处理 Microsoft Exchange 2003 的 Active Directory 权限问题.doc

处理 Exchange Server 2003 的 Active Directory 权限问题 产品版本 审阅者 最新动态 作者 Exchange Server 2003 Exchange 产品开发组 Paul Bowden Ross Smith IV 处理 Exchange Server 2003 的 Active Directory 权限问题 Paul Bowden Ross Smith IV 发布于 2004 年 6 月 适用于 Exchange Server 2003 版权所有 本文档中的信息 包括引用的 URL 和其他 Internet 网站 如有变更 恕不另行通知 除非特别声明 本文档中提及的示例公司 组织 产品 域名 电子邮件地址 徽标 人物 地点和事件纯属虚构 无意与任何真实的公司 组织 产品 域名 电子邮 件地址 徽标 人物 地点或事件有任何关联 也不应进行这方面的推断 遵守所有适用的版权法是用户的责任 Microsoft 的专利 专利申请 商标 版权或其他知识产权可能涉及本文档中的版权问题 除非 Microsoft 的书面许可协议做出了 明确规定 提供本文档并不意味着赋予您这些专利 专利申请 商标 版权或其他知识产权的任何许可 2004 Microsoft Corporation 保留所有权利 Microsoft Active Directory ActiveX Microsoft Press MSDN MS DOS Outlook Windows 和 Windows Server 是 Microsoft Corporation 在美国和 或其他国家或地区的注册商标或商标 本文档中提到的真实公司和产品名称可能是其各自所有者的商标 感谢 项目编辑 Alison Hirsch 参与编写 John Speare Ross TenEyck 技术审核 Al Mulnick Wendy Wilkes Bill Long Abe Berlas Mike Grimm Eric Berg Rosenberg Alexander MacLeod Endo Jezek 图形设计 Kristie Smith 制作 Joe Orzech Sean Pohtilla 目录 简介 9 您将从本指南中学到哪些知识 9 本指南面向的读者 10 本书的组织结构 10 第 1 章 Exchange 数据和 Active Directory 13 架构命名上下文 13 配置命名上下文 13 域命名上下文 14 第 2 章 Exchange 委派和角色 15 Exchange 管理员 完全控制 15 Exchange 管理员 16 Exchange 管理员 仅查看 16 Exchange 管理委派向导授予的有效权限 17 第 3 章 权限 FAQ 19 Active Directory 连接器 19 Exchange Server 2003 部署 22 Exchange Server 2003 管理 29 第 4 章 规划权限分享模型 33 实现权限分享模型 33 访问控制 33 在何处应用权限 34 如何应用权限 34 实现权限更改的先决条件 37 附录 A Exchange 安装过程中授予的权限 41 Exchange 配置树中对象的权限 43 Microsoft Exchange 容器 43 ADC 连接协议 容器 44 组织 容器 44 地址列表 容器 47 寻址 容器 47 收件人更新服务 容器 47 管理组 48 默认顶级层次结构 48 连接 容器 48 服务器 容器 49 服务器对象 49 协议 容器 50 系统助理对象 50 MTA 对象 51 配置命名上下文中其他对象的权限 52 已删除邮件 容器 52 Active Directory 连接器对象 52 域命名上下文中对象的权限 53 域 容器 53 域代理 容器 54 AdminSDHolder 容器 55 Pre Windows 2000 Server Compatible Access 组 56 Exchange Enterprise Servers 组 56 Exchange Domain Servers 组 57 附录 B Exchange 2000 Server 权限 FAQ 59 一般问题 59 Exchange 即时消息 61 Exchange Conferencing Server 62 附录 C 权限分享模型参考 63 用户 组和联系人对象上的 Exchange 相关属性 63 与用户有关的任务 71 已启用邮件的组的相关任务 81 与联系人有关的任务 87 基于查询的通讯组 92 与 GAL 有关的其他用户 组和联系人属性 95 附录 D DSACLS 命令语法片段 97 附录 E 资源 101 本书涉及的资源 101 Active Directory 101 其他资源 102 访问控制 102 资源工具包 102 网站 103 Exchange Server 2003 指南 103 附录 F 为残障人士提供的辅助功能 105 Microsoft Windows 中的辅助功能 105 可下载的辅助功能文件 105 针对需要辅助功能的人士调整 Microsoft 