Microsoft Exchange Server 产品部门程序管理员 Paul Bowden
2000年11月 有关最新信息,请参阅
http://www.microsoft.com/exchange/techinfo/reskit.htm。
简介 本白皮书说明安装和管理 Microsoft%26reg; Exchange 2000 Server 所需的最低权限。
请注意,执行希望的操作时,可能无需显式设置本文档中所述的角色,因为角色可以是超集。
例如,在管理组级别: Exchange 管理员包括 Exchange 只查看管理员。 Exchange 完全控制管理员同时包括 Exchange 管理员和 Exchange 只查看管理员 。 此外,在组织级别: Exchange 只查看管理员包括管理组级别的 Exchange 只查看管理员。 Exchange 管理员包括组织级别的 Exchange 只查看管理员,以及管理组级别的 Exchange 管理员和 Exchange 只查看管理员。 Exchange 完全控制管理员包括组织级别和管理组级别的所有其它权限。 下面的图表所示为有效权限与许可权限。
许可权限
有效权限
AG:查看
AG:管理员
AG:完全控制管理员
ORG:查看
ORG:管理员
ORG:完全控制管理员
AG:Exchange 只查看管理员
是*
AG:Exchange 管理员
是*
是*
AG:Exchange 完全控制管理员
是*
是*
是*
ORG:Exchange 只查看管理员
是
是
ORG:Exchange 管理员
是
是
是
是
ORG:Exchange 完全控制管理员
是
是
是
是
是
是
* = 仅限于本地管理组
AG = 管理组级别
ORG = 组织级别
有关这些角色许可权限的详细信息,请参阅附录 B。
Active Directory 连接器 要在 Microsoft Windows%26reg; 2000 Active Directory 目录林中安装第一个 Active Directory%26#8482; 连接器 (ADC),需要什么权限?要安装第一个 Active Directory 连接器 (ADC),需要更新 Active Directory 服务架构,还需将二进制文 件复制到本地计算机。因此,您需以具有下列 Active Directory 权限的用户身份登录: Schema Admins Enterprise Admins 目标计算机上本地 administrators 组的成员 另一可选方案是:Schema Admins 组中的管理员可在 ADC 安装程序中使用 /SchemaOnly 开关,以 便对 Active Directory 进行添加操作。此方案中,实际安装 ADC 服务的人员不必是 Schema Admins 组的成 员。此方法的优点在于,如果公司具有非常严格的架构控制,这些人即可进行所需的架构调整,并且 ADC/Exchange 管理员可独立执行其作业。
要在 Active Directory 目录林中继续安装其它 Active Directory 连接器,需要什么权限?因为架构已更新,所以接着安装其它 ADC 时需要下列 Active Directory 权限: Enterprise Admins 目标计算机上本地 Administrators 组的成员 安装 Active Directory 连接器时,需要输入服务帐户。为什么 Exchange 2000 服务以 LocalSystem 启 动时,需要该服务帐户?该服务帐户将需要什么权限?ADC 需要服务帐户是因为 ADC 技术的子集随附于 Windows 2000 操作系统。Exchange 2000 中的功能可为 安装服务器准备 Active Directory 目录林和域(通过使用 ForestPrep 和 DomainPrep)。其中部分准备包括 将 LocalSystem 服务的权限设置为 Active Directory。因为可在不安装 Exchange 2000 的情况下使用 ADC, 所以要获得同样功能,就需使用单独的服务帐户。
ADC 服务帐户要求下列权限: 内置 Administrators 组成员 如果 ADC 在未安装 Exchange 2000 的 Windows 2000 环境中使用,则需为 Enterprise Admins 组的成员 如果 ADC 在同时安装有 Exchange 2000 和 Windows 2000 的环境中使用,则需 为 Enterprise Admins 组的成员或拥有 Exchange 完全控制管理员的角色 在 Active Directory 连接器中创建连接协议时,需要指定访问 Active Directory 和 Exchange 5.5 目 录服务的凭据。该帐户需要什么权限?所需权限为: Exchange 5.5 Exchange 5.5 站点命名上下文的管理员角色 Exchange 5.5 组织命名上下文的管理员角色 Active Directory 本地域的 Domain Admins Exchange 2000 组织的 Exchange 只查看管理员角色 Exchange 2000 安装 Exchange 2000 时若要运行 /ForestPrep 开关,需要什么权限?ForestPrep 将更新 Active Directory 架构并创建 Exchange 组织对象。此外,您将有机会指定第一个 Exchange 2000 管理员(此管理员可以是用户或组对象)。要登录到 Active Directory,您需是具有下列权限 的用户: Schema Admins Enterprise Admins ForestPrep 必须在包含 Active Directory 主架构的域中运行。该域默认为目录林中的根域。
