Umwandlung zwischen MAPI- und Windows-Berechtigungen
Letztes Änderungsdatum des Themas: 2006-08-16
Wie unter "Reihenfolgen von ACEs in der ACL" in Details des Zugriffssteuerungsprozesses in Exchange beschrieben, wandelt Exchange Windows 2000-Berechtigungen routinemäßig in und aus MAPI-Berechtigungen um. In diesem Abschnitt sind die MAPI-Berechtigungen aufgeführt, die von Exchange 2003 verwendet werden. Außerdem wird demonstriert, wie Berechtigungen von Exchange von dem einen Format in das andere umgewandelt werden.
Verfügbare MAPI-Berechtigungen
In den Tabellen dieses Abschnitts werden die MAPI-Berechtigungen aufgeführt, die von Exchange 2003 verwendet werden. Lediglich die in der ersten Tabelle aufgeführten Berechtigungen stehen auf der Benutzeroberfläche zur Verfügung. Die in der zweiten Tabelle aufgeführten Berechtigungen können programmgesteuert verwendet werden.
In der Benutzeroberfläche verfügbare MAPI-Berechtigungen
| Anzeigename | Berechtigung |
|---|---|
Elemente lesen |
frightsReadAny |
Elemente erstellen |
frightsCreate |
Elemente bearbeiten: Eigene |
frightsEditOwned |
Elemente löschen: Eigene |
frightsDeleteOwned |
Elemente bearbeiten: Alle |
frightsEditAny |
Elemente löschen: Alle |
frightsDeleteAny |
Unterordner erstellen |
frightsCreateSubfolder |
Ordnerbesitzer |
frightsOwner |
Ordnerkontakt |
frightsContact (nicht Bestandteil von rightsAll) |
Ordner sichtbar |
frightsFolderVisible |
Programmgesteuert verfügbare MAPI-Berechtigungen
| Berechtigung | Mitgliedsberechtigungen |
|---|---|
rightsNone |
Keine |
rightsReadOnly |
frightsReadAny |
rightsReadWrite |
frightsReadAny frightsEditAny |
rightsAll |
Alle |
Konvertieren in MAPI-Berechtigungen
Mithilfe des folgenden Prozesses werden Windows 2000-Berechtigungen von Exchange in MAPI-Berechtigungen konvertiert.
Konvertieren der Nachrichten-ACEs gemäß der Beschreibung in der folgenden Tabelle.
Nachrichten-ACEs
Exchange 2003-Berechtigungen MAPI-Berechtigungen fsdrightReadProperty
frightsReadAny
fsdrightWriteOwnProperty
frightsEditOwned
fsdrightWriteProperty
frightsEditAny
fsdrightDeleteOwnItem
frightsDeleteOwned
fsdrightDelete
frightsDeleteAny
Konvertieren der Ordner-ACEs gemäß der Beschreibung in der folgenden Tabelle.
Ordner-ACEs
Exchange 2003-Berechtigungen MAPI-Berechtigungen fsdrightCreateContainer
frightsCreateSubfolder
fsdrightContact
frightsContact
Wenn alle Rechte des Ordnerbesitzers vorhanden sind:
fsdrightWriteProperty
fsdrightOwner
fsdrightWriteSD
fsdrightDelete
fsdrightWriteOwner
fsdrightWriteAttributes
fsdrightViewItem
frightsOwner
fsdrightCreateItem
frightsCreate
Gültig für Ordner und Nachrichten: Wenn fsdrightViewItem vorhanden ist, wird es in frightsVisible umgewandelt.
Sicherstellen, dass die konvertierten Berechtigungen intern konsistent sind, durch Vornahme der folgenden zusätzlichen Änderungen:
- Wenn frightsDeleteAny gewährt ist, wird ebenfalls frightsDeleteOwned gewährt.
- Wenn frightsEditAny gewährt ist, wird ebenfalls frightsEditOwned gewährt.