产品 106 免费的循序渐进教程 106 Windows 的辅助技术产品 106 其他格式的 Microsoft 文档 107 为听力有障碍的用户提供的 Microsoft 服务 107 客户服务 107 技术帮助 107 Exchange Server 2003 108 Outlook Web Access 108 获得更多的辅助功能信息 108 简介 处理与 Microsoft Exchange 有关的 Active Directory 目录服务权限可能是一项很复杂的任务 撰 写本文档是为了帮助 Exchange 体系结构设计师了解 Exchange 如何在权限上下文中使用 Active Directory 此外 本文档可作为实现权限分享模型的管理员的参考指南 在许多组织中 Exchange 管理员和 Active Directory 管理员是分开的 这意味着有必要为保持明确 的管理权利边界而委派管理职能 这称为权限分享模型 在此类模型中 操作是分散的 因为有 两个或多个操作组分别管理 Exchange 和 Active Directory 的各个方面 例如 一个操作组可能管 理域和目录林功能 创建 DNS 区域 建立新的域 以及创建用户帐户 而另一个操作组则管理 与 Exchange 有关的功能 安装 Exchange 服务器 管理邮箱 以及建立电子邮件路由 在这些 情况下 必须为所有各方委派确定的权利 以使他们可以在不破坏操作边界和安全边界的情况下 完成规定的工作职能 实现权限分享模型的组织通常希望将授予管理人员的权限限制在可能的范围内 从而确保责任的 可追究性并提高安全性 虽然本指南的大部分内容集中于介绍和配置权限分享模型 但也讲述了其他几个与权限有关的主 题 其中包括 Active Directory 架构命名上下文 域命名上下文和配置命名上下文的解释 围绕 Active Directory 连接器 Exchange Server 2003 部署以及 Exchange Server 2003 管理且与 权限有关的 如何 及 为什么 之类的常见问题 FAQ Exchange 管理委派向导授予的特定权利 运行 Exchange ForestPrep 的过程中授予的特定 权利 如何在域级和组织单位级别为 Active Directory 对象和类别设置权限 您将从本指南中学到哪些知识 本指南将回答下列问题 Active Directory 如何存储和管理 Exchange 用户和配置数据的权限 Exchange 管理委派向导设置哪些权限 以及什么是 有效的 权利或权限 Exchange 安装过程中设置了哪些权限 执行不同的 Exchange 和 Exchange 服务安装分别需要哪些权限 管理不同的 Exchange 功能分别需要哪些权限 如何在 Active Directory 中自定义与 Exchange 有关的权限 以适合组织的管理模型 在 Active Directory 中修改 Exchange 权限可以使用哪些工具 以及如何使用这些工具 10 处理 Exchange Server 2003 的 Active Directory 权限问题 本指南面向的读者 本指南面向 Exchange 体系结构设计师和 Active Directory 部署规划人员 本指南的目的是为这些 管理员提供必要的信息 以使他们了解在安装和管理 Exchange 时所需的权限级别 此外 体系结 构设计师和规划人员可以使用权限分享信息来提供适合于其组织管理模型的详细权限策略 然后 通过使用附录 C 权限分享模型参考 中讨论的 DSACLS 片段 可以实现权限策略 因为每个组织的情况都不同 再加上确定 Active Directory 权限是一个很灵活的过程 所以无法推 荐一个适用于所有组织的权限策略 因此 本指南不是硬性规定 它不提供有关权限模型的建议 请使用本指南中提供的信息实现适合于您组织的权限模型 本书的组织结构 本书分为四个章节和六个附录 要获得最佳阅读效果 请按顺序阅读这些章节 因为每一章都以 前面章节所讨论的概念为基础 第 1 章 Exchange 数据和 Active Directory 本章介绍了 Active Directory 如何在权限上下文中存储和管理 Exchange 配置数据和用户数据 第 2 章 Exchange 委派和角色 本章介绍了 Exchange 管理委派向导授予的权限 以及由于在 Exchange 环境中运行 Exchange 管理委派向导而产生的 有效 权限 第 3 章 权限 FAQ 本章回答了自 Exchange 2000 Server 发布以来 在新闻组 会议和客户访问中提出的有关 Exchange 2000 Server 和 Exchange Server 2003 的权限问题 第 4 章 规划权限分享模型 为了帮助您根据 Exchange 环境的实际情况进行管理 本章说明了如何对 Active Directory 中的 对象和属性应用权限以创建权限分享模型 附录 A Exchange 安装过程中授予的权限 此附录包含 Exchange Server 2003 安装过程中所授予权限的详细说明 并比较了这些权限与 Exchange 2000 Server 安装过程中所授予权限的不同 附录 B