首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > Microsoft Exchange 2000 剖析:权限指南 > 正文

Microsoft Exchange 2000 剖析:权限指南

出处:微软中国 作者:微软中国 时间:2005-9-1 13:17:00
Microsoft Exchange Server 产品部门程序管理员 Paul Bowden
2000年11月

有关最新信息,请参阅
http://www.microsoft.com/exchange/techinfo/reskit.htm

简介

本白皮书说明安装和管理 Microsoft® Exchange 2000 Server 所需的最低权限。

请注意,执行希望的操作时,可能无需显式设置本文档中所述的角色,因为角色可以是超集。

例如,在管理组级别:

  • Exchange 管理员包括 Exchange 只查看管理员。
  • Exchange 完全控制管理员同时包括 Exchange 管理员和 Exchange 只查看管理员 。

此外,在组织级别:

  • Exchange 只查看管理员包括管理组级别的 Exchange 只查看管理员。
  • Exchange 管理员包括组织级别的 Exchange 只查看管理员,以及管理组级别的 Exchange 管理员和 Exchange 只查看管理员。
  • Exchange 完全控制管理员包括组织级别和管理组级别的所有其它权限。

下面的图表所示为有效权限与许可权限。

许可权限
有效权限

AG:查看
AG:管理员
AG:完全控制管理员
ORG:查看
ORG:管理员
ORG:完全控制管理员
AG:Exchange 只查看管理员
是*





AG:Exchange 管理员
是*
是*




AG:Exchange 完全控制管理员
是*
是*
是*



ORG:Exchange 只查看管理员






ORG:Exchange 管理员






ORG:Exchange 完全控制管理员






* = 仅限于本地管理组

AG = 管理组级别

ORG = 组织级别

有关这些角色许可权限的详细信息,请参阅附录 B。

Active Directory 连接器

要在 Microsoft Windows® 2000 Active Directory 目录林中安装第一个 Active Directory™ 连接器 (ADC),需要什么权限?

要安装第一个 Active Directory 连接器 (ADC),需要更新 Active Directory 服务架构,还需将二进制文 件复制到本地计算机。因此,您需以具有下列 Active Directory 权限的用户身份登录:

  • Schema Admins
  • Enterprise Admins
  • 目标计算机上本地 administrators 组的成员

另一可选方案是:Schema Admins 组中的管理员可在 ADC 安装程序中使用 /SchemaOnly 开关,以 便对 Active Directory 进行添加操作。此方案中,实际安装 ADC 服务的人员不必是 Schema Admins 组的成 员。此方法的优点在于,如果公司具有非常严格的架构控制,这些人即可进行所需的架构调整,并且 ADC/Exchange 管理员可独立执行其作业。

要在 Active Directory 目录林中继续安装其它 Active Directory 连接器,需要什么权限?

因为架构已更新,所以接着安装其它 ADC 时需要下列 Active Directory 权限:

  • Enterprise Admins
  • 目标计算机上本地 Administrators 组的成员

安装 Active Directory 连接器时,需要输入服务帐户。为什么 Exchange 2000 服务以 LocalSystem 启 动时,需要该服务帐户?该服务帐户将需要什么权限?

ADC 需要服务帐户是因为 ADC 技术的子集随附于 Windows 2000 操作系统。Exchange 2000 中的功能可为 安装服务器准备 Active Directory 目录林和域(通过使用 ForestPrep 和 DomainPrep)。其中部分准备包括 将 LocalSystem 服务的权限设置为 Active Directory。因为可在不安装 Exchange 2000 的情况下使用 ADC, 所以要获得同样功能,就需使用单独的服务帐户。

ADC 服务帐户要求下列权限:

  • 内置 Administrators 组成员
  • 如果 ADC 在未安装 Exchange 2000 的 Windows 2000 环境中使用,则需为 Enterprise Admins 组的成员
  • 如果 ADC 在同时安装有 Exchange 2000 和 Windows 2000 的环境中使用,则需 为 Enterprise Admins 组的成员或拥有 Exchange 完全控制管理员的角色

在 Active Directory 连接器中创建连接协议时,需要指定访问 Active Directory 和 Exchange 5.5 目 录服务的凭据。该帐户需要什么权限?

