Exchange Server 2003管理指南(3)

Exchange 对象都有他自己的单独权限（以便控制对该对象的访问），并且这些权限能够由具备适当权限级别的任何人管理。此权限模型使得在安全策略需要进行委派的环境中实现委派的权限模型成为可能，即根据特定角色执行的功能性任务，为其分配不同的权限。
　　
　　但是，使得 Exchange 满足复杂安全需要的大量对象和权限也使管理工作看上去很复杂。幸运的是，Exchange 系统管理器通过下列功能简化了权限管理：
　　
　　· 支持继承
　　
　　· 标准安全角色
　　
　　· Exchange 管理委派向导
　　
　　这些功能一起发挥作用，简化了权限的管理，以致于大多数 Exchange 实现都能够实现他们的安全需要，而不必对各个对象的各个属性配置权限。
　　
　　支持继承的好处
　　
　　在 Windows 中，"继承"描述的是这样一个过程：对象在创建时默认情况下继承其父对象的权限。
　　
　　继承简化了在 Exchange 系统中管理权限的任务，这表现在下列方面：
　　
　　· 他使得无需在创建子对象时手动对其应用权限。
　　
　　· 他确保了附属于父对象的权限以一致的方式应用于任何子对象。
　　
　　· 假如必须修改某个容器内任何对象的权限，只需更改一次该容器的权限。容器内的对象将自动继承更改。
　　
　　对于某些 Exchange 对象，能够自定义此继承。这些对象包括公用文档夹树、地址列表和邮箱存储。对于这些对象，能够指定子对象不继承权限。或，能够指定下列容器或子容器继承权限：
　　
　　· 仅此容器
　　
　　· 此容器及任何子容器
　　
　　· 仅子容器
　　
　　继承使得在对象的层次结构中以一致的方式应用权限成为可能。就继承本身而言，他是个简化权限应用的重要工具。
　　
　　Exchange 中标准安全角色的价值

BBS.bitsCN.com网管论坛

　　
　　为了帮助简化权限管理过程，Exchange 2003 提供了三个预定义的安全角色，能够在 Exchange 管理委派向导中使用这些角色。这些角色是标准权限的集合，能够应用在组织或管理组级别。
　　
　　注意　 有关管理组的信息，请参阅本章前面的"创建和管理管理组"。
　　
　　帐户或组应用这些角色后，将立即被授予相应对象上的一组标准权限。角色十分依赖于权限继承，以确保权限的应用保持一致。应用角色后，和该角色关联的标准权限通过继承应用到层次结构中的下级对象。
　　
　　由于设计角色是为了满足 Exchange 部署中常见的安全需要，因此应尽可能多地尝试使用这些角色。
　　
　　Exchange 2003 提供的标准安全角色有：
　　
　　· Exchange 管理员（完全控制）：该角色对 Exchange 系统信息具备完全管理权限并能够修改权限。此角色适用于必须能够修改权限连同查看和管理 Exchange 配置信息的人员。
　　
　　· Exchange 管理员：该角色对 Exchange 系统信息具备完全管理权限。该角色不同于 Exchange 管理员（完全控制）。主要区别是该角色不能修改权限。该角色适用于必须能够查看和管理 Exchange 配置信息而无需能够修改权限的人员。
　　
　　· Exchange 管理员（仅查看）：该角色能够查看但不能管理 Exchange 配置信息。该角色适用于必须能够查看 Exchange 配置信息而无需能够更改该配置信息的人员。和 Exchange 管理员角色相同，该角色也不能修改权限。
　　
　　注意　 不要将 Exchange 安全角色和 Active Directory 中的安全组弄混。角色是应用于 Active Directory 中的用户或组的一组标准权限。能够将角色想像成模板，而不要想像成安全组。

bitscn.com

　　
　　由于这些角色是一组标准权限，和安全组不同，角色具备相互取代的固有特性，因此，没有必要同时应用较高级和较低级的特权角色。应用较高级特权角色已足够。应用于组织的角色和应用于管理组的角色稍有不同。因此，应用角色后所导致的有效权限也可能稍有不同。
　　
　　表 2.1 到 2.3 列出了有效权限（基于应用的角色连同应用的位置）。这些表帮助说明了角色是如何相互取代的，连同在组织级别和管理组级别产生的不同影响。
　　
　　注意　 没有表显示在管理组级别应用的角色在组织级别应用后的有效角色。这是因为在管理组级别应用的角色只适用于本地管理组。由于管理组位于层次结构中组织级别的下面，因此管理组能够继承组织的权限，但反过来则不成立。
　　
　　 bitsCN.Com

　　Exchange 管理委派向导的价值
　　
　　Exchange 管理委派向导在 Exchange 系统管理器中的组织级别或管理组级别应用标准安全角色。
　　
　　需记住的一点是，Exchange 管理委派向导以一致的方式对 Exchange 层次结构中的对象应用经过认真测试的权限。由于权限应用的这种一致性，因此该向导是在 Exchange 环境中管理权限的推荐和最好选择的方法。能够对各个对象应用自定义权限，但前提是安全策略需要这样做，并且是在完成测试之后。手动创建自定义权限增加了出现人为错误的可能性。还增加了由于误解权限的工作原理而创建不适当权限的可能性。此外，自定义的安全配置需要更多的维护，因为必须对他们进行存档，并且必须对自定义配置进行检验。虽然在某些情况下自定义安全配置是适宜的，但是必须认真地权衡风险和成本。

中国网管论坛

　　

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!