Ändern von Informationsspeicherberechtigungen in Exchange 2000 und 2003
Letztes Änderungsdatum des Themas: 2005-05-18
Zwei primäre Anwendungen gewähren Zugriff auf Microsoft® Exchange-Sicherheitsbeschreibungsinformationen:
Microsoft Outlook® - hiermit können Benutzer Berechtigungen für Postfachordner festlegen und neue Öffentliche Ordner erstellen.
Exchange-System-Manager - hiermit können Administratoren Berechtigungen für Öffentliche Ordner und Öffentliche Ordner-Strukturen festlegen.
.gif "note")
Anmerkung:Mithilfe des Exchange-System-Managers kann außerdem auf die Sicherheitsbeschreibungen von Postfach- und Öffentlichen Ordner-Datenbanken zugegriffen werden. Exchange verwendet für die Datenbanken jedoch Windows 2000-Standardsicherheitsbeschreibungen ohne jegliche besondere Formatierungsanforderungen. Wichtig
Sie können auch die MMC-Konsole "ADSI-Bearbeitung" verwenden, um Sicherheitsbeschreibungen von Exchange-Objekten im Active Directory®-Verzeichnisdienst anzuzeigen. Wenn Sie aber mithilfe von "ADSI-Bearbeitung" die in diesen Sicherheitsbeschreibungen gespeicherten Berechtigungen ändern, werden diese von "ADSI-Bearbeitung" im Windows 2000-ACL-Format gespeichert, nicht im kanonischen ACL-Format von Exchange. Um sicherzustellen, dass Berechtigungen im von Exchange erwarteten Format bleiben, verwenden Sie wann immer möglich Outlook oder den Exchange-System-Manager zum Bearbeiten von Berechtigungen.
Informationen zum programmgesteuerten Arbeiten mit Berechtigungen finden Sie im Thema "Security" im Abschnitt "Key Tasks" des Microsoft Exchange Software Development Kit (SDK). Das Exchange 2003-SDK kann auf der Website Exchange developer center heruntergeladen oder dort online angezeigt werden.
Steuern des Clientzugriffs auf Postfächer
Die Sicherheitsbeschreibung für das Postfachobjekt befindet sich sowohl im Exchange-Informationsspeicher als auch im Benutzerobjekt in Active Directory. Im Benutzerobjekt ist die Sicherheitsbeschreibung des Postfachs mit einem speziellen Attribut gespeichert. Dieses Attribut sorgt für die Trennung zwischen der Sicherheitsbeschreibung des Postfachs und der Sicherheitsbeschreibung des Benutzerobjekts, bei der es sich um eine normale Windows-Sicherheitsbeschreibung handelt.
Beim Erstellen eines neuen postfachaktivierten Benutzers erbt das Postfach eine Sicherheitsbeschreibung aus der Postfachdatenbank. Diese Sicherheitsbeschreibung wird in Active Directory gespeichert. Das Postfach wird vom Exchange-Informationsspeicher erst tatsächlich erstellt, wenn es vom Benutzer zum ersten Mal geöffnet wird. Zu diesem Zeitpunkt erstellt Exchange auch die Sicherheitsbeschreibung im Informationsspeicher. Die Sicherheitsbeschreibungen der Standardordner im neuen Postfach werden vom Postfach vererbt.
Benutzer können die Berechtigungen für Ordner oder Nachrichten in ihrem Postfach mithilfe von Outlook ändern. Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für einen Postfachordner.
Steuern des Clientzugriffs auf Öffentliche Ordner
Wie bei Postfächern befinden sich Sicherheitsbeschreibungsinformationen für Öffentliche Ordner sowohl im Exchange-Informationsspeicher als auch in Active Directory. Die Art, in der Exchange Sicherheitsbeschreibungen für Öffentliche Ordner verwaltet, ist jedoch wesentlich komplexer.
In der folgenden Tabelle werden die unterschiedlichen Speicherorte aufgeführt, an denen Öffentliche Ordner-Informationen von Exchange abgelegt werden.
