Управление администрированием Exchange Server и его применение

Пользователи, контакты и группы представлены в Active Directory как объекты. Они наделены атрибутами, которые регулируют их использование. Наиболее важными из них являются разрешения, присваиваемые объектам. Разрешениями регулируется доступ к объектам и ресурсам. Например, одному и тому же пользователю одно разрешение позволяет создавать общие папки, а другое запрещает просматривать состояние хранилища информации.
Присвоенные объекту разрешения применяются к нему напрямую или наследуются от другого объекта. В общем случае объекты наследуют разрешения от родительских объектов.
Родительским объектом называется объект, расположенный выше в иерархии объектов. В Exchange Server 2003 разрешения наследуются по иерархии, корневым узлом в которой является узел Organization. Все остальные узлы этого дерева наследуют разрешения Exchange, присвоенные этому узлу. Так, разрешения для папки административной группы наследуются от узла Organization.
Унаследованные свойства можно переопределить, напрямую присвоив объекту нужное разрешение или отменив для
объекта признак наследования разрешений.

Присвоение разрешений Exchange Server пользователям и группам

Доступ к Exchange Server и право работать с ним имеют следующие группы безопасности: Domain Admins (Администраторы домена), Enterprise Admins (Администраторы предприятия), Exchange Domain Servers, Exchange Enterprise Servers и Everyone (Bсe).
Группа Domain Admins (Администраторы домена) Domain Admins (Администраторы домена) — это основные (designated) администраторы домена. Члены этой глобальной группы управляют учетными записями пользователей, контактами, группами, почтовыми ящиками и компьютерами.

Кроме того, они могут управлять средствами отправки и приема со общений, а также устанавливать ограничения на хранимую
информацию. Однако и они не обладают полным контролем над Exchange Server. Если нужно сделать пользователя администратором локального домена, чтобы он получил возмож ность управлять Exchange Server, достаточно ввести его в группу Domain Admins (Администраторы домена). По умолчанию эта группа входит в группу Administrators (Администраторы)
на сервере Exchange и ее единственным членом является ло кальный пользователь Administrator (Администратор).

Группа Enterprise Admins (Администраторы предприятия)

Enterprise Admins (Администраторы предприятия) — это ос новные администраторы предприятия. Члены этой глобальной
группы могут управлять объектами на любом домене, входя щим в дерево или лес доменов. Они обладают полным кон 177
тролем над Exchange Server, и на них не налагаются никакие ограничения. Это значит, что в отличие от Domain Admins (Адинистраторы домена), Enterprise Admins (Администраторы предприятия) могут удалять дочерние объекты и целые деревья в Exchange Server. Если нужно предоставить пользователю полный доступ к предприятию и Exchange Server, сделайте этого пользователя членом группы Enterprise Admins (Админист раторы предприятия). По умолчанию она входит в группу Administrators (Администраторы), а его единственным членом является локальный пользователь Administrator (Администра тор).

Группа Exchange Domain Servers

Группа Exchange Domain Servers также имеет свое особое на значение. Ее члены могут управлять почтовыми обменами и
очередями. По умолчанию все компьютеры, на которых запу щен Exchange Server 2003, являются членами этой группы, и
это положение надо оставить без изменений. Эта глобальная группа домена в свою очередь является членом локальной
группы домена Exchange Enterprise Servers.

Группа Exchange Enterprise Servers

Exchange Enterprise Servers — это локальная группа доменов, позволяющая вам предоставить особые разрешения всем серверам Exchange через лес доменов. По умолчанию единствен ным ее членом является группа Exchange Domain Servers.

Группа Everyone (Все)

Группа Everyone (Все) обладает разрешениями Exchange, ее членами автоматически становятся все прошедшие аутентификацию пользователи, подключающиеся интерактивно, по сети или по телефону. По умолчанию члены этой группы могут со здавать общие папки верхнего уровня, подпапки внутри общих папок и именованные свойства в хранилище информации.