Exchange 2000 Server 权限 FAQ 此附录集中讲述与 Exchange 2000 Server 的特征和功能有关的常见问题 FAQ 附录 C 权限分享模型参考 此附录给出了自定义 Exchange 管理环境时可以对其应用权限的所有属性的参考资源 附录 D DSACLS 命令语法片段 此附录解释了本下载中包含的 DSACLS 文本文件 此外 请参阅随同本指南一起下载的 DSACLS Snippets 文件夹 该文件夹中包含附录 D 中提到的 DSACLS 命令片段文本文件 附录 E 资源 此部分包含指向本指南所提资源的链接 此外 还提供指向其他资源的链接 以帮助您最好 地了解 Exchange Server 2003 简介 11 附录 F 为残障人士提供的辅助功能 为了更方便残障人士使用 Microsoft Windows 2000 Server 系列 Windows Server 2003 系列 Exchange Server 2003 和 Microsoft Office Outlook 2003 Microsoft 提供了必要的功能 产品和 服务的信息 此部分即提供有关的信息 第 1 章 Exchange 数据和 Active Directory 阅读 Active Directory 目录服务中与 Exchange 有关的权限的详细信息之前 了解 Microsoft Exchange 数据与 Active Directory 之间的一般关系很重要 本章简要说明了这一关系 在 Active Directory 中 数据存储划分为三个逻辑区段 这些区段称为命名上下文 每个命名上下 文都单独在目录林中存储同一命名上下文的副本的域控制器之间复制其更改 架构命名上下文 配置命名上下文 域命名上下文 可以使用 ADSI Edit MMC 管理单元查看这些命名上下文及其内容 ADSI Edit MMC 管理单元是 随同 Windows 支持工具一起安装的 可以双击 Windows Server 2003 CD 上 Support Tools 目录 中的 Suptools msi 文件来启动 Windows 支持工具安装程序 架构命名上下文 每个目录林都只有一个架构命名上下文 架构命名上下文包含可以在 Active Directory 中实例化的 所有对象的定义 它还存储可作为对象的一部分存在于 Active Directory 中的所有属性的定义 每 个域控制器都有架构目录分区的一个完全可写副本 尽管架构更新只允许发生在作为架构操作主 控制器的域控制器上 对于可以在 Active Directory 目录林中实例化的每个对象类别 架构命名上下文根对象中都包含一 个相应的子对象 而对于可作为对象的一部分存在于 Active Directory 目录林中的每个属性 架构 命名上下文根对象中都包含一个相应的对象 Exchange 2000 Server 和 Exchange Server 2003 扩展架构 以便 Exchange 对象 例如 已启用邮件 的收件人 Exchange 数据库 可以在组织中实例化 没有扩展架构所需的 Exchange 相关权限 此功能专供目录林中的 Schema Administrators 使用 配置命名上下文 每个目录林都只有一个配置命名上下文 该上下文存储目录林级的配置数据 这些数据是 Active Directory 作为一项目录服务正常工作所必需的 例如 确保正常复制所需的全部信息都存 储在配置分区中 该分区中还存放与站点拓扑有关的信息 Active Directory 用来构建目录树层次 结构的信息也存储在配置目录分区中 特定于服务的网络级信息 应用程序用它来连接到目录林 中的服务实例 也是如此 每个域控制器都有配置目录分区的一个完全可写副本 Exchange 2000 Server 和 Exchange Server 2003 在此命名上下文中存储其配置 具体地说 是在 cn Microsoft Exchange cn Services cn Configuration dc 中存储其配置 Exchange 存储在配置命名上下文中的数据通过安全权限 使用 Exchange 委派向导在 Exchange 系统管理器 中配置 保护起来 以防止未授权访问 14 处理 Exchange Server 2003 的 Active Directory 权限问题 要点 Enterprise Administrators 和根域的 Domain Administrators 无需 Exchange 委派向导授予 的权利 即可执行与 Exchange 有关的功能 尽管这些管理员没有 完全控制 权限 但具有 许多权利 他们不具有的权限只有 完全控制 删除子项 删除树 和 特别的权 限 例如 根域的 Domain Administrators 和 Enterprise Administrators 可以卸除和装入 Exchange 存储 域命名上下文 每个域都由域命名上下文表示 域命名上下文存储该域的用户 计算机 组以及其他对象 加入 到域的所有域控制器都共享域目录分区的一个完全可写副本 此外 目录林中驻留全局编录的所 有域控制器也驻留目录林中其他每个域命名上下文的一个局部的只读副本 域命名上下文主要存 储域内容 