部署權(quán)限參考

1、本主題說明安裝 Microsoft Exchange Server 2010 組織所需的權(quán)限。與管理角色組關聯(lián)的通用安全組 (USG)，以及其他 Windows 安全組和安全主體，均添加到了各種 Active Directory 對象的訪問控制列表 (ACL) 中。ACL 控制每個對象上可執(zhí)行的操作。通過了解授予給每個角色組、安全組或安全主體的權(quán)限，可以確定安裝 Exchange 2010 所需的最低權(quán)限。在某些情況下，ACL 不應用于常用的屬性 ntSecurityDescriptor，而是應用于其他屬性，如msExchMailboxSecu

2、rityDescriptor。目錄服務不能強制實現(xiàn) Windows 安全描述符中未指定的安全性。大多數(shù)情況下，將復制這些 ACL，通過存儲服務將 ACL 存儲在相應的對象上。不過，只有將這些 ACL 作為原始二進制數(shù)據(jù)查看的工具。每個權(quán)限表的列包含以下信息：· 帳戶：允許或拒絕權(quán)限的安全主體。· ACE 類型：訪問控制條目 (ACE) 類型。· 允許 ACE：“允許 ACE”允許與 ACE 關聯(lián)的用戶或組訪問郵件。· 拒絕 ACE：“拒絕 ACE”阻止與 ACE 關聯(lián)的用戶或組訪問郵件。 · 繼承：用于子對象的繼承類型。·

3、“所有”指示權(quán)限應用于該對象及其所有子對象。· “后代”指示權(quán)限應用于“針對屬性/應用于”行中列出的對象類。· “無”指示這些權(quán)限只應用于該對象。· 權(quán)限：為帳戶授予的權(quán)限。· 針對屬性/應用于：在某些情況下，權(quán)限只應用于給定的屬性、屬性集或?qū)ο箢?。此處指定了這些受限的權(quán)限。· 注釋：如果適用，此列說明需要這些權(quán)限的原因并提供有關權(quán)限的其他信息。權(quán)限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上（在 View/Edit 選項

4、卡上 Advanced 視圖中的 Security 屬性頁）使用的名稱在表中列出。ADSI Edit Security 屬性頁上列出很簡潔的權(quán)限視圖。LDP 工具 (Ldp.exe) 直接使用數(shù)字值顯示訪問掩碼。安裝代碼通過預定義的常量引用權(quán)限。下表說明這些值之間的關系。ADSI Edit Summary 頁ADSI Edit Advanced 視圖，View/Edit 選項卡應用于給定對象的 ACL 條目二進制值 （LDP 中的訪問掩碼）完全控制完全控制WRITE_OWNER | WRITE_DAC | READ_CONTROL |

5、 DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD0x000F01FF讀取列出內(nèi)容 + 讀取所有屬性 + 讀取權(quán)限ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL0x00020014WriteWr

6、ite All Properties + All Validated WritesACTRL_DS_WRITE_PROP | ACTRL_DS_SELF0x00000028 列出內(nèi)容ACTRL_DS_LIST0x00000004 Read All PropertiesACTRL_DS_READ_PROP0x00000010 Write All PropertiesACTRL_DS_WRITE_PROP0x00000020 刪除DELETE0x00010000 Delete SubtreeACTRL_DS_DELETE_TREE0x0000004

7、0 讀取權(quán)限READ_CONTROL0x00020000 Modify PermissionsWRITE_DAC0x00040000 Modify OwnerWRITE_OWNER0x00080000 All Validated WritesACTRL_DS_SELF0x00000008 All Extended RightsACTRL_DS_CONTROL_ACCESS0x00000100Create All Child ObjectsCreate All Child ObjectsACTRL_DS_CREATE_CHILD0x0000000

8、1Delete All Child ObjectsDelete All Child ObjectsACTRL_DS_DELETE_CHILD0x00000002  ACTRL_DS_LIST_OBJECT0x00000080擴展權(quán)限是由各個應用程序指定的自定義權(quán)限。這些權(quán)限在 ACL 中指定。但是，它們對于 Active Directory 是無意義的。特定的應用程序強制使用任何擴展權(quán)限?！癈reate public folder”和“Create named properties in the information store”就是 Exchange 擴展權(quán)限

9、的示例。注意：有關在安裝 Microsoft Exchange Server 2003 期間設置的權(quán)限的信息，請參閱 在 Exchange Server 2003 中使用 Active Directory 權(quán)限。有關在安裝 Microsoft Exchange Server 2007 期間設置的權(quán)限的信息，請參閱 Exchange 2007 安裝權(quán)限參考。  準備舊版 Exchange 權(quán)限本節(jié)中的權(quán)限表說明在執(zhí)行 setup /PrepareLegacyExchangePe

