Exchange 2013 允许的权限模型

在安装 Exchange 2013 在的设置 Exchange 2013 组织界面有一个选项是：将 Active Directory 拆分权限安全模型应用于 Exchange 组织，这句话的意思就是允许拆分 Exchange 权限组。本文就微软官方给出的 Exchange 允许的权限模型进行说明，希望对广大的 Exchange 2013 管理人员有所帮助。

 

Exchange 允许您选择以下权限模型：

 

1、“共享权限”   “共享权限”模型允许管理员使用 Exchange 管理工具创建 Active Directory 的安全主体。 它不会将 Exchange 和 Active Directory 对象和 Exchange 管理工具分开。 这是默认权限模型。

2、“拆分权限”   组织使用名为“拆分权限”的模型分开 Exchange 2013 对象和 Active Directory 对象的管理。拆分权限使组织可以将特定的权限和相关任务分配给该组织中的特定组。这种工作的分离有助于维护标准和工作流，并且有助于控制组织中的更改。

 

Exchange 2013 将为您提供选项以两种不同方式实施拆分权限：

 

1）“RBAC 拆分权限”   在 Active Directory 域分区中创建安全主体的权限由基于角色的访问控制 (RBAC) 控制。 只有 Exchange 服务器、服务以及适当角色组的成员才能创建安全主体。 有关详细信息，请参阅了解拆分权限中的“RBAC 拆分权限”。

2）“Active Directory 拆分权限”   从任何 Exchange 用户、服务或服务器完全删除了用于在 Active Directory 域分区中创建安全主体的权限。RBAC 中未提供用于创建安全主体的任何选项。 必须使用 Active Directory 管理工具在 Active Directory 中创建安全主体。

 

大部分组织不需要实施拆分权限模型。 如果贵组织中的管理员分享 Active Directory 和 Exchange 管理职责，则您应使用默认共享权限模型。 然而，如果您的组织选择使用拆分权限模型而不是共享权限，则建议您使用 RBAC 拆分权限模型。 RBAC 拆分权限模型可提供显著提高的灵活性，同时可提供与 Active Directory 拆分权限几乎相同的管理分离，只不过 Exchange 服务器和服务可以在 RBAC 拆分权限模型中创建安全主体。

 

 

组织使用所谓的“拆分权限”模型拆分 Microsoft Exchange Server 2013 对象和 Active Directory 对象的管理。拆分权限使组织可以将特定的权限和相关任务分配给该组织中的特定组。这种工作的分离有助于维护标准和工作流，并且有助于控制组织中的更改。

 

拆分权限的最高级别是 Exchange 管理和 Active Directory 管理的分离。许多组织都有两个组：管理组织的 Exchange 基础结构（包括服务器和收件人）的管理员，以及管理 Active Directory 基础结构的管理员。对于许多组织而言，这种工作分离很重要，因为 Active Directory 基础结构通常会跨多个位置、域、服务、应用程序甚至 Active Directory 林。Active Directory 管理员必须确保对 Active Directory 进行的更改不会对其他任何服务产生负面影响。因此，通常仅允许一小组的管理员管理该基础结构。

 

同时，Exchange 的基础结构（包括服务器和收件人）也可能较为复杂，需要有专业知识的人员进行管理。此外，Exchange 存储有关组织业务的高度机密信息。Exchange 管理员可能会访问这些信息。通过限制 Exchange 管理员的人数，组织可以限制能够更改 Exchange 配置以及能够访问敏感信息的人员。

 

拆分权限通常会区分 Active Directory 中安全主体（如用户和安全组）的创建和对这些对象的后续配置。这样，便可以控制谁能创建对象来授予网络访问权限，因而有助于降低未经授权访问网络的机率。大多数情况下，只有 Active Directory 管理员可创建安全主体，而 Exchange 管理员等其他管理员可管理现有 Active Directory 对象的特定属性。

 

为了支持将 Exchange 与 Active Directory 的管理分离的不同需要，Exchange 2013 允许您选择是需要共享权限模型还是拆分权限模型。Exchange 2013 提供两种类型的拆分权限模型：RBAC 和 Active Directory。Exchange 2013 默认为共享权限模型。