即用户 组和计算机信息 但是 一些特定于域的配置数据也存储在域目录分区的 系统 容器中 对于 Exchange 2000 Server 和 Exchange Server 2003 而言 域命名上下文是存储已启用邮件的收件人 的位置 要对已启用邮件的收件人执行操作 可能要求对 Exchange 组织和对象均有一定的权限 第 2 章 Exchange 委派和角色 使用 Exchange 系统管理器 可以委派权限 可以使用 Exchange 管理委派向导并通过角色来委派 权限 角色是基于方案的 因此 组织管理员可以使用户或组成为 Exchange 组织的次级管理员 从而授予对某些对象的有限访问权限 在 Exchange 委派向导中选择角色将在 Active Directory 目 录服务中设置许多具体权限 企业管理员可能希望更深入更准确地了解委派向导对 Active Directory 所做更改的详细信息 本章 说明了这些更改 使用 Exchange 管理委派向导 可以在 Active Directory 配置命名上下文中的 Microsoft Exchange 容器级别应用权限 并在整个组织中继承这些权限 这些权限不授予对存储在目录林域命名上下 文 即存储用户 组和联系人对象的位置 中的对象的任何访问权限 从而实现更高级别的安全 性和隔离性 以下各部分介绍了为在 Exchange 管理委派向导中指定的每个角色授予的权限 Exchange 管理员 完全控制 当为某个用户或组分配 Exchange 管理员 完全控制 权限时 该用户或组可以充分地管理 Exchange Server 计算机信息并修改权限 拥有 Exchange 管理员 完全控制 权限的用户具有以下 权利 组织权利 对 MsExchConfiguration 容器 此对象及其子容器 的完全控制权限 对 组织 容器 此对象及其子容器 的拒绝 Receive As 权限和拒绝 Send As 权限 对配置命名上下文 Config NC 此对象及其子容器 中的 已删除对象 容器的读取权限和 更改权限 管理组权利 对 MsExchConfiguration 容器 仅限于此对象 的读取 列出对象和列出内容权限 对 组织 容器 此对象及其子容器 的读取 列出对象和列出内容权限 对 管理员组 容器 此对象及其子容器 的完全控制权限以及拒绝 Send As 权限和拒绝 Receive As 权限 对 连接 容器 此对象及其子容器 的完全控制权限 更改权限除外 对 脱机地址列表 容器 此对象及其子容器 的读取 列出对象 列出内容和写入属性 权限 16 处理 Exchange Server 2003 的 Active Directory 权限问题 Exchange 管理员 当为某个用户或组分配 Exchange 管理员权限时 该用户或组可以充分地管理 Exchange Server 计 算机信息 拥有 Exchange 管理员权限的用户具有以下权利 组织权利 对 MsExchConfiguration 容器 此对象及其子容器 的所有权限 更改权限除外 对 组织 容器 此对象及其子容器 的拒绝 Receive As 权限和拒绝 Send As 权限 管理组权利 对 MsExchConfiguration 容器 仅限于此对象 的读取 列出对象和列出内容权限 对 组织 容器 此对象及其子容器 的读取 列出对象和列出内容权限 对 管理员组 容器 此对象及其子容器 的所有权限 更改 拒绝 Send As 权限和拒绝 Receive As 权限除外 对 连接 容器 此对象及其子容器 的所有权限 更改权限除外 对 脱机地址列表 容器 此对象及其子容器 的读取 列出对象 列出内容和写入属性权限 Exchange 管理员 仅查看 当为某个用户或组分配 Exchange 管理员 仅查看 权限时 该用户或组可以查看 Exchange Server 配置信息 拥有 Exchange 管理员 仅查看 权限的用户具有以下权利 组织权利 对 MsExchConfiguration 容器 此对象及其子容器 的读取 列出对象和列出内容权限 对 组织 容器 此对象及其子容器 的 View Information Store Status 权限 管理组权利 对 MsExchConfiguration 容器 仅限于此对象 的读取 列出对象和列出内容权限 对 组织 容器 仅限于此对象 的读取 列出对象和列出内容权限 对 管理员组 容器 仅限于此对象 的读取 列出对象和列出内容权限 对 管理员组 容器 此对象及其子容器 的读取 列出对象 列出内容和 View Information Store Status 权限 对 MsExchRecipientsPolicy 容器 地址列表 容器 寻址 全局设置 系统策略 此对象及其子容器 的读取 列出对象以及列出内容权限 第 2 章 Exchange 委派和角色 17 Exchange 管理委派向导授予的有效权限 使用 Exchange 管理委派向导可以在组织级别和管理组级别定义角色 定义角色时 会在授予角色 的同时创建 有效的 权限 有效的权限是作为所授予权限的副产品授予的权限 例如 当在组 织级别为某个组分配仅查看权限时 该组还将拥有管理组级别的仅查看权限 因此 该组的有效 或实际 