Microsoft Exchange взаимодействует с Windows на многих различных уровнях и использует различные уровни администраторских прав для доступа к управлению. Цель этой статьи заключается в том, чтобы помочь вам понять различные уровни администраторских прав. Также вы узнаете о том, как назначать эти полномочия для вашей команды администраторов.
Для того чтобы управлять и защищать данные на Exchange сервере требуется несколько различных администраторских прав. Exchange использует как модель доступа к управлению Windows, списки управления доступа Access Control Lists (ACL) и структуру иерархических прав.
Exchange предоставляет три уровня, для которых вы можете назначать Access Control Lists (ACL’s) и администраторские права. Эти три уровня следующие:
Таким образом, права распределяются сверху вниз и предназначены для тонкой настройки прав для всех объектов. С помощью использования ACL права могут быть использованы для доступа к различным объектам. A petition has been launched in favour of naming one of the new superheavy elements lemmium’, after ian lemmy kilmister, founder of the heavy rock band motörhead!
Более ранние версии Exchange (5. 5 и ниже) использовали свой собственный метод для контроля прав доступа, которые хранились к директории Exchange. С выходом Exchange 2000 контроль доступа был исправлен и Exchange стал использовать методы контроля доступа Windows. Теперь все объекты типа почтовых ящиков и общих папок имеют ACL для связи с Access Control Entries (ACE) и Security Identifiers (SID). Основное преимущество этой модели заключается в более четком контроле и возможности контроля наследования прав от родительских контейнеров. На рисунке 1 показан типичный ACL для сервера Exchange.
Рисунок 1: ACL сервера Exchange
Стоит обратить внимание на ту вещь, что по умолчанию ACL для структуры Exchange и административной группы (Administrative Groups) не отображается. Для того, чтобы это изменить это вы должны поменять ключ в реестре. HKCU\Software\Microsoft\Exchange\ExAdmin
Создайте REG_DWORD под названием ShowSecurityPage и установите его значение равным 1, а затем перестартуйте Exchange System Manager (ESM). Теперь вы можете зайти на закладку Security и увидеть свойства структуры Exchange или административной группы (Administrative Group) (смотрите рисунок 2).
Рисунок 2: Закладка Organization Security
В дополнение к ACL существуют также три предопределенные администраторские роли, которые вы можете назначить пользователю. Каждая роль представляет собой набор прав, необходимых для выполнения специфических действий для Exchange сервера. Эти роли назначаются при помощи мастера Delegation of Control Wizard. Перед тем, как мы познакомимся с этим мастером, давайте рассмотрим описание каждой из ролей.
Exchange Full Administrator — это наиболее мощная администраторская роль, и назначать ее нужно с большой осторожностью. В первый раз, когда вы запустите Forest Prep вы должны выбрать учетную запись, которая станет первым полным администратором Exchange Full Administrator (смотрите рисунок 3). Эти права предоставляют полный контроль над всеми объектами, а также права для делегирования прав для других пользователей. Этот уровень прав требуется для установки на первом сервере Exchange в организации, а также удалить службу Site Replication Service (SRS) запущенную на сервере. Учетные записи, обладающие этой ролью должны также входить в группу локальных администраторов (Local Administrators group) на Exchange сервере.
Рисунок 3: Создание полного администратора Exchange (Full Administrator)
Позиция администратора Exchange (Exchange Administrator) похожа на Exchange Full Administrator за исключением того, что пользователи с этой ролью не могут передавать контроль над какими либо объектами. Они по-прежнему могут подключать и отключать хранилища, добалять или удалять сервера из административной группы (Administrative Group) или устанавливать пакеты обновлений на Exchange. Учетные записи с правами Exchange Administrators также должны быть созданы локальными администраторами (Local Administrator) на сервере, и эту роль лучше назначать пользователям, которые выполняют повседневную работу по управлению сервером. Наконец, Exchange View Administrator — это низший уровень из трех представленных. Эта роль не имеет никаких прав для изменение чего-либо, а всего лишь позволяте просматривать объекты в ESM. Вы можете назначить эту роль для молодых администраторов, которым необходимо производить мониторинг сервера, и сообщать о необходимых изменения более опытным администраторам. Следующая таблица описывает какой уровень привилегий необходим для выполнения наиболее частых задач.