所需权限为:

    Exchange 5.5

    • Exchange 5.5 站点命名上下文的管理员角色
    • Exchange 5.5 组织命名上下文的管理员角色

    Active Directory

    • 本地域的 Domain Admins
    • Exchange 2000 组织的 Exchange 只查看管理员角色

Exchange 2000

安装 Exchange 2000 时若要运行 /ForestPrep 开关,需要什么权限?

ForestPrep 将更新 Active Directory 架构并创建 Exchange 组织对象。此外,您将有机会指定第一个 Exchange 2000 管理员(此管理员可以是用户或组对象)。要登录到 Active Directory,您需是具有下列权限 的用户:

  • Schema Admins
  • Enterprise Admins

ForestPrep 必须在包含 Active Directory 主架构的域中运行。该域默认为目录林中的根域。

如果在 ForestPrep 过程中选择加入现有的 Exchange 5.5 组织,需要具有 Exchange 5.5 组织的什么权 限?

您将需要下列权限:

  • Exchange 5.5 站点命名上下文的管理员角色(对于要加入的站点)
  • Exchange 5.5 配置命名上下文的管理员角色(对于要加入的站点)

此外,您还需知道指定服务器相关站点的服务帐户名和口令。如果 Exchange 5.5 服务帐户在 Microsoft Windows NT® 4.0 域中,则需创建从目录林根域至包含 Exchange 5.5 服务帐户域的单向信任。

安装 Exchange 2000 时若要运行 / DomainPrep 开关,需要什么权限?

DomainPrep 将创建 Exchange Domain Servers 全局组和 Exchange Enterprise Serverss 本地组,并播种 (配置)权限,以使 Exchange 服务器能访问 Active Directory。要运行 DomainPrep,您必须以具有下列权 限的用户身份登录:

  • 本地域的 Domain Admins

Exchange Domain Servers 组和 Exchange Enterprise Serverss 组执行什么功能?

这两个组都是通过 DomainPrep 创建的。它们驻留在域中的“用户”容器中,不得移动或重命名。每次在计 算机上安装 Exchange 2000 时,计算机帐户都会添加到本地 Exchange Domain Servers 全局安全组中。接着 ,该组又是每个域中 Exchange Enterprise Serverss 本地安全组的成员。“收件人更新服务”负责确保目录 林中的所有 Exchange 组嵌套都是完整的。Exchange Enterprise Serverss 组被给予了 Active Directory 中 域命名上下文的多种权限。通过这些继承权限,“收件人更新服务”即能修改域帐户上的 Exchange 特定属性 。

安装第一个 Exchange 2000 服务器需要什么权限?

要安装第一个 Exchange 2000 服务器,您需要以具有下列权限的用户身份登录到 Active Directory:

  • Exchange 完全控制管理员角色(在 ForestPrep 过程中定义)
  • 目标计算机上的本地管理组成员

此外,如果要加入现有的 Exchange 5.5 站点,登录帐户必须具有下列权限,以访问 Exchange 5.5 目录, 并且 Exchange 的安装人员必须知道站点服务帐户名和口令:

  • 站点命名上下文中的管理员角色
  • 配置命名上下文中的管理员角色

如何向其他用户委派权限,以使他们能管理 Exchange 2000?

要向其他用户委派权限,请使用“Exchange 管理委派向导”。您的登录用户身份需要具有组织的 Exchange 完全控制管理员角色,以使用“Exchange 管理委派向导”。

要使用“Exchange 管理委派向导”,请启动“Exchange 系统管理器”,右击组织或管理组,然后单击 委派控制

如果将 Exchange 2000 计算机帐户移至 Active Directory 中的另一不同部门,是否会影响我的 Exchange 权限和委派?

不会影响。“Exchange 管理委派向导”在 Active Directory 的配置命名上下文中分配权限,而不是在计 算机帐户驻留的域命名上下文中分配权限。

Exchange 完全控制管理员和 Exchange 管理员角色之间有什么不同?