- Wenn frightsReadAny oder frightsOwner gewährt ist, wird ebenfalls frightsVisible gewährt.
Konvertieren aus MAPI-Berechtigungen
Mithilfe des folgenden Prozesses werden MAPI-Berechtigungen von Exchange in Windows 2000-Berechtigungen konvertiert.
Wichtig
Exchange überschreibt die vorhandenen Sicherheitsbeschreibungs-ACEs mit den neu konvertierten ACEs. Unabhängig davon, ob die MAPI-Benutzeroberfläche zum Ändern der Berechtigungen verwendet wurde oder ob die ACEs von einem koexistierenden Server mit Exchange 5.5 repliziert wurden, wird dieselbe Konvertierung vorgenommen. Wenn die ACEs von Exchange 5.5 repliziert wurden, beginnt die Konvertierung mit dem einleitenden Schritt der Konvertierung des Exchange 5.5-DN (Distinguished Name) des Benutzers oder der Gruppe in eine Windows 2000-Sicherheits-ID.
Aufgliedern des MAPI-ACE in zwei ACEs.
- Einen OI/IO-ACE (Object-Inherit/Inherit-Only) (für Nachrichten; wird bei Ordnern ignoriert)
- Einen CI-ACE (Container-Inherit) (für Ordner; wird bei Nachrichten ignoriert)
Konvertieren der Berechtigungen in den ACEs gemäß der Beschreibung in der folgenden Tabelle.
Berechtigungen in den ACEs
MAPI-Berechtigung Exchange 2003-Berechtigung frightsEditAny
Alle gültigen allgemeinen Schreiben-Bits bei Nachrichten (Ausnahme: Löschen)
frightsDeleteAny
fsdrightDelete
frightsEditOwned
fsdrightWriteOwnProperty
frightsDeleteOwned
fsdrightDeleteOwnItem
frightsReadAny
Alle gültigen allgemeinen Lesen-Bits bei Nachrichten
Alle gültigen allgemeinen Ausführen-Bits bei Nachrichten, einschließlich fsdrightViewItem bei Nachrichten
Bei Ordner-ACEs wirkt sich dies auf fsdrightViewItem aus.
frightsCreateSubfolder
fsdrightCreateContainer
frightsOwner
fsdrightWriteProperty
fsdrightOwner
fsdrightWriteSD
fsdrightDelete
fsdrightWriteOwner
fsdrightWriteAttributes
fsdrightViewItem
frightsContact
fsdrightContact
frightsVisible
Alle gültigen allgemeinen Lesen-Bits bei Ordnern
Alle gültigen allgemeinen Ausführen-Bits bei Ordnern
fsdrightViewItem
Überprüfen, dass die erforderlichen Gewähren/Verweigern-ACE-Paare vorhanden und in der richtigen Reihenfolge sind.
Beispiele für den Konvertierungsprozess
Mithilfe der folgenden Beispiele wird der Prozess der Konvertierung von Windows 2000-Berechtigungen in MAPI-Berechtigungen und wieder zurück veranschaulicht. Als Ausgangspunkt soll eine Sicherheitsbeschreibung eines Ordners im Exchange-Informationsspeicher dienen. Diese Sicherheitsbeschreibung enthält zwei ACEs, die Berechtigungen festlegen, die der Gruppe "FolderUsers" gewährt werden:
- Ein Ordner-ACE (ein ACE mit dem Kennzeichen CONTAINER_INHERIT_ACE)
- Ein Nachrichten-ACE (ein ACE mit den Kennzeichen OBJECT_INHERIT_ACE und INHERIT_ONLY_ACE)
Zur Vereinfachung des Beispiels gewähren diese ACEs der Gruppe "FolderUsers" alle anwendbaren Berechtigungen. Andernfalls wären zwei zusätzliche ACEs erforderlich, um alle Berechtigungen zu verweigern, die nicht gewährt wurden.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von den zwei ACEs gewährt werden.
