Списки доступа и наследование полномочий
2.4.1. Списки доступа и наследование полномочий
Контроль доступа к объектам каталога и информационных хранилищ в Exchange производится на основе списков доступа (access control lists). Список доступа содержит перечень идентификаторов пользователей домена Windows NT. С каждым пользовательским идентификатором ассоциирован набор привилегий, определяющих, какие действия способен выполнить конкретный пользователь над данным объектом. Ниже приведен список привилегий, поддерживаемых сервером Exchange:
- право создавать объекты, расположенные в иерархии ниже данного (Add Child), например вложенные пользовательские контейнеры;
- право модифицировать пользовательские атрибуты объекта (Modify User Attributes), например добавлять адресатов в список рассылки;
- право модифицировать административные атрибуты объекта (Modify Admin Attributes), например изменять название улицы или отображаемое имя в свойствах пользовательского ящика;
- право удалять текущий объект (Delete);
- право производить посылку от имени данного объекта (Send As), как правило, используется для пользовательских ящиков или серверных контейнеров;
- право выполнять регистрацию в почтовом ящике, выполнять посылку и прием сообщений (Mailbox Owner), как правило, используется для пользовательских ящиков или серверных контейнеров;
- право выполнять репликацию каталога (Replication), как правило, используется для серверных контейнеров;
- изменять набор привилегий для текущего объекта (Modify Permission), например, без данной привилегии администратор может создавать новых пользователей, но не имеет права изменять списки доступа к существующим почтовым ящикам.
Для удобства назначения прав существует несколько стандартных наборов привилегии, называемых ролями. Ниже приводится список стандартных ролей и их привилегий:
- роль администратор (Admin.), дает право создавать новые объекты каталога, удалять и модифицировать существующие, но не позволяет модифицировать для них списки доступа;
- роль администратор полномочий (Permissions Admin.), дополнительно к правам администратора позволяет изменять текущие списки доступа на объекты;
- роль посылка от имени (Send As), дает право посылать сообщения от имени данного объекта;
- роль администратор учетной записи сервиса (Service Account Admin.), предназначена для использования только сервисом Exchange Server, имеет полный набор прав на объект;
- роль пользователь (User), дает право на получение доступа к почтовому ящику и назначение прав другим пользователям на доступ к содержимому этого ящика.
В случае, когда требуемый или достаточный набор прав не может быть обеспечен ни одной стандартной ролью, пользователю можно назначить нестандартный набор привилегий (роль custom). Примером использования специального набора привилегий может являться случай настройки RAS-коннектора между двумя площадками. В этом случае достаточный набор привилегий, которым должен обладать звонящий агент передачи сообщений (MTA) - право Send As и Mailbox Owner на контейнере серверов принимающей стороны.
В зависимости от типа объекта, набор привилегий может наследоваться всеми или только некоторыми объектами, находящимися в каталоге на нижних уровнях иерархии.
В Exchange Server используется следующая схема наследования прав (рисунок 2.20):
- права на объект организация, пользователи с правами на этот объект могут менять только отображаемое имя организации, привилегии не наследуются другими объектами иерархии;
- права на объект площадка, пользователи с правами на этот объект могут манипулировать объектами уровня площадки и контейнерами адресатов. Привилегии автоматически наследуются всеми вложенными, за исключением объекта настройки;
- права на объект настройки, пользователи с правами на этот объект могут управлять всеми настройками текущей площадки, как-то таблицы маршрутизации, соединения, мониторы, серверы и т.д. Привилегии автоматически наследуются объектами нижних уровней, за исключением контейнеров адресатов, которые наследуют набор привилегий объекта площадка.
Такая схема наследования позволяет разделить функции между несколькими администраторами, одни из которых отвечают за ведение базы пользователей и общие папки организации, другие обеспечивают взаимодействие серверов в пределах площадки и сопряжение с внешним миром, включая шлюзы в другие почтовые системы и синхронизацию каталога в рамках организации.
Следует иметь ввиду, что если все функции администрирования должны выполняться одним лицом, то ему необходимо назначить соответствующие привилегии на каждом из трех указанных объектов.При инсталляции первого сервера площадки администратор, выполняющий установку, автоматически получает права Permissions Admin. на упомянутые объекты.