Exchange 完全控制管理员能够操纵配置命名上下文中的任何 Exchange 对象。此外,完全控制管理员还有 权限修改“安全”选项卡上有关下列对象的设置:

  • Exchange 数据库
  • MAPI 和应用程序文件夹分层结构
  • 地址列表

Exchange 管理员可操纵任何 Exchange 对象,但不能委派权限,或更改安全选项卡上有关上面所列 Exchange 对象的设置。

如果授予某个用户或组 Exchange 组织级别权限,这些权限是否会自动应用到所有管理组?

是的。与 Exchange Server 5.5 不同,Exchange 2000 的权限具有继承性。

要继续安装其它 Exchange 2000 服务器,需要什么权限?

要继续安装其它 Exchange 2000 服务器,您需要以具有下列权限的用户身份登录到 Active Directory:

  • Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员
  • 目标计算机上的本地管理组成员

在群集配置中安装 Exchange 2000 需要什么权限?

要安装服务器软件并创建“系统助理”资源,登录 Active Directory 的帐户应是群集服务帐户。该帐户需 要下列权限:

  • Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员
  • 两个节点上的本地 Administrators 组成员

将 Exchange 5.5 服务器升级到 Exchange 2000 需要什么权限?

Exchange 5.5 服务器必须安装于在 Active Directory 域中运行 Windows 2000 的计算机上。您需要以具 有下列权限的用户身份登录到 Active Directory:

    Exchange 5.5

    • Exchange 组织命名上下文的管理员角色
    • Exchange 站点命名上下文的管理员角色
    • Exchange 配置命名上下文的管理员角色

    Active Directory

    • Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员
    • 目标计算机上的本地 Administrators 组成员

我有一个第三方消息传递应用程序,它需要对每个用户的邮箱具有完全访问权限。在 Exchange 5.5 中, 我们授予一个特殊帐户,即“服务帐户”Admin 权限,然后告诉应用程序使用该帐户。如何在 Exchange 2000 中获得类似功能?

Exchange 2000 的安全机制与 Exchange 5.5 的安全机制有很大不同。实际上,Exchange 2000 不使用站点 服务帐户,所有服务都以本地计算机帐户启动。

有多种不同方法可实现类似功能。最简单的一种方法是使特殊应用程序帐户成为任意域中 Exchange Domain Servers 组的成员。这样该帐户即拥有与 Exchange 2000 相同的权限。不过应注意:添加的这一帐户能对 Exchange 数据进行任何操作。获得相同结果的其它方法在 Microsoft 知识库文章 Q262054 中有所描述,“ XADM:How to Get Service Account Access to All Mailboxes in Exchange 2000.”

为什么在 Exchange 5.5 中有一个特殊服务帐户,而 Exchange 2000 服务能以 LocalSystem(内置计算机 帐户)启动?

Exchange 5.5 中的服务需要特殊登录帐户的原因是由于 Microsoft Windows NT 操作系统版本 4.0 的限制 。虽然 Windows NT 4.0 中的本地计算机帐户有令牌,但它们没有凭据;因此,一个计算机帐户无法对另一帐 户验证其有效性。Windows 2000 中使用 Kerberos 验证,计算机帐户同时具有令牌和凭据。

使用本地计算机帐户比使用管理员指定帐户更为安全,原因如下:

  • 本地计算机口令是随机十六进制数,而非人可识读的字符串。
  • 本地计算机口令可每隔 30 天自动更改。
  • Exchange 5.5 服务帐户必须从锁定策略中排除,因为尝试强行登录会禁用该帐户 ,并关闭 Exchange 服务。

从 Active Directory 意外删除了 Exchange 2000 服务器的计算机帐户。虽然可重新创建该帐户,但 Exchange 2000 服务是否仍能正常运行?