如果在 ForestPrep 过程中选择加入现有的 Exchange 5.5 组织,需要具有 Exchange 5.5 组织的什么权 限?您将需要下列权限: Exchange 5.5 站点命名上下文的管理员角色(对于要加入的站点) Exchange 5.5 配置命名上下文的管理员角色(对于要加入的站点) 此外,您还需知道指定服务器相关站点的服务帐户名和口令。如果 Exchange 5.5 服务帐户在 Microsoft Windows NT%26reg; 4.0 域中,则需创建从目录林根域至包含 Exchange 5.5 服务帐户域的单向信任。
安装 Exchange 2000 时若要运行 / DomainPrep 开关,需要什么权限?DomainPrep 将创建 Exchange Domain Servers 全局组和 Exchange Enterprise Serverss 本地组,并播种 (配置)权限,以使 Exchange 服务器能访问 Active Directory。要运行 DomainPrep,您必须以具有下列权 限的用户身份登录: 本地域的 Domain Admins Exchange Domain Servers 组和 Exchange Enterprise Serverss 组执行什么功能?这两个组都是通过 DomainPrep 创建的。它们驻留在域中的“用户”容器中,不得移动或重命名。每次在计 算机上安装 Exchange 2000 时,计算机帐户都会添加到本地 Exchange Domain Servers 全局安全组中。接着 ,该组又是每个域中 Exchange Enterprise Serverss 本地安全组的成员。“收件人更新服务”负责确保目录 林中的所有 Exchange 组嵌套都是完整的。Exchange Enterprise Serverss 组被给予了 Active Directory 中 域命名上下文的多种权限。通过这些继承权限,“收件人更新服务”即能修改域帐户上的 Exchange 特定属性 。
安装第一个 Exchange 2000 服务器需要什么权限?要安装第一个 Exchange 2000 服务器,您需要以具有下列权限的用户身份登录到 Active Directory: Exchange 完全控制管理员角色(在 ForestPrep 过程中定义) 目标计算机上的本地管理组成员 此外,如果要加入现有的 Exchange 5.5 站点,登录帐户必须具有下列权限,以访问 Exchange 5.5 目录, 并且 Exchange 的安装人员必须知道站点服务帐户名和口令: 站点命名上下文中的管理员角色 配置命名上下文中的管理员角色 如何向其他用户委派权限,以使他们能管理 Exchange 2000?要向其他用户委派权限,请使用“Exchange 管理委派向导”。您的登录用户身份需要具有组织的 Exchange 完全控制管理员角色,以使用“Exchange 管理委派向导”。
要使用“Exchange 管理委派向导”,请启动“Exchange 系统管理器”,右击组织或管理组,然后单击 委派控制。
如果将 Exchange 2000 计算机帐户移至 Active Directory 中的另一不同部门,是否会影响我的 Exchange 权限和委派?不会影响。“Exchange 管理委派向导”在 Active Directory 的配置命名上下文中分配权限,而不是在计 算机帐户驻留的域命名上下文中分配权限。
Exchange 完全控制管理员和 Exchange 管理员角色之间有什么不同?Exchange 完全控制管理员能够操纵配置命名上下文中的任何 Exchange 对象。此外,完全控制管理员还有 权限修改“安全”选项卡上有关下列对象的设置: Exchange 数据库 MAPI 和应用程序文件夹分层结构 地址列表 Exchange 管理员可操纵任何 Exchange 对象,但不能委派权限,或更改安全选项卡上有关上面所列 Exchange 对象的设置。
如果授予某个用户或组 Exchange 组织级别权限,这些权限是否会自动应用到所有管理组?是的。与 Exchange Server 5.5 不同,Exchange 2000 的权限具有继承性。