Speicherorte von Sicherheitsinformationen für Öffentliche Ordner
| Daten | Speicherort | Sicherheitsinformationen |
|---|---|---|
Öffentlicher Ordner-Objekte (ein Objekt pro Ordner, einschließlich des obersten Ordners der Hierarchie) |
Exchange-Informationsspeicher (Öffentliche Ordner-Datenbanken) |
Sicherheitsbeschreibungen (ntsecuritydescriptor und Admindescriptor für jedes Ordnerobjekt) |
Ordnerhierarchieobjekte (ein Objekt für jede Hierarchie; werden für hierarchieweite Attribute wie den Hierarchietyp verwendet) |
Active Directory (Konfigurationscontainer) |
Sicherheitsbeschreibungen (ntsecuritydescriptor und Admindescriptor für jedes Hierarchieobjekt) Zusätzliche Sicherheitsattribute (Diese Attribute werden zwar von Active Directory nicht als Sicherheitsbeschreibungen verwendet, enthalten aber Informationen, die zum Erstellen von Standardsicherheitsbeschreibungen für neue Ordnerobjekte der höchsten Ebene im Informationsspeicher benötigt werden.) |
Proxyobjekte Öffentlicher Ordner (ein Objekt pro E-Mail-aktiviertem Öffentlichem Ordner; werden zur Aufnahme von E-Mail-Attributen für Öffentliche Ordner verwendet) |
Active Directory (Domänencontainer) |
Sicherheitsbeschreibungen (ntsecuritydescriptor und Admindescriptor für jedes Proxyobjekt) |
Wenn Sie einen neuen Öffentlichen Ordner der höchsten Ebene erstellen (in einer vorhandenen Hierarchie), erstellt Exchange die Sicherheitsbeschreibung für den Ordner, indem die Sicherheitsbeschreibung des Ordnerhierarchieobjekts mit gespeicherten Berechtigungsinformationen kombiniert wird.
Als Exchange-Administrator sind Sie bereits mit der Ansicht vertraut, die der Exchange-System-Manager von Objekten im Exchange-Informationsspeicher bietet. Dies ist die Oberfläche, die Sie normalerweise verwenden, um Berechtigungen für Objekte im Informationsspeicher zu ändern. Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für den Clientzugriff auf einen Öffentlichen Ordner.
.gif "411b2e79-7731-4114-bc46-e7ff790bc8b7")
Nachdem Sie auf Clientberechtigungen geklickt haben, wird abhängig vom Typ der Öffentlichen Ordner-Hierarchie, mit der Sie arbeiten, eins von zwei unterschiedlichen Dialogfeldern angezeigt. Wenn Sie mit einem Ordner in der Öffentliche Ordner-Standardhierarchie arbeiten, wird, wie in der folgenden Abbildung dargestellt, ein Dialogfeld mit MAPI-Berechtigungen und -Rollen angezeigt.
.gif "d095e2ac-8b32-4b05-9453-d007f8072ea8")
Wenn Sie mit einem Ordner in einer Öffentliche Ordner-Anwendungshierarchie arbeiten, wird, wie in der folgenden Abbildung dargestellt, ein Dialogfeld mit Windows 2000-Berechtigungen, -Benutzern und -Gruppen angezeigt.
.gif "9c19d56c-1cb2-4b91-bff4-73500aea42e6")
Sie können die Windows 2000-Version der Berechtigungen eines Ordners in der Öffentliche Ordner-Standardhierarchie auch mit dem Exchange-System-Manager anzeigen. Ausführliche Anweisungen finden Sie unter Anzeigen der Windows 2000-Version von MAPI-Berechtigungen.
