Материалы распечатаны с сайта OSzone.net. Дальнейшее применение материалов в других печатных изданиях, включая электронные статьи, должно сопровождаться указанием имени сайта OSzone.net и имени автора, если присутствует.

Права и роли в Exchange 2007 OSzone.net » Microsoft » Exchange Server » Exchange Server 2007 » Права и роли в Exchange 2007

Автор: Нейл Хобсон (Neil Hobson) Иcточник: MSexchange.ru Опубликована: 23.11.2007

Если вы уже знакомились или устанавливали Exchange 2007, то, несомненно, заметили, что по сравнению с предыдущими версиями произошло много изменений. Область административных прав и ролей в системе безопасности также немного изменилась в Exchange 2007, и в этой статье мы сделаем обзор этих изменений. Мы также посмотрим на некоторые обычные требования и вопросы, с которыми сталкиваются администраторы Exchange в повседневной работе.

Начнем с небольшого повторения того, как предыдущие версии Exchange работают с областью административных прав в Exchange. В Exchange 2000 и Exchange 2003 было 3 разные роли в системе безопасности, которые можно было назначать, используя Delegation Wizard (Мастер делегирования). Вот эти роли:

• Exchange Full Administrator. Это наивысший возможный уровень, дающий все права в организации Exchange. Кроме того, пользователи, наделенные такой ролью, могут раздавать права другим администраторам в Exchange в случае необходимости.
• Exchange Administrator. Роль администратора Exchange по существу такая же, как и роль главного администратора, за исключением возможности раздавать права другим администраторам.
• Exchange View-Only Administrator. Эта роль дает только доступ к просмотру в организации Exchange. То есть существует возможность только просматривать содержимое и настройки в организации Exchange, но не изменять их.

Эти роли могут быть назначены с помощью Exchange Server Delegation Wizard (Мастера делегирования Exchange-сервера) либо на уровне организации, либо на уровне административной группы, в зависимости от необходимости. Обычно основной администратор Exchange получает права Exchange Full Administrator на уровне организации. Другие администраторы, которые могут следить за серверами Exchange внутри конкретной административной группы, получают права на уровне административной группы. Однако наделение правами на уровне административной группы, как оказалось, не настолько прозрачно, как хотелось бы многим организациям, так как администратор, наделенный правами на уровне административной группы, имеет доступ ко всем серверам в административной группе. Далее, вы, возможно, помните из прочитанного, что ни в Exchange 2000, ни в Exchange 2003 невозможно перемещать сервера между административными группами, даже в собственном режиме. Наконец, новые сервера Exchange должны быть встроены в другую административную группу, и пользователи вынуждены метаться между группами. В некоторых случаях административные группы создавались специально, чтобы содержать в себе различные коннекторы, например группа коннекторов маршрутизации, так что администраторы других административных групп не имели доступа для изменения параметров коннекторов.

В Exchange 2007 приняты меры для удовлетворения потребностей вроде этих — новые административные роли. Давайте на них посмотрим.

Административные роли в Exchange 2007

В Exchange 2007 можно выбирать из четырех различных административных ролей. Вот они:

• Exchange Organization Administrators(Администраторы организации). Это наивысший уровень, которым можно наделять пользователя или группу, он аналогичен роли Exchange Full Administrator в Exchange 2000 и Exchange 2003. По причинам наилучшей безопасности стоит удостовериться, что количество пользователей, наделенных этой ролью, минимально, так как у них есть возможность выполнять задачи во всей организации Exchange.
• Exchange Recipient Administrators(Принимающий администратор). Любой пользователь, получивший такой уровень доступа, имеет возможность изменять Exchange-информацию о пользователях, группах, контактах и общих папках. Поэтому эта роль может быть использована для ежедневных задач, таких как создание и удаление почтовых ящиков и групп распределения.
• Exchange View-Only Administrators. Согласно своему названию такие роли дают доступ только для чтения ко всем глобальным конфигурационным данным и адресатам Exchange. Поэтому использование команд среды Exchange Management Shell (EMS) (Среда управления Exchange) для получения информации, таких как Get-Mailbox, Get-MailboxDatabase и др. требуют наличия, как минимум, роли Exchange View-Only Administrator.
• Exchange Server Administrators(Администраторы сервера). Эта роль — фундаментальное изменение по сравнению с Exchange 2000 и Exchange 2007, так как обладатели этой роли имеют права администрировать один или более серверов, но не имеют никаких прав на глобальные конфигурационные настройки. Это позволяет обойти проблему делегирования доступа на уровне административных групп и ситуацию, когда администратор может иметь доступ к серверам, которого им не следует иметь. Также администраторы Exchange Server Administrators не могут удалять сервер Exchange; они могут добавлять или удалять серверные роли, но не могут удалить последнюю серверную роль, таким образом полностью удалив сервер Exchange.

