如果你需要别人帮助管理Exchange,但对于给予别人控制整个Exchange组织权力时又有所保留,那么你将会十分乐意看到以下几种方法,可让你限制Exchange管理员的权力范围。
权限级别
首先,Exchange让你决定组织中给予管理权限的级别。你有两个选择:组织级权限或者管理组级权限。
拥有组织级权限可控制整个Exchange组织。但这要取决你实际赋予的权限,否则其他人没有全权控制,但他对你整个Exchange组织仍具有一定级别的控制。
如果你不想赋予其他管理员过多的权力,可以给予他管理组级权限。在Exchange服务器2003中,一个管理组可包含服务器(及相应的数据库和其他资源),系统策略,路由组和文件夹。如果你选择这种权限,就只需创建一个新的管理组,给予管理员访问权,然后导入必需的资源。
赋予权限
在赋予管理员任何这两种权限时,右单击任一组织或管理组,选择委托控制命令。Exchange系统管理器(ESM)将启动一个向导,帮助你完成针对一个用户或组(通常选用组而不是个人)的委托控制。
在制定用户或组后,向导会询问你想赋予新管理员的权限种类。
Exchange中的权限与你熟悉的Windows中的权限略微不同。除了读、写、删除和修改选项外,你还有Exchange只读管理员、Exchange管理员、Exchange全权管理员等选项。
我习惯将“Exchange只读管理员”权限作为培训模式。具有“Exchange只读管理员”权限的人可以在其权限范围内查看到所有Exchange目标及其配置情况,但是无法做出更改。
比如说,你想雇用的一名新员工是Windows服务器专家,但之前从未接触过Exchange,那么你就不能立即赋予他全部权限。如果赋予他“Exchange只读管理员”权限,他就能逐步学习ESM及Exchange的工作方式,而你也不必担心故障的出现。
“Exchange管理员”和“Exchange全权管理员”权限比较相似。两者都赋予了控制委托领域的全部权限。区别是具有“Exchange全权管理员”权限的人有权将管理访问权委托给其他人;而具备“Exchange管理员”权限的人却不能。但是,一名Exchange全权管理员只能将其具有控制权力的领域委托给其他人控制。
如果你在考虑将“Exchange管理员”或“Exchange全权管理员”权限委托给其他人,需要记住它并不会自动赋予Windows级别权限。完成这项工作的最容易的方法是创建名为Exchange Admins的域级别组。你可以将Exchange Admins组作为每个Exchange服务器本地管理员组中的一部分。通过那种方法,就可以向单个组添加或移除Exchange管理员,而不用再在每个服务器上将一名用户设置为管理员。