Права и роли в Exchange 2007

Если вы уже знакомились или устанавливали Exchange 2007, то, несомненно, заметили, что по сравнению с предыдущими версиями произошло много изменений. Область административных прав и ролей в системе безопасности также немного изменилась в Exchange 2007, и в этой статье мы сделаем обзор этих изменений. Мы также посмотрим на некоторые обычные требования и вопросы, с которыми сталкиваются администраторы Exchange в повседневной работе.

Начнем с небольшого повторения того, как предыдущие версии Exchange работают с областью административных прав в Exchange. В Exchange 2000 и Exchange 2003 было 3 разные роли в системе безопасности, которые можно было назначать, используя Delegation Wizard (Мастер делегирования). Вот эти роли:

• Exchange Full Administrator. Это наивысший возможный уровень, дающий все права в организации Exchange. Кроме того, пользователи, наделенные такой ролью, могут раздавать права другим администраторам в Exchange в случае необходимости.
• Exchange Administrator. Роль администратора Exchange по существу такая же, как и роль главного администратора, за исключением возможности раздавать права другим администраторам.
• Exchange View-Only Administrator. Эта роль дает только доступ к просмотру в организации Exchange. То есть существует возможность только просматривать содержимое и настройки в организации Exchange, но не изменять их.

Эти роли могут быть назначены с помощью Exchange Server Delegation Wizard (Мастера делегирования Exchange-сервера) либо на уровне организации, либо на уровне административной группы, в зависимости от необходимости. Обычно основной администратор Exchange получает права Exchange Full Administrator на уровне организации. Другие администраторы, которые могут следить за серверами Exchange внутри конкретной административной группы, получают права на уровне административной группы. Однако наделение правами на уровне административной группы, как оказалось, не настолько прозрачно, как хотелось бы многим организациям, так как администратор, наделенный правами на уровне административной группы, имеет доступ ко всем серверам в административной группе. Далее, вы, возможно, помните из прочитанного, что ни в Exchange 2000, ни в Exchange 2003 невозможно перемещать сервера между административными группами, даже в собственном режиме. Наконец, новые сервера Exchange должны быть встроены в другую административную группу, и пользователи вынуждены метаться между группами. В некоторых случаях административные группы создавались специально, чтобы содержать в себе различные коннекторы, например группа коннекторов маршрутизации, так что администраторы других административных групп не имели доступа для изменения параметров коннекторов.

В Exchange 2007 приняты меры для удовлетворения потребностей вроде этих — новые административные роли. Давайте на них посмотрим.

Административные роли в Exchange 2007

В Exchange 2007 можно выбирать из четырех различных административных ролей. Вот они:

• Exchange Organization Administrators(Администраторы организации). Это наивысший уровень, которым можно наделять пользователя или группу, он аналогичен роли Exchange Full Administrator в Exchange 2000 и Exchange 2003. По причинам наилучшей безопасности стоит удостовериться, что количество пользователей, наделенных этой ролью, минимально, так как у них есть возможность выполнять задачи во всей организации Exchange.
• Exchange Recipient Administrators(Принимающий администратор). Любой пользователь, получивший такой уровень доступа, имеет возможность изменять Exchange-информацию о пользователях, группах, контактах и общих папках. Поэтому эта роль может быть использована для ежедневных задач, таких как создание и удаление почтовых ящиков и групп распределения.
• Exchange View-Only Administrators. Согласно своему названию такие роли дают доступ только для чтения ко всем глобальным конфигурационным данным и адресатам Exchange. Поэтому использование команд среды Exchange Management Shell (EMS) (Среда управления Exchange) для получения информации, таких как Get-Mailbox, Get-MailboxDatabase и др. требуют наличия, как минимум, роли Exchange View-Only Administrator.
• Exchange Server Administrators(Администраторы сервера). Эта роль — фундаментальное изменение по сравнению с Exchange 2000 и Exchange 2007, так как обладатели этой роли имеют права администрировать один или более серверов, но не имеют никаких прав на глобальные конфигурационные настройки. Это позволяет обойти проблему делегирования доступа на уровне административных групп и ситуацию, когда администратор может иметь доступ к серверам, которого им не следует иметь. Также администраторы Exchange Server Administrators не могут удалять сервер Exchange; они могут добавлять или удалять серверные роли, но не могут удалить последнюю серверную роль, таким образом полностью удалив сервер Exchange.

За исключением роли Exchange Server Administrators общие группы безопасности для этих ролей создаются в Microsoft Exchange Security Groups Organizational Unit (OU) в домене, где была запущена программа установки Exchange 2007 с ключом /PrepareAD. Такие группы показаны на рисунке 1.