权限是组织级别和管理组级别的仅查看权限 更具体地说 在管理组级别 Exchange 管理员包括 Exchange 管理员 仅查看 在组织级别 Exchange 管理员 完全控制 同时包括 Exchange 管理员和 Exchange 管理员 仅查看 在 组织级别 组织级别的 Exchange 管理员 仅查看 此外 在组织级别 Exchange 管理员 仅查看 包括管理组级别的 Exchange 管理员 仅查看 Exchange 管理员包括组织级别的 Exchange 管理员 仅查看 而后者又为 Exchange 管理员 授予管理组级别的 Exchange 管理员 仅查看 权限 Exchange 管理员 完全控制 同时包括组织级别和管理组级别的其他所有权限 表 2 1 概括地对比了有效权限和授予权限 表 2 1 有效权限与授予权限 有效权限 AG View AG Adm in AG Full Admin ORG V iew ORG Admin ORG Full Admin 授予的权限 AG Exchange 管理 员 仅查看 是无无是无无 AG Exchange 管理员 是是 无是无无 AG Exchange 管理 员 完全控制 是是 是 是无无 ORG Exchange 管理员 仅查看 是无无是无无 ORG Exchange 管理员 是是无是是无 ORG Exchange 管 理员 完全控制 是是是是是是 仅限于本地管理组 AG 管理组级别 ORG 组织级别 第 3 章 权限 FAQ 此部分回答了自 Microsoft Exchange 2000 Server 推出以来所收集的有关权限的常见问题 FAQ 其中的大部分 FAQ 同时适用于 Exchange 2000 Server 和 Microsoft Exchange Server 2003 有些 FAQ 仅适用于 Exchange Server 2003 对于这些 FAQ 会注明这一情况 要详细了解特定于 Exchange 2000 Server 功能的权限 请参阅附录 B Exchange 2000 Server 权限 FAQ 此部分的许多解答详细介绍了可以进行哪些权限更改以授予或禁用访问权限 如果不熟悉可用来 进行权限更改的工具 请参阅本指南后面的 实现权限分享模型 Active Directory 连接器 在 Microsoft Windows 2000 或 Windows Server 2003 Active Directory 目录林中安装第一 个 Active Directory 连接器 ADC 需要哪些权限 要安装第一个 Active Directory 连接器 ADC 必须更新 Active Directory 的架构并将二进制文件 复制到本地计算机上 因此 必须以拥有下列权限的用户身份登录 Schema Admins Enterprise Admins 目标 ADC 服务器上的本地 Administrators 组的成员 或者 Schema Admins 组的管理员可以在运行 Active Directory 连接器安装程序时使用 SchemaOnly 命令行开关 以扩展 Active Directory 架构 在此方案中 实际安装 ADC 服务的人 不必是 Schema Admins 组的成员 此方法的一个优势是 如果公司对架构具有非常严格的控制 则负责监视架构的人员可以进行必要的架构调整 并且 ADC Exchange 管理员可以独立地执行其 工作 建议您在部署 ADC 服务时按照 Exchange Server 2003 部署指南 中定义的最佳做法进行操作 建议的最佳做法是先运 行 ForestPrep 再运行 DomainPrep 然后安装 ADC 服务 在 Active Directory 目录林中安装后续 Active Directory 连接器服务器需要哪些权限 由于架构已更新 因此需要下列 Active Directory 权限来安装其他连接器 域管理员 目标 ADC 服务器上的本地 Administrators 组的成员 ADC 安装程序具有硬编码的先决条件 即您必须属于 Active Directory 中的 Domain Admins 组 即便您只打算在一台计算机上安装 ADC 管理 管理单元 也必须属于该组 20 处理 Exchange Server 2003 的 Active Directory 权限问题 安装 Active Directory 连接器服务时 需要输入服务帐户 为什么在 Exchange 服务以 LocalSystem 身份启动时 也必须输入服务帐户 该服务帐户必须拥有哪些权限 ADC 要求输入一个服务帐户 因为一部分 ADC 技术是在 Windows Server 操作系统中提供的 Exchange 能够为安装服务器而准备 Active Directory 目录林和域 分别使用 ForestPrep 和 DomainPrep 此准备工作的一部分包括为 LocalSystem 服务设置对 Active Directory 的权限 由 于 ADC 能够在不安装 Microsoft Exchange 2000 Server 或 Exchange Server 2003 的情况下使用 因 此使用一个单独的服务帐户来实现这一功能 ADC 