Основные сведения о разрешениях Exchange Server

Объектам Active Directory присваивается ряд разрешений. Это и стандартные разрешения Microsoft Windows, и разрешения,
уникальные для объектов, и дополнительные разрешения. В табл. 8-1 перечислены чаще всего используемые разреше ния для объектов. Некоторые из них являются обобщенными. Например, в Read Property и Write Property под словом Property следует понимать истинное название свойства.
Табл. 8-1. Наиболее распространенные разрешения для объектов Active Directory
Разрешение Описание

• Full Control Допускает чтение, запись, изменение и удаление
• List Object Допускает распечатку объекта
• List Contents Допускает просмотр содержимого объекта
• Read Property Допускает чтение конкретного свойства объекта
• Write Property Допускает запись в конкретное свойство объекта
• Read Properties Допускает чтение свойств объекта
• Write Properties Допускает запись в свойства объекта
• Read Permissions Допускает чтение разрешений объекта
• Change Permissions Допускает изменение разрешений объекта
• Create Children Допускает создание дочерних объектов
• Delete Children Допускает удаление дочерних объектов
• Delete Tree Допускает удаление объектов, включая дочерние
• Take Ownership Допускает изменение владельца объекта
• Validate Write To... Допускает конкретный тип подтвержденной записи
• Extended Write To... Допускает конкретный тип расширенной записи
• All Validated Writes Допускает все типы подтвержденной записи
• All Extended Writes Допускает все типы расширенной записи
• Create Object Допускает создание определенного типа объекта
• Delete Object Допускает удаление определенного типа объекта
• Create All Child Objects Допускает создание всех дочерних объектов
• Delete All Child Objects Допускает удаление всех дочерних объектов
• Change Password Допускает изменение паролей для объекта
• Delete Допускает удаление объекта
• Receive As Допускает получение в качестве этого объекта
• Reset Password Допускает переустановку паролей для объекта
• Send As Допускает отправку в качестве этого объекта
• Add/Remove Self Допускает добавление и удаление объекта в качестве члена
  

В табл. 8-2 показаны характерные для Exchange разреше ния, позволяющие выполнять администрирование Exchange.
О других типах разрешений написано в главе 14 моей книги «Microsoft Windows Server 2003. Справочник администратора»
(«Русская Редакция», 2004).
Табл. 8-2. Дополнительные разрешения для Exchange Server Разрешение Описание

• Administer Information Store Допускает администрирование хранилища информации
• Create Named Properties In The Information Store Допускает создание именованных свойств в хранилище информации
• Create Public Folder Допускает создание общей папки внутри папки верхнего уровня
• Create Top-Level Public Folder Допускает создание общей папки верхнего уровня
• Full Store Access Допускает полный доступ к хранилищу информации
• Mail-Enable Public Folder Допускает использование общей папки для работы с почтой
• Modify Public Folder ACL Допускает изменение списка управления доступом (ACL) для общей папки
• Modify Public Folder Admin ACL Допускает изменение администраторского ACL для общей папки
• Modify Public Folder Deleted Item Retention Допускает изменение срока хранения удаленного элемента
• Modify Public Folder Expiry Допускает изменение срока действия общей папки
• Modify Public Folder Quotas Допускает изменение квот общей папки
• Modify Public Folder Replica List Допускает изменение списка репликации общей папки
• Open Mail Send Queue Допускает открытие очереди Mail Send и формирование очереди сообщений. Группа Exchange Servers должна иметь это разрешение
• Read Metabase Properties Допускает чтение свойств метабазы
• View Information Store Status Допускает просмотр состояния хранилища информации

Просмотр разрешений Exchange Server

Разрешения по умолчанию наследуются от узла Organization.
Это положение можно изменить при установке разрешений сер вера. Для просмотра разрешений безопасности для Exchange Server сделайте следующее.
1. Запустите System Manager, а затем щелкните правой кнопкой мыши нужный вам корневой или концевой (leaf-level) узел.
2. Выберите в контекстном меню команду Properties (Свойства), а затем в диалоговом окне Properties щелкните вкладку Security, показанную на рис. 8-1.

Примечание Если команда Properties недоступна, значит вы работаете с промежуточным узлом, например с Recipients,
Administrative Groups или Servers. Раскройте узел, щелкнув знак «+», а затем выберите узел нижнего уровня.
Обратите внимание, что для некоторых узлов просмотр и установка разрешений осуществляется с помощью масте ра Exchange Administration Delegation Wizard. Дополнитель но об этом рассказано далее в разделе «Делегирование полномочий Exchange Server».
3. В списке Group or User Names (Группы или пользователи) выберите интересующий вас объект. Разрешения для него отображаются в списке Permissions (Разрешения). Если раз решения затенены, значит, они наследуются от родительского объекта.