За исключением роли Exchange Server Administrators общие группы безопасности для этих ролей создаются в Microsoft Exchange Security Groups Organizational Unit (OU) в домене, где была запущена программа установки Exchange 2007 с ключом /PrepareAD. Такие группы показаны на рисунке 1.

Рисунок 1: Группы безопасности Exchange

Сделаю небольшое замечание по поводу группы 'ExchangeLegacyInterop', которую вы видите на рисунке 1. Эта группа содержит сервера Exchange 2000 и Exchange 2003, добавленные в тот момент, когда создается коннектор группы маршрутизации и транспортный сервер-концентратор Exchange 2007 устанавливается в организации с Exchange 2000 или Exchange 2003. Это позволяет серверам в такой организации отправлять и получать почту от серверов Exchange 2007. Мы больше не будем возвращаться в статье к этой группе, но счел полезным показать, для чего эта группа.

Что же в действительности устанавливается в процессе /PrepareAD? Множество прав устанавливается на различных уровнях, и файл справки Exchange 2007 описывает все в деталях. Чтобы дать вам общее представление, посмотрим на некоторые настройки роли Exchange Organization Administrator в качестве примера. Используя средство ADSIEdit, вы можете проверить таблицу безопасности, находящуюся в свойствах контейнера Microsoft Exchange, чтобы увидеть, что же установлено. Когда ADSIEdit загружено и подключено к контексту именования конфигурации, разверните контейнер Configuration (Конфигурация), а затем контейнер Services (службы). Правый клик на Microsoft Exchange, выберите Properties (свойства) в контекстном меню. Когда окно свойств откроется, выберите вкладку Security (Безопасность). Прокрутите список имен групп и пользователей, пока не найдете Exchange Organization Administrators и не заметите, что эта роль дает полный контроль над организационными данными в Exchange. Это показано на рисунке 2.

Рисунок 2: Конфигурационный контейнер прав для роли Exchange Organization Administrator

Роль Exchange Organization Administrator добавляется как участник локальной группы администраторов на сервере Exchange 2007 в после того, как Exchange 2007 установлен. Кроме того, роли Exchange Organization Administrator дается доступ на чтение ко всем контейнерам пользователей домена в Active Directory, поскольку она включает в себя роль Exchange Recipient Administrators. Когда средство ADSIEdit подключено к контексту именования домена, щелкните правой кнопкой мыши на соответствующее имя домена и выберите Properties(Свойства) из контекстного меню. Снова выберите вкладку Security(Безопасность) и прокрутите список, пока не найдете роли Exchange Recipient Administrators, где вы увидите, что доступ на чтение был открыт. Это показано на рисунке 3.

Рисунок 3: Доменный контейнер прав для роли Exchange Recipient Administrator

Внизу (Рисунок 4) административные роли по умолчанию сконфигурированы после установки Exchange 2007. Нужно отметить пару моментов. Во-первых, я развернул колонку Identity и убрал панель action для ясности. Во-вторых, я использовал аккаунт Administrator для установки Exchange, и поэтому ему была делегирована роль Exchange Organization Administrator. Вы, наверное, помните, что это соответствует ситуации в Exchange 2003, где аккаунт, запустивший процесс forestprep, получал роль Exchange Full Administrator. Обратите внимание на поле Scope(границы) и на то, как оно всегда устанавливается в Organization wide(вся организация). Однако этот случай — не для группы Exchange Server Administrators, так как границы зависят от того, к какому или к каким серверам администратор имеет доступ. К примеру, на Рисунке 5 я добавил пользователя User1 в качестве Exchange Server Administrator для сервера под названием EXCHANGE; и поле Scope в данном случае отражает это. Заметьте, что User1 также получил права Exchange View-Only Administrator.

