權限考量
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-07-12
在規劃如何將 Microsoft Exchange Server 2007 整合到 Active Directory 目錄服務結構時,請考量您組織的管理模式。有了 Exchange 2007,您就可以有彈性地指派系統管理員權限。一般而言,建議您考慮 Active Directory 和 Exchange 2007 的下列功能對您在組織系統管理角色時的方式有何影響:
- 一個系統管理員可以同時執行 Microsoft Windows Server 2003 和 Exchange 的工作。
- 您可以在 Exchange 系統管理員和 Windows 系統管理員之間分割權限。
- 您可以使用 Exchange 資源樹系來隔離 Exchange 系統管理員角色和 Windows 系統管理員角色。
本主題的各節描述權限組態的彈性和 Exchange 2007 中可用的管理角色。
了解 Exchange 及 Active Directory 分割權限模組
在許多 Microsoft Exchange 組織中,尤其是中大型組織,可能會有多個 Exchange 系統管理員。由於這些系統管理員可以執行特定的一組管理工作,Exchange Server 2007 提供了預先定義的系統管理員角色,同時也提供了分割權限模型,可讓您在 Active Directory 中為組織中的不同系統管理角色設定特定的權限。在 Exchange 2007 中,Exchange 收件者屬性上的權限會分在同一組。如此必須手動設定權限來分割 Exchange 權限與其他系統管理權限的需要就會降到最低。如需如何規劃和實作權限模型的相關資訊,請參閱下列主題:
安全性及權限模型的變更
Exchange Server 2003 的安全性及權限模型到了 Exchange 2007 已有所變更。本節提供 Exchange 中的權限模型變更資訊,同時說明差異。
內容設定
「內容設定」就是指一組 Active Directory 屬性。您可設定一個存取控制項目 (ACE) 來控制這一組 Active Directory 屬性的存取,而不用在每個屬性上都設定一個 ACE。可將所有 Exchange 收件者屬性分在同一組的內容設定就稱為電子郵件資訊。
.gif "note") 附註: |
|---|
| 只要您使用 Exchange 2007 Setup.Com 或以 Setup.Com 配合 /PrepareAD 參數來更新 Active Directory 架構,擁有存取 Exchange Server 2003 伺服器上收件者內容之權限的 Exchange Server 2003 安全性群組就擁有存取 Exchange 2007 電子郵件資訊內容設定的權限。 |
如需內容設定的相關資訊,請參閱 Exchange 2007 中的內容設定。
Exchange 2003 安全性及權限模型
為了幫助簡化權限管理,Exchange Server 2003 在 Exchange 2003 管理委派精靈中提供預先定義的安全性角色。這些角色是一種標準化權限的集合,可套用於組織或系統管理群組層級。
在 Exchange 2003 中,可以透過 Exchange 系統管理員中的委派精靈使用下列安全性角色:
- Exchange 系統高權限管理員
- Exchange 系統管理員
- Exchange 系統檢視管理員
此模型具有下列限制:
- 缺乏明確性。Exchange 系統管理員群組太大,有些客戶希望以個別伺服器的層級來管理他們的安全性及權限模型。
- 感覺 Exchange Server 2003 安全性角色的差異很細微難懂。
- Windows (Active Directory) 系統管理員和 Exchange 收件者系統管理員在使用者與群組管理方面,沒有清楚的區分。例如,您必須授與 Exchange 系統管理員高等級的權限 (對 Windows 網域的帳戶操作員權限),才能執行 Exchange 收件者相關的工作。
Exchange 2007 安全性及權限模型
為了改進 Exchange 系統管理員角色 (在 Exchange 2003 中稱為「安全性群組」) 的管理,對 Exchange 安全性及權限模型做了下列新增或改進功能:
- 新的系統管理員角色,類似於內建的 Windows Server 安全性群組。如需這些系統管理員角色的相關資訊,請參閱本主題稍後的<Exchange 2007 中的系統管理員角色>。
- 您可以使用 Exchange 管理主控台 (原先稱為 Exchange 系統管理員) 和 Exchange 管理命令介面,以檢視、新增和移除任何系統管理員角色的成員。
Exchange 2007 中的系統管理員角色
Exchange 2007 具有下列預先定義的群組,它們會管理 Exchange 組態資料:
- Exchange 組織系統管理員
- Exchange 收件者系統管理員
- Exchange 僅檢視管理
- Exchange 公用資料夾系統管理員 (Exchange Server 2007 Service Pack 1 的新功能)
