部署權(quán)限參考

1、本主題說(shuō)明安裝 Microsoft Exchange Server 2010 組織所需的權(quán)限。與管理角色組關(guān)聯(lián)的通用安全組 (USG)，以及其他 Windows 安全組和安全主體，均添加到了各種 Active Directory 對(duì)象的訪問(wèn)控制列表 (ACL) 中。ACL 控制每個(gè)對(duì)象上可執(zhí)行的操作。通過(guò)了解授予給每個(gè)角色組、安全組或安全主體的權(quán)限，可以確定安裝 Exchange 2010 所需的最低權(quán)限。在某些情況下，ACL 不應(yīng)用于常用的屬性 ntSecurityDescriptor，而是應(yīng)用于其他屬性，如msExchMailboxSecu

2、rityDescriptor。目錄服務(wù)不能強(qiáng)制實(shí)現(xiàn) Windows 安全描述符中未指定的安全性。大多數(shù)情況下，將復(fù)制這些 ACL，通過(guò)存儲(chǔ)服務(wù)將 ACL 存儲(chǔ)在相應(yīng)的對(duì)象上。不過(guò)，只有將這些 ACL 作為原始二進(jìn)制數(shù)據(jù)查看的工具。每個(gè)權(quán)限表的列包含以下信息：· 帳戶(hù)：允許或拒絕權(quán)限的安全主體。· ACE 類(lèi)型：訪問(wèn)控制條目 (ACE) 類(lèi)型。· 允許 ACE：“允許 ACE”允許與 ACE 關(guān)聯(lián)的用戶(hù)或組訪問(wèn)郵件。· 拒絕 ACE：“拒絕 ACE”阻止與 ACE 關(guān)聯(lián)的用戶(hù)或組訪問(wèn)郵件。 · 繼承：用于子對(duì)象的繼承類(lèi)型。·

3、“所有”指示權(quán)限應(yīng)用于該對(duì)象及其所有子對(duì)象。· “后代”指示權(quán)限應(yīng)用于“針對(duì)屬性/應(yīng)用于”行中列出的對(duì)象類(lèi)。· “無(wú)”指示這些權(quán)限只應(yīng)用于該對(duì)象。· 權(quán)限：為帳戶(hù)授予的權(quán)限。· 針對(duì)屬性/應(yīng)用于：在某些情況下，權(quán)限只應(yīng)用于給定的屬性、屬性集或?qū)ο箢?lèi)。此處指定了這些受限的權(quán)限。· 注釋?zhuān)喝绻m用，此列說(shuō)明需要這些權(quán)限的原因并提供有關(guān)權(quán)限的其他信息。權(quán)限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上（在 View/Edit 選項(xiàng)

4、卡上 Advanced 視圖中的 Security 屬性頁(yè)）使用的名稱(chēng)在表中列出。ADSI Edit Security 屬性頁(yè)上列出很簡(jiǎn)潔的權(quán)限視圖。LDP 工具 (Ldp.exe) 直接使用數(shù)字值顯示訪問(wèn)掩碼。安裝代碼通過(guò)預(yù)定義的常量引用權(quán)限。下表說(shuō)明這些值之間的關(guān)系。ADSI Edit Summary 頁(yè)ADSI Edit Advanced 視圖，View/Edit 選項(xiàng)卡應(yīng)用于給定對(duì)象的 ACL 條目二進(jìn)制值 （LDP 中的訪問(wèn)掩碼）完全控制完全控制WRITE_OWNER | WRITE_DAC | READ_CONTROL |

5、 DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD0x000F01FF讀取列出內(nèi)容 + 讀取所有屬性 + 讀取權(quán)限ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL0x00020014WriteWr

6、ite All Properties + All Validated WritesACTRL_DS_WRITE_PROP | ACTRL_DS_SELF0x00000028 列出內(nèi)容ACTRL_DS_LIST0x00000004 Read All PropertiesACTRL_DS_READ_PROP0x00000010 Write All PropertiesACTRL_DS_WRITE_PROP0x00000020 刪除DELETE0x00010000 Delete SubtreeACTRL_DS_DELETE_TREE0x0000004

7、0 讀取權(quán)限READ_CONTROL0x00020000 Modify PermissionsWRITE_DAC0x00040000 Modify OwnerWRITE_OWNER0x00080000 All Validated WritesACTRL_DS_SELF0x00000008 All Extended RightsACTRL_DS_CONTROL_ACCESS0x00000100Create All Child ObjectsCreate All Child ObjectsACTRL_DS_CREATE_CHILD0x0000000

8、1Delete All Child ObjectsDelete All Child ObjectsACTRL_DS_DELETE_CHILD0x00000002  ACTRL_DS_LIST_OBJECT0x00000080擴(kuò)展權(quán)限是由各個(gè)應(yīng)用程序指定的自定義權(quán)限。這些權(quán)限在 ACL 中指定。但是，它們對(duì)于 Active Directory 是無(wú)意義的。特定的應(yīng)用程序強(qiáng)制使用任何擴(kuò)展權(quán)限?！癈reate public folder”和“Create named properties in the information store”就是 Exchange 擴(kuò)展權(quán)限