如果只是重新添加计算机帐户,Exchange 服务将启动,虽然可能会遇到一些问题,如事件日志中的 DSAccess 错误。计算机帐户所拥有的 Active Directory 中的多种权限是在 Exchange 2000 安装过程中分配 的。因此,再次运行 Setup(安装)并选择重新安装选项,这样即会向新的计算机帐户授予正确权限。

您还应检查域中的本地 Exchange Domain Servers 组,以确保新的计算机帐户是组成员。“系统助理”在 启动时会尝试将计算机帐户添加到该组,不过,如果不成功,则需手动添加帐户。

Exchange 2000 管理

创建和删除邮箱需要什么权限?

首先,需要具有在 Active Directory 中创建用户对象的权限。例如,您可能是一个 Domain Admin,或已 具有对某个特定部门的委派访问权限。其次,需要下列 Exchange 权限:

  • 目标 Exchange 2000 服务器所在的管理组的 Exchange 只查看管理员角色

此外,如果要管理公用文件夹对象,则应确保管理帐户(在“Exchange 系统管理器”中操纵对象时使用的 登录帐户)启用了邮件或邮箱。如果您的帐户未启用邮件或邮箱,MAPI 公用文件夹将不可访问。

要将邮箱从 Exchange 5.5 移至 Exchange 2000 中的同一站点或管理组,需要什么权限?

使用“Active Directory 用户和计算机”时,邮箱在两个服务器间传送,并使用当前凭据更新用户或邮箱 对象的 Home-MTA 和 Home-MDB 属性。

需要下列权限:

    Exchange 5.5

    • 站点命名上下文的 Admin

    Active Directory

    • 本地域的 Domain Admins 或 Account Operators 组成员
    • 管理组的 Exchange 管理员角色

运行 Active Directory 帐户清理向导 (ADClean) 需要什么权限?

使用 ADClean 的管理员需要 Active Directory 中的下列权限:

    源对象

    • 部门或容器中的读取或删除权限

    目标对象

    • 部门或容器中的写入或修改权限

ADClean 几乎可修改目标对象的所有属性,因此建议运行该工具的管理员是目标域的 Domain Admins 组成 员。

配置路由组和连接器需要什么权限?

配置路由组和连接器时,不会直接影响用户帐户对象,因此只需下列权限:

  • 目标路由组所在的管理组的 Exchange 管理员角色

    路由组连接器是单向的。要创建到本地管理组之外的路由组的双向路 由组连接器,还需具有远程管理组的 Admin 权限。

如果需要定义特定出站域的全局邮件格式,或指定全局邮件阈值,则需具有下列权限:

  • Exchange 组织的 Exchange 管理员角色

如果还将管理 SMTP 服务,您的帐户则需是每个 Exchange 服务器上内置管理组的成员(用于配置数据库访 问)。

操纵邮件队列需要什么权限?

要在“Exchange 系统管理器”中查看邮件队列,需要下列权限:

  • 连接器所在管理组的 Exchange 只查看管理员角色
  • 目标计算机上的本地 Administrators 组成员

要从队列中删除邮件,需要下列权限:

  • 连接器所在的管理组的 Exchange 管理员角色
  • 目标计算机上的本地管理组成员

管理即时消息需要什么权限?

要创建和管理“即时消息”虚拟服务器,需要下列权限:

  • 将创建“即时消息”服务器的管理组中的 Exchange 管理员角色

如果需要更改组织中“即时消息”的防火墙拓扑信息,还需此权限:

  • Exchange 组织中的 Exchange 管理员角色

要启用某个用户参与“即时消息”,需要 Active Directory 域的域命名上下文中的权限。启用用户参与“ 即时消息”包括更改用户帐户的某些属性;因此您需要具有用户所在部门的权限。在大多数公司中,创建或删 除用户帐户和邮箱的管理员还将负责启用用户参与“即时消息”。

安装 Exchange 会议服务器需要什么权限?

要安装 Exchange 会议服务器,您需要以具有下列权限的用户身份登录到 Active Directory:

  • Exchange 2000 组织级别的 Exchange 完全控制管理员角色

Exchange 管理员角色如何影响 Exchange 会议服务器管理?

