Exchange Server 2003管理指南三

　　管理权限

　　管理 Exchange 组织时，一些最为重要的安全任务将涉及到权限。在 Exchange 2003 中正确地管理权限确保了用户和管理员能够成功地完成他们必须执行的那些任务，同时防止用户和管理员有意或无意地执行不适当的任务。

　　在 Exchange 2003 中，可以管理的权限有三组：

　　· Exchange 对象的权限。这些设置存储在 Active Directory 和 Microsoft Internet信息服务 (IIS) 元数据库中。

　　· 存储权限。

　　· NTFS 文件系统卷上的文件权限。

　　这些权限共同提供了在 Exchange 2003 安装中的所有元素上实现安全性的方法。

　　本节集中讲述了使用 Exchange 系统管理器管理 Active Directory 和 IIS 元数据库中的 Exchange 对象的权限。有关管理存储权限的详细信息，请参阅第 7 章"管理邮箱存储和公用文件夹存储"。有关了解和管理 NTFS 权限的详细信息，请参阅 Windows 文档和资源工具包。

　　要点　 应只使用 Exchange 系统管理器来设置 Exchange 对象的权限。

　　了解 Exchange 对象和 Exchange 系统管理器

　　安装的 Exchange 软件中的大多数元素都是通过对象来表示的。例如，服务器本身、SMTP 虚拟服务器以及邮箱存储都表示为对象。对其中每个对象的控制都是通过一组安全权限来实现的。Exchange 2003 中对象的权限是基于 Windows 操作系统通过 Active Directory 和 IIS 实现的权限构建的。Exchange 2003 使用 Active Directory 和 IIS 元数据库来存储有关 Exchange 对象的权限信息。

　　考虑到有关 Exchange 对象的信息存放在两个位置这一事实，应使用 Exchange 系统管理器来管理这些对象。这一工具统一表示存储在 Active Directory 和 IIS 元数据库中的对象。因此，可以通过一个界面管理存储在两个位置的对象。

　　Exchange 系统管理器暴露的权限模型是基于 Windows 安全模型构建的，后者是基于随机访问控制概念的面向对象安全模型。这意味着每个 Exchange 对象都有它自己的独立权限（以便控制对该对象的访问），并且这些权限可以由具有适当权限级别的任何人管理。此权限模型使得在安全策略要求进行委派的环境中实现委派的权限模型成为可能，即根据特定角色执行的功能性任务，为其分配不同的权限。

　　但是，使得 Exchange 满足复杂安全要求的大量对象和权限也使管理工作看上去很复杂。幸运的是，Exchange 系统管理器通过下列功能简化了权限管理：

　　· 支持继承

　　· 标准安全角色

　　· Exchange 管理委派向导

　　这些功能一起发挥作用，简化了权限的管理，以致于大多数 Exchange 实现都可以实现它们的安全要求，而不必对各个对象的各个属性设置权限。

　　支持继承的好处

　　在 Windows 中，"继承"描述的是这样一个过程：对象在创建时默认情况下继承其父对象的权限。

　　继承简化了在 Exchange 系统中管理权限的任务，这表现在下列方面：

　　· 它使得无需在创建子对象时手动对其应用权限。

　　· 它确保了附属于父对象的权限以一致的方式应用于所有子对象。

　　· 如果必须修改某个容器内所有对象的权限，只需更改一次该容器的权限。容器内的对象将自动继承更改。

　　对于某些 Exchange 对象，可以自定义此继承。这些对象包括公用文件夹树、地址列表和邮箱存储。对于这些对象，可以指定子对象不继承权限。或者，可以指定下列容器或子容器继承权限：

　　· 仅此容器

　　· 此容器及所有子容器

　　· 仅子容器

　　继承使得在对象的层次结构中以一致的方式应用权限成为可能。就继承本身而言，它是一个简化权限应用的重要工具。

　　Exchange 中标准安全角色的价值

　　为了帮助简化权限管理过程，Exchange 2003 提供了三个预定义的安全角色，可以在 Exchange 管理委派向导中使用这些角色。这些角色是标准权限的集合，可以应用在组织或管理组级别。

　　注意　 有关管理组的信息，请参阅本章前面的"创建和管理管理组"。

　　帐户或组应用这些角色后，将立即被授予相应对象上的一组标准权限。角色十分依赖于权限继承，以确保权限的应用保持一致。应用角色后，与该角色关联的标准权限通过继承应用到层次结构中的下级对象。