9、的示例。注意：有關(guān)在安裝 Microsoft Exchange Server 2003 期間設(shè)置的權(quán)限的信息，請(qǐng)參閱 在 Exchange Server 2003 中使用 Active Directory 權(quán)限。有關(guān)在安裝 Microsoft Exchange Server 2007 期間設(shè)置的權(quán)限的信息，請(qǐng)參閱 Exchange 2007 安裝權(quán)限參考。  準(zhǔn)備舊版 Exchange 權(quán)限本節(jié)中的權(quán)限表說(shuō)明在執(zhí)行 setup /PrepareLegacyExchangePe

10、rmissions 命令時(shí)設(shè)置的權(quán)限。對(duì)象的可分辨名稱(chēng)：DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于Exchange Enterprise Servers允許 ACE所有Write PropertyExchange Information經(jīng)過(guò)身份驗(yàn)證的用戶(hù)允許 ACE所有讀取屬性Exchange Information對(duì)象的可分辨名稱(chēng)：CN=AdminSDHolder、CN=System、DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于Exchange Enterprise Servers允許 ACE所有讀取屬性Write Pr

11、opertyExchange Information對(duì)象的可分辨名稱(chēng)：CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于Exchange Domain Servers允許 ACE所有Write PropertyExchange Information  準(zhǔn)備 Active Directory 權(quán)限本節(jié)中的權(quán)限表說(shuō)明在執(zhí)行 Setup /PrepareAD 命令時(shí)設(shè)置的權(quán)限。

12、  Microsoft Exchange 容器權(quán)限下表說(shuō)明為配置分區(qū)中的 Microsoft Exchange 容器設(shè)置的權(quán)限。對(duì)象的可分辨名稱(chēng)：CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于注釋Installation Account允許 ACE所有完全控制 此帳戶(hù)用于運(yùn)行 /PrepareAD。組織管理允許 ACE所有完全控制  Exchange 受信任的子系統(tǒng)允許 ACE所有完全控制

13、0; Exchange Servers允許 ACE所有讀取  經(jīng)過(guò)身份驗(yàn)證的用戶(hù)允許 ACE無(wú)讀取屬性列出內(nèi)容  公用文件夾管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象  委派安裝允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象    Microsoft Exchange 自動(dòng)發(fā)現(xiàn)容器權(quán)限下表說(shuō)明配置分區(qū)中的 Microsoft Exchange 自動(dòng)發(fā)現(xiàn)容器中設(shè)置的權(quán)限。對(duì)象的可分辨名稱(chēng)：CN=Microsoft Exchange Autodiscover、CN=S

14、ervices、CN=Configuration、DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于Exchange Servers允許 ACE所有讀取   Microsoft Exchange 組織容器權(quán)限本節(jié)中的權(quán)限表說(shuō)明為配置分區(qū)中的 Microsoft Exchange 組織及其子容器設(shè)置的權(quán)限。對(duì)象的可分辨名稱(chēng)：CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)

15、屬性/應(yīng)用于注釋Enterprise AdminsRoot Domain AdminsInstallation Account組織管理拒絕 ACE所有Send AsReceive As 不允許 Windows 管理員打開(kāi)郵箱。Enterprise AdminsSchema AdminsRoot Domain AdminsInstallation Account組織管理拒絕 ACE所有Exchange Web Services ImpersonationExchange Web Services Token Serialization 擴(kuò)展權(quán)限Enterprise Admin

16、sSchema AdminsRoot Domain AdminsInstallation Account組織管理Exchange Servers拒絕 ACE所有Store Transport AccessStore Constrained DelegationStore Read AccessStore Read Write Access  經(jīng)過(guò)身份驗(yàn)證的用戶(hù)拒絕 ACE后代讀取屬性msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace Exchange Servers允許 ACE所有訪問(wèn)控制

17、  組織管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象  公用文件夾管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象  NT AuthorityNetwork Service允許 ACE所有讀取  Exchange Servers允許 ACE所有Write PropertygroupType Exchange Servers允許 ACE所有Write PropertymsExchOwningServer Exchange Servers允許 ACE所有Write PropertymsE

18、xchMailboxSecurityDescriptor Exchange Servers允許 ACE所有Write PropertymsExchUMServerWritableFlags Exchange Servers允許 ACE所有Write PropertymsExchDatabaseCreated Exchange Servers允許 ACE所有Write PropertymsExchUserCulture Exchange Servers允許 ACE所有Write PropertymsExchMobileMailboxFlags E