要继续安装其它 Exchange 2000 服务器,需要什么权限?要继续安装其它 Exchange 2000 服务器,您需要以具有下列权限的用户身份登录到 Active Directory: Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员 目标计算机上的本地管理组成员 在群集配置中安装 Exchange 2000 需要什么权限?要安装服务器软件并创建“系统助理”资源,登录 Active Directory 的帐户应是群集服务帐户。该帐户需 要下列权限: Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员 两个节点上的本地 Administrators 组成员 将 Exchange 5.5 服务器升级到 Exchange 2000 需要什么权限?Exchange 5.5 服务器必须安装于在 Active Directory 域中运行 Windows 2000 的计算机上。您需要以具 有下列权限的用户身份登录到 Active Directory: Exchange 5.5 Exchange 组织命名上下文的管理员角色 Exchange 站点命名上下文的管理员角色 Exchange 配置命名上下文的管理员角色 Active Directory Exchange 完全控制管理员(在 ForestPrep 过程中定义)或组织级别的委派 Exchange 完全控制管理员 目标计算机上的本地 Administrators 组成员 我有一个第三方消息传递应用程序,它需要对每个用户的邮箱具有完全访问权限。在 Exchange 5.5 中, 我们授予一个特殊帐户,即“服务帐户”Admin 权限,然后告诉应用程序使用该帐户。如何在 Exchange 2000 中获得类似功能?Exchange 2000 的安全机制与 Exchange 5.5 的安全机制有很大不同。实际上,Exchange 2000 不使用站点 服务帐户,所有服务都以本地计算机帐户启动。
有多种不同方法可实现类似功能。最简单的一种方法是使特殊应用程序帐户成为任意域中 Exchange Domain Servers 组的成员。这样该帐户即拥有与 Exchange 2000 相同的权限。不过应注意:添加的这一帐户能对 Exchange 数据进行任何操作。获得相同结果的其它方法在 Microsoft 知识库文章 Q262054 中有所描述,“ XADM:How to Get Service Account Access to All Mailboxes in Exchange 2000.”
为什么在 Exchange 5.5 中有一个特殊服务帐户,而 Exchange 2000 服务能以 LocalSystem(内置计算机 帐户)启动?Exchange 5.5 中的服务需要特殊登录帐户的原因是由于 Microsoft Windows NT 操作系统版本 4.0 的限制 。虽然 Windows NT 4.0 中的本地计算机帐户有令牌,但它们没有凭据;因此,一个计算机帐户无法对另一帐 户验证其有效性。Windows 2000 中使用 Kerberos 验证,计算机帐户同时具有令牌和凭据。
使用本地计算机帐户比使用管理员指定帐户更为安全,原因如下: 本地计算机口令是随机十六进制数,而非人可识读的字符串。 本地计算机口令可每隔 30 天自动更改。 Exchange 5.5 服务帐户必须从锁定策略中排除,因为尝试强行登录会禁用该帐户 ,并关闭 Exchange 服务。 从 Active Directory 意外删除了 Exchange 2000 服务器的计算机帐户。虽然可重新创建该帐户,但 Exchange 2000 服务是否仍能正常运行?如果只是重新添加计算机帐户,Exchange 服务将启动,虽然可能会遇到一些问题,如事件日志中的 DSAccess 错误。计算机帐户所拥有的 Active Directory 中的多种权限是在 Exchange 2000 安装过程中分配 的。因此,再次运行 Setup(安装)并选择重新安装选项,这样即会向新的计算机帐户授予正确权限。
您还应检查域中的本地 Exchange Domain Servers 组,以确保新的计算机帐户是组成员。“系统助理”在 启动时会尝试将计算机帐户添加到该组,不过,如果不成功,则需手动添加帐户。
Exchange 2000 管理 创建和删除邮箱需要什么权限?首先,需要具有在 Active Directory 中创建用户对象的权限。例如,您可能是一个 Domain Admin,或已 具有对某个特定部门的委派访问权限。其次,需要下列 Exchange 权限: 目标 Exchange 2000 服务器所在的管理组的 Exchange 只查看管理员角色 此外,如果要管理公用文件夹对象,则应确保管理帐户(在“Exchange 系统管理器”中操纵对象时使用的 登录帐户)启用了邮件或邮箱。如果您的帐户未启用邮件或邮箱,MAPI 公用文件夹将不可访问。
要将邮箱从 Exchange 5.5 移至 Exchange 2000 中的同一站点或管理组,需要什么权限?使用“Active Directory 用户和计算机”时,邮箱在两个服务器间传送,并使用当前凭据更新用户或邮箱 对象的 Home-MTA 和 Home-MDB 属性。