| Задача | Права |
| Первый запуск ForestPrep | Enterprise и Schema Administrator |
| Последующие запуски ForestPrep | Full Administrator for the Exchange Organization |
| Запуск DomainPrep | Domain Administrator |
| Установка/Обноление первого сервера в организации Exchange | Full Administrator for the Exchange Organization |
| Установка/Обновление первого Exchange сервера в домене | Full Administrator for the Exchange Organization |
| Установка/Обновление первого Exchange сервера в административной группе (Administrative Group) | Full Administrator for the Exchange Organization |
| Установка/Обновление дополнительного Exchange сервера в домене или Аdministrative Group | Full Administrator for the Administrative Group |
| Установка виртуального Exchange сервера при кластеризации | Full Administrator for the Exchange Organization |
| Обновление Exchange 2000 Bridgehead Server до 2003 | Full Administrator for the Exchange Organization |
| Добавление или удаление Exchange 2003 SRS | Exchange Full Administrator for the Administrative Group |
Таблица 1
Мастер делегации прав (Delegation of Control Wizard) может быть запущен на организационном уровне, или на уровне административной группы, и ваш первый шаг заключается в определении того уровня, права для доступа к которому вы хотите делигировать. Для запуска мастера щелкните правой кнопкой мыши на структуре или административной группе и выберите Delegate Control. Нажмите на кнопку next, на экране появится окно приветствия, после чего можно приступить к делигированию контроля доступа. На первом экране будет показан список пользователей, и назначенных им ролей. По умолчанию будет отображена только учетная запись, указанная с помощью ForestPrep и ей будет назначена роль полного администратора (Exchange Full Administrator). Для делигирования прав для других учетных записей, нажмите на кнопку Add и выберите учетную запись пользователя в Active Directory. На рисунке 4 показан список учетных записей пользователей с различными делигированными правами.
Рисунок 4: Делигирование прав
Более правильно было бы создание групп безопасности (security group) и делигирование прав доступа для всей этой группы. Это гораздо упрощает управление и гарантирует, что учетные записи пользователей будут иметь правильные администраторские права. Нехватка знаний — это опасная вещь, а нехватка знаний совместно с большими правами — гораздо опаснее!
Последний экран Мастера делегации прав позволяет вам проверить задания, которые ждут выполнения, а также вернуться назад и внести изменения. Если вам необходимо удалить учетную запись пользователя или группу, изменить права назначенные пользователю или группе, просто выделите этого пользователя или группу и нажмите на кнопку Edit или на кнопку Remove. После того, как вы нажмете на кнопку finish, все изменения вступят в силу. Как и в случае с ACL, делигируемые права также применяются для административной группы. Если вы делигируете контроль доступа на организационном уровне, то эти права распространяются на административные группы в организации, а затем когда вы запускаете мастер Delegation of Control wizard на уровне административной группы, то вы увидите пользователей и группы, которым был делигирован контроль, делигированные роли, а также наследуемые права (смотрите рисунок 5).
Рисунок 5: Наследуемые права
Мастер Delegation of Control wizard — удобный способ для назначения прав для управления Exchange. Лучше всего использовать этот мастер и не изменять ACL, хотя это возможно не всегда. Если вы должны изменить права на объект, делайте это с особым вниманием и документируйте ваши действия. Следующая таблица показывает права для каждой роли, назначенной с помощью мастера Delegation of Control wizard.
| Права | Exchange Full Administrator | Exchange Administrator | Exchange View Administrator |
| Свойства для чтения | Разрешить | Разрешить | |
| Свойства для записи | Разрешить | Разрешить | — |
| Список объектов | Разрешить | Разрешить | Разрешить |
| Создание Top Level Public Folder | Разрешить | Разрешить | — |
| Создание Public Folder | Разрешить | Разрешить | — |
| Добавление Public Folder в Administrative Group | Разрешить | Разрешить | — |
| Изменение Public Folder ACL | Разрешить | Разрешить | — |
| Изменение Public Folder Deleted Items Retention | Разрешить | Разрешить | — |
| Изменение Public Folder Expiration | Разрешить | Разрешить | — |
| Изменение квот Public Folder Quotas | Разрешить | Разрешить | — |
| Изменение реплик Public Folder Replicas | Разрешить | Разрешить | — |
| Удаление Public Folder из Administrative Group | Разрешить | Разрешить | — |
| Чтение Metabase | Разрешить | Разрешить | — |
| Открыть очередь Send Mail Queue | Разрешить | Разрешить | — |
| Управление Information Store | Разрешить | Разрешить | — |
| Просмотр статуса Store Status | Разрешить | Разрешить | — |
| Создание Named Properties в хранилище | Разрешить | Разрешить | — |
| Изменение прав | Разрешить | — | — |
| Получить в собственность (Take ownership) | Разрешить | — | — |
| Послать как | Запретить | Запретить | — |
| Получить как | Запретить | Запретить | — |
Таблица 2
После того, как вы делигировали контроль для организации или административной группы вы можете просмотреть ACL и увидеть, какие права были назначены. На рисунке 6 показаны ACL для групп администраторов Exchange (Administrator group), которые были делигированы роли администратора Exchange (Administrator role).
Рисунок 6: Назначение прав
Как вы можете увидеть, контроль администраторских прав достаточно прост в Exchange 2000 и 2003, гораздо проще и мощнее, чем в предыдущих версиях Exchange. Детализация, которую предоставляет ACL, а также простота назначения прав с помощью мастера Delegation of Control wizard должна позволить вам конролировать доступ к тому, к чему вы хотите. Как вновь приобрести контроль над струтктурой Exchange Server 2003
ForestPrep and DomainPrep Explained in Detail
Источник http://www. msexchange. org.
