設定共用許可權的Exchange Server
如果您永不設定您的組織分割權限,您不需要執行此程序。 Exchange Server 2016 和 Exchange Server 2019 預設為共用許可權。
共用許可權可讓您以 Exchange 系統管理員身分建立 Active Directory 安全性主體,例如使用者,然後將它們設定為 Exchange 收件者。 不同分割權限、 分隔Exchange系統管理員群組和Active Directory管理員之間的管理工作,請於有不進行分隔的任務與共用權限。
如需共用許可權和分割許可權的詳細資訊,請參閱在Exchange Server中分割許可權。
如果您先前已針對分割許可權設定您的組織,您可以設定 Exchange 組織以取得共用許可權。 切換至共用權限的程序會根據目前使用角色型存取控制 (RBAC) 分割權限是否不同或Active Directory分割權限。 選擇的程序可適用於您目前的設定。 以下是 true,如果您的組織使用Active Directory分割權限:
Microsoft Exchange保護群組組織單位 (OU) 存在。
Exchange Windows權限安全性群組位於 Microsoft Exchange保護群組 OU。
Exchange受信任子系統安全性群組是ExchangeWindows權限安全性群組的成員。
有建立郵件收件者角色或安全性群組建立與成員資格的角色不正常的管理角色指派。
如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊,請參閱下列主題:
開始之前有哪些須知?
每項程序的預估完成時間:5 分鐘
本主題中的程序需要特定權限。 請查看每個程序以取得權限資訊。
Exchange 組織目前必須針對 RBAC 或 Active Directory 分割許可權進行設定。
您選取的許可權模型將會套用至組織中的所有 Exchange 2010 或更新版本伺服器。
您必須要委派 「 建立郵件收件者管理 」 角色的安全性群組建立和組織管理管理角色群組或另一個已指派 「 郵件收件者 」 角色的角色群組的成員資格管理角色的權限。
若要在目的電腦上下載最新版的 Exchange,請參閱 更新 for Exchange Server。
若要開啟 Exchange 管理命令介面,請參閱 開啟 Exchange 管理命令介面。
提示
有問題嗎? 在Exchange Server論壇中尋求協助。
切換從 RBAC 分割共用權限的權限
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「角色群組」項目。
若要從 RBAC 分割許可權切換至 Exchange 共用許可權,您必須將郵件收件者建立角色和安全性群組建立和成員資格角色指派給角色群組,該角色群組也已指派郵件收件者角色,並以 Exchange 系統管理員作為成員。 在預設的共用權限設定, 組織管理角色群組包含每個角色。 因此, 組織管理角色群組是在此程序。
設定共用權限
若要在組織管理角色群組上設定共用許可權,請使用有權委派郵件收件者建立角色之角色指派許可權的帳戶,以及安全性群組建立和成員資格角色執行下列步驟:
新增建立郵件收件者角色與安全性群組建立與成員資格角色委派角色指派到組織管理角色群組使用下列命令。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating注意事項
具有委派角色指派的 「 建立郵件收件者角色及安全性群組建立與成員資格角色的角色群組 (在此程序, Active Directory系統管理員角色群組) 必須被指派角色管理角色可執行 New-ManagementRoleAssignment 指令程式。 可委派角色管理角色的角色受託人必須將該角色指派給Active Directory系統管理員角色群組中。
新增 「 建立郵件收件者 」 角色的一般角色指派給使用下列命令組織管理和收件者管理角色群組。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"新增安全性群組建立與成員資格角色的一般角色指派至組織管理角色群組使用下列命令。
New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
從 Active Directory 管理員 (選用) 移除權限
您可以選擇性地移除授與給Active Directory管理員如果您不想再他們能夠建立或管理使用Exchange管理工具的Active Directory物件的權限。 如果您想要移除Active Directory系統管理員的權限,請執行此程序。
注意事項
雖然您可以移除Active Directory系統管理員可以管理使用Exchange管理工具的Active Directory物件的權限,可以繼續Active Directory系統管理員管理Active Directory物件及其Active Directory權限允許它會使用Active Directory管理工具]。 不,但要能夠管理Exchange- Active Directory物件的特定屬性。 如需詳細資訊,請參閱在 Exchange Server 中分割許可權。
若要移除 Active Directory 系統管理員的 Exchange 相關分割許可權,請執行下列步驟:
移除一般和委派角色指派的 「 建立郵件收件者 」 角色指派給角色群組或萬用安全性群組 (USG),其中包含Active Directory管理員為使用下列命令的成員。 此命令會使用Active Directory系統管理員角色群組做為範例。 WhatIf參數可讓您查看將移除哪些角色指派。 移除 WhatIf 參數,然後再次執行命令以移除角色指派。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf移除一般和委派的安全性群組建立與成員資格的角色指派給角色群組或 USG 包含Active Directory管理員使用下列命令的成員身分的角色指派。 此命令會使用Active Directory系統管理員角色群組做為範例。 WhatIf參數可讓您查看將移除哪些角色指派。 移除 WhatIf 參數,然後再次執行命令以移除角色指派。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf選用。 如果您要從Active Directory系統管理員移除所有Exchange權限,您可以都移除的角色群組或 USG 它們成員。 如需如何移除角色群組的詳細資訊,請參閱管理角色群組。
如需詳細的語法及參數資訊,請參閱Get-ManagementRoleAssignment或Remove-ManagementRoleAssignment。
從 Active Directory 分割共用權限的權限切換
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「Active Directory 分割權限」項目。
若要從 Active Directory 分割許可權切換至 Exchange 共用許可權,您必須重新執行 Exchange 安裝程式,以停用 Exchange 組織中的 Active Directory 分割許可權,然後在角色群組與郵件收件者建立角色以及安全性群組建立與成員資格角色之間建立角色指派。 在預設的共用權限設定, 組織管理角色群組包含每個角色。 因此, 組織管理角色群組是在此程序。
重要事項
此程式中的 Setup.exe 命令會變更 Active Directory。 您必須使用已可進行這些變更所需的權限的帳戶。 此帳戶可能不是相同的帳戶已建立使用 New-ManagementRoleAssignment 指令程式的角色指派的權限。 使用順利完成此程序中的每個步驟所需的權限的帳戶或帳戶。
若要從 Active Directory 分割許可權切換為共用許可權,請執行下列步驟:
在目標伺服器上,開啟 [檔案總管],以滑鼠右鍵按一下您下載的 Exchange ISO 映像檔案,然後選取 [掛接]。 請記下已指派的虛擬 DVD 光碟機號。
開啟 Windows 命令提示字元視窗。 例如:
按 Windows 鍵 + 'R' 以開啟 [執行] 對話方塊中,輸入 cmd.exe,然後按 [確定]。
按 [開始]。 在 [ 搜尋] 方 塊中,輸入 命令提示字元,然後在結果清單中選取 [ 命令提示字元]。
在 [命令提示字元] 視窗中,執行下列命令:
注意事項
從 Exchange Server 2016 Exchange Server 和 2019 年 9 月 2019 年 9 月累積更新 (SU) 開始,先前的/IAcceptExchangeServerLicenseTerms參數將無法運作。 您現在必須使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 或 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF 進行自動和指令碼安裝。
下列範例使用 /IAcceptExchangeServerLicenseTerms_DiagnosticDataON 切換。 您可將開關變更為 /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF。
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
在 Exchange 管理命令介面中,執行下列命令,以在郵件收件者建立角色與安全性群組建立和管理角色與組織管理與收件者管理角色群組之間新增一般角色指派。
New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"重新開機組織中的所有 Exchange 伺服器。
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。