進行 Exchange Setup /PrepareAD 階段 (與 Exchange 2003 ForestPrep 類似的組織準備階段) 時,這些 Exchange 系統管理角色 (除 Exchange Server 系統管理員之外) 都會在新的 Microsoft Exchange 安全性群組的組織單位 (OU) 中建立,而此單位在執行 /PrepareAD 的網域中。
對使用者新增系統管理員角色時,該使用者會繼承該角色所允許的權限。這些系統管理員角色具有在 Active Directory 管理 Exchange 資料的權限。這些群組能管理的 Exchange 資料有三種:
- 通用資料 這是 Active Directory 組態容器中未與特定伺服器關聯的資料。此資料包括 (但不限於) 信箱原則、通訊清單,以及 Exchange 整合通訊組態。通用資料一般會影響到整個組織,且可能會影響所有使用者。最佳作法是只允許一些信任的使用者設定或變更全域資料。
- 收件者資料 Exchange 中的收件者是指可收送電子郵件的 Active Directory 使用者物件。收件者資料的範例包括擁有郵件功能的連絡人、通訊群組、信箱,以及特定的收件者類型 (例如公用資料夾 Proxy 物件)。
- 伺服器資料 Exchange 伺服器資料包含在 Active Directory 中,指定之伺服器的節點下。此資料的範例包括接收連接器、虛擬目錄、每部伺服器的設定,以及信箱和儲存群組資料。
Exchange 組織系統管理員角色
Exchange 組織系統管理員角色給予系統管理員對 Exchange 組織中所有 Exchange 內容及物件的完整存取。在 Exchange 安裝過程中,Setup /PrepareAD 會在 [Active Directory 使用者及電腦] 的 [Microsoft Exchange 安全性群組] 容器中建立名為 Exchange 組織系統管理員的 Active Directory 安全性群組。
新增使用者到 Exchange 組織系統管理員角色時,該名使用者會變成名為 Exchange 組織系統管理員之系統管理員角色的成員。Exchange 2007 會在 Active Directory 準備期間建立這個角色。Exchange 組織系統管理員角色的成員具有下列權限:
- Active Directory 組態容器中 Exchange 組織的擁有者。身為擁有者,角色的成員便能在 Active Directory 組態容器以及本機 Exchange Server Administrator 群組中完整控制 Exchange 組織資料。
- 對 Active Directory 中所有網域使用者容器的讀取權限。Exchange 會針對組織中的每個網域,在安裝網域中第一部 Exchange 2007 伺服器時授與此項權限。成為 Exchange 收件者系統管理員角色可獲授與這些權限。
- 對 Active Directory 中所有網域使用者容器之所有 Exchange 特有屬性的寫入權限。Exchange 2007 會針對組織中的每個網域,在安裝網域中第一部 Exchange 2007 伺服器時授與此項權限。成為 Exchange 收件者系統管理員角色可獲授與這些權限。
- 所有本機伺服器組態資料的擁有人。身為擁有者,成員能夠完整控制本機 Exchange 伺服器。Exchange 2007 會在安裝每一部 Exchange 伺服器時授與此項權限。
Exchange 組織系統管理員角色成員的使用者具有 Exchange 組織中最高層級的權限。影響整個 Exchange 組織的所有工作需要在此群組中有成員資格。需要 Exchange 組織系統管理員權限的工作範例包括建立或刪除連接器、變更伺服器原則,以及變更任何通用組態設定。
| 附註: |
|---|
| 安裝 Exchange 2007 時,安裝程式會將 Exchange 組織系統管理員角色新增為您安裝 Exchange 之電腦上的本機 Administrators 群組成員。請注意,網域控制站上本機 Administrators 群組所具有的權限,與成員伺服器上本機 Administrators 群組所具有的權限不同。如果您在網域控制站上安裝 Exchange 2007,Exchange 組織系統管理員角色中的使用者將擁有當您將 Exchange 2007 安裝於非網域控制站上時,所沒有的其他 Windows 權限。 |
Exchange 收件者系統管理員角色
Exchange 收件者系統管理員角色具有針對 Active Directory 使用者、連絡人、群組、動態通訊清單或公用資料夾物件修改任何 Exchange 內容的權限。在 Exchange Setup /PrepareAD 執行期間,Exchange 收件者系統管理員角色會建立在 Active Directory 中的 Microsoft Exchange 安全性群組容器。這個角色也會讓您管理整合通訊信箱設定以及 Client Access 信箱設定。Exchange 組織收件者系統管理員角色的成員具有下列權限:
