Exchange Server 公用文件夹中的访问控制列表
出处:微软 作者:微软 时间:2005-7-1 0:12:00
本页内容
 | 概要 | |
| Exchange 中的访问控制列表 (ACL) | |
| 新的 ACL 属性标记 | |
| 查看 Exchange 系统管理器中的 ACL | |
| MAPI 权限问题 | |
| 更多信息 | |
| 这篇文章中的信息适用于: | |
概要
本文描述 Exchange 2000 Server 和 Exchange Server 2003 中权限是如何简化的。
Exchange 中的邮箱不再与用户分离。因此,Exchange 基于登录用户的 Microsoft Windows NT 安全 ID 控制对文件夹的访问,而不是基于邮箱的域名允许访问文件夹,这与 NTFS 文件系统 (NTFS) 处理其访问控制的方式类似。这非常重要。用户无法访问或看到文件夹的大多数问题是由 Windows NT 安全 ID 的问题所导致的。这在混合使用 Exchange Server 5.5 和 Exchange 2000 或 Exchange 2003 的环境中尤其危险。
要查看 MAPI 文件夹上的“原始”NT 安全描述符 (NTSD) 权限,请执行下列操作:
注意:非 MAPI 文件夹(应用程序 TLH 文件夹)始终显示原始 NTSD 权限。
在 Exchange 系统管理器中,不要使用 Windows 资源管理器或通过按住 Ctrl 键然后单击“权限”(本文描述的查看权限的过程)来设置 MAPI 文件夹权限。如果这样做,可能将失去通过 MAPI 客户端和 Exchange 系统管理器修改权限的能力。
Invalid Window Handle
ID no:80040102
Exchange System Manager
Exchange 中的访问控制列表 (ACL)
Exchange 中的 ACL 直接存储为文件夹属性 ptagNTSD,它拥有能够访问此文件夹的用户或组的 NT 安全描述符。Exchange 中的邮箱不再与用户分离。因此,Exchange 基于登录用户的 Microsoft Windows NT 安全 ID 控制对文件夹的访问,而不是基于邮箱的域名允许访问文件夹,这与 NTFS 文件系统 (NTFS) 处理其访问控制的方式类似。这非常重要。用户无法访问或看到文件夹的大多数问题是由 Windows NT 安全 ID 的问题所导致的。这在混合使用 Exchange Server 5.5 和 Exchange 2000 或 Exchange 2003 的环境中尤其危险。
新的 ACL 属性标记
Exchange 2000 又引入两个新的属性标记 (ptag) 来存储安全信息(Exchange 2003 保留了这些属性标记):| • | ptagNTSD (PR_NT_SECURITY_DESCRIPTOR) 这是由 Exchange 2000 使用的新的、更丰富的 ACL 集。这些权限与 NTFS 权限集非常近似。Exchange 2000 上的所有文件夹都具有此属性。 |
| • | ptagAdminNTSD (PR_ADMIN_SECURITY_DESCRIPTOR) 这些是文件夹的管理员权限。默认情况下,它们从根文件夹继承,而不是在单个文件夹上设置。然而,如果您在一个文件夹上设置了特定的管理员权限,此属性就会添加上去并随该文件夹一起复制。 |
查看 Exchange 系统管理器中的 ACL
如果此文件夹为 MAPI 文件夹,则在查看客户端权限时,将显示类似 MAPI 的权限。要查看 MAPI 文件夹上的“原始”NT 安全描述符 (NTSD) 权限,请执行下列操作:
| 1. | 打开 Exchange 系统管理器,然后选择要查看的 MAPI 文件夹。 |
| 2. | 按住 Ctrl 键,然后单击“权限”。 |
在 Exchange 系统管理器中,不要使用 Windows 资源管理器或通过按住 Ctrl 键然后单击“权限”(本文描述的查看权限的过程)来设置 MAPI 文件夹权限。如果这样做,可能将失去通过 MAPI 客户端和 Exchange 系统管理器修改权限的能力。
MAPI 权限问题
在 MAPI 顶层层次结构 (TLH) 中,不能混合使用用于设置文件夹上的权限的工具。支持 MAPI 的工具(如 Exchange 系统管理器或 Microsoft Outlook)可自行设置 MAPI TLH 权限。如果通过使用 Windows 资源管理器设置权限,或在查看 NTSD 权限时在 Exchange 系统管理器中设置权限,可能会断开文件夹上的 MAPI 权限,并且无法再通过 MAPI 修改权限。如果客户端尝试修改权限,可能会收到以下错误信息:Invalid Window Handle
ID no:80040102
Exchange System Manager
更多信息
要查看文件夹上的客户端权限(包括该文件夹的所有者),请执行下列操作:
在 Exchange 系统管理器中单击“客户端权限”或者通过使用 Outlook 客户端设置客户端权限时,将启动 MAPI ACL 编辑器。
但是,如果按住 Ctrl 键并在 Exchange 系统管理器中单击公用文件夹的“属性”,然后单击“客户端权限”,将获得所有者的 NTSD 而不是 MAPI 权限。在按住 Ctrl 键并单击“客户端权限”时,将启动 Windows NT ACL 编辑器。
通过查看驱动器 M 中公用文件夹的 NT 安全描述符,可以查看到同样的信息。这些是 MAPI 文件夹的原始 NTSD 权限。