Von den zwei Gewähren-ACEs der Gruppe "FolderUsers" festgelegte Berechtigungen
| Berechtigungen im Ordner-ACE | Berechtigungen im Nachrichten-ACE |
|---|---|
fsdrightSynchronize |
fsdrightSynchronize |
fsdrightDelete |
fsdrightDelete |
fsdrightReadControl |
fsdrightReadControl |
fsdrightWriteSD |
fsdrightWriteSD |
fsdrightWriteOwner |
fsdrightWriteOwner |
fsdrightOwner |
fsdrightWriteAttributes |
fsdrightWriteAttributes |
fsdrightWriteOwnProperty |
fsdrightViewItem |
fsdrightDeleteOwnItem |
fsdrightWriteProperty |
fsdrightViewItem |
fsdrightExecute |
fsdrightWriteProperty |
fsdrightReserved1 |
fsdrightExecute |
fsdrightReadAttributes |
fsdrightReadAttributes |
fsdrightListContents |
fsdrightReadBody |
fsdrightCreateItem |
fsdrightWriteBody |
fsdrightCreateContainer |
fsdrightAppendMsg |
fsdrightReadProperty |
fsdrightReadProperty |
Dieses Beispiel konzentriert sich auf den Ordner-ACE. Im Augenblick kann der Nachrichten-ACE vernachlässigt werden.
In der folgenden Tabelle finden Sie die Zuordnung von Windows 2000-Berechtigungen zu den MAPI-Berechtigungen. Beachten Sie, dass in vielen Fällen eine einzige MAPI-Berechtigung einer ganzen Gruppe von Windows 2000-Berechtigungen zugeordnet wird und dass einige Windows 2000-Berechtigungen fehlen.
Konvertieren von Berechtigungen
| Windows 2000-Berechtigungen | MAPI-Berechtigungen |
|---|---|
fsdrightOwner fsdrightWriteAttributes fsdrightWriteSD fsdrightWriteOwner (fsdrightViewItem, fsdrightWriteProperty und fsdrightDelete müssen ebenfalls vorhanden sein, damit diese Konvertierung erfolgreich verläuft.) |
frightsOwner |
fsdrightViewItem |
frightsVisible |
fsdrightWriteProperty |
frightsEditAny frightsEditOwned |
fsdrightDelete |
frightsDeleteAny frightsDeleteOwned |
fsdrightCreateItem |
frightsCreate |
fsdrightCreateContainer |
frightsCreateSubfolder |
fsdrightReadProperty |
frightsReadAny |
fsdrightSynchronize fsdrightReadControl fsdrightExecute fsdrightReserved1 fsdrightReadAttributes fsdrightListContents |
Ignoriert |
Der zuvor dargestellt Zuordnungsprozess resultiert in einem Ordner-ACE für die Gruppe "FolderUsers", der MAPI-Berechtigungen gewährt.
Zum Umkehren der Konvertierung beginnt Exchange mit der Duplizierung des ACE, um erneut einen Ordner-ACE und einen Nachrichten-ACE zu erzeugen, wie in der folgenden Tabelle dargestellt.
Duplizieren von ACEs
| Ordner-ACE | Nachrichten-ACE |
|---|---|
frightsOwner |
frightsOwner |
frightsVisible |
frightsVisible |
frightsEditAny |
frightsEditAny |
frightsEditOwned |
frightsEditOwned |
frightsDeleteAny |
frightsDeleteAny |
frightsDeleteOwned |
frightsDeleteOwned |
frightsCreate |
frightsCreate |
frightsCreateSubfolder |
frightsCreateSubfolder |
frightsReadAny |
frightsReadAny |
Im nächsten Schritt werden die Berechtigungen von Exchange konvertiert, wie in den folgenden zwei Tabellen dargestellt.