就 Exchange 会议服务器管理而言,不同的管理员角色能执行不同的操作。例如:

    管理组级别的 Exchange 完全控制管理员角色可进行下列操作:

    • 安装或删除会议服务
    • 停止和启动会议服务
    • 创建或删除会议日程邮箱和资源邮箱
    • 添加、删除或配置会议技术提供者
    • 查看或修改会议设置

    管理组级别的 Exchange 管理员角色可进行下列操作:

    • 创建或删除会议日程邮箱和资源邮箱
    • 添加、删除或配置会议技术提供者
    • 查看或修改会议设置

    该角色不能进行下列操作:

    • 安装或删除会议服务
    • 停止或启动会议服务(除非授予本地管理员权限)

    管理组级别的 Exchange 只查看管理员角色可进行下列操作:

    • 查看会议设置

    该角色不能进行下列操作:

    • 安装或删除会议服务
    • 停止或启动会议服务(除非授予本地管理员权限)
    • 创建或删除会议日程邮箱和资源邮箱
    • 添加、删除或配置会议技术提供者
    • 修改会议设置

创建新管理组需要什么权限?

要创建新管理组,您需要以具有下列权限的用户身份登录到 Active Directory:

  • Exchange 组织的 Exchange 管理员角色

对于 Exchange Server 5.5 和 Windows NT 4.0,我有两个支持小组:一个支持 Exchange 目录,另一个 支持安全帐户管理器 (SAM)。虽然可以看到使用 Exchange 2000 和 Active Directory 进行统一管理所带来的 益处,但是否仍能将用户创建和邮箱创建角色分开?

您可使用“Exchange 管理委派向导”限制对 Exchange 属性的权限,从而获得此方案。要限制权限,请设 置委派用户或组对私有信息和公用信息属性集的读取/写入权限。您可使用“Active Directory 用户和计算机 ”管理控制台访问“Windows 2000 委派向导”。

附录 A

安装过程中授予的权限

Active Directory 连接器和 Exchange 2000 安装程序将对 Active Directory 中的权限进行许多修改。虽 然大多数管理员无需了解所做的低级别访问控制条目 (ACE) 修改,但该信息对于排除 Exchange 2000 和 Active Directory 错误非常有用。

对 Exchange 配置树中对象的权限

Microsoft Exchange 容器

Cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
ForestPrep 阶段
已验证用户
experm01.gif (94 字节)


ACTRL_DS_LIST | ACTRL_DS_READ_PROP

指定管理员帐户
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

服务器安装阶段
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

ADC 安装阶段
Exchange 服务
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

ADC 连接协议容器

cn=Active Directory Connections,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

组织容器

cn=<organization>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性/应用于
ForestPrep 阶段
已验证用户
experm01.gif (94 字节)


ACTRL_DS_LIST_OBJECT | ACTRL_DS_READ_PROP

指定管理帐户

experm01.gif (94 字节)
experm01.gif (94 字节)
Send-As

指定管理员帐户

experm01.gif (94 字节)

experm01.gif (94 字节)
Receive-As

服务器安装阶段
“Enterprise Admins”

experm01.gif (94 字节)
experm01.gif (94 字节)
Send-As

“Enterprise Admins”

experm01.gif (94 字节)
experm01.gif (94 字节)
Receive-As

根域的“Domain Admins”

experm01.gif (94 字节)
experm01.gif (94 字节)
Send-As

根域的“Domain Admins”

experm01.gif (94 字节)
experm01.gif (94 字节)
Receive-As

Everyone
experm01.gif (94 字节)

experm01.gif (94 字节)
ms-Exch-Create-Top-Level-Public-Folder

Everyone
experm01.gif (94 字节)

experm01.gif (94 字节)
ms-Exch-Create-Public-Folder

Everyone

experm01.gif (94 字节)

experm01.gif (94 字节)
ms-Exch-Store-Create-Named-Properties

Everyone
experm01.gif (94 字节)
experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类: msExchPrivateMDB
Everyone
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类: msExchPublicMDB
Everyone
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类:
mTA
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_CONTROL_ACCESS
(即所有扩展权限 )

Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_CREATE_CHILD

Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_WRITE_PROP
公用信息
(属性集)
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_WRITE_PROP
个人信息(属性集)
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL
应用于对象类: siteAddressing
启用 SRS 时(禁用 SRS 时删除 ACE)
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_LIST_OBJECT | ACTRL_DS_CREATE_CHILD| ACTRL_DS_DELETE_CHILD

地址列表容器

cn=Address Lists Container,cn=<organization>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
已验证用户
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_LIST

寻址容器

cn=Addressing,cn=<organization>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
已验证用户
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

收件人更新服务容器

cn=Recipient Update Services,cn=Address Lists Container,cn=<organization>,cn=Microsoft Exchange,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

Admin 组

cn=<admin group>,cn=Administrative Groups,cn=<organization>,cn=Microsoft Exchange,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段(在属性 msExchPFDefaultAdminACL 上设置)
已验证用户
experm01.gif (94 字节)

experm01.gif (94 字节)
Ms-Exch-Create-Public-Folder

默认 TLH

cn=Public Folders,cn=All Folder Hierarchies,cn=<admin group>,cn=Administrative Groups,cn=<organization>,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段(在属性 msExchPFDefaultAdminACL 上设置)
已验证用户
experm01.gif (94 字节)

experm01.gif (94 字节)
Ms-Exch-Create-Public-Folder

CA 容器

cn=CA,cn=Advanced Security,cn=<admin group>,cn=Administrative Groups,cn=<organization>,cn=…
帐户
允许
拒绝
继承
权限
适用属性
KMS 安装阶段
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

已验证用户

experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP

连接容器

cn=Connections,cn=<routing group>,cn=Routing Groups,cn=<admin group>,cn=Administrative Groups,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

Server 对象

cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段,如果服务器“不是”群 集 VM
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

服务器安装阶段,如果服务器“是”群集 VM
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

协议容器

cn=Protocols,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Everyone
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_LIST


Everyone
experm01.gif (94 字节)
experm01.gif (94 字节)

ms-Exch-Read-Metabase-Properties

System Attendant 对象

cn=Microsoft System Attendant,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段(在属性 msExchMailboxSecurityDescriptor 上设置)
LocalSystem
experm01.gif (94 字节)

experm01.gif (94 字节)
READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner

Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner

5.5 服务帐户
(如果给定)
experm01.gif (94 字节)

experm01.gif (94 字节)
READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner

MTA 对象

cn=Microsoft MTA,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
5.5 服务帐户
(如果给定)
experm01.gif (94 字节)

experm01.gif (94 字节)
Send-As

5.5 服务帐户
(如果给定)
experm01.gif (94 字节)

experm01.gif (94 字节)
Read-As

对配置树中其它对象的权限

已删除的项目容器

cn=Deleted Items,cn=Configuration,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
ForestPrep 阶段
指定管理员帐户
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_LIST | ACTRL_DS_READ_PROP | ACTRL_DS_LIST_OBJECT | WRITE_OWNER | WRITE_DAC

服务器安装阶段
Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_LIST

Active Directory Connector 对象

cn=Active Directory Connector,cn=Exchange Settings,cn=<server>,cn=Servers,cn=<site>,cn=sites,cn=Configuration,…
帐户
允许
拒绝
继承
权限
适用属性
ADC 安装阶段
Exchange 服务
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL


已验证用户
experm01.gif (94 字节)

experm01.gif (94 字节)
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

MachineEnrollmentAgent 对象

cn=MachineEnrollmentAgent,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…
帐户
允许
拒绝
继承
权限
适用属性
KMS 安装阶段
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

ExchangeUser 对象

cn=ExchangeUser,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…
帐户
允许
拒绝
继承
权限
适用属性
KMS 安装阶段
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROP

MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
登记

ExchangeUserSignature 对象

cn=ExchangeUserSignature,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…
帐户
允许
拒绝
继承
权限
适用属性
KMS 安装阶段
MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROP

MACHINE$
experm01.gif (94 字节)

experm01.gif (94 字节)
登记

对域命名上下文中对象的权限

域容器

dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
DomainPrep 阶段
Exchange Enterprise Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_WRITE_PROP
公用信息
(属性集)
Exchange Enterprise Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_WRITE_PROP
个人信息
(属性集)
Exchange Enterprise Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
ACTRL_DS_WRITE_PROP
groupType
Exchange Enterprise Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS-Replication-Manage-Topology