需要下列权限: Exchange 5.5 站点命名上下文的 Admin Active Directory 本地域的 Domain Admins 或 Account Operators 组成员 管理组的 Exchange 管理员角色 运行 Active Directory 帐户清理向导 (ADClean) 需要什么权限?使用 ADClean 的管理员需要 Active Directory 中的下列权限: 源对象 部门或容器中的读取或删除权限 目标对象 部门或容器中的写入或修改权限 ADClean 几乎可修改目标对象的所有属性,因此建议运行该工具的管理员是目标域的 Domain Admins 组成 员。
配置路由组和连接器需要什么权限?配置路由组和连接器时,不会直接影响用户帐户对象,因此只需下列权限: 目标路由组所在的管理组的 Exchange 管理员角色 注 路由组连接器是单向的。要创建到本地管理组之外的路由组的双向路 由组连接器,还需具有远程管理组的 Admin 权限。
如果需要定义特定出站域的全局邮件格式,或指定全局邮件阈值,则需具有下列权限: Exchange 组织的 Exchange 管理员角色 如果还将管理 SMTP 服务,您的帐户则需是每个 Exchange 服务器上内置管理组的成员(用于配置数据库访 问)。
操纵邮件队列需要什么权限?要在“Exchange 系统管理器”中查看邮件队列,需要下列权限: 连接器所在管理组的 Exchange 只查看管理员角色 目标计算机上的本地 Administrators 组成员 要从队列中删除邮件,需要下列权限: 连接器所在的管理组的 Exchange 管理员角色 目标计算机上的本地管理组成员 管理即时消息需要什么权限?要创建和管理“即时消息”虚拟服务器,需要下列权限: 将创建“即时消息”服务器的管理组中的 Exchange 管理员角色 如果需要更改组织中“即时消息”的防火墙拓扑信息,还需此权限: Exchange 组织中的 Exchange 管理员角色 要启用某个用户参与“即时消息”,需要 Active Directory 域的域命名上下文中的权限。启用用户参与“ 即时消息”包括更改用户帐户的某些属性;因此您需要具有用户所在部门的权限。在大多数公司中,创建或删 除用户帐户和邮箱的管理员还将负责启用用户参与“即时消息”。
安装 Exchange 会议服务器需要什么权限?要安装 Exchange 会议服务器,您需要以具有下列权限的用户身份登录到 Active Directory: Exchange 2000 组织级别的 Exchange 完全控制管理员角色 Exchange 管理员角色如何影响 Exchange 会议服务器管理?就 Exchange 会议服务器管理而言,不同的管理员角色能执行不同的操作。例如: 管理组级别的 Exchange 完全控制管理员角色可进行下列操作: 安装或删除会议服务 停止和启动会议服务 创建或删除会议日程邮箱和资源邮箱 添加、删除或配置会议技术提供者 查看或修改会议设置 管理组级别的 Exchange 管理员角色可进行下列操作: 创建或删除会议日程邮箱和资源邮箱 添加、删除或配置会议技术提供者 查看或修改会议设置 该角色不能进行下列操作: 安装或删除会议服务 停止或启动会议服务(除非授予本地管理员权限) 管理组级别的 Exchange 只查看管理员角色可进行下列操作: 查看会议设置 该角色不能进行下列操作: 安装或删除会议服务 停止或启动会议服务(除非授予本地管理员权限) 创建或删除会议日程邮箱和资源邮箱 添加、删除或配置会议技术提供者 修改会议设置 创建新管理组需要什么权限?要创建新管理组,您需要以具有下列权限的用户身份登录到 Active Directory: Exchange 组织的 Exchange 管理员角色 对于 Exchange Server 5.5 和 Windows NT 4.0,我有两个支持小组:一个支持 Exchange 目录,另一个 支持安全帐户管理器 (SAM)。虽然可以看到使用 Exchange 2000 和 Active Directory 进行统一管理所带来的 益处,但是否仍能将用户创建和邮箱创建角色分开?您可使用“Exchange 管理委派向导”限制对 Exchange 属性的权限,从而获得此方案。要限制权限,请设 置委派用户或组对私有信息和公用信息属性集的读取/写入权限。您可使用“Active Directory 用户和计算机 ”管理控制台访问“Windows 2000 委派向导”。
附录 A 安装过程中授予的权限Active Directory 连接器和 Exchange 2000 安装程序将对 Active Directory 中的权限进行许多修改。虽 然大多数管理员无需了解所做的低级别访问控制条目 (ACE) 修改,但该信息对于排除 Exchange 2000 和 Active Directory 错误非常有用。
对 Exchange 配置树中对象的权限Microsoft Exchange 容器Cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=
帐户
允许
拒绝
继承
权限
适用属性
ForestPrep 阶段
已验证用户
ACTRL_DS_LIST | ACTRL_DS_READ_PROP
指定管理员帐户