尽管在 Exchange 2000 及更高版本中,可以通过使用 Exchange 系统管理器、Outlook 和 Windows 2000 版本的 Windows 资源管理器设置公用文件夹层次结构中公用文件夹的安全性,但这些工具是不可互换的。Windows 资源管理器使用 Windows 2000 ACL 格式设置 MAPI 公用文件夹层次结构上的安全权限(NTSD 权限),而 Exchange 系统管理器和 Outlook 使用 MAPI ACL 格式。Microsoft Web Storage System 可以正确解释这两种 ACL 格式,但是这些工具是不可互换的,因为当通过使用 Exchange 系统管理器或 Outlook 中的 MAPI ACL 编辑器更改 MAPI 公用文件夹上的权限设置时,所做的更改将写入 Exchange 可安装文件系统。相反,如果使用 Windows NT ACL 编辑器更改 MAPI 公用文件夹上的权限设置(通过按住 Ctrl 键,然后单击“客户端权限”,或者直接通过 Windows 资源管理器从 M 驱动器更改),Exchange 可安装文件系统将不写回 MAPI 权限。
因为这些工具不可互换,如果通过按住 Ctrl 键并在 Windows NT ACL 编辑器中单击“客户端权限”修改 MAPI 公用文件夹上的 NSTD 权限,将无法再通过使用 ESM 或 Outlook 设置公用文件夹的客户端权限。Microsoft 强烈建议您只使用 Exchange 系统管理器或 Outlook 客户端编辑 MAPI 公用文件夹层次结构上的安全性。 如想进一步了解如何解决修改 Exchange 2000 MAPI 公用文件夹的 NTSD 权限时(也就是说,使用 Windows 资源管理器在驱动器 M 上修改权限时)可能发生的问题,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
有关常规目的公用文件夹层次结构中存在的非 MAPI 公用文件夹的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
| 1. | 打开 Exchange 系统管理器,然后选择一个公用文件夹。 |
| 2. | 单击“属性”,然后单击“客户端权限”。 |
但是,如果按住 Ctrl 键并在 Exchange 系统管理器中单击公用文件夹的“属性”,然后单击“客户端权限”,将获得所有者的 NTSD 而不是 MAPI 权限。在按住 Ctrl 键并单击“客户端权限”时,将启动 Windows NT ACL 编辑器。
通过查看驱动器 M 中公用文件夹的 NT 安全描述符,可以查看到同样的信息。这些是 MAPI 文件夹的原始 NTSD 权限。
尽管在 Exchange 2000 及更高版本中,可以通过使用 Exchange 系统管理器、Outlook 和 Windows 2000 版本的 Windows 资源管理器设置公用文件夹层次结构中公用文件夹的安全性,但这些工具是不可互换的。Windows 资源管理器使用 Windows 2000 ACL 格式设置 MAPI 公用文件夹层次结构上的安全权限(NTSD 权限),而 Exchange 系统管理器和 Outlook 使用 MAPI ACL 格式。Microsoft Web Storage System 可以正确解释这两种 ACL 格式,但是这些工具是不可互换的,因为当通过使用 Exchange 系统管理器或 Outlook 中的 MAPI ACL 编辑器更改 MAPI 公用文件夹上的权限设置时,所做的更改将写入 Exchange 可安装文件系统。相反,如果使用 Windows NT ACL 编辑器更改 MAPI 公用文件夹上的权限设置(通过按住 Ctrl 键,然后单击“客户端权限”,或者直接通过 Windows 资源管理器从 M 驱动器更改),Exchange 可安装文件系统将不写回 MAPI 权限。
因为这些工具不可互换,如果通过按住 Ctrl 键并在 Windows NT ACL 编辑器中单击“客户端权限”修改 MAPI 公用文件夹上的 NSTD 权限,将无法再通过使用 ESM 或 Outlook 设置公用文件夹的客户端权限。Microsoft 强烈建议您只使用 Exchange 系统管理器或 Outlook 客户端编辑 MAPI 公用文件夹层次结构上的安全性。 如想进一步了解如何解决修改 Exchange 2000 MAPI 公用文件夹的 NTSD 权限时(也就是说,使用 Windows 资源管理器在驱动器 M 上修改权限时)可能发生的问题,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313333 XADM:对公用文件夹设置权限时出现错误信息:Invalid Windows Handle ID No:80040102 Exchange System Manager(无效 Windows 句柄 ID 号:80040102 Exchange 系统管理器)
注意:此问题不会发生在常规目的公用文件夹层次结构(也称为应用程序文件夹层次结构)上。有关常规目的公用文件夹层次结构中存在的非 MAPI 公用文件夹的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313113 XADM:在 Exchange 2000 中创建多个公用存储的规则
这篇文章中的信息适用于:
| • | Microsoft Exchange Server 2003 Enterprise Edition |
| • | Microsoft Exchange Server 2003 Standard Edition |
| • | Microsoft Exchange 2000 Server 标准版 |
| • | Microsoft Windows Small Business Server 2003 Premium Edition |
| • | Microsoft Windows Small Business Server 2003 Standard Edition |
关键字: | kbinfo KB330508 |
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |