Forefront TMG允许将管理权限下放给个别用户，使管理模式更加灵活。TMG使用两种不同的模式向个人用户分配权限：企业级(TMG已加入到企业阵列的情况)及阵列级。一个独立的Forefront TMG服务器也可以用来分配不同的管理权限。

　　Forefront TMG 以Windows Server 2008安全描述符(Security Descriptor，SD)的形式对TMG的所有组成部分实现访问控制。每个对象的安全描述符中的自由访问控制列表(Discretionary Access Control List ，DACL)负责定义访问类型或者可以授予用户和组的权限。

　　Forefront TMG可以将管理角色分配给TMG的用户和组。管理角色定义了一系列用户或组执行TMG管理的权限。当角色被分配给用户或组后，Forefront TMG在相应对象的安全描述符中配置DACL，以授予用户和组执行必要操作所需的权限。更改管理角色或重启TMG控制服务(TMG Control service)时，TMG还会重新配置DACL。

　　使用基于角色的管理

　　可以使用管理角色将TMG管理员划分为预定义的独立角色，使之具有不同的权限，以执行TMG管理任务。

　　TMG可以将角色分配给任何Windows用户或组，但应该只授予受信管理员必要权限来从事这份工作。管理角色模式的每一个改动都将存储在Windows Server 2008及以上版本的活动目录轻型目录服务(Active Directory Lightweight Directory Services，简称为AD-LDS)中。AD-LDS配置中的每一个更改适用于TMG企业的所有企业管理服务器(Enterprise Management Server，EMS)。

　　注意：管理角色不能分配为CREATOR OWNER或CREATOR GROUP，因为AD-LDS不能识别这些安全主体。

　　另外，使用ISA Server 2006时，如要允许TMG管理员查看Forefront TMG性能监控计数器，使用的帐户必须为Windows Server 2008性能监控器用户组的成员。

　　阵列级管理角色

　　TMG支持一个TMG 中存在多个TMG阵列，并且在每个阵列分别定义不同的管理角色。

　　下表描述了TMG阵列级的管理角色：

　　表1：阵列级的TMG管理角色

　　如要分配额外的权限来管理TMG，需要启动TMG管理控制台，定位到阵列属性，选择“分配角色”(Assign roles)选项卡，如下图所示。

　　图1：为用户组分配TMG角色

　　下图为分配TMG管理角色的过程：

　　图2：将TMG角色分配给用户组

　　特定角色的权限

　　下表列出了各个TMG阵列角色的权限：

　　最低权限

　　因为TMG是应对来自互联网和非受信的外部网络攻击的中央防护点，因此授权时应遵循最低权限原则。

　　限制来宾帐户

　　不建议使用内置的来宾帐户，因为来宾帐户有访问“所有验证用户”组的权限。如果启用来宾帐户(默认情况下停用)，来宾帐户将具备授予给“所有验证用户”组的所有权限。

　　AD-LDS中的TMG管理角色

　　如上所述，TMG将配置及管理角色保存在本地的AD-LDS或AD-LDS数据库的中心企业管理服务器。

　　如果要查看AD-LDS中的管理角色，必须要连接AD-LDS实例。启动Adsiedit.msc并连接到位于2171端口的AD-LDS实例，可以以通用名(Common Name，CN) FPC2打开TMG的AD-LDS配置，如下图所示。

　　图3：连接到TMG的AD-LDS实例

　　定位到“CN=Arrays”或“CN=Enterprise”，以查看存储于AD-LDS的TMG配置。在通用名“Admin Security”下，可以在“CN=DelegatedAdmins”部分看到预设的已授权管理角色。

　　图4：AD-LDS中的已授权管理角色

　　TMG企业的管理角色

　　如果TMG服务器已加入由企业管理服务器管理的企业级阵列，则可以授权管理整个TMG企业。

　　Forefront TMG在企业级有两个内置的管理角色：

　　·TMG企业管理员：该角色可以在企业及企业所属的TMG阵列内执行所有管理任务。

　　·TMG企业审计员：隶属于该管理角色的用户和组可以为TMG企业及每个TMG阵列执行TMG监控任务。

　　在企业级对用户和组分配管理角色的方式同TMG阵列级的分配方式相同。

　　结语

　　本文简要介绍了Forefront TMG标准版和企业版分配管理权限的方式。通过不同的TMG管理模式，用户可以使用一些预定义的角色来管理TMG的不同部分。