Konvertieren des Ordner-ACE
| MAPI-Berechtigungen | Windows 2000-Berechtigungen |
|---|---|
frightsOwner |
fsdrightOwner fsdrightWriteProperty fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem |
frightsVisible |
fsdrightViewItem fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightReadProperty fsdrightSynchronize |
frightsEditAny |
fsdrightReadControl fsdrightWriteBody (wird bei Ordnern ignoriert) fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg (wird bei Ordnern ignoriert) fsdrightCreateItem fsdrightDelete fsdrightCreateContainer fsdrightOwner fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner |
frightsEditOwned |
fsdrightWriteOwnProperty (wird bei Ordnern ignoriert) |
frightsDeleteAny |
fsdrightDelete |
frightsDeleteOwned |
fsdrightDeleteOwnItem (wird bei Ordnern ignoriert) |
frightsCreate |
fsdrightCreateItem |
frightsCreateSubfolder |
fsdrightCreateContainer |
frightsReadAny |
fsdrightReadControl fsdrightReadBody (wird bei Ordnern ignoriert) fsdrightListContents fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize fsdrightExecute |
Konvertieren des Nachrichten-ACE
| MAPI-Berechtigungen | Windows 2000-Berechtigungen |
|---|---|
frightsOwner |
fsdrightOwner (wird bei Nachrichten ignoriert) fsdrightWriteProperty fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem |
frightsVisible |
fsdrightViewItem fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightReadProperty fsdrightSynchronize |
frightsEditAny |
fsdrightReadControl fsdrightWriteBody fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg fsdrightCreateItem (wird bei Nachrichten ignoriert) fsdrightDelete fsdrightCreateContainer (wird bei Nachrichten ignoriert) fsdrightOwner (wird bei Nachrichten ignoriert) fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner |
frightsEditOwned |
fsdrightWriteOwnProperty |
frightsDeleteAny |
fsdrightDelete |
frightsDeleteOwned |
fsdrightDeleteOwnItem |
frightsCreate |
fsdrightCreateItem (wird bei Nachrichten ignoriert) |
frightsCreateSubfolder |
fsdrightCreateContainer (wird bei Nachrichten ignoriert) |
frightsReadAny |
fsdrightReadControl fsdrightReadBody fsdrightListContents (wird bei Nachrichten ignoriert) fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize fsdrightExecute |
Die vorangehenden Konvertierungen erzeugen die zwei Gewähren-ACEs, wie in der folgenden Tabelle dargestellt.
Von den zwei Gewähren-ACEs der Gruppe "FolderUsers" festgelegte Berechtigungen
| Berechtigungen im Ordner-ACE | Berechtigungen im Nachrichten-ACE |
|---|---|
fsdrightOwner |
fsdrightWriteProperty |
fsdrightWriteProperty |
fsdrightWriteSD |
fsdrightWriteSD |
fsdrightDelete |
fsdrightDelete |
fsdrightWriteOwner |
fsdrightWriteOwner |
fsdrightWriteAttributes |
fsdrightWriteAttributes |
fsdrightViewItem |
fsdrightViewItem |
fsdrightReadControl |
fsdrightReadControl |
fsdrightReadAttributes |
fsdrightReadAttributes |
fsdrightExecute |
fsdrightExecute |
fsdrightReadProperty |
fsdrightReadProperty |
fsdrightSynchronize |
fsdrightSynchronize |
fsdrightWriteBody |
fsdrightCreateItem |
fsdrightAppendMsg |
fsdrightCreateContainer |
fsdrightWriteOwnProperty |
fsdrightListContents |
fsdrightDeleteOwnItem |
fsdrightReserved1 |
fsdrightReadBody |
Der Ordner-ACE und der Nachrichten-ACE gewähren der Gruppe "FolderUsers" im Prinzip alle verfügbaren Berechtigungen, sodass die zwei entsprechenden Verweigern-ACEs nicht benötigt werden. Grundsätzlich handelt es sich bei diesen um dieselben ACEs, die in der Tabelle "Von den zwei Gewähren-ACEs der Gruppe 'FolderUsers' festgelegte Berechtigungen" aufgeführt sind, bevor mit der Konvertierung begonnen wurde.