Установка разрешений Exchange Server

Предусмотрено несколько способов администрирования Exchange Server.

• Глобально для всей организации. Установите разрешения на уровне организации. Благодаря механизму наследования эти разрешения будут присвоены всем объектам организации Exchange.
• Для каждого сервера. Установите индивидуальные разрешения для каждого сервера организации Exchange. Благодаря механизму наследования эти разрешения будут присвоены всем дочерним узлам данного сервера.
  
  

Рис. 8-1. Настройка разрешений для объекта выполняется
на вкладке Security

• Для каждой группы хранения. Установите разрешения на уровне группы хранения. Благодаря механизму наследования эти разрешения будут присвоены всем хранилищам почтовых ящиков и общих папок внутри группы хранения.
• Для отдельного узла. Установите разрешения для конкретного узла и отключите аудит наследования для дочерних узлов.
  

Чтобы задать разрешения для Exchange Server, сделайте следующее.
1. Запустите System Manager, а затем затем щелкните правой кнопкой мыши нужный корневой или концевой узел.
2. Выберите в контекстном меню команду Properties (Свойства), а затем в диалоговом окне Properties щелкните вкладку Security, показанную на рис. 8-1.
3. Пользователи и группы, уже имеющие доступ к узлу Exchange, перечислены в списке Group or User Names (Труппы или пользователи). Чтобы изменить разрешения для этих пользователей и групп, выберите нужного пользователя или группу, а затем с помощью списка Permissions (Разрешения) задайте или отмените разрешение.
Примечание Наследуемые разрешения затенены серым цветом. Переопределите унаследованное разрешение, задав другое разрешение.
4. Чтобы задать разрешения для дополнительных пользователей, компьютеров или групп, щелкните Add (Добавить).
Откроется диалоговое окно Select Users, Computers, or Groups (Выбор: Пользователи, компьютеры или группы), показанное на рис. 8-2.

Рис. 8-2. В диалоговом окне Select Users, Computers, or Groups
можно выбрать пользователей, компьютеры или группы, которым

следует предоставить (или отменить) доступ
5. С помощью диалогового окна Select Users, Computers, or Groups выберите пользователей, компьютеры или группы, которым требуется задать разрешения. Для получания доступа к именам учетных записей на других доменах щелкните Locations (Размещение). Откроется список, содержа щий текущий домен, доверенные домены и прочие ресурсы, к которым у вас есть доступ. Выберите Entire Directory (Весь каталог) для просмотра всех имен учетных записей в этой папке.
6. В списке Group or User Names (Группы или пользователи) укажите пользователей, компьютеры или группы, которыенужно настроить, а затем, изменяя значения полей Permissions, предоставьте или отмените разрешения. Повторите это для остальных пользователей, компьютеров или групп.
7. Щелкните ОК, когда закончите настройку.

Отмена и восстановления наследования для объектов

Чтобы переопределить или остановить наследование разрешений от родительского объекта, сделайте следующее.
1. Запустите System Manager, а затем затем щелкните правой кнопкой мыши нужный вам корневой или концевой узел.
2. Выберите в контекстном меню команду Properties (Свойства), а затем в диалоговом окне Properties щелкните вкладку Security.
3. Щелкните Advanced (Дополнительно), чтобы отобразить диалоговое окно Advanced Security Settings (Дополнительные параметры безопасности).
4. Установите или снимите флажок Allow inheritable permissions... (Разрешить наследование разрешений...).
5. Щелкните ОК два раза.

Делегирование полномочий Exchange Server

Иногда требуется делегировать управление Exchange Server пользователю, не включая его в группу Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия). Например, разрешить техническому менеджеру управление почтовыми ящиками, а руководителю — только просматривать (не изменяя) параметры Exchange. Управление Exchange Server можно делегировать посредством Exchange Administration Delegation Wizard.