　　由于设计角色是为了满足 Exchange 部署中常见的安全要求，因此应尽可能多地尝试使用这些角色。

　　Exchange 2003 提供的标准安全角色有：

　　· Exchange 管理员（完全控制）：该角色对 Exchange 系统信息具有完全管理权限并可以修改权限。此角色适用于必须能够修改权限以及查看和管理 Exchange 配置信息的人员。

　　· Exchange 管理员：该角色对 Exchange 系统信息具有完全管理权限。该角色不同于 Exchange 管理员（完全控制）。主要区别是该角色不能修改权限。该角色适用于必须能够查看和管理 Exchange 配置信息而不需要能够修改权限的人员。

　　· Exchange 管理员（仅查看）：该角色可以查看但不能管理 Exchange 配置信息。该角色适用于必须能够查看 Exchange 配置信息而不需要能够更改该配置信息的人员。与 Exchange 管理员角色一样，该角色也不能修改权限。

　　注意　 不要将 Exchange 安全角色与 Active Directory 中的安全组弄混。角色是应用于 Active Directory 中的用户或组的一组标准权限。可以将角色想像成模板，而不要想像成安全组。

　　由于这些角色是一组标准权限，与安全组不同，角色具有相互取代的固有特性，因此，没有必要同时应用较高级和较低级的特权角色。应用较高级特权角色已足够。应用于组织的角色和应用于管理组的角色稍有不同。因此，应用角色后所导致的有效权限也可能稍有不同。

　　表 2.1 到 2.3 列出了有效权限（基于应用的角色以及应用的位置）。这些表帮助说明了角色是如何相互取代的，以及在组织级别和管理组级别产生的不同影响。

　　注意　 没有表显示在管理组级别应用的角色在组织级别应用后的有效角色。这是因为在管理组级别应用的角色只适用于本地管理组。由于管理组位于层次结构中组织级别的下面，因此管理组可以继承组织的权限，但反过来则不成立。

　　表 2.1　 在管理组级别应用的角色在管理组级别应用后的有效角色

表 2.2 在组织级别应用的角色在管理组级别应用后的有效角色

表 2.3 在组织级别应用的角色在组织级别应用后的有效角色

Exchange 管理委派向导的价值

　　Exchange 管理委派向导在 Exchange 系统管理器中的组织级别或管理组级别应用标准安全角色。

　　需记住的一点是，Exchange 管理委派向导以一致的方式对 Exchange 层次结构中的对象应用经过认真测试的权限。由于权限应用的这种一致性，因此该向导是在 Exchange 环境中管理权限的推荐和首选的方法。可以对各个对象应用自定义权限，但前提是安全策略要求这样做，并且是在完成测试之后。手动创建自定义权限增加了出现人为错误的可能性。还增加了由于误解权限的工作原理而创建不适当权限的可能性。此外，自定义的安全设置需要更多的维护，因为必须对它们进行存档，并且必须对自定义设置进行检验。虽然在某些情况下自定义安全设置是适宜的，但是必须认真地权衡风险和成本。

　　可以从组织级别或管理组级别启动 Exchange 管理委派向导。本章前面的"Exchange 中标准安全角色的价值"已指出，与角色关联的权限将在层次结构中从启动该向导时所在的对象向下应用。例如，如果在组织级别启动该向导，与角色关联的权限将应用于层次结构中组织以下的所有对象，包括所有的管理组。或者，如果在管理组启动该向导，与角色关联的权限将只应用于该管理组中的对象。

　　当启动 Exchange 管理委派向导时，它会提示您指定要将安全角色应用于哪些用户和组。通常，建议您将用户放入安全组内，然后使用向导对这些组应用角色。对各个用户应用权限很快就会使得管理工作变得很困难。

　　向导完成后，Exchange 系统管理器将权限应用于层次结构（向导启动时所处的位置）中选定的组或用户。权限将通过继承在层次结构中向下传播。通过使用该向导，只需若干次单击操作便可对 Active Directory 和 IIS 元数据库中的 Exchange 对象设置所有权限。

　　注意　 有关管理存储权限的详细信息，请参阅第 7 章"管理邮箱存储和公用文件夹存储"。