Considerazioni sulle autorizzazioni
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-07-12
Quando si pianifica l'integrazione di Microsoft Exchange Server 2007 nella struttura del servizio directory di Active Directory, è opportuno considerare il modello amministrativo dell'organizzazione. Exchange 2007 offre la flessibilità indispensabile per l'assegnazione delle autorizzazioni agli amministratori. Generalmente, è consigliabile valutare in che modo le seguenti funzionalità di Active Directory e di Exchange 2007 influenzano l'organizzazione dei ruoli amministrativi:
Un singolo amministratore può eseguire attività sia per Microsoft Windows Server 2003 che per Exchange.
Le autorizzazioni possono essere suddivise tra amministratori di Exchange e amministratori di Windows.
È possibile isolare i ruoli di amministratore di Exchange e i ruoli di amministratore di Windows utilizzando la foresta delle risorse di Exchange.
Nelle sezioni di questo argomento vengono descritti la flessibilità della configurazione delle autorizzazioni e i ruoli amministrativi disponibili in Exchange 2007.
Informazioni sul modello di divisione delle autorizzazioni di Exchange e Active Directory
In molte organizzazioni di Microsoft Exchange, in particolare in quelle di grandi e medie dimensioni, possono essere presenti più amministratori di Exchange. Poiché tali amministratori possono eseguire una serie di attività amministrative specifiche, in Exchange Server 2007 sono forniti ruoli amministrativi predefiniti e un modello di divisione delle autorizzazioni che consentono di configurare specifiche autorizzazioni in Active Directory per diversi ruoli amministrativi dell'organizzazione. In Exchange 2007, le autorizzazioni negli attributi del destinatario di Exchange vengono raggruppate. In questo modo, viene ridotta al minimo la configurazione manuale delle autorizzazioni necessaria per dividere le autorizzazioni di Exchange dalle altre autorizzazioni amministrative. Per ulteriori informazioni sulla pianificazione e l'implementazione del modello delle autorizzazioni, vedere i seguenti argomenti:
Pianificazione e implementazione di un modello di divisione delle autorizzazioni
Riferimento per il modello di divisione delle autorizzazioni
Modifiche al modello di protezione e delle autorizzazioni
Il modello di protezione e delle autorizzazioni di Exchange Server 2003 è stato modificato in Exchange 2007. In questa sezione sono fornite le informazioni relative alle modifiche apportate al modello delle autorizzazioni in Exchange e la descrizione delle differenze.
Insiemi di proprietà
Un insieme di proprietà è un raggruppamento di attributi di Active Directory. Per controllare l'accesso a questo raggruppamento di attributi di Active Directory, è possibile impostare una sola voce di controllo dell'accesso (ACE, Access Control Entry) anziché una per ciascuna proprietà. L'insieme di proprietà che raggruppa tutti gli attributi del destinatario di Exchange viene definito informazioni di posta elettronica.
Nota
I gruppi di protezione di Exchange Server 2003 che dispongono dell'autorizzazione di accesso alle proprietà del destinatario sui server Exchange Server 2003 avranno l'autorizzazione di accesso all'insieme di proprietà delle informazioni di posta elettronica di Exchange 2007, se si utilizza il file Setup.com di Exchange 2007 o il file Setup.com con il parametro /PrepareAD per aggiornare lo schema di Active Directory.
Per ulteriori informazioni sugli insiemi di proprietà, vedere Insiemi di proprietà in Exchange 2007.
Modello di protezione e delle autorizzazioni di Exchange 2003
Per semplificare ulteriormente la gestione delle autorizzazioni, in Exchange Server 2003 erano previsti ruoli di protezione predefiniti disponibili nell'Impostazione guidata Delega amministrazione di Exchange 2003. Tali ruoli costituivano un insieme di autorizzazioni standardizzate che potevano essere applicate a livello di organizzazione oppure a livello di gruppo amministrativo.
In Exchange 2003 erano disponibili i seguenti ruoli di protezione tramite l'Impostazione guidata Delega del Gestore di sistema di Exchange:
Amministratore completo di Exchange
Amministratore di Exchange
Amministratore di Exchange solo visualizzazione
Questo modello presentava le seguenti limitazioni:
Mancanza di specificità. La dimensione del gruppo amministratori di Exchange era eccessiva e alcuni utenti desideravano gestire il modello di protezione e delle autorizzazioni individualmente dal server.