Работа с Exchange Administration Delegation Wizard

Exchange Administration Delegation Wizard применяется для делегирования администраторских полномочий на уровне организации или административной группы. Уровень предоставляемых полномочий определяется местом, с которого начинается работа мастера. Если вы запустить его на уровне организации, то группы или пользователи, которые вы укажете, получат административные полномочия во всей организации.
Если запустить мастер на уровне административной группы, административные полномочия распространятся на указанные
вами группы или пользователей только внутри данной административной группы. Вы можете упростить администрирование, наделив полномочиями группу, а не отдельных пользователей. Тогда, чтобы предоставить полномочия новым пользователям, достаточно сделать их членами соответствующей группы, а для отмены полномочий — вывести из группы.
Exchange Administration Delegation Wizard позволяет наделять пользователей и группы следующими полномочиями администратора:

• Exchange Full Administrator — позволяет в полной мере управлять системной информацией Exchange и изменять разрешения. На эту роль назначьте пользователей, которые управляют доступом к Exchange Server;
• Exchange Administrator — позволяет управлять в полной мере системной информацией без права управления доступом или разрешениями. На эту роль назначьте пользователей или группы, которые отвечают за ежедневное администрирование Exchange Server;
• Exchange View Only Administrator — позволяет просматривать сведения о конфигурации Exchange. На эту роль назначьте пользователей или группы, которые могли бы только просматривать параметры конфигурации Exchange, не имея права их изменять.
  

Примечание Exchange Administration Delegation Wizard управляет доступом к Exchange Server 2003, не предоставляя пользователю административный доступ к локальному компьютеру. Чтобы администраторы Exchange могли управлять службами и получать доступ к реестру или файловой системе на самом сервере, сделайте их администраторами тех локальных компьютеров, где они выступают в роли администраторов Exchange Server. Например, пользователей, обладающих полномочиями «Full Administrator», назначьте на локальном компьютере членами группы Administrators (Администраторы).
В табл. 8-3 перечислены пользователи и группы, которым делегируется управление для обладания полномочиями на уровне организации.
Табл. 8-3. Делегирование полномочий на уровне организации Тип полномочий Объект Передаваемые разрешения
Применяются ли разрешения к вложенным контейнерам (Subcontainers)?

• Full Administrator Organization Все разрешения, кроме Send As и Receiye As Да
• Full Administrator Exchange Container Full Control Да
• Administrator Organization Все разрешения, кроме Send As и Receive As Да
• Administrator Exchange Container Все разрешения, кроме Change permissions Да
• View Only Administrator Organization View Information Store Status Да
• View Only Administrator Exchange Container Read, List Object, List Contents Да

В табл. 8-4 перечислены пользователи и группы, которым делегируется управление для обладания полномочиями на уровне административной группы.
Табл. 8-4. Делегирование полномочий на уровне административной группы Тип полномочий Объект Передаваемые разрешения Применяются ли разрешения к вложенным контейнерам (Subcontainers)?

• Full Administrator Organization Read, List Object, List Contents Да
• Full Administrator Administrative Group Все разрешения, кроме Send As и Receive As Да
• Full Administrator Exchange Container Read, List Object, List Contents Нет
• Full Administrator Connectors Все разрешения, кроме Change permissions Да
• Full Administrator Offline Address Lists Write Да
• Administrator Organization Read, List Object, List Contents Да
• Administrator Administrative Group Все разрешения, кроме Change, Send As и Receive As Да
• Administrator Exchange Container Read, List Object, List Contents Нет
• Administrator Offline Address Lists Write Да
• View Only Administrator Organization Read, List Object, List Contents Нет
• View Only Administrator Administrative Group Read, List Object, List Contents, View Information Store Status Да
• View Only Administrator Exchange Containers Read, List Object, List Content Да (ограничено)

Использование Exchange Administration Delegation Wizard

Чтобы установить полномочия с помощью Exchange Administration Delegation Wizard, сделайте следующее.

1. Запустите System Manager, щелкните правой кнопкой мыши организацию или административную группу, которой следует делегировать полномочия администратора, а затем щелкните Delegate Control. Запустится Exchange Administration Delegation Wizard.
2. Щелкните Next.
3. В разделе Users или Groups щелкните Add для передачиновому пользователю или группе полномочий администратора. Откроется диалоговое окно Delegate Control.
4. Щелкните Browse. Выберите группу или пользователя, которым следует передать полномочия администратора, а затем щелкните ОК.
5. В диалоговом окне Delegate Control выберите административную роль (Role) из следующих вариантов:
• Exchange Full Administrator;
• Exchange Administrator;
• Exchange View Only Administrator.
6. Щелкните ОК. Повторите пункты с 3 по 5 для делегирования управления другим пользователям или группам.
7. Щелкните Next, а затем щелкните Finish для завершения процедуры.