Рисунок 4: Права по умолчанию

Рисунок 5: Границы роли Exchange Server Administrator

Вы также можете использовать Exchange Management Shell (EMS) для получения списка администраторов Exchange в любое время. Используя аккаунт, которому присвоили роль Exchange View-Only Administrator, наберите в командной строке:

Get-ExchangeAdministrator

Вы можете быть удивлены тем, какая ошибка в действительности появляется, когда вы пытаетесь администрировать Exchange без достаточных прав. Посмотрите на Рисунок 6 внизу, где показано, что появится, когда пользователь с правами Exchange View-Only Administrator пытается добавить новый допустимый домен с помощью EMC. Ошибка ‘Access is denied’(В доступе отказано) самоочевидна.

Рисунок 6: Недостаточные права доступа

Заключение

В первой части статьи мы ознакомились с основами административных ролей и прав в Exchange 2007, и осветили то, что они делают. Во второй части мы посмотрим, как добавлять и забирать у администраторов эти роли как с помощью EMS, так и с помощью EMC, а также взглянем на пару обычных задач, связанных с правами, которые нужно выполнять администраторам.

В первой части статьи мы представили административные роли Exchange 2007, а именно роли Exchange Organization Administrator, Exchange Recipient Administrator, Exchange View-Only Administrator и Exchange Server Administrator. Но одну тему мы не охватили в прошлой статье — как добавлять или удалять пользователей из этих ролей, как с помощью Exchange Management Console(EMC), так и с помощью Exchange Management Shell(EMS). Это та тема, которую мы осветим в этой части статьи; кроме того, мы рассмотрим две обычные административные задачи, связанные с правами, которые регулярно приходится решать в Exchange.

Добавление административной роли

Давайте посмотрим на те шаги, которые требуется предпринять, чтобы наделить пользователя или группу одной из новых административных ролей. Заметьте, что для выполнения этой задачи необходимо убедиться, что аккаунт, используемый вами, получил роль Exchange Organization Administrator. Следовательно, если это первый дополнительный аккаунт, добавляемый вами после установки Exchange 2007, необходимо использовать аккаунт, с которого происходила установка Exchange 2007, так как именно этот аккаунт получил роль Exchange Organization Administrator. Для начала используем традиционный путь (с помощью GUI), пользуясь Exchange Management Console (EMC).

1. Запустите EMC.
2. Выберите узел Organization Configuration в консольном дереве.
3. В открывшейся панели вы увидите вкладку Exchange Administrators(единственную вкладку) и ниже — список пользователей/групп и приписанные им права (Рисунок 1).
4. Рисунок 1: Администраторы Exchange по умолчанию
5. Правой кнопкой мыши щелкните на узел Organization Configuration и выберите Add Exchange Administrator…(добавить администратора) из контекстного меню или выберите ту же опцию прямо из панели action.
6. Мастер Add Exchange Administrator появится, что выразится в том, что кроме экрана, который вы видите сейчас, появится экран Add Exchange Administrator плюс экран Completion(завершение). На Рисунке 2 показан экран Add Exchange Administrator.
7. Рисунок 2: Мастер Add Exchange Administrator
8. Щелкните на кнопку Browse…(обзор) и в появившемся окне Select User or Group to Delegate(выберите пользователя или группу для делегирования) обозначьте пользователя или группу, которым вы хотите дать права. После того, как вы укажите пользователя или группу, нажмите OK. Обратившись к окну мастера Add Exchange Administrator, вы должны увидеть теперь выбранного пользователя или группу в первом поле.
9. Далее, выберите соответствующую администраторскую роль из представленного списка. Если вы выберете одну из первых трех ролей, а именно, Exchange Organization Administrator, Exchange Recipient Administrator или Exchange View-Only Administrator, все, что нужно, — это щелкнуть на кнопку Add внизу экрана, после чего вы попадете на экран Completion. Если, однако, вы выбираете Exchange Server Administrator, тогда нужно щелкнуть на кнопку Add непосредственно под названием роли для того, чтобы выбрать сервера, которые будет администрировать выбранный пользователь или группа. После этого вы увидите окно Select Exchange Server (Выбор сервера Exchange), в котором просто представлен список доступных для администрирования серверов. Очевидно, сервера Exchange 2000 или Exchange 2003 не будут представлены в списке, и, кроме того, если у вас есть кластеры Exchange 2007, вы увидите естественно название кластеризированного почтового сервера, а не имена кластерных узлов. Выберите соответствующие сервера, и щелкните OK. После завершения, вы увидите такой экран (Рисунок 3)
10. Рисунок 3: Мастер Add Exchange Administrator с обзором всех серверов
11. После того, как вы щелкаете на кнопку Add в открывающемся окне мастера Add Exchange Administrator, появится экран Completion, где показываются результаты операции.