DS_AM_FULL_CONTROL
服务器安装阶段
Exchange Domain Servers
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST
ADC 安装阶段
Exchange 服务
DS_AM_FULL_CONTROL
ADC 连接协议容器cn=Active Directory Connections,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Exchange Domain Servers
DS_AM_FULL_CONTROL
组织容器cn=,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=
帐户
允许
拒绝
继承
权限
适用属性/应用于
ForestPrep 阶段
已验证用户
ACTRL_DS_LIST_OBJECT | ACTRL_DS_READ_PROP
指定管理帐户
Send-As
指定管理员帐户
Receive-As
服务器安装阶段
“Enterprise Admins”
Send-As
“Enterprise Admins”
Receive-As
根域的“Domain Admins”
Send-As
根域的“Domain Admins”
Receive-As
Everyone
ms-Exch-Create-Top-Level-Public-Folder
Everyone
ms-Exch-Create-Public-Folder
Everyone
ms-Exch-Store-Create-Named-Properties
Everyone
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类: msExchPrivateMDB
Everyone
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类: msExchPublicMDB
Everyone
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT
应用于对象类:
mTA
Exchange Domain Servers
DS_AM_CONTROL_ACCESS
(即所有扩展权限 )
Exchange Domain Servers
ACTRL_DS_CREATE_CHILD
Exchange Domain Servers
ACTRL_DS_WRITE_PROP
公用信息
(属性集)
Exchange Domain Servers
ACTRL_DS_WRITE_PROP
个人信息(属性集)
Exchange Domain Servers
DS_AM_FULL_CONTROL
应用于对象类: siteAddressing
启用 SRS 时(禁用 SRS 时删除 ACE)
MACHINE$
ACTRL_DS_LIST_OBJECT | ACTRL_DS_CREATE_CHILD| ACTRL_DS_DELETE_CHILD
地址列表容器cn=Address Lists Container,cn=,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
已验证用户
ACTRL_DS_LIST
寻址容器cn=Addressing,cn=,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
已验证用户
STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST
收件人更新服务容器cn=Recipient Update Services,cn=Address Lists Container,cn=,cn=Microsoft Exchange,cn=…
帐户
允许
拒绝
继承
权限
适用属性
服务器安装阶段
Exchange Domain Servers
DS_AM_FULL_CONTROL
Admin 组cn=,cn=Administrative Groups,cn=,cn=Microsoft Exchange,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段(在属性 msExchPFDefaultAdminACL 上设置)已验证用户Ms-Exch-Create-Public-Folder默认 TLHcn=Public Folders,cn=All Folder Hierarchies,cn=,cn=Administrative Groups,cn=,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段(在属性 msExchPFDefaultAdminACL 上设置)已验证用户Ms-Exch-Create-Public-FolderCA 容器cn=CA,cn=Advanced Security,cn=,cn=Administrative Groups,cn=,cn=…帐户允许拒绝继承权限适用属性KMS 