На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2748704
13397
Hosts 1649568
475
Visitors 229673
551

12
Мониторинг активности принтеров

Главная / Статьи / Exchange 2003 / Доступ к управлению Exchange (Access Control) и администраторские права


SurfCop

Доступ к управлению Exchange (Access Control) и администраторские права

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Microsoft Exchange взаимодействует с Windows на многих различных уровнях и использует различные уровни администраторских прав для доступа к управлению. Цель этой статьи заключается в том, чтобы помочь вам понять различные уровни администраторских прав. Также вы узнаете о том, как назначать эти полномочия для вашей команды администраторов.

Введение

Для того чтобы управлять и защищать данные на Exchange сервере требуется несколько различных администраторских прав. Exchange использует как модель доступа к управлению Windows, списки управления доступа Access Control Lists (ACL) и структуру иерархических прав.

Иерархические уровни Exchange (Hierarchal Levels)

Exchange предоставляет три уровня, для которых вы можете назначать Access Control Lists (ACL’s) и администраторские права. Эти три уровня следующие:

  • Организационный уровень (Organization Level) – Включает в себя все административные группы Exchange Administrative Groups, а также Exchange сервера их содержащие. Это наивысший уровень, и пользователи с администраторскими правами на этом уровне могут управлять все структурой Exchange.
  • Уровень администраторской группы (Administrative Group Level) – Это уровень включает в себя все Exchange сервера в административной группе (Administrative group). Административную группу можно сравнить с доменом Active Directory, в котором домен является границей для администратора.
  • Серверный уровень (Server Level) – Низший уровень - это серверный уровень, который ограничивается контролем администратора над определенным сервером.

Таким образом, права распределяются сверху вниз и предназначены для тонкой настройки прав для всех объектов. С помощью использования ACL права могут быть использованы для доступа к различным объектам.

Списки управления доступом (Access Control Lists)

Более ранние версии Exchange (5.5 и ниже) использовали свой собственный метод для контроля прав доступа, которые хранились к директории Exchange. С выходом Exchange 2000 контроль доступа был исправлен и Exchange стал использовать методы контроля доступа Windows. Теперь все объекты типа почтовых ящиков и общих папок имеют ACL для связи с Access Control Entries (ACE) и Security Identifiers (SID). Основное преимущество этой модели заключается в более четком контроле и возможности контроля наследования прав от родительских контейнеров. На рисунке 1 показан типичный ACL для сервера Exchange.

Рисунок 1: ACL сервера Exchange

Стоит обратить внимание на ту вещь, что по умолчанию ACL для структуры Exchange и административной группы (Administrative Groups) не отображается. Для того, чтобы это изменить это вы должны поменять ключ в реестре.

HKCU\Software\Microsoft\Exchange\ExAdmin

Создайте REG_DWORD под названием ShowSecurityPage и установите его значение равным 1, а затем перестартуйте Exchange System Manager (ESM). Теперь вы можете зайти на закладку Security и увидеть свойства структуры Exchange или административной группы (Administrative Group) (смотрите рисунок 2).

Рисунок 2: Закладка Organization Security

Администраторские права

В дополнение к ACL существуют также три предопределенные администраторские роли, которые вы можете назначить пользователю. Каждая роль представляет собой набор прав, необходимых для выполнения специфических действий для Exchange сервера. Эти роли назначаются при помощи мастера Delegation of Control Wizard. Перед тем, как мы познакомимся с этим мастером, давайте рассмотрим описание каждой из ролей.

  • Полный администратор Exchange (Full Administrator)
  • Администратор Exchange (Administrator )
  • Обозреватель Exchange (View Administrator)

Exchange Full Administrator - это наиболее мощная администраторская роль, и назначать ее нужно с большой осторожностью. В первый раз, когда вы запустите Forest Prep вы должны выбрать учетную запись, которая станет первым полным администратором Exchange Full Administrator (смотрите рисунок 3). Эти права предоставляют полный контроль над всеми объектами, а также права для делегирования прав для других пользователей. Этот уровень прав требуется для установки на первом сервере Exchange в организации, а также удалить службу Site Replication Service (SRS) запущенную на сервере. Учетные записи, обладающие этой ролью должны также входить в группу локальных администраторов (Local Administrators group) на Exchange сервере.

Рисунок 3: Создание полного администратора Exchange (Full Administrator)

Позиция администратора Exchange (Exchange Administrator) похожа на Exchange Full Administrator за исключением того, что пользователи с этой ролью не могут передавать контроль над какими либо объектами . Они по-прежнему могут подключать и отключать хранилища, добалять или удалять сервера из административной группы (Administrative Group) или устанавливать пакеты обновлений на Exchange. Учетные записи с правами Exchange Administrators также должны быть созданы локальными администраторами (Local Administrator) на сервере, и эту роль лучше назначать пользователям, которые выполняют повседневную работу по управлению сервером.

Наконец, Exchange View Administrator - это низший уровень из трех представленных. Эта роль не имеет никаких прав для изменение чего-либо, а всего лишь позволяте просматривать объекты в ESM. Вы можете назначить эту роль для молодых администраторов, которым необходимо производить мониторинг сервера, и сообщать о необходимых изменения более опытным администраторам. Следующая таблица описывает какой уровень привилегий необходим для выполнения наиболее частых задач.