Нужно обратить внимание еще на одну деталь. Если вы наделяете кого-либо ролью Exchange Server Administrator, вам также необходимо вручную добавить такого пользователя в локальную административную группу на том сервере (серверах), который он будет администрировать. И наоборот, если вы лишаете пользователей роли Exchange Server Administrator, то необходимо также вручную удалить этих пользователей из локальной административной группы соответствующих серверов.

Конечно же, вы уже должны знать, что при выполнении вами задач в GUI показывается соответствующая команда при завершении мастера, и мастер Add Exchange Administrator в этом смысле не исключение. Установление ролей и прав с помощью EMS очень простое. Нужная команда: Add-ExchangeAdministrator. Все, что нужно дальше, — добавить параметры –Identity и –Role. К примеру, чтобы наделить пользователя User1 ролью Exchange Organization Administrator, введите следующую команду:

Add-ExchangeAdministrator –Identity User1 –Role OrgAdmin

Отсюда вы видите, что для этой роли использован параметр OrgAdmin, что соответствует роли Exchange Organization Administrator. Другие параметры, обозначающие роли, следующие:

• RecipientAdmin для роли Exchange Recipient Administrator.
• ViewOnlyAdmin для роли Exchange View-Only Administrator.
• ServerAdmin для роли Exchange Server Administrator.

Если вы используете роль ServerAdmin, необходимо также добавить дополнительный параметр –Scope для указания серверов, которые будет администрировать данный пользователь. К примеру, для того, чтобы дать пользователю User1 роль Exchange Server Administrator в сервере Exchange 2007 под названием EXCHANGE, команда должна быть такой:

Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope EXCHANGE

Параметр –Scope принимает только один сервер. Чтобы дать пользователю права на несколько серверов, вы можете либо набрать команду несколько раз, либо использовать метод массивов. Я обязан поблагодарить Бена Винсенза (Ben Winzenz) из Microsoft и Дэвина Ганджера (Devin Ganger), члена MVP Exchange, за напоминание мне про этот метод. Чтобы дать пользователю User1 роль Exchange Server Administrator в трех серверах Exchange 2007 под названиями EXSRV1, EXSRV2 и EXSRV3, ваш код должен выглядеть примерно так:

$MyServers = “EXSRV1”,”EXSRV2”,”EXSRV3”
ForEach ($CurrentServer in $MyServers) {Add-ExchangeAdministrator –Identity User1 –Role ServerAdmin –Scope $CurrentServer}

Этот код выбирает каждое имя сервера по очереди из массива $MyServers и добавляет имя сервера в параметр $CurrentServer, который и является входным значением для параметра –Scope.

Лишение роли администратора Exchange 2007

Лишение пользователя роли администратора Exchange 2007 — не может быть ничего проще. В EMC все лишь нужно щелкнуть правой кнопкой мыши на имя пользователя во вкладке Exchange Administrators (Рисунок 1) и выбрать Remove(Удалить) из контекстного меню; настолько все просто.

В EMS нужно использовать команду Remove-ExchangeAdministrator. К примеру, чтобы лишить аккаунт User1 роли Exchange View-Only Administrator, наберите:

Remove-ExchangeAdministrator –Identity User1 –Role ViewOnlyAdmin

Необходимо включать параметр Role при использовании EMS для удаления администраторов Exchange.