10、rmissions 命令時設置的權(quán)限。對象的可分辨名稱：DC=<domain>帳戶ACE 類型繼承權(quán)限針對屬性/應用于Exchange Enterprise Servers允許 ACE所有Write PropertyExchange Information經(jīng)過身份驗證的用戶允許 ACE所有讀取屬性Exchange Information對象的可分辨名稱：CN=AdminSDHolder、CN=System、DC=<domain>帳戶ACE 類型繼承權(quán)限針對屬性/應用于Exchange Enterprise Servers允許 ACE所有讀取屬性Write Pr

11、opertyExchange Information對象的可分辨名稱：CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶ACE 類型繼承權(quán)限針對屬性/應用于Exchange Domain Servers允許 ACE所有Write PropertyExchange Information  準備 Active Directory 權(quán)限本節(jié)中的權(quán)限表說明在執(zhí)行 Setup /PrepareAD 命令時設置的權(quán)限。

12、  Microsoft Exchange 容器權(quán)限下表說明為配置分區(qū)中的 Microsoft Exchange 容器設置的權(quán)限。對象的可分辨名稱：CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶ACE 類型繼承權(quán)限針對屬性/應用于注釋Installation Account允許 ACE所有完全控制 此帳戶用于運行 /PrepareAD。組織管理允許 ACE所有完全控制  Exchange 受信任的子系統(tǒng)允許 ACE所有完全控制

13、0; Exchange Servers允許 ACE所有讀取  經(jīng)過身份驗證的用戶允許 ACE無讀取屬性列出內(nèi)容  公用文件夾管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對象  委派安裝允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對象    Microsoft Exchange 自動發(fā)現(xiàn)容器權(quán)限下表說明配置分區(qū)中的 Microsoft Exchange 自動發(fā)現(xiàn)容器中設置的權(quán)限。對象的可分辨名稱：CN=Microsoft Exchange Autodiscover、CN=S

14、ervices、CN=Configuration、DC=<domain>帳戶ACE 類型繼承權(quán)限針對屬性/應用于Exchange Servers允許 ACE所有讀取   Microsoft Exchange 組織容器權(quán)限本節(jié)中的權(quán)限表說明為配置分區(qū)中的 Microsoft Exchange 組織及其子容器設置的權(quán)限。對象的可分辨名稱：CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>帳戶ACE 類型繼承權(quán)限針對

15、屬性/應用于注釋Enterprise AdminsRoot Domain AdminsInstallation Account組織管理拒絕 ACE所有Send AsReceive As 不允許 Windows 管理員打開郵箱。Enterprise AdminsSchema AdminsRoot Domain AdminsInstallation Account組織管理拒絕 ACE所有Exchange Web Services ImpersonationExchange Web Services Token Serialization 擴展權(quán)限Enterprise Admin

16、sSchema AdminsRoot Domain AdminsInstallation Account組織管理Exchange Servers拒絕 ACE所有Store Transport AccessStore Constrained DelegationStore Read AccessStore Read Write Access  經(jīng)過身份驗證的用戶拒絕 ACE后代讀取屬性msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace Exchange Servers允許 ACE所有訪問控制

17、  組織管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對象  公用文件夾管理允許 ACE所有讀取權(quán)限列出內(nèi)容讀取屬性列出對象  NT AuthorityNetwork Service允許 ACE所有讀取  Exchange Servers允許 ACE所有Write PropertygroupType Exchange Servers允許 ACE所有Write PropertymsExchOwningServer Exchange Servers允許 ACE所有Write PropertymsE

18、xchMailboxSecurityDescriptor Exchange Servers允許 ACE所有Write PropertymsExchUMServerWritableFlags Exchange Servers允許 ACE所有Write PropertymsExchDatabaseCreated Exchange Servers允許 ACE所有Write PropertymsExchUserCulture Exchange Servers允許 ACE所有Write PropertymsExchMobileMailboxFlags E

19、xchange Servers允許 ACE所有Write PropertysiteFolderGUID Exchange Servers允許 ACE所有Write PropertysiteFolderServer Exchange Servers允許 ACE所有Write PropertymsExchEDBOffline Exchange Servers允許 ACE所有Write PropertyuserCertificate Exchange Servers允許 ACE所有Write PropertymsExchUMDtmfMap Excha

20、nge Servers允許 ACE所有Write PropertymsExchBlockedSendersHash Exchange Servers允許 ACE所有Write PropertyPersonal Information Exchange Servers允許 ACE所有Write PropertyPublic Information Exchange Servers允許 ACE所有Write PropertyExchange Information Exchange Servers允許 ACE所有Write PropertymsExchPat