Задача Права
Первый запуск ForestPrep Enterprise и Schema Administrator
Последующие запуски ForestPrep Full Administrator for the Exchange Organization
Запуск DomainPrep Domain Administrator
Установка/Обноление первого сервера в организации Exchange Full Administrator for the Exchange Organization
Установка/Обновление первого Exchange сервера в домене Full Administrator for the Exchange Organization
Установка/Обновление первого Exchange сервера в административной группе (Administrative Group) Full Administrator for the Exchange Organization
Установка/Обновление дополнительного Exchange сервера в домене или Аdministrative Group Full Administrator for the Administrative Group
Установка виртуального Exchange сервера при кластеризации Full Administrator for the Exchange Organization
Обновление Exchange 2000 Bridgehead Server до 2003 Full Administrator for the Exchange Organization
Добавление или удаление Exchange 2003 SRS Exchange Full Administrator for the Administrative Group


Таблица 1

Мастер Делегации прав (Delegation of Control Wizard)

Мастер делегации прав (Delegation of Control Wizard) может быть запущен на организационном уровне, или на уровне административной группы, и ваш первый шаг заключается в определении того уровня, права для доступа к которому вы хотите делигировать. Для запуска мастера щелкните правой кнопкой мыши на структуре или административной группе и выберите Delegate Control. Нажмите на кнопку next, на экране появится окно приветствия, после чего можно приступить к делигированию контроля доступа.

На первом экране будет показан список пользователей, и назначенных им ролей. По умолчанию будет отображена только учетная запись, указанная с помощью ForestPrep и ей будет назначена роль полного администратора (Exchange Full Administrator). Для делигирования прав для других учетных записей, нажмите на кнопку Add и выберите учетную запись пользователя в Active Directory. На рисунке 4 показан список учетных записей пользователей с различными делигированными правами.

Рисунок 4: Делигирование прав

Более правильно было бы создание групп безопасности (security group) и делигирование прав доступа для всей этой группы. Это гораздо упрощает управление и гарантирует, что учетные записи пользователей будут иметь правильные администраторские права. Нехватка знаний - это опасная вещь, а нехватка знаний совместно с большими правами - гораздо опаснее!

Последний экран Мастера делегации прав позволяет вам проверить задания, которые ждут выполнения, а также вернуться назад и внести изменения. Если вам необходимо удалить учетную запись пользователя или группу, изменить права назначенные пользователю или группе, просто выделите этого пользователя или группу и нажмите на кнопку Edit или на кнопку Remove. После того, как вы нажмете на кнопку finish, все изменения вступят в силу.

Как и в случае с ACL, делигируемые права также применяются для административной группы. Если вы делигируете контроль доступа на организационном уровне, то эти права распространяются на административные группы в организации, а затем когда вы запускаете мастер Delegation of Control wizard на уровне административной группы, то вы увидите пользователей и группы, которым был делигирован контроль, делигированные роли, а также наследуемые права (смотрите рисунок 5).

Рисунок 5: Наследуемые права

Мастер Delegation of Control wizard - удобный способ для назначения прав для управления Exchange. Лучше всего использовать этот мастер и не изменять ACL, хотя это возможно не всегда. Если вы должны изменить права на объект, делайте это с особым вниманием и документируйте ваши действия.

Следующая таблица показывает права для каждой роли, назначенной с помощью мастера Delegation of Control wizard.

Права Exchange Full Administrator Exchange Administrator Exchange View Administrator
Свойства для чтения   Разрешить Разрешить
Свойства для записи Разрешить Разрешить -
Список объектов Разрешить Разрешить Разрешить
Создание Top Level Public Folder Разрешить Разрешить -
Создание Public Folder Разрешить Разрешить -
Добавление Public Folder в Administrative Group Разрешить Разрешить -
Изменение Public Folder ACL Разрешить Разрешить -
Изменение Public Folder Deleted Items Retention Разрешить Разрешить -
Изменение Public Folder Expiration Разрешить Разрешить -
Изменение квот Public Folder Quotas Разрешить Разрешить -
Изменение реплик Public Folder Replicas Разрешить Разрешить -
Удаление Public Folder из Administrative Group Разрешить Разрешить -
Чтение Metabase Разрешить Разрешить -
Открыть очередь Send Mail Queue Разрешить Разрешить -
Управление Information Store Разрешить Разрешить -
Просмотр статуса Store Status Разрешить Разрешить -
Создание Named Properties в хранилище Разрешить Разрешить -
Изменение прав Разрешить - -
Получить в собственность (Take ownership) Разрешить - -
Послать как Запретить Запретить -
Получить как Запретить Запретить -


Таблица 2

После того, как вы делигировали контроль для организации или административной группы вы можете просмотреть ACL и увидеть, какие права были назначены. На рисунке 6 показаны ACL для групп администраторов Exchange (Administrator group), которые были делигированы роли администратора Exchange (Administrator role).

Рисунок 6: Назначение прав

Заключение

Как вы можете увидеть, контроль администраторских прав достаточно прост в Exchange 2000 и 2003, гораздо проще и мощнее, чем в предыдущих версиях Exchange. Детализация, которую предоставляет ACL, а также простота назначения прав с помощью мастера Delegation of Control wizard должна позволить вам конролировать доступ к тому, к чему вы хотите.

Как вновь приобрести контроль над струтктурой Exchange Server 2003
https://msexchange.ru/articles/Regain-Access-Exchange-Server-2003-Organization.html

ForestPrep and DomainPrep Explained in Detail
http://www.msexchange.org/tutorials/Forestprep-Domainprep-Explained.html





Рейтинг:  
5.0 (голосов 1)  
 1   2   3   4   5    

Автор: Родни Бьюик (Rodney Buike)
Родни Бьюик имеет степень Microsoft MVP. Он получил свой сертификат MCSE в области Windows 2000 и 2003. Работает системным инженером в крупной канадской промышленной компании и публикуется на http://thelazyadmin.com.
Эта статья переведена и опубликована с разрешения http://www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010