoOrg.

noteПримечание.
Команды средства DSACLS должны вводиться с учетом регистра. Необходимо точно соблюдать синтаксис при вводе команд для средства DSACLS, так как все символы передаются в том виде, в котором они были введены. Это также относится к пробелам и символам возврата каретки. При получении ошибок средства DSACLS убедитесь в том, что команда введена правильно, или попытайтесь разбить команду на более короткие сегменты. Дополнительные сведения об использовании средства DSACLS см. в статье 281146 базы знаний Майкрософт Использование Dsacls.exe в Windows Server 2003 и Windows 2000 (на английском языке).

Для предоставления разрешений команды нужно выполнять в указанном порядке.

  1. Войдите в систему компьютера в лесу, на котором установлены средства поддержки Windows, с учетной записью, которая позволяет выполнять нужные задачи, например с учетной записью администратора домена. Замените имя домена, имя организации Exchange и сведения об учетной записи сведениями о собственном домене.

  2. Для управления атрибутами объектов, относящимися к серверу Exchange, в подразделении откройте окно командной строки и введите следующие команды:

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"
    
  3. Для предоставления соответствующих разрешений на управление динамическими группами рассылки в подразделении откройте окно командной строки и введите следующую команду:

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"
    
  4. Для предоставления группе безопасности OU1AdminGroup расширенного права доступа к службе обновления получателей откройте окно командной строки и введите следующую команду:

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"
    
  5. Для предоставления группе безопасности OU1AdminGroup возможности обновлять списки адресов и политики адресов электронной почты откройте окно командной строки и введите следующие команды:

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
    dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
    

При успешном выполнении команды выводится измененный дескриптор безопасности Windows, а в командной строке отображается сообщение The command completed successfully (Команда выполнена успешно).

Настройка сценария разделения разрешений

В каталоге \Exchange Server\Scripts находится сценарий, помогающий настроить модель разделения разрешений.

С помощью командной консоли Exchange можно выполнить следующий сценарий:

  • ConfigureSplitPerms.ps1 — сценарий ConfigureSplitPerms.ps1 позволяет настроить необходимые разрешения, описанные в этом разделе.

Дополнительные сведения о сценариях см. в разделе Использование среды управления Exchange.

Дополнительные сведения

Дополнительные сведения о разделении разрешений, атрибутах, связанных с Exchange, и задачах для пользователей, контактов и групп см. в разделе Справка для модели разделения разрешений.