Warnung
Obwohl Sie die Windows 2000-Version der Berechtigungen für die Öffentliche Ordner-Standardhierarchie anzeigen können, sollten Sie nicht versuchen, die Berechtigungen in dieser Ansicht zu bearbeiten. Die Windows-Benutzeroberfläche, auf der die Berechtigungen angezeigt werden, formatiert die ACL so, dass Exchange die Berechtigungen nicht mehr in das MAPI-Format konvertieren kann. Wenn dies geschieht, können Sie die Berechtigungen nicht mehr mit Outlook oder den normalen Dialogfeldern des Exchange-System-Managers bearbeiten.
Spezielle Aspekte bei Nachrichten
Wenn ein Benutzer eine Nachricht öffnet, erbt die Nachricht dynamisch Nachrichten-ACEs von der Ordnersicherheitsbeschreibung. Wenn sich die Ordnersicherheitsbeschreibung ändert, erben alle neuen Nachrichten, die in dem Ordner geöffnet werden, sofort auch die Änderung der Sicherheitsbeschreibung. Nachrichten, die bereits geöffnet sind, behalten ihre ursprünglichen Sicherheitsbeschreibungen bei, bis sie gespeichert werden.
Die Sicherheitsbeschreibung einer Anlage (oder einer eingebetteten Nachricht) wird von Exchange in der Datenbank gespeichert, aber nicht verwendet. Stattdessen verwendet der Exchange-Informationsspeicher die Sicherheitsbeschreibung der äußersten Nachricht aller angefügten Nachrichten. Die Sicherheit von Anlagen wird im Informationsspeicher beibehalten, damit ein Client eine Nachricht zum Debuggen an einen anderen Benutzer senden kann. Darüber hinaus wird die Sicherheitsbeschreibung einer angefügten Nachricht sofort wirksam, wenn ein Benutzer sie in einen Ordner der höchsten Ebene kopiert.
Steuern des administrativen Zugriffs auf Postfächer und Öffentliche Ordner
Im Allgemeinen befolgt die administrative Sicherheitsbeschreibung die Windows 2000-Regeln hinsichtlich Format und Vererbung.
| Anmerkung: |
|---|
| Administrative Aufgaben auf Datenbankebene, wie das Verschieben von Benutzern oder Herstellen/Aufheben einer Verbindung mit Postfachspeichern oder Informationsspeichern für Öffentliche Ordner, werden von der jeweils individuellen Datenbanksicherheitsbeschreibung gesteuert, bei der es sich um eine normale Windows 2000-Sicherheitsbeschreibung handelt. |
Postfächer
Der Exchange-System-Manager gewährt keinen administrativen Zugriff auf Benutzerpostfächer. Administrative Änderungen an den Exchange-spezifischen Attributen von Benutzerobjekten können mithilfe von "Active Directory-Benutzer und -Computer" vorgenommen werden.
Öffentliche Ordner
Administrative Berechtigungen für Öffentliche Ordner werden sowohl im Exchange-Informationsspeicher (in der Eigenschaft admindescriptor jedes Objekts) als auch in Active Directory gespeichert. Diese Berechtigungen sind Active Directory-Berechtigungen. Hierbei ist keine MAPI-Konvertierung beteiligt.
Unabhängig davon, ob Sie administrative Berechtigungen für einen Öffentlichen Ordner in der Standardhierarchie oder für einen Öffentlichen Ordner in einer Anwendungshierarchie ändern, verwenden Sie eine allgemeine Benutzeroberfläche, die Windows-Benutzeroberfläche, und einen allgemeinen Satz von Berechtigungen (siehe folgende Abbildungen).
.gif "4f696b75-b69f-4449-b82b-05c352b95511")
.gif "9def3306-691c-4af5-9adc-fee7401d0e30")
Zum Speichern von Eigenschaften, die sich auf alle Ordner in einer Hierarchie auswirken, verfügt jede Öffentliche Ordner-Hierarchie über ein "Ordnerhierarchie"-Objekt in Active Directory. In diesem Objekt werden Eigenschaften wie der Distinguished Name des Exchange-Informationsspeichers, in dem sich die Hierarchie befindet, und der Hierarchietyp (MAPI oder Anwendung) für die Hierarchie gespeichert.
