設定 Exchange 2013 的分割權限
適用於:Exchange Server 2013
分割權限可讓兩個不同的群組 (例如 Active Directory Administrators 和 Microsoft Exchange Server 2013 Administrators) 管理各自的服務、物件和屬性。 Active Directory Administrators 管理安全性主體 (例如使用者),提供存取 Active Directory 樹系的權限。 Exchange Administrators 管理 Active Directory 物件上與 Exchange 相關的屬性,以及建立和管理 Exchange 特定的物件。
Microsoft Exchange Server 2013 提供了下列類型的分割權限模型:
RBAC 分割權限:在 Active Directory 網域分割區中建立安全性主體的許可權是由角色型存取控制 (RBAC) 所控制。 只有屬於適當角色群組成員的人員可以建立安全性主體。
Active Directory 分割許可權:在 Active Directory 網域分割區中建立安全性主體的許可權會從任何 Exchange 使用者、服務或伺服器完全移除。 建立安全性主體的 RBAC 不提供的任何選項。 使用Active Directory管理工具必須執行Active Directory中的安全性主體的建立。
注意事項
Active Directory 可在執行 Microsoft Exchange Server 2010 Service Pack 1 (SP1) 或更新版、Exchange 2013 或兩個版本的 Exchange 之組織中使用。
您選擇的模型取決於組織的結構和需求。 選擇下列適用于您想要設定之模型的程式。 建議您使用 RBAC 分割許可權模型。 RBAC 分割許可權模型提供更大的彈性,同時提供與 Active Directory 分割許可權相同的系統管理區隔。
如需共用與分割權限的相關資訊,請參閱了解分割權限。
如需管理角色群組、管理角色以及一般與委派管理角色指派的相關資訊,請參閱下列主題:
要尋找相關的權限的其他管理工作嗎? 取出進階權限。
開始之前有哪些須知?
每項程序的預估完成時間:5 分鐘
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「Active Directory 分割權限」項目。
您必須使用 Windows PowerShell、Windows 命令殼層或兩者來執行這些程式。 如需詳細資訊,請參閱每項程序。
如果您的組織中有 Exchange 2010 伺服器,您選取的許可權模型也會套用至這些伺服器。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。
切換至 RBAC 分割權限
您可以為 Exchange 2013 組織設定 RBAC 分割許可權。 完成時,只有 Active Directory 系統管理員能夠建立 Active Directory 安全性主體。 這表示 Exchange 系統管理員將無法使用下列 Cmdlet:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Exchange 系統管理員只能管理現有 Active Directory 安全性主體上的 Exchange 屬性。 不過,他們將能夠建立和管理 Exchange 特定的物件,例如傳輸規則和通訊群組。 For more information, see the "RBAC Split Permissions" section in Understanding split permissions.
若要設定 Exchange 2013 的分割許可權,您必須將郵件收件者建立角色和安全性群組建立和成員資格角色指派給包含 Active Directory 系統管理員成員的角色群組。 接著,您必須移除這些角色與任何角色群組或通用安全性群組之間的指派, (包含 Exchange 系統管理員的 USG) 。
若要設定 RBAC 分割權限,請執行下列動作:
如果目前將組織設定為實作 Active Directory 分割權限,請從 Windows 命令介面提示字元執行以下動作。
從 Exchange 2013 安裝媒體執行以下命令,以停用 Active Directory 分割權限。
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
重新啟動組織中的 Exchange 2013 伺服器,或等候 Active Directory 存取 Token 複寫您的所有 Exchange 2013 伺服器。
注意事項
如果您在組織中有Exchange 2010伺服器,您也需要重新啟動這些伺服器。
從 Exchange 管理命令介面執行下列動作:
建立 Active Directory 系統管理員的角色群組。 除了建立角色群組之外,此命令還會在新角色群組與郵件收件者建立角色與安全性群組建立和成員資格角色之間建立一般角色指派。
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
注意事項
如果您想要讓此角色群組的成員能夠建立角色指派,請包含角色管理角色。 您現在不需要新增此角色。 不過,如果您想要將郵件收件者建立角色或安全性群組建立和成員資格角色指派給其他角色指派者,則必須將角色管理角色指派給這個新的角色群組。 後續步驟會將 Active Directory 系統管理員角色群組設定為唯一可以委派這些角色的角色群組。