服务帐户必须拥有下列权限 目标 ADC 服务器上的本地 Administrators 组的成员 以写入链路状态算法 或 LSA 全局 机密 Enterprise Admins 组的成员 如果 ADC 用在没有 Exchange 2000 Server 或 Exchange Server 2003 的 Windows 2000 或 Windows Server 2003 环境中 Enterprise Admins 组的成员或者组织级别的 Exchange 管理员 完全控制 角色 如果 ADC 除了用在 Windows 2000 或 Windows Server 2003 中 还用在 Exchange 2000 Server 或 Exchange Server 2003 中 有关 ADC 如何写入到 LSA 全局机密 的详细信息 请参阅 Microsoft 知识库文章 253830 XADM How the Active Directory Connector Stores Passwords company ExAdminGroup RPWP homeMTA user company ExAdminGroup RPWP targetAddress user company ExAdminGroup RPWP msExchHomeServerName user company ExAdminGroup WP proxyAddresses user company ExAdminGroup WP msExchPoliciesExcluded user company ExAdminGroup WP mail user 36 处理 Exchange Server 2003 的 Active Directory 权限问题 company ExAdminGroup WP textEncodedORAddress user company ExAdminGroup WP displayName user 3 如果成功 该命令将在命令提示窗口中输出修改后的 Windows NT 安全描述符 并显示 The command completed successfully 应用此命令后 ExAdminGroup 安全组可以管理电子邮件地址 显示名 并移动包含在 UsersContainer 组织单位层次结构中的所有用户的邮箱 使用 ADSI Edit 应用权限 可以将 ADSI Edit 看作 Active Directory 的低级编辑器 使用 ADSI Edit 管理员可以查看目录 包 含架构信息 中的所有对象 及关联的属性 修改对象 以及在对象上设置访问控制列表 使用 ADSI Edit 设置权限 1 打开 ADSI Edit 在 操作 菜单上 单击 Connect To 然后指定要对其进行更改的域 单击 OK 2 展开 域命名上下文 Domain NC 层次结构 直到出现相应的容器 OU UsersContainer DC company DC com 3 用鼠标右键单击该容器 然后选择 属性 4 单击 安全 选项卡 然后单击 高级 5 在 组名的高级安全设置 中 单击 添加 然后选择组对象 Company ExAdmin Group 单击 确定 6 在 用户的权限项目 中 单击 属性 选项卡 然后选择列表中的 用户对象 以更改 应用到 字段 7 对下面的每个属性权利 选择 允许 权限 读取代理服务器地址 读取 msExchPoliciesExcluded 读取电子邮件地址 读取 textEncodedORAddress 读取 displayName 读取 Exchange 邮箱存储 读取 targetAddress 读取 homeMTA 写入代理服务器地址 写入 msExchPoliciesExcluded 写入电子邮件地址 写入 textEncodedORAddress 写入 displayName 写入 Exchange 邮箱存储 第 4 章 规划权限分享模型 37 读取 Exchange 主服务器 写入 Exchange 主服务器 写入 targetAddress 写入 homeMTA 8 单击 确定 实现这些权利后 ExAdminGroup 安全组可以管理电子邮件地址 显示名 并移动包含在 UsersContainer 组织单位层次结构中的所有用户的邮箱 实现权限更改的先决条件 要实现本指南中讨论的权限更改 必须确保 Exchange 环境是最新的 Exchange Server 2003 要实现本文档中讨论的权限更改 必须安装 Service Pack 1 for Exchange Server 2003 如果环境是混合模式环境 也就是说 既有运行 Exchange 2000 Server 的服务器 也有运行 Exchange Server 2003 的服务器 则强烈建议您仅使用 Exchange Server 2003 系统管理器来管理 Exchange 2000 Server 和 Exchange Server 2003 对象 Exchange 2000 Server 必须在安装了 Exchange 2000 Server 系统管理器的任何系统上安装下列 Exchange 2000 Server 项目 Service Pack 3 for