Введение в BackOffice 2.5

Управление доступом и полномочиями, защита информации, сервер ключей, шифрование и цифровая подпись


Списки доступа

Контроль доступа к объектам каталога в Exchange производится на основе списков доступа (access control lists). Список доступа содержит перечень идентификаторов пользователей домена Windows NT. С каждым пользователем ассоциирован набор привилегий. Для удобства назначения прав существует несколько стандартных наборов привилегий, называемых ролями. Например роль администратор дает право создавать новые объекты каталога но не позволяет модифицировать списки доступа на существующих. Для большинства пользователей достаточно роли User. Если требуемый набор прав не может быть обеспечен ни одной ролью, пользователю можно назначить нестандартный набор привилегий. В зависимости от типа объекта, набор привилегий может наследоваться всеми вложенными объектами. Схема наследования прав следующая (рисунок 6.38):

  • объект организация - пользователь с правами на этот объект может менять отображаемое имя организации; привилегии не наследуются;

  • объект площадка - пользователь с правами на этот объект может манипулировать с контейнерами адресатов; привилегии не наследуются объектом настройки;

  • объект настройки - пользователь с правами на этот объект может управлять всеми настройками площадки, такими как таблицы маршрутизации, соединения; привилегии автоматически наследуются объектами нижнего уровня.

    Рис. 38. Схема наследования привилегий

    Права на почтовый ящик

    Каждый стандартный пользователь имеет право назначить привилегии другим пользователям на доступ к его личным папкам и разрешить на свое усмотрение производить посылку сообщений от его имени (Send on Behalf Of). Это позволяет, например, секретарю отвечать на часть корреспонденции своего шефа. При этом письмо помечается как отправленное пользователем А от имени пользователя Б.

    Существует другая возможность отправки сообщений, когда письмо отправляется одним пользователем, но в качестве отправителя указывается другой. Данная возможность обеспечивается установкой привилегии Send As для лица, которое будет отправлять сообщения за хозяина данного почтового ящика. Привилегия Send As может быть назначена только администратором.



    Содержание раздела