使用以下命令在新角色群組和「建立郵件收件者」角色及「安全性群組建立及成員資格」角色之間建立委派角色指派。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
使用下列命令將成員加入至新的角色群組。
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
取代新角色群組上的委派清單,如此就只有角色群組的成員可以新增或移除成員。
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
重要事項
組織管理角色群組的成員,或直接或透過另一個角色群組或 USG 指派角色管理角色的成員,都可以略過此委派安全性檢查。 如果您想要防止任何 Exchange 系統管理員加入新的角色群組,您必須移除角色管理角色與任何 Exchange 系統管理員之間的角色指派,並將其指派給另一個角色群組。
使用下列命令,尋找所有一般和委派的角色指派給郵件收件者建立角色。 命令只會顯示 Name、 Role和 RoleAssigneeName 屬性。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
使用以下命令移除與新角色群組或任何其他角色群組不關聯之郵件收件者建立角色的所有規則和委派角色指派、USG 或是您要保留的直接指派。
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
注意事項
如果您想要在 Active Directory 系統管理員角色群組以外的任何角色指派者上移除所有一般和委派角色指派給郵件收件者建立角色,請使用下列命令。 WhatIf參數可讓您查看將移除哪些角色指派。 移除 WhatIf 參數,然後再次執行命令以移除角色指派。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
使用下列命令,尋找安全性群組建立和成員資格角色的所有一般和委派角色指派。 命令只會顯示 Name、 Role和 RoleAssigneeName 屬性。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
使用以下命令移除與新角色群組或任何其他角色群組、USG 或是您要保留的直接指派無關聯之「安全性群組建立及成員資格」角色的所有一般和委派角色指派。
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
注意事項
您可以使用前面附註中的同一命令,針對任何角色受託人 (非 Active Directory Administrators 角色群組) 移除「安全性群組建立及成員資格」角色的所有一般和委派角色指派,如以下範例所示。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
如需詳細的語法及參數資訊,請參閱下列主題:
切換至 Active Directory 分割權限
您可以為 Exchange 2013 組織設定 Active Directory 分割許可權。 Active Directory 分割許可權會完全移除允許 Exchange 系統管理員和伺服器在 Active Directory 中建立安全性主體或修改這些物件上非 Exchange 屬性的許可權。 完成時,只有 Active Directory 系統管理員能夠建立 Active Directory 安全性主體。 這表示 Exchange 系統管理員將無法使用下列 Cmdlet:
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
Exchange 系統管理員和伺服器只能管理現有 Active Directory 安全性主體上的 Exchange 屬性。 不過,它們將能夠建立和管理 Exchange 特定物件,例如傳輸規則和整合通訊撥號對應表。
警告
啟用 Active Directory 分割許可權之後,Exchange 系統管理員和伺服器將無法再于 Active Directory 中建立安全性主體,而且他們將無法管理通訊群組成員資格。 這些工作必須使用具有必要 Active Directory 許可權的 Active Directory 管理工具來執行。 進行這項變更之前,您應該先瞭解它對系統管理程式以及與 Exchange 2013 和 RBAC 許可權模型整合的協力廠商應用程式的影響。
For more information, see the "Active Directory split permissions" section in Understanding split permissions.
若要從共用權限或 RBAC 分割權限切換至 Active Directory 分割權限,請執行以下動作:
在 Windows 命令介面中,從 Exchange 2013 安裝媒體執行以下命令,以啟用 Active Directory 分割權限。
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true
如果您的組織中有多個 Active Directory 網域,您必須在
setup.exe /PrepareDomain
包含 Exchange 伺服器或物件的每個子域中執行,或setup.exe /PrepareAllDomains
從每個網域具有 Active Directory 伺服器的網站執行。重新啟動組織中的 Exchange 2013 伺服器,或等候 Active Directory 存取 Token 複寫您的所有 Exchange 2013 伺服器。
注意事項
如果您在組織中有Exchange 2010伺服器,您也需要重新啟動這些伺服器。