Предоставление доступа к почтовому ящику

Одной из обычных задач, выполняемых администраторами Exchange, является предоставление полного доступа к почтовому ящику, как в классическом сценарии менеджер/секретарь. Это можно легко реализовать, используя EMS, а именно команду Add-MailboxPermission. К примеру, чтобы дать пользователю User2 полный доступ к ящику пользователя User1, наша команда такова:

Add-MailboxPermission User1 –User User2 –AccessRights FullAccess

Если все в порядке, результат должен выглядеть так:

Рисунок 4: Полный доступ к почтовому ящику через EMS

Лишение доступа через EMS — просто использование команды Remove-MailboxPermission с теми же параметрами.

Предоставление права на Send As (Отправить Как)

Другой обычной задачей администраторов Exchange является предоставления почтовому ящику разрешения на Send As. Это используется в сценариях, когда кому-либо еще, кроме обычного пользователя почтового ящика, требуется отправить сообщения так, как будто они отправлены от обычного владельца ящика. Microsoft дает нам два варианта реализации разрешения на Send As, а именно GUI способ с помощью оснастки Active Directory Users and Computers snap-in, или способ с использованием командной строки через EMS. Поскольку установка разрешений на Send As требует изменения прав, необходимо выполнять такие задачи, используя аккаунт, получивший роль Exchange Organization Administrator.

Посмотрим вначале на использование EMS. Команда Add-ADPermission используется для предоставления прав объектам Active Directory, поэтому это то, что нужно нам сейчас. Ключевой параметр, который нужно применить, это параметр ExtendedRights. К примеру, чтобы дать пользователю User2 право на отправку сообщений как от почтового ящика пользователя User1, наша команда должна быть следующей:

Add-ADPermission User1 –User NGH\User2 –ExtendedRights “Send As”

Для лишения такого права нужно использовать те же параметры с командой Remove-ADPermission.

Если администратор Exchange хочет использовать Active Directory Users and Computers snap-in, Microsoft показывает, что мы можем достичь своих целей за несколько шагов:

1. Запустить Active Directory Users and Computers snap-in.
2. Убедиться, что таблица Advanced Features (Дополнительные свойства) отображается при выборе опции Advanced Features из меню View(Вид).
3. Указать, на какой аккаунт требуются права. В моем примере это User1. После этого щелкните правой кнопкой мыши на этот аккаунт и выберите Properties(Свойства) из контекстного меню.
4. Далее, в Properties выберите вкладку Security(Безопасность).
5. Щелкните на кнопку Advanced(Дополнительно), вы увидите окно Advanced Security Settings (Дополнительные настройки безопасности) (Рисунок 5). В этом окне щелкните кнопку Add(Добавить)
6. Рисунок 5: Advanced Security Settings
7. Далее вы увидите окно Select User, Computer, or Group(Выбор пользователя, компьютера или группы). Здесь вы просто вводите имя пользовательского аккаунта, которому вы хотите дать права на Sens As. В моем примере это пользователь User2. Набрав имя, щелкните на кнопку Check Names(Проверить Имена), убедитесь, что пользовательский аккаунт правильно определен, затем щелкните OK.
8. Теперь должно появиться окно Permissions Entry(Запись прав) (Рисунок 6). Щелкните на выпадающий список и выберите This object only(Только этот объект) из списка доступных опций.
9. В списке доступных разрешений найдите разрешение на Send As и затем поставьте галочку Allow (Позволить) напротив этого разрешения. (Рисунок 6)
10. Рисунок 6: Окно Permission Entry
11. Теперь вы можете щелкнуть OK во всех окнах, чтобы закрыть их.

Заключение

Надеюсь, что в двух частях этой статьи я дал вам понятное объяснение административных ролей в Exchange 2007. Я также сделал обзор пары обычных задач, которые вам, скорее всего, нужно будет выполнять. Что касается последней из этих задач, вы, наверное, согласитесь, что тут нужно выполнить немного действий при использовании GUI метода. Лично я считаю, что EMS метод более простой, но это при выборе действительно более выгодного метода.

Главная | Видео | Новости | Microsoft | Железо | Программы | СУБД | Форум