- 對 Active Directory 中已在網域內執行 Setup /PrepareDomain 之所有網域使用者容器的讀取權限。
- 對 Active Directory 中已在網域內執行 Setup /PrepareDomain 之所有網域使用者容器上,所有 Exchange 特有屬性的寫入權限。
- Exchange 僅檢視管理角色的成員資格。
Exchange 收件者系統管理員角色成員的使用者對於未執行 Setup /PrepareDomain 的網域將不會具有權限。當您新增新的 Exchange 網域時,請確定您在新網域中執行 Setup /PrepareDomain,以授與權限給該網域中的 Exchange 系統管理員角色。
Exchange Server 系統管理員角色
Exchange Server 系統管理員角色只能存取本機伺服器 Exchange 組態資料,此資料是在 Active Directory 中或是在安裝 Exchange 2007 的實體電腦上。Exchange Server 系統管理員角色成員的使用者,具有管理特定伺服器的權限,但沒有權限可執行在 Exchange 組織中具有通用影響的作業。
Exchange 2007 會在安裝期間建立這個系統管理員角色。Exchange Server 系統管理員角色的成員具有下列權限:
- 所有本機伺服器組態資料的擁有人。身為擁有者,角色的成員能完整控制本機伺服器組態資料。
- 安裝 Exchange 之電腦上的本機系統管理員。
- Exchange 僅檢視管理角色的成員。
Exchange 僅檢視管理
Exchange 僅檢視管理角色對 Active Directory 組態容器中的整個 Exchange 組織樹狀目錄具有唯讀權限,對擁有 Exchange 收件者之所有 Windows 網域容器具有唯讀權限。
在 Exchange Setup /PrepareAD 執行期間,Exchange 僅檢視管理角色會建立在 Active Directory 中的 Microsoft Exchange 安全性群組容器。
Exchange 公用資料夾系統管理員
Exchange 2007 Service Pack 1 (SP1) 的新功能
Exchange 公用資料夾系統管理員角色擁有管理所有公用資料夾的管理權限。這個系統管理員角色會獲授與「建立頂層公用資料夾」延伸權利。這個角色的成員可以建立及刪除公用資料夾,以及管理複本、配額、保留天數、系統管理權限及用戶端權限等公用資料夾設定。這個系統管理員角色可以啟用公用資料夾的郵件功能,但是不能修改公用資料夾上的郵件收件者相關內容,例如 Proxy 位址。這項功能需要 Exchange Recipient Administrators 角色的成員資格。
系統管理員角色與權限摘要
下表列出 Exchange 2007 系統管理員角色以及他們相關的 Exchange 權限。
| 系統管理員角色 | 成員 | 成員隸屬 | Exchange 權限 |
|---|---|---|---|
Exchange 組織系統管理員 |
系統管理員,或用來安裝第一部 Exchange 2007 伺服器的帳戶 |
Exchange Recipient Administrator <伺服器名稱> 的 Administrators 本機群組 |
對 Active Directory 中之 Microsoft Exchange 容器的完整控制 |
Exchange 收件者系統管理員 |
Exchange 組織系統管理員 |
Exchange 僅檢視管理 |
對 Active Directory 使用者物件上之 Exchange 內容的完整控制 |
Exchange Server 系統管理員 |
|
Exchange 僅檢視管理 <伺服器名稱> 的 Administrators 本機群組 |
對 Exchange <伺服器名稱> 的完整控制 |
Exchange 僅檢視管理 |
Exchange 收件者系統管理員 Exchange 公用資料夾系統管理員 |
Exchange 收件者系統管理員 Exchange Server 系統管理員 |
對 Active Directory 中之 Microsoft Exchange 容器的讀取權限。 對具有 Exchange 收件者之所有 Windows 網域的讀取權限。 |
Exchange Server |
每個 Exchange 2007 電腦帳戶 |
Exchange 僅檢視管理 |
特殊 |
Exchange 公用資料夾系統管理員 |
Exchange 組織系統管理員 |
Exchange 僅檢視管理 |
行政管理公用資料夾的能力。 |
通訊錄屬性
Exchange 使用許多屬性儲存 Exchange 資料。Exchange 也使用可由使用 Exchange 資料的其他目錄感知應用程式使用的其他收件者屬性。因此,這些屬性未加入 Exchange 特定內容設定。這些屬性可能位於 Active Directory 安裝期間建立的其他內容設定中,或者可能不屬於任何內容設定。
下表所列屬性是透過全域通訊清單 (GAL) 中的 Microsoft Office Outlook 提供給使用者的資料。若 Exchange 系統管理員需要更新這些屬性的能力,但不是具網域權限之安全性群組 (例如 Account Operators 群組) 的成員,則 Active Directory 系統管理員必須授與讀取/寫入權限。