域代理容器

cn=Microsoft Exchange System Objects,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
DomainPrep 阶段
Exchange Enterprise Servers
experm01.gif (94 字节)


DS_AM_FULL_CONTROL

Exchange Domain Servers
experm01.gif (94 字节)

experm01.gif (94 字节)
DS_AM_FULL_CONTROL

Exchange Enterprise Servers 组

cn=Exchange Enterprise Serverss,cn=Users,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
DomainPrep 阶段
所有组织级别的 Exchange 完全控制管理员
experm01.gif (94 字节)


DS_AM_FULL_CONTROL

Exchange Enterprise Servers
experm01.gif (94 字节)


DS_AM_FULL_CONTROL

Exchange Domain Servers 组

cn=Exchange Domain Servers,cn=Users,dc=<domain>
帐户
允许
拒绝
继承
权限
适用属性
DomainPrep 阶段
所有组织级别的 Exchange 完全控制管理员
experm01.gif (94 字节)


DS_AM_FULL_CONTROL

Exchange Enterprise Servers
experm01.gif (94 字节)


DS_AM_FULL_CONTROL

附录 B

Exchange 2000 角色权限

“E xchange 2000 委派向导”提供了非常友好的界面来设置对 Active Directory 中 Exchange 对象的权 限。企业管理员可能希望了解“委派向导”对 Active Directory 所做更改的细节。下面详细说明各“委派向 导”的角色和权限。

Exchange 完全控制管理员

说明:选定用户和组可完全管理 Exchange 系统信息和修改权限。

组织权限

对 MsExchConfigurationContainer(此对象及子容器)的权限为 {完全控制}

对组织容器(此对象及子容器)的权限为 {拒绝“Receive-As”、“Send-As”}

对配置 NC(此对象及子容器)中“已删除对象”的权限为 {读取、更改权限}

Admin 组权限

对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}

对组织容器(此对象及子容器)的权限为 {读取、列出对象、列出内容}

对管理组(此对象及子容器)的权限为 {完全控制、拒绝“Send-As”、“Receive-As”}

对连接容器(此对象及子容器)的权限为 {完全控制,“更改权限”除外}

对脱机地址列表容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、写入属性}

Exchange 管理员

说明:选定用户和组可完全管理 Exchange 系统信息。

组织权限

对 MsExchConfigurationContainer(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限}

对组织容器(此对象及子容器)的权限为 {拒绝“Receive-As”、“Send-As”}

管理组权限

对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}

对组织容器(此对象及子容器)的权限为 {读取、列出对象、列出内容}

对管理组(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限、拒绝“Send-As”、“ Receive-As”}

对连接容器(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限}

对脱机地址列表容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、写入属性}

Exchange 只查看管理员

说明:选定用户和组可查看 Exchange 配置信息。

组织权限

对 MsExchConfigurationContainer(此对象及子容器)的权限为 {读取、列出对象、列出内容}

对组织容器(此对象及子容器)的权限为 {查看信息存储状态}

Admin 组权限

对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}

对组织容器(仅此对象)的权限为 {读取、列出对象、列出内容}

对管理组容器(仅此对象)的权限为 {读取、列出对象、列出内容}

对管理组容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、查看信息存储状态}

对 MsExchRecipientsPolicyContainer、地址列表容器、寻址、全局设置、系统策略(此对象及子容器)的 权限为 {读取、列出对象、列出内容}

相关文章 热门文章
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • 如何通过Exchange2010 OWA更改过期密码
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 关于Exchange数据库文件过大的正确处理方法
  • Exchange 2007 HUB服务器默认证书过期解决办法
  • Exchange 2010 SP1个人邮件归档配置
  • 邮件系统双雄PK: TurboMail vs Exchange
  • 利用Windows Server Backup备份Exchange 2010 DAG
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • 配置Exchange 2010+Outlook 2010自动发现功能
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号