Percezione di una mancata differenza sostanziale tra i ruoli del server di Exchange Server 2003.
Distinzione poco chiara tra l'amministrazione degli utenti e dei gruppi da parte degli amministratori di Windows (Active Directory) e degli amministratori dei destinatari di Exchange. Si poteva presentare, ad esempio, la necessità di concedere agli amministratori di Exchange autorizzazioni di livello elevato (autorizzazioni di operatore di account nei domini di Exchange) per eseguire le attività di Windows relative ai destinatari.
Modello di protezione e delle autorizzazioni di Exchange 2007
Per migliorare la gestione dei ruoli amministrativi di Exchange, denominati gruppi di protezione in Exchange 2003, sono state introdotte nuove funzionalità o modificate quelle esistenti nel modello di protezione e delle autorizzazioni di Exchange:
Nuovi ruoli amministrativi simili ai gruppi di protezione predefiniti di Windows Server. Per ulteriori informazioni sui ruoli amministrativi, vedere "Ruoli di amministratore in Exchange 2007" più avanti in questo argomento.
È possibile utilizzare Exchange Management Console (precedentemente Gestore di sistema di Exchange) ed Exchange Management Shell per visualizzare, aggiungere e rimuovere membri da qualsiasi ruolo amministrativo.
Ruoli di amministratore in Exchange 2007
In Exchange 2007 sono disponibili i seguenti gruppi predefiniti per la gestione dei dati di configurazione di Exchange:
Amministratori dell'organizzazione di Exchange
Amministratori dei destinatari di Exchange
Amministratori di Exchange solo visualizzazione
Exchange Amministratori cartelle pubbliche (Nuovo in Exchange Server 2007 Service Pack 1)
Nella fase Setup /PrepareAD di Exchange (la fase di organizzazione e preparazione simile a ForestPrep di Exchange 2003), questi ruoli di amministratore di Exchange (tranne il ruolo Exchange Server Administrator) vengono creati in una nuova unità organizzativa del gruppo di protezione di Microsoft Exchange che si trova nel dominio che esegue /PrepareAD.
Quando si aggiunge un ruolo amministrativo a un utente, l'utente eredita le autorizzazioni consentite da quel ruolo. Questi ruoli amministrativi dispongono delle autorizzazioni per la gestione dei dati di Exchange in Active Directory. Esistono tre tipi di dati di Exchange che possono essere gestiti da questi gruppi:
Dati globali Si tratta di dati presenti in un contenitore di configurazione di Active Directory non associati a un server particolare. Tali dati includono anche i criteri delle cassette postali, gli elenchi di indirizzi e la configurazione della messaggistica unificata di Exchange. I dati globali influiscono in genere sull'intera organizzazione e possono potenzialmente interessare tutti gli utenti. Si consiglia di consentire solo a pochi utenti affidabili la possibilità di configurare o modificare i dati globali.
Dati dei destinatari I destinatari in Exchange sono oggetti utente di Active Directory che possono ricevere o inviare i messaggi di posta elettronica. Esempi di dati di destinatari sono i contatti abilitati alla posta, i gruppi di distribuzione, le cassette postali e tipi specifici di destinatari quali gli oggetti proxy delle cartelle pubbliche.
Dati del server I dati del server Exchange sono contenuti in Active Directory, nel nodo del server specificato. Esempi di questo tipo di dati sono i connettori di ricezione, le directory virtuali, le impostazioni dei singoli server e i dati delle cassette postali e dei gruppi di archiviazione.
Ruolo di amministratori dell'organizzazione di Exchange
Con il ruolo di amministratori dell'organizzazione di Exchange gli amministratori dispongono dell'accesso completo a tutte le proprietà e a tutti gli oggetti di Exchange nell'organizzazione di Exchange. Durante l'installazione di Exchange, nel dominio radice, Setup /PrepareAD crea il gruppo di protezione di Active Directory denominato amministratori dell'organizzazione di Exchange nel contenitore Gruppi di protezione di Microsoft Exchange di Utenti e computer di Active Directory.