Рисунок 1: Группы безопасности Exchange

Сделаю небольшое замечание по поводу группы 'ExchangeLegacyInterop', которую вы видите на рисунке 1. Эта группа содержит сервера Exchange 2000 и Exchange 2003, добавленные в тот момент, когда создается коннектор группы маршрутизации и транспортный сервер-концентратор Exchange 2007 устанавливается в организации с Exchange 2000 или Exchange 2003. Это позволяет серверам в такой организации отправлять и получать почту от серверов Exchange 2007. Мы больше не будем возвращаться в статье к этой группе, но счел полезным показать, для чего эта группа.

Что же в действительности устанавливается в процессе /PrepareAD? Множество прав устанавливается на различных уровнях, и файл справки Exchange 2007 описывает все в деталях. Чтобы дать вам общее представление, посмотрим на некоторые настройки роли Exchange Organization Administrator в качестве примера. Используя средство ADSIEdit, вы можете проверить таблицу безопасности, находящуюся в свойствах контейнера Microsoft Exchange, чтобы увидеть, что же установлено. Когда ADSIEdit загружено и подключено к контексту именования конфигурации, разверните контейнер Configuration (Конфигурация), а затем контейнер Services (службы). Правый клик на Microsoft Exchange, выберите Properties (свойства) в контекстном меню. Когда окно свойств откроется, выберите вкладку Security (Безопасность). Прокрутите список имен групп и пользователей, пока не найдете Exchange Organization Administrators и не заметите, что эта роль дает полный контроль над организационными данными в Exchange. Это показано на рисунке 2.

Рисунок 2: Конфигурационный контейнер прав для роли Exchange Organization Administrator

Роль Exchange Organization Administrator добавляется как участник локальной группы администраторов на сервере Exchange 2007 в после того, как Exchange 2007 установлен. Кроме того, роли Exchange Organization Administrator дается доступ на чтение ко всем контейнерам пользователей домена в Active Directory, поскольку она включает в себя роль Exchange Recipient Administrators. Когда средство ADSIEdit подключено к контексту именования домена, щелкните правой кнопкой мыши на соответствующее имя домена и выберите Properties(Свойства) из контекстного меню. Снова выберите вкладку Security(Безопасность) и прокрутите список, пока не найдете роли Exchange Recipient Administrators, где вы увидите, что доступ на чтение был открыт. Это показано на рисунке 3.

Рисунок 3: Доменный контейнер прав для роли Exchange Recipient Administrator

Внизу (Рисунок 4) административные роли по умолчанию сконфигурированы после установки Exchange 2007. Нужно отметить пару моментов. Во-первых, я развернул колонку Identity и убрал панель action для ясности. Во-вторых, я использовал аккаунт Administrator для установки Exchange, и поэтому ему была делегирована роль Exchange Organization Administrator. Вы, наверное, помните, что это соответствует ситуации в Exchange 2003, где аккаунт, запустивший процесс forestprep, получал роль Exchange Full Administrator. Обратите внимание на поле Scope(границы) и на то, как оно всегда устанавливается в Organization wide(вся организация). Однако этот случай — не для группы Exchange Server Administrators, так как границы зависят от того, к какому или к каким серверам администратор имеет доступ. К примеру, на Рисунке 5 я добавил пользователя User1 в качестве Exchange Server Administrator для сервера под названием EXCHANGE; и поле Scope в данном случае отражает это. Заметьте, что User1 также получил права Exchange View-Only Administrator.

Рисунок 4: Права по умолчанию

Рисунок 5: Границы роли Exchange Server Administrator

Вы также можете использовать Exchange Management Shell (EMS) для получения списка администраторов Exchange в любое время. Используя аккаунт, которому присвоили роль Exchange View-Only Administrator, наберите в командной строке:

Get-ExchangeAdministrator

Вы можете быть удивлены тем, какая ошибка в действительности появляется, когда вы пытаетесь администрировать Exchange без достаточных прав. Посмотрите на Рисунок 6 внизу, где показано, что появится, когда пользователь с правами Exchange View-Only Administrator пытается добавить новый допустимый домен с помощью EMC. Ошибка ‘Access is denied’(В доступе отказано) самоочевидна.

Рисунок 6: Недостаточные права доступа

Заключение

В первой части статьи мы ознакомились с основами административных ролей и прав в Exchange 2007, и осветили то, что они делают. Во второй части мы посмотрим, как добавлять и забирать у администраторов эти роли как с помощью EMS, так и с помощью EMC, а также взглянем на пару обычных задач, связанных с правами, которые нужно выполнять администраторам.