安装阶段MACHINE$DS_AM_FULL_CONTROL已验证用户STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP连接容器cn=Connections,cn=,cn=Routing Groups,cn=,cn=Administrative Groups,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段Exchange Domain ServersDS_AM_FULL_CONTROLServer 对象cn=,cn=Servers,cn=,cn=Administrative Groups,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段,如果服务器“不是”群 集 VMMACHINE$DS_AM_FULL_CONTROL服务器安装阶段,如果服务器“是”群集 VMExchange Domain ServersDS_AM_FULL_CONTROL协议容器cn=Protocols,cn=,cn=Servers,cn=,cn=Administrative Groups,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段EveryoneACTRL_DS_LISTEveryonems-Exch-Read-Metabase-PropertiesSystem Attendant 对象cn=Microsoft System Attendant,cn=,cn=Servers,cn=,cn=Administrative Groups,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段(在属性 msExchMailboxSecurityDescriptor 上设置)LocalSystemREAD_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwnerExchange Domain ServersREAD_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner5.5 服务帐户(如果给定)READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwnerMTA 对象cn=Microsoft MTA,cn=,cn=Servers,cn=,cn=Administrative Groups,cn=…帐户允许拒绝继承权限适用属性服务器安装阶段5.5 服务帐户(如果给定)Send-As5.5 服务帐户(如果给定)Read-As对配置树中其它对象的权限已删除的项目容器cn=Deleted Items,cn=Configuration,dc=帐户允许拒绝继承权限适用属性ForestPrep 阶段指定管理员帐户STANDARD_RIGHTS_READ | ACTRL_DS_LIST | ACTRL_DS_READ_PROP | ACTRL_DS_LIST_OBJECT | WRITE_OWNER | WRITE_DAC服务器安装阶段Exchange Domain ServersACTRL_DS_LISTActive Directory Connector 对象cn=Active Directory Connector,cn=Exchange Settings,cn=,cn=Servers,cn=,cn=sites,cn=Configuration,…帐户允许拒绝继承权限适用属性ADC 安装阶段Exchange 服务DS_AM_FULL_CONTROL已验证用户STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LISTMachineEnrollmentAgent 对象cn=MachineEnrollmentAgent,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…帐户允许拒绝继承权限适用属性KMS 安装阶段MACHINE$DS_AM_FULL_CONTROLExchangeUser 对象cn=ExchangeUser,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…帐户允许拒绝继承权限适用属性KMS 安装阶段MACHINE$READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROPMACHINE$登记ExchangeUserSignature 对象cn=ExchangeUserSignature,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,cn=…帐户允许拒绝继承权限适用属性KMS 安装阶段MACHINE$READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROPMACHINE$登记对域命名上下文中对象的权限域容器dc=帐户允许拒绝继承权限适用属性DomainPrep 