| 套用至物件 | Exchange 管理主控台位置 | 屬性 | 描述 |
|---|---|---|---|
使用者,連絡人 |
[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤 |
givenName |
名字 |
使用者,連絡人 |
[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤 |
initials |
中間名的縮寫 |
使用者,連絡人 |
[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤 |
sn |
姓氏 |
使用者,連絡人 |
[使用者] 或 [連絡人] 內容中的 [使用者資訊] 或 [連絡人資訊] 索引標籤 |
info |
記事欄位 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
streetAddress |
路/街 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
l |
城市 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
st |
省/市 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
postalCode |
郵遞區號 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
countryCode |
國家/地區 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
telephoneNumber |
商務電話 |
使用者,連絡人 |
僅能在 Exchange 管理命令介面中使用 |
otherTelephoneNumber |
其他商務電話 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
pager |
呼叫器 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
facsimileTelephoneNumber |
傳真 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
homePhone |
住家電話 |
使用者,連絡人 |
僅能在 Exchange 管理命令介面中使用 |
otherHomePhone |
其他住家電話 |
使用者,連絡人 |
使用者或連絡人內容中的 [地址及電話] 索引標籤 |
mobile |
行動電話 |
使用者,連絡人 |
僅能在 Exchange 管理命令介面中使用 |
otherfacsimileTelephoneNumber |
其他傳真 |
連絡人 |
僅能在 Exchange 管理命令介面中使用 |
telephoneAssistant |
助理電話 |
連絡人 |
Active Directory 服務介面 (ADSI) 編輯器/LDAP |
telephoneAssistant |
助理電話 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
title |
職稱 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
company |
公司 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
department |
部門 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
physicalDeliveryOfficeName |
辦公室 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
manager |
主管 |
使用者,連絡人 |
使用者或連絡人內容中的 [組織] 索引標籤 |
directReports |
直屬員工 |
使用者,連絡人 |
僅能在 Exchange 管理命令介面中使用 |
msExchAssistantName |
助理姓名 |
群組 |
[群組] 內容中的 [群組資訊] 索引標籤 |
managedBy |
群組擁有者 |
群組 |
[群組] 內容中的 [群組資訊] 索引標籤 |
info |
記事欄位 |
相關資訊
如需如何使用 Exchange 系統管理角色委派權限的相關資訊,請參閱 Add-ExchangeAdministrator。
如需如何為 Exchange 2007 準備 Active Directory 與網域的相關資訊,請參閱如何準備 Active Directory 及網域。
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.