Quando si aggiunge un utente al ruolo di amministratori dell'organizzazione di Exchange, l'utente diventa membro del ruolo di amministratore denominato amministratori dell'organizzazione di Exchange. In Exchange 2007 questo gruppo viene creato durante la preparazione di Active Directory. I membri del ruolo di amministratori dell'organizzazione di Exchange dispongono delle seguenti autorizzazioni:
Proprietari dell'organizzazione di Exchange nel contenitore di configurazione di Active Directory. In quanto proprietari, i membri del ruolo dispongono del completo controllo sui dati dell'organizzazione di Exchange nel contenitore di configurazione di Active Directory e nel gruppo di amministratori del server Exchange locale.
Accesso in lettura a tutti i contenitori degli utenti dei domini in Active Directory. In Exchange questa autorizzazione viene concessa durante l'installazione del primo server Exchange 2007 nel dominio, per ciascun dominio nell'organizzazione. Tali autorizzazioni vengono concesse in quanto membri del ruolo Exchange Recipient Administrator.
Accesso in scrittura a tutti gli attributi specifici di Exchange in tutti i contenitori degli utenti dei domini in Active Directory. In Exchange 2007 questa autorizzazione viene concessa durante l'installazione del primo server Exchange 2007 nel dominio, per ciascun dominio nell'organizzazione. Tali autorizzazioni vengono concesse in quanto membri del ruolo Exchange Recipient Administrator.
Proprietà di tutti i dati di configurazione del server locale. In quanto proprietari, i membri dispongono del completo controllo sul server Exchange locale. In Exchange 2007 questa autorizzazione viene concessa durante l'installazione di ciascun server Exchange.
Gli utenti membri del ruolo di amministratore dell'organizzazione di Exchange dispongono del livello più elevato di autorizzazioni nell'organizzazione di Exchange. È necessaria l'appartenenza a questo gruppo per poter eseguire tutte le attività che influiscono sull'intera organizzazione di Exchange. Esempi di attività per cui sono richieste le autorizzazioni di Amministratore dell'organizzazione di Exchange includono la creazione o l'eliminazione dei connettori, le modifiche ai criteri del server e le modifiche alle impostazioni di configurazione a livello globale.
Nota
Quando si installa Exchange 2007, il ruolo di amministratori dell'organizzazione di Exchange verrà aggiunto tramite il programma di installazione come membro del gruppo di amministratori locale nel computer in cui si sta installando Exchange. Il gruppo di amministratori locale di un controller di dominio dispone di autorizzazioni diverse da quelle del gruppo di amministratori locale di un server membro. Se si installa Exchange 2007 in un controller di dominio, gli utenti del ruolo di amministratori dell'organizzazione di Exchange disporranno di autorizzazioni Windows aggiuntive di cui non usufruirebbero se Exchange 2007 venisse installato in un computer che non funge da controller di dominio.
Ruolo di amministratori dei destinatari Exchange
Per il ruolo amministratore dei destinatari di Exchange sono previste le autorizzazioni per la modifica delle proprietà di Exchange su un utente, un contatto, un gruppo, una lista di distribuzione dinamica o un oggetto cartella pubblica di Active Directory. Durante l'esecuzione di Setup /PrepareAD di Exchange viene creato il ruolo did amministratore dei destinatari di Exchange nel contenitore dei gruppi di protezione di Microsoft Exchange in Active Directory. Questo ruolo consente inoltre di gestire le impostazioni della cassetta postale di messaggistica unificata e di accesso client. I membri del ruolo di amministratore dei destinatari dell'organizzazione di Exchange dispongono delle seguenti autorizzazioni:
Accesso in lettura a tutti i contenitori degli utenti di dominio in Active Directory nei quali era stato eseguito Setup /PrepareDomain in tali domini.
Accesso in scrittura a tutti gli attributi specifici di Exchange nei contenitori degli utenti dei domini in Active Directory in cui era stato eseguito Setup /PrepareDomain in quei domini.
Membri del ruolo Amministratore di Exchange solo visualizzazione.