阶段Exchange Enterprise ServersACTRL_DS_WRITE_PROP公用信息(属性集)Exchange Enterprise ServersACTRL_DS_WRITE_PROP个人信息(属性集)Exchange Enterprise ServersACTRL_DS_WRITE_PROPgroupTypeExchange Enterprise ServersDS-Replication-Manage-Topology域代理容器cn=Microsoft Exchange System Objects,dc=帐户允许拒绝继承权限适用属性DomainPrep 阶段Exchange Enterprise ServersDS_AM_FULL_CONTROLExchange Domain ServersDS_AM_FULL_CONTROLExchange Enterprise Servers 组cn=Exchange Enterprise Serverss,cn=Users,dc=帐户允许拒绝继承权限适用属性DomainPrep 阶段所有组织级别的 Exchange 完全控制管理员DS_AM_FULL_CONTROLExchange Enterprise ServersDS_AM_FULL_CONTROLExchange Domain Servers 组cn=Exchange Domain Servers,cn=Users,dc=帐户允许拒绝继承权限适用属性DomainPrep 阶段所有组织级别的 Exchange 完全控制管理员DS_AM_FULL_CONTROLExchange Enterprise ServersDS_AM_FULL_CONTROL附录 BExchange 2000 角色权限“E xchange 2000 委派向导”提供了非常友好的界面来设置对 Active Directory 中 Exchange 对象的权 限。企业管理员可能希望了解“委派向导”对 Active Directory 所做更改的细节。下面详细说明各“委派向 导”的角色和权限。Exchange 完全控制管理员说明:选定用户和组可完全管理 Exchange 系统信息和修改权限。组织权限对 MsExchConfigurationContainer(此对象及子容器)的权限为 {完全控制}对组织容器(此对象及子容器)的权限为 {拒绝“Receive-As”、“Send-As”}对配置 NC(此对象及子容器)中“已删除对象”的权限为 {读取、更改权限}Admin 组权限对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}对组织容器(此对象及子容器)的权限为 {读取、列出对象、列出内容}对管理组(此对象及子容器)的权限为 {完全控制、拒绝“Send-As”、“Receive-As”}对连接容器(此对象及子容器)的权限为 {完全控制,“更改权限”除外}对脱机地址列表容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、写入属性}Exchange 管理员说明:选定用户和组可完全管理 Exchange 系统信息。组织权限对 MsExchConfigurationContainer(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限}对组织容器(此对象及子容器)的权限为 {拒绝“Receive-As”、“Send-As”}管理组权限对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}对组织容器(此对象及子容器)的权限为 {读取、列出对象、列出内容}对管理组(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限、拒绝“Send-As”、“ Receive-As”}对连接容器(此对象及子容器)的权限为 {除“更改权限”外的其它所有权限}对脱机地址列表容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、写入属性}Exchange 只查看管理员说明:选定用户和组可查看 Exchange 配置信息。组织权限对 MsExchConfigurationContainer(此对象及子容器)的权限为 {读取、列出对象、列出内容}对组织容器(此对象及子容器)的权限为 {查看信息存储状态}Admin 组权限对 MsExchConfigurationContainer(仅此对象)的权限为 {读取、列出对象、列出内容}对组织容器(仅此对象)的权限为 {读取、列出对象、列出内容}对管理组容器(仅此对象)的权限为 {读取、列出对象、列出内容}对管理组容器(此对象及子容器)的权限为 {读取、列出对象、列出内容、查看信息存储状态}对 MsExchRecipientsPolicyContainer、地址列表容器、寻址、全局设置、系统策略(此对象及子容器)的 权限为 {读取、列出对象、列出内容}