Exchange 2000 Server and Exchange 2000 Server Enterprise Server April 2004 Exchange 2000 Server Post Service Pack 3 Rollup 附录 附 录 A Exchange 安装过程中授予的权限 此部分中的每个权限表首先列出该权限所适用的对象的可分辨名称 然后 列出应用权利的时间 例如 服务器安装过程中的 ForestPrep 阶段 在某些情况下 访问控制列表 ACL 不在普通的属性 ntSecurityDescriptor 上应用 但在其他的 一些属性上应用 例如 msExchMailboxSecurityDescriptor 目录服务无法强制实现未在 Microsoft Windows NT 安全描述符中指定的安全性 在大多数情况下 存储服务将复制这些 ACL 以便在相应的对象上存储 ACL 遗憾的是 没有可用来查看非原始二进制数据形式的 ACL 的工具 权限表的各列如下所示 帐户 被授予或拒绝权限的安全主体 A 如果是 允许 访问控制条目 ACE 则选中 D 如果是 拒绝 ACE 则选中 允许 和 拒绝 是互相排斥的 I 如果此 ACE 由子对象继承 则选中 权利 如果此 ACE 由子对象继承 则选中 在以下属性上 适用于 在某些情况下 权限仅应用于给定的属性 属性集或对象类别 如果 属于这种情况 则在此处指出 备注 要求此权限的原因 或者有关权限的其他信息 被 Microsoft Exchange Server 2003 安装程序删除的权限通过带双删除线的字体 例如 双删除线 表示 这些权限在 Exchange 2000 Server 中设置 但是之后已从安全模型中删除 表中列出的权限通常使用在 ADSIEdit 安全 属性页 高级视图和 查看 编辑 选项卡中使用 的名称 ADSIEdit 安全 属性页中列出的权利看起来要密集得多 LDP 工具 Ldp exe 直接显 示数值形式的访问掩码 安装程序代码通过预定义的常数来引用权利 表 A 1 归纳了这些值之间的关系 表 A 1 值之间的关系 ADSIEdit 摘要 页ADSIEdit 高级 页 查看 编辑 选项卡 定义二进制值 LDP 中的 掩码 完全控制完全控制WRITE OWNER WRITE DAC READ CONTROL DELETE ACTRL DS CONTR OL ACCESS ACTRL DS LIST O 0 x000F01FF 42 处理 Exchange Server 2003 的 Active Directory 权限问题 ADSIEdit 摘要 页ADSIEdit 高级 页 查看 编辑 选项卡 定义二进制值 LDP 中的 掩码 BJECT ACTRL DS DELET E TREE ACTRL DS WRITE PROP ACTRL DS READ PROP ACTRL DS SELF ACTRL DS LIST ACTRL DS DELET E CHILD ACTRL DS CREAT E CHILD 读取列出内容 读取全部属性 读取权限 ACTRL DS LIST ACTRL DS READ PROP READ CONTROL 0 x00020014 写入写入全部属性 所有验证的写入 ACTRL DS WRITE PROP ACTRL DS SELF 0 x00000028 列出内容ACTRL DS LIST0 x00000004 读取全部属性ACTRL DS READ PROP 0 x00000010 写入全部属性ACTRL DS WRITE PROP 0 x00000020 删除DELETE0 x00010000 删除子目录树ACTRL DS DELET E TREE 0 x00000040 读取权限READ CONTROL0 x00020000 修改权限WRITE DAC0 x00040000 修改所有者WRITE OWNER0 x00080000 所有验证的写入ACTRL DS SELF0 x00000008 所有扩展的权利ACTRL DS CONTR OL ACCESS 0 x00000100 附录 A Exchange 安装过程中授予的权限 43 ADSIEdit 摘要 页ADSIEdit 高级 页 查看 编辑 选项卡 定义二进制值 LDP 中的 掩码 创建所有子对象创建所有子对象ACTRL DS CREAT E CHILD 0 x00000001 删除所有子对象删除所有子对象ACTRL DS DELET E CHILD 0 x00000002 ACTRL DS LIST O BJECT 0 x00000080 扩展的权利是各个应用程序指定的自定义权利 它们在 ACL 中指定 但对于目录服务没有意义 任何扩展的权利都由特定的应用程序强制实现 例如 创建公用文件夹 或 Create named properties in the information store 就是 Exchange 扩展权利 Exchange 配置树中对象的权限 Microsoft Exchange 容器 cn Microsoft Exchange cn Services cn Configuration dc 帐户ADI权利在以下属性上 适用于 备注 ForestPrep 