21、chMDB Exchange Servers允許 ACE所有Write PropertypublicDelegates Exchange Servers允許 ACE所有Write PropertymsExchUMSpokenName Exchange Servers允許 ACE所有Write PropertymsExchUMPinChecksum Exchange Servers允許 ACE所有Write PropertylegacyExchangeDN Exchange Servers允許 ACE所有Write PropertymsExchS

22、afeSendersHash 組織管理允許 ACE所有Create top level public folder  公用文件夾管理允許 ACE所有Create top level public folder  組織管理允許 ACE所有View information store status  公用文件夾管理允許 ACE所有View information store status  組織管理允許 ACE所有Administer information store  公用文件夾管理允

23、許 ACE所有Administer information store  組織管理允許 ACE所有在信息存儲中創(chuàng)建命名屬性  公用文件夾管理允許 ACE所有在信息存儲中創(chuàng)建命名屬性  組織管理允許 ACE所有Modify public folder ACL  公用文件夾管理允許 ACE所有Modify public folder ACL  組織管理允許 ACE所有Modify public folder quotas  公用文件夾管理允許 ACE所有Modify public

24、 folder quotas  組織管理允許 ACE所有Modify public folder admin ACL  公用文件夾管理允許 ACE所有Modify public folder admin ACL  組織管理允許 ACE所有Modify public folder expiry  公用文件夾管理允許 ACE所有Modify public folder expiry  組織管理允許 ACE所有Modify public folder replica list  公

25、用文件夾管理允許 ACE所有Modify public folder replica list  組織管理允許 ACE所有修改公用文件夾已刪除郵件的保留時間  公用文件夾管理允許 ACE所有修改公用文件夾已刪除郵件的保留時間  組織管理允許 ACE所有Create public folder  公用文件夾管理允許 ACE所有Create public folder  EveryoneNT AuthorityAnonymous Logon允許 ACE所有在信息存儲中創(chuàng)建命名屬性 

26、0;EveryoneNT AuthorityAnonymous Logon允許 ACE所有Create public folder  EveryoneNT AuthorityAnonymous Logon允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對象/ msExchPrivateMDB EveryoneNT AuthorityAnonymous Logon允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對象/ msExchPublicMDB Exchange Servers允許 ACE后代讀取權(quán)限列出內(nèi)容讀取屬性列出對象/ siteAddressing&#

27、160;對象的可分辨名稱：CN=All Address Lists、CN=Address Lists Container、CN=<organization>帳戶ACE 類型繼承權(quán)限針對屬性/應用于經(jīng)過身份驗證的用戶允許 ACE所有列出內(nèi)容 組織管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags公用文件夾管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFla

28、gs對象的可分辨名稱：CN=Offline Address Lists、CN=Address Lists Container、CN=<organization>帳戶ACE 類型繼承權(quán)限針對屬性/應用于經(jīng)過身份驗證的用戶允許 ACE所有Download Offline Address Book 對象的可分辨名稱：CN=Addressing、CN=<organization>帳戶ACE 類型繼承權(quán)限針對屬性/應用于經(jīng)過身份驗證的用戶允許 ACE所有讀取 對象的可分辨名稱：CN=Recipient Policies、CN=<organization&

29、gt;帳戶ACE 類型繼承權(quán)限針對屬性/應用于組織管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags公用文件夾管理允許 ACE所有Write PropertymsExchLastAppliedRecipientFiltermsExchRecipientFilterFlags  配置分區(qū)容器權(quán)限  Exchange 管理組權(quán)限  Microsoft Exchange 安全組容器權(quán)限  準備域 &

30、#160;服務器角色安裝  創(chuàng)建 SMTP 發(fā)送連接器下表說明在創(chuàng)建發(fā)送連接器時設置的權(quán)限。對象的可分辨名稱：CN=<Connector Name>、CN=Connections、CN=<routing group>、CN=Routing Groups、CN=<admin group>、CN=<organization>帳戶ACE 類型繼承權(quán)限針對屬性/應用于注釋S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有Send Organization Heade

31、rs 這是集線器傳輸服務器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有Send Organization Headers 這是邊緣傳輸服務器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有Send Forest Headers 這是集線器傳輸服務器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有Send Forest Headers 這是邊緣傳輸服務器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-21允許 ACE所有發(fā)送 XShadow 這是集線器傳輸服務器已知的 SID。S-1-9-1419165041-1139599005-3936102811-1022490595-22允許 ACE所有發(fā)送 X