Gli utenti membri del ruolo Amministratore dei destinatari di Exchange non disporranno delle autorizzazioni per i domini in cui non è stato eseguito Setup /PrepareDomain. Quando si aggiunge un nuovo dominio di Exchange, assicurarsi di eseguire nel nuovo dominio Setup /PrepareDomain per concedere le autorizzazioni ai ruoli di amministratore di Exchange di quel dominio.
Ruolo di amministratori di Exchange Server
Il ruolo di amministratori di Exchange Server prevede l'accesso solo ai dati di configurazione del server Exchange locale, in Active Directory o nel computer fisico in cui è installato Exchange 2007. Gli utenti membri del ruolo di amministratori di Exchange Server dispongono delle autorizzazioni per amministrare un server particolare, ma non per eseguire operazioni con un impatto a livello globale nell'organizzazione di Exchange.
In Exchange 2007 viene creato questo ruolo di amministratore durante l'installazione. I membri del ruolo Exchange Server Administrator dispongono delle seguenti autorizzazioni:
Proprietà di tutti i dati di configurazione del server locale. In quanto proprietari, i membri del ruolo dispongono del completo controllo sui dati di configurazione del server locale.
Amministratore locale nel computer in cui è installato Exchange.
Membri del ruolo di amministratori di Exchange solo visualizzazione.
Amministratori di Exchange solo visualizzazione
Il ruolo di amministratori di Exchange solo visualizzazione consente l'accesso in sola lettura all'intero albero dell'organizzazione di Exchange nel contenitore di configurazione di Active Directory, nonché l'accesso in sola lettura a tutti i contenitori di dominio di Windows con destinatari di Exchange.
Durante l'esecuzione di Setup /PrepareAD di Exchange, viene creato il ruolo di amministratori di Exchange solo visualizzazione nel contenitore dei gruppi di protezione di Microsoft Exchange in Active Directory.
Amministratori cartelle pubbliche di Exchange
Nuovo in Exchange 2007 Service Pack 1 (SP1)
Il ruolo amministratori cartelle pubbliche di Exchange consente le autorizzazioni amministrative per la gestione di tutte le cartelle pubbliche. A questo ruolo di amministratore vengono concesse le autorizzazioni estese "Crea cartelle pubbliche principali". I membri di questo ruolo possono creare ed eliminare cartelle pubbliche e gestire le impostazioni delle cartelle pubbliche come repliche, quote, limiti di validità, autorizzazioni amministrative e autorizzazioni client. Questo ruolo di amministratore può abilitare alla posta le cartelle pubbliche ma non può modificare su cartelle pubbliche le proprietà relative al destinatario della posta, come gli indirizzi proxy. Tale capacità richiede l'appartenenza al ruolo Exchange Recipient Administrators.
Riepilogo dei ruoli amministrativi e delle autorizzazioni
Nella seguente tabella sono elencati i ruoli amministrativi di Exchange 2007 e le relative autorizzazioni di Exchange.
| Ruolo di amministratore | Membri | Membro di | Autorizzazioni di Exchange |
|---|---|---|---|
Amministratori dell'organizzazione di Exchange |
Amministratore o account utilizzato per installare il primo server Exchange 2007 |
Amministratore dei destinatari di Exchange Gruppo di amministratori locale di <Nome server> |
Controllo completo del contenitore di Microsoft Exchange in Active Directory |
Amministratori dei destinatari di Exchange |
Amministratori dell'organizzazione di Exchange |
Amministratori di Exchange solo visualizzazione |
Controllo completo delle proprietà di Exchange nell'oggetto utente di Active Directory |
Amministratori di Exchange Server |
|
Amministratori di Exchange solo visualizzazione Gruppo di amministratori locale di <Nome server> |
Controllo completo di Exchange <Nome server> |
Amministratori di Exchange solo visualizzazione |
Amministratori dei destinatari di Exchange Exchange Amministratori cartelle pubbliche |
Amministratori dei destinatari di Exchange Amministratori di Exchange Server |
Accesso in lettura al contenitore di Microsoft Exchange in Active Directory. Accesso in lettura a tutti i domini di Windows che dispongono di destinatari di Exchange. |
Server Exchange |
Ciascun account del computer Exchange 2007 |
Amministratori di Exchange solo visualizzazione |
Speciali |
Exchange Amministratori cartelle pubbliche |
Amministratori dell'organizzazione di Exchange |
Amministratori di Exchange con diritti di sola visualizzazione |
Capacità di gestire amministrativamente le cartelle pubbliche. |
Attributi della Rubrica fuori rete
Exchange utilizza molti attributi per archiviare i dati di Exchange. Exchange utilizza anche altri attributi del destinatario utilizzabili da altre applicazioni con supporto per le directory che utilizzano i dati di Exchange. Pertanto, tali attributi non sono stati aggiunti all'insieme delle proprietà specifiche di Exchange. Questi attributi possono risiedere in altri insiemi di proprietà creati durante l'installazione di Active Directory o possono non appartenere ad alcun insieme di proprietà.