阶段 Authenticated UsersX列出内容 读取全部属性 不适用允许 DomainPrep 读取 Full Org Admins 指定的管理员帐户XX完全控制不适用允许 Full Org Admin 管理组织 服务器安装过程中 Exchange Domain Servers XX读取权限 读取全部属性 列出内容 不适用允许 Exchange 服 务器读取配置信息 ADC 安装过程中 Exchange 服务XX完全控制不适用允许 ADC 服务器 创建 删除对象以 使 Exchange 配置 保持最新 44 处理 Exchange Server 2003 的 Active Directory 权限问题 ADC 连接协议 容器 cn Active Directory Connections cn Microsoft Exchange cn Services cn Configuration dc 帐户ADI权利在以下属性上 适用于 备注 服务器安装过程中 Exchange Domain Servers XX完全控制不适用无 组织 容器 cn cn Microsoft Exchange cn Services cn Configuration dc 帐户ADI权利在以下属性上 适用于 备注 ForestPrep 阶段 Authenticated UsersX读取全部属性 ACTRL DS LIST OBJECT 不适用允许 DomainPrep 读取 Full Org Admins 指定的管理员帐户XXSend As不适用不允许 Exchange 管理员打开邮箱 指定的管理员帐户XXReceive As不适用不允许 Exchange 管理员打开邮箱 服务器安装过程中 Enterprise AdminsXXSend As不适用不允许 Windows NT 管理 员打开邮箱 Enterprise AdminsXXReceive As不适用不允许 Windows NT 管理 员打开邮箱 根域的 Domain Admins XXSend As不适用不允许 Windows NT 管理 员打开邮箱 根域的 Domain Admins XXReceive As不适用不允许 Windows NT 管理 员打开邮箱 附录 A Exchange 安装过程中授予的权限 45 cn cn Microsoft Exchange cn Services cn Configuration dc 帐户ADI权利在以下属性上 适用于 备注 EveryoneXX创建顶级公用 文件夹 不适用 请参阅本表的 脚注 EveryoneXX创建公用文件夹不适用无 EveryoneXXCreate named properties in the information store 不适用无 EveryoneXX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 msExchPrivateMD B 无 EveryoneXX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 msExchPublicMD B 无 Everyone XX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 mTA 请参阅本表的 脚注 Anonymous LogonXX创建顶级公用 文件夹 不适用 请参阅本表的 脚注 Anonymous LogonXX创建公用文件夹不适用在 Microsoft Windows Server 2003 中 Everyone 不再 包括 Anonymous Logon 因此这 些权利是明确授 予的 Anonymous LogonXXCreate named properties in the information store 不适用无 46 处理 Exchange Server 2003 的 Active Directory 权限问题 cn cn Microsoft Exchange cn Services cn Configuration dc 帐户ADI权利在以下属性上 适用于 备注 Anonymous LogonXX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 msExchPrivateMD B 无 Anonymous LogonXX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 msExchPublicMD B 无 Anonymous LogonXX读取权限 读取全部属性 列出内容 ACTRL DS LIST OBJECT 适用于以下对象 类别 mTA 请参阅本表的 脚注 Exchange Domain Servers XX所有扩展的权利不适用无 Exchange Domain Servers XX创建所有子对象不适用无 Exchange Domain Servers XX写入属性属性集 公用信息 维持已启用邮件 的配置对象 如 MAD Exchange Domain Servers XX写入属性属性集 个人信息 维持已启用邮件 的配置对象 如 MAD Exchange D