19、xchange Servers允許 ACE所有Write PropertysiteFolderGUID Exchange Servers允許 ACE所有Write PropertysiteFolderServer Exchange Servers允許 ACE所有Write PropertymsExchEDBOffline Exchange Servers允許 ACE所有Write PropertyuserCertificate Exchange Servers允許 ACE所有Write PropertymsExchUMDtmfMap Excha

20、nge Servers允許 ACE所有Write PropertymsExchBlockedSendersHash Exchange Servers允許 ACE所有Write PropertyPersonal Information Exchange Servers允許 ACE所有Write PropertyPublic Information Exchange Servers允許 ACE所有Write PropertyExchange Information Exchange Servers允許 ACE所有Write PropertymsExchPat

21、chMDB Exchange Servers允許 ACE所有Write PropertypublicDelegates Exchange Servers允許 ACE所有Write PropertymsExchUMSpokenName Exchange Servers允許 ACE所有Write PropertymsExchUMPinChecksum Exchange Servers允許 ACE所有Write PropertylegacyExchangeDN Exchange Servers允許 ACE所有Write PropertymsExchS

22、afeSendersHash 組織管理允許 ACE所有Create top level public folder  公用文件夾管理允許 ACE所有Create top level public folder  組織管理允許 ACE所有View information store status  公用文件夾管理允許 ACE所有View information store status  組織管理允許 ACE所有Administer information store  公用文件夾管理允

23、許 ACE所有Administer information store  組織管理允許 ACE所有在信息存儲(chǔ)中創(chuàng)建命名屬性  公用文件夾管理允許 ACE所有在信息存儲(chǔ)中創(chuàng)建命名屬性  組織管理允許 ACE所有Modify public folder ACL  公用文件夾管理允許 ACE所有Modify public folder ACL  組織管理允許 ACE所有Modify public folder quotas  公用文件夾管理允許 ACE所有Modify public

24、 folder quotas  組織管理允許 ACE所有Modify public folder admin ACL  公用文件夾管理允許 ACE所有Modify public folder admin ACL  組織管理允許 ACE所有Modify public folder expiry  公用文件夾管理允許 ACE所有Modify public folder expiry  組織管理允許 ACE所有Modify public folder replica list  公

25、用文件夾管理允許 ACE所有Modify public folder replica list  組織管理允許 ACE所有修改公用文件夾已刪除郵件的保留時(shí)間  公用文件夾管理允許 ACE所有修改公用文件夾已刪除郵件的保留時(shí)間  組織管理允許 ACE所有Create public folder  公用文件夾管理允許 ACE所有Create public folder  EveryoneNT AuthorityAnonymous Logon允許 ACE所有在信息存儲(chǔ)中創(chuàng)建命名屬性 

26、0;EveryoneNT AuthorityAnonymous Logon允許 ACE所有Create public folder  EveryoneNT AuthorityAnonymous Logon允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象/ msExchPrivateMDB EveryoneNT AuthorityAnonymous Logon允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象/ msExchPublicMDB Exchange Servers允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對(duì)象/ siteAddressing&#

27、160;對(duì)象的可分辨名稱(chēng)：CN=All Address Lists、CN=Address Lists Container、CN=<organization>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于經(jīng)過(guò)身份驗(yàn)證的用戶(hù)允許 ACE所有列出內(nèi)容 組織管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags公用文件夾管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFla

28、gs對(duì)象的可分辨名稱(chēng)：CN=Offline Address Lists、CN=Address Lists Container、CN=<organization>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于經(jīng)過(guò)身份驗(yàn)證的用戶(hù)允許 ACE所有Download Offline Address Book 對(duì)象的可分辨名稱(chēng)：CN=Addressing、CN=<organization>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于經(jīng)過(guò)身份驗(yàn)證的用戶(hù)允許 ACE所有讀取 對(duì)象的可分辨名稱(chēng)：CN=Recipient Policies、CN=<organization&

29、gt;帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于組織管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags公用文件夾管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags  配置分區(qū)容器權(quán)限  Exchange 管理組權(quán)限  Microsoft Exchange 安全組容器權(quán)限  準(zhǔn)備域 &

30、#160;服務(wù)器角色安裝  創(chuàng)建 SMTP 發(fā)送連接器下表說(shuō)明在創(chuàng)建發(fā)送連接器時(shí)設(shè)置的權(quán)限。對(duì)象的可分辨名稱(chēng)：CN=<Connector Name>、CN=Connections、CN=<routing group>、CN=Routing Groups、CN=<admin group>、CN=<organization>帳戶(hù)ACE 類(lèi)型繼承權(quán)限針對(duì)屬性/應(yīng)用于注釋S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有Send Organization Heade

31、rs 這是集線器傳輸服務(wù)器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有Send Organization Headers 這是邊緣傳輸服務(wù)器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有Send Forest Headers 這是集線器傳輸服務(wù)器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有Send Forest Headers 這是邊緣傳輸服務(wù)器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有發(fā)送 XShadow 這是集線器傳輸服務(wù)器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有發(fā)送 X