当您作为虚拟组织的宿主时如何管理地址列表

本文分步说明如何创建全局地址列表以及如何设置全局地址列表的安全级别以便只有特定的组才能查看它们。

当您在宿主环境中使用 Exchange 2003 时，必须创建多个全局地址列表。根据您创建的轻型目录访问协议 (LDAP) 筛选器，地址列表中通常会列出不同的用户帐户。默认情况下，Exchange 2003 组织中的所有用户都可以查看所有已定义的全局地址列表。在某些情况下，这可能让人无法接受，例如当一个公司充当其他公司的电子邮件宿主时。然而，您可以将对特定地址列表的访问限制为特定用户组。

如何创建多个全局地址列表

注意：在下列步骤中，术语“虚拟组织”指您为其创建全局地址列表的公司。

在说明如何创建全局地址列表的过程中，步骤 1 和步骤 2 必须由管理员执行。若要创建全局地址列表，请按照下列步骤操作：

1.	以管理员身份登录。
2.	为每个虚拟组织创建一个组织单位，然后在该组织单位中创建一个全局安全组。
3.	将每个虚拟组织的所有成员添加到您在步骤 2 中为该虚拟组织创建的全局组。
4.	要更改默认全局地址列表的安全性以便用户无法访问它，请按照下列步骤操作： a. 启动 Exchange 系统管理器。 b. 展开“收件人”，然后展开“所有全局地址列表”。 c. 右键单击“默认全局地址列表”，然后单击“属性”。 d. 单击“安全”选项卡。 e. 在“名称”部分中，单击“Authenticated Users”组，单击“权限”部分下的“列出内容”，然后单击以选中“拒绝”复选框。 f. 在“权限”部分中，请确保未选中“读取”的“允许”复选框。 g. 在“名称”部分中，单击“每个人”组，然后确保未选中“权限”部分下的任何“允许”复选框。 h. 单击“应用”。 i. 当您接收到以下消息时，请单击“是”，然后单击“确定”： 小心！“拒绝”项优先于“允许”项，后者可能由于组成员身份而导致意外影响。
5.	为每个虚拟组织创建一个新全局地址列表，然后对每个新全局地址列表分配一个筛选器，该筛选器用于标识属于该虚拟组织的用户。为此，请按照下列步骤操作： a. 右键单击“所有全局地址列表”，然后单击“新建全局地址列表”。 b. 为新的全局地址列表键入名称，然后单击“筛选规则”。 c. 单击“高级”选项卡。 d. 为组成员身份创建筛选条件。为此，请按照下列步骤操作： • 依次单击“字段”、“用户”和“成员属于”。 • 在“条件”框中，单击“是(完全一致)”，在“值”框中键入组的可分辨名称，然后单击“添加”。 注意：在“值”框中键入组的显示名称并不能产生所需的结果。 • 单击“立即查找”。 e. 单击“确定”，然后单击“完成”。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 321723 (http://support.microsoft.com/kb/321723/) 如何基于用户的组成员身份创建地址列表 f. 对于为虚拟组织创建的每个全局地址列表，重复步骤 A 至步骤 E。

如何更改全局地址列表的安全性

更改每个新全局地址列表的安全性

按照这些步骤操作将允许虚拟组织的成员查看该全局地址列表的成员，并阻止所有其他用户查看这些项。

注意：仅当您使用组织单位（而非其他标准，如部门或办公地点）管理人员时，此过程才适用于邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4rev1 (IMAP4) 客户端。

1.	在“Exchange 系统管理器”中，右键单击新全局地址列表，然后单击“属性”。
2.	单击“安全”选项卡。
3.	单击以清除“允许将来自父系的可继承权限传播给该对象”复选框，然后在提示您复制现有的权限时，请进行复制。
4.	在“名称”部分中，单击“Authenticated Users”组名称，然后确保未选中“权限”部分中“读取”或“列表”的“允许”复选框。
5.	单击“添加”，单击与相应的虚拟组织相对应的全局组，然后将其添加到列表中。
6.	在“权限”部分中，单击以清除“读取”、“执行”、“读取权限”、“列出内容”、“读取属性”和“列出对象”之外的所有权限，然后单击“确定”。
7.	当您收到以下消息时，单击“是”，然后单击“确定”。 小心！“拒绝”项优先于“允许”项，后者可能由于组成员身份而导致意外影响。
8.	单击“完成”。 重要说明：完成这些步骤后，Microsoft Outlook Web Access (OWA) 用户可能使用查找名称功能查看用户，包括那些不在同一组织单位中的用户。要防止用户查看其他组织单位中的用户，请按照下一过程中的步骤操作。

修改每个用户的 msExchQueryBaseDN 属性

要限制 Outlook Web Access 的目录服务搜索的范围，请设置每个用户对象的“msExchQueryBaseDN”属性。为 msExchQueryBaseDN 属性指定的值会限制用户可执行的搜索和模糊名称解析查询。使用“ADSI 编辑”管理单元对用户对象设置“msExchQueryBaseDN”属性。为此，请按照下列步骤操作。警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端，并且不恰当地修改了 Active Directory 对象的属性，则可能导致严重问题。要解决这些问题，您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安装。Microsoft 不保证您能够解决因为 Active Directory 对象属性修改不当而产生的问题。修改这些属性需要您自担风险。

1.	以管理员身份登录到域控制器。
2.	启动“ADSI 编辑”。为此，请按照下列步骤操作： a. 安装 Windows 2000 支持工具。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 246926 (http://support.microsoft.com/kb/246926/) Windows 2000 中包含的支持工具的文件夹列表 b. 使用 Regsvr32 注册 Adsiedit.dll 文件。为此，请按照下列步骤操作： 1. 单击“开始”，然后单击“运行”。 2. 在“打开”框中，键入如下行，然后单击“确定”： regsvr32 "drive:\program files\support tools\adsiedit.dll" c. 打开 Microsoft 管理控制台 (MMC)，然后添加“ADSI 编辑”。
3.	在根目录中，右键单击“ADSI 编辑”，然后单击“连接到”。
4.	在“连接”对话框中，单击“命名上下文”中的“域 NC”，然后单击“确定”。
5.	单击要登录的计算机或域，然后单击“确定”。 或者，单击“确定”以使用您登录到的域或服务器。
6.	展开“域 NC”，然后展开“dc=domain,dc=com”。
7.	找到并展开适当的组织单位，右键单击要对其设置查看限制的用户，然后单击“属性”。
8.	在“选择一个要查看的属性”列表中，单击“msExchQueryBaseDN”。
9.	复制该用户所属的组织单位的可分辨名称，然后将其粘贴到“编辑属性”框中。 例如，您可能粘贴以下项：ou=customer1,dc=domain,dc=com
10.	单击“设置”，然后单击“确定”。 注意：通过对用户对象设置“msExchQueryBaseDN”属性，您可以限制由模糊名称解析功能和全局地址列表查找功能以邮件方式返回的目录项的可见性。您可以将该属性的值设置为对象容器的可分辨名称（公用名或组织单位），或将其设置为地址列表。在第一种方案中，可分辨名称用作全局地址列表查询和模糊名称解析查询的基本可分辨名称。在第二种方案中，可分辨名称必须与目录对象的“ShowInAddressBook”值之一相匹配，它才能由模糊名称解析或全局地址列表搜索返回。