Роль просматривающего администратора наиболее ограниченная из всех административных ролей Exchange. Она дает право только на просмотр объектов Exchange. Права на модификацию или добавление при этом отсутствуют, поэтому упомянутая роль наиболее подходит для групп и пользователей, которым необходима возможность видеть Exchange-объекты в других организациях или административных группах. 

Реализация расширенных полномочий

Другой способ, по которому администраторы Exchange Server 2003 могут управлять доступом к объектам Exchange, связан с реализацией расширенных полномочий. Расширенные полномочия специфичны для Exchange и позволяют более тонко и модуль-но настроить безопасность за счет того, что они дают возможность устанавливать дополнительные полномочия вдобавок к стандартным правам, предусмотренным в Active Directory. Расширенные полномочия применяются, когда роли и полномочия требуют более подробной настройки, и могут применяться к индивидуальным объектам вместо того, чтобы делать это на уровне организации или административных групп.
Расширенные полномочия применяются к серверам, индивидуальным базам данных, общедоступным папкам, спискам адресов и протоколам.
Для реализации расширенных полномочий перейдите на вкладку Security (Безопасность) окна свойств соответствующего Exchange-объекта. Каждая такая вкладка содержит как встроенные в Windows полномочия Active Directory, так и расширенные полномочия Exchange, как показано на рис. 18.1.
Просматривающий администратор Exchange
Делегирование административных прав
С пониманием того, какие роли и полномочия доступны администраторам в Exchange Server 2003, встает задача определения того, какие роли и полномочия необходимы для специфических целей в каждой области Exchange Server 2003 и как выдавать их на разных уровнях организации.
Например, с ростом организации, использующей Exchange Server 2003, среда Exchange может потребовать конфигурирования дополнительных административных групп. Такая настройка может оказаться идеальным решением для децентрализации административных обязанностей, необходимых для поддержки каждой административной группы и ассоциированных с ней объектов Exchange.
При множестве административных групп права могут быть применены к индивидуальным администраторам Exchange Server 2003, обеспечивая им возможность выполнения ежедневных задач по управлению пользователями и объектами в каждой административной группе. Также группы и отдельные лица могут получить расширенные полномочия для модульного управления доступом к таким объектам, как почтовые ящики или дерево общедоступных папок, внутри каждой административной группы.
Назначая роли и полномочия, администраторы должны делать это раздельно и различными способами. В отличие от выдачи расширенных полномочий, назначение ролей может быть выполнено с использованием мастера делегирования управления (Administration Delegation Wizard), который входит в состав системного диспетчера Exchange.
Мастер Administration Delegation Wizard - это инструмент, встроенный в системный диспетчер Exchange Server 2003 и позволяющий назначать роли только объектам на уровнях организации или административных групп.
Для выдачи расширенных полномочий необходимо открыть диалоговое окно свойств соответствующего объекта и перейти в нем на вкладку Security.