Wichtig
Die Sicherheitsbeschreibung des Ordnerhierarchieobjekts umfasst Berechtigungen wie Öffentlichen Ordner erstellen, die Berechtigungen außer Kraft setzen können, die für einzelne Öffentliche Ordner in der Hierarchie festgelegt sind.
Der Exchange-System-Manager bietet Zugriff auf einige dieser Informationen, indem für jede Öffentliche Ordner-Hierarchie ein Strukturobjekt angezeigt wird. Wie in der folgenden Abbildung dargestellt, können Sie auch mithilfe von "ADSI-Bearbeitung" die Ordnerhierarchieobjekte in Active Directory anzeigen.
.gif "b0715730-d2f2-4e9d-b0d3-f9e802de9cab")
Wenn Sie einen neuen Ordner der höchsten Ebene in einer Hierarchie erstellen, kopiert der Exchange-Informationsspeicher die administrative Sicherheitsbeschreibung aus dem Ordnerhierarchieobjekt in Active Directory und verwendet diese als übergeordnete administrative Sicherheitsbeschreibung. Für alle anderen Ordner kopiert der Informationsspeicher die administrative Sicherheitsbeschreibung aus dem übergeordneten Ordner und verwendet diese als übergeordnete administrative Sicherheitsbeschreibung.
| Anmerkung: |
|---|
| Beim Überprüfen der administrativen Sicherheitsbeschreibung aktualisiert Exchange zuerst die vererbten ACEs in der Sicherheitsbeschreibung. Exchange ruft die aktuelle administrative Sicherheitsbeschreibung des Hierarchieobjekts ab und ersetzt die geerbten Informationen in der administrativen Sicherheitsbeschreibung, die gerade überprüft wird, durch diese Informationen. ACEs, die explizit für den fraglichen Ordner festgelegt wurden, bleiben hiervon unberührt. |
| Anmerkung: |
|---|
| Wenn Ihre Bereitstellung sowohl Server mit Exchange 2003 als auch mit Exchange 5.5 umfasst und sich der betreffende Ordner auf einem Server mit Exchange 5.5 befindet, verfügt dieser Ordner über keine administrative Sicherheitsbeschreibung. Wenn der Ordner nicht als in einem Standort gesichert markiert ist oder wenn der Standort des Ordners mit dem aktuellen Standort identisch ist, verwendet der Informationsspeicher in diesem Fall die normale Sicherheitsbeschreibung des Ordnerhierarchieobjekts in Active Directory als administrative Sicherheitsbeschreibung. |
Spezielle Steuerelemente für E-Mail-aktivierte Öffentlichen Ordner
E-Mail-aktivierte Öffentliche Ordner verwenden spezielle Active Directory-Objekte, um darin ihre Postfachattribute zu speichern, wie z. B. automatisch generierte Proxyadressen. Jeder E-Mail-aktivierte Ordner verfügt über ein solches Objekt, wobei dessen Name mit dem des Ordners identisch ist. Die folgende Abbildung zeigt den Speicherort dieser Objekte in Active Directory in der Ansicht mit der "ADSI-Bearbeitung".
.gif "051786c0-8a21-4274-a57a-1ccf87d484bc")
Wie bei Öffentlichen Ordner-Strukturobjekten sind die Berechtigungen von Proxyobjekten Öffentlicher Ordner identisch, unabhängig davon, ob der Öffentliche Ordner Mitglied einer MAPI-Struktur oder Mitglied einer Anwendungsstruktur ist. Die Benutzeroberfläche ist die Windows-Standardbenutzeroberfläche.
Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für den Zugriff auf Attribute von E-Mail-aktivierten Ordnern.
Weitere Informationen zu E-Mail-aktivierten Öffentlichen Ordnern finden Sie in der Exchange Server 2003-Hilfe oder im Exchange Server 2003 Administration Guide.