Gli attributi elencati nella seguente tabella sono i dati forniti agli utenti finali tramite Microsoft Office Outlook nell'elenco indirizzi globale (GAL, Global Address List). Se un amministratore di Exchange richiede la possibilità di aggiornare questi attributi e non è membro di un gruppo di protezione privilegiato del dominio, ad esempio del gruppo Account Operators, l'amministratore di Active Directory deve concedere le autorizzazioni di lettura o scrittura.
| Si applica all'oggetto | Percorso di Exchange Management Console | Attributo | Descrizione |
|---|---|---|---|
Utente, contatto |
Scheda Informazioni utente o Informazioni di contatto in proprietà utente o contatto |
givenName |
Nome |
Utente, contatto |
Scheda Informazioni utente o Informazioni di contatto in proprietà utente o contatto |
iniziali |
Iniziale secondo nome |
Utente, contatto |
Scheda Informazioni utente o Informazioni di contatto in proprietà utente o contatto |
sn |
Cognome |
Utente, contatto |
Scheda Informazioni utente o Informazioni di contatto in proprietà utente o contatto |
informazioni |
Campo Note |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
streetAddress |
Via e numero civico |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
l |
City |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
st |
Provincia |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
postalCode |
CAP |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
countryCode |
Paese |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
telephoneNumber |
Telefono (uff.) |
Utente, contatto |
Disponibile solo in Exchange Management Shell |
otherTelephoneNumber |
Telefono alternativo (uff.) |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
cercapersone |
Pager |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
facsimileTelephoneNumber |
Fax |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
homePhone |
Telefono abitazione |
Utente, contatto |
Disponibile solo in Exchange Management Shell |
otherHomePhone |
Telefono alternativo (ab.) |
Utente, contatto |
Scheda Indirizzo e telefono in proprietà utente o contatto |
cellulare |
Cellulare |
Utente, contatto |
Disponibile solo in Exchange Management Shell |
otherfacsimileTelephoneNumber |
Fax alternativo |
Contatto |
Disponibile solo in Exchange Management Shell |
telephoneAssistant |
Telefono assistente |
Contatto |
ADSI (Active Directory Service Interfaces) Edit/LDAP |
telephoneAssistant |
Telefono assistente |
Utente, contatto |
Scheda Organizzazione in Proprietà utente o contatto |
posizione |
Title |
Utente, contatto |
Scheda Organizzazione in proprietà utente o contatto |
società |
Company |
Utente, contatto |
Scheda Organizzazione in proprietà utente o contatto |
reparto |
Department |
Utente, contatto |
Scheda Organizzazione in proprietà utente o contatto |
physicalDeliveryOfficeName |
Office |
Utente, contatto |
Scheda Organizzazione in proprietà utente o contatto |
manager |
Manager |
Utente, contatto |
Scheda Organizzazione in proprietà utente o contatto |
directReports |
Subalterni |
Utente, contatto |
Disponibile solo in Exchange Management Shell |
msExchAssistantName |
Nome assistente |
Gruppo |
Scheda Informazioni sul gruppo in Proprietà gruppo |
managedBy |
Proprietario gruppo |
Gruppo |
Scheda Informazioni sul gruppo in Proprietà gruppo |
informazioni |
Campo Note |
Ulteriori informazioni
Per informazioni su come delegare le autorizzazioni utilizzando i ruoli amministrativi di Exchange, vedere Add-ExchangeAdministrator.
Per informazioni su come preparare Active Directory e i domini per Exchange 2007, vedere Come preparare Active Directory e domini.