Berechtigungsreferenz für die Exchange 2010-Bereitstellung

Artikel
05/20/2011

Letztes Änderungsdatum des Themas: 2010-02-02

In diesem Thema werden die Berechtigungen beschrieben, die zum Einrichten einer Microsoft Exchange Server 2010-Organisation erforderlich sind. Die Verwaltungsrollengruppen zugeordneten universellen Sicherheitsgruppen (Universal Security Groups, USGs) sowie andere Windows-Sicherheitsgruppen und -Sicherheitsprinzipale werden den Zugriffssteuerungslisten (Access Control Lists, ACLs) verschiedener Active Directory-Objekte hinzugefügt. Mit Zugriffssteuerungslisten wird gesteuert, welche Vorgänge für jedes Objekt ausgeführt werden können. Wenn Sie wissen, welche Berechtigungen den einzelnen Rollengruppen, Sicherheitsgruppen oder Sicherheitsprinzipalen zugewiesen werden, können Sie die zum Installieren von Exchange 2010 erforderlichen Mindestberechtigungen ermitteln.

In einigen Fällen wird die Zugriffssteuerungsliste nicht auf die Standardeigenschaft ntSecurityDescriptor, sondern auf eine andere Eigenschaft angewendet, z. B. auf msExchMailboxSecurityDescriptor. Der Verzeichnisdienst kann Sicherheit, die nicht in der Sicherheitsbeschreibung von Windows angegeben ist, nicht erzwingen. In den meisten Fällen werden diese ACLs vom Informationsspeicherdienst repliziert, um ACLs für geeignete Objekte zu speichern. Leider ist kein Tool verfügbar, mit dem diese ACLs angezeigt werden können. Es können nur die unformatierten Binärdaten eingesehen werden.

Die Spalten jeder Berechtigungstabelle enthalten die folgenden Informationen:

Konto Der Sicherheitsprinzipal, dem die Berechtigungen gewährt oder verweigert werden.
ACE-Typ Typ des Zugriffsteuerungseintrags (Access Control Entry, ACE)
- ALLOW-Zugriffssteuerungseintrag Durch einen ALLOW-Zugriffssteuerungseintrag wird den Benutzern oder Gruppen, die dem Zugriffsteuerungseintrag zugeordnet sind, der Zugriff auf ein Element gewährt.
- DENY-Zugriffssteuerungseintrag Durch einen DENY-Zugriffssteuerungseintrag wird den Benutzern oder Gruppen, die dem Zugriffsteuerungseintrag zugeordnet sind, der Zugriff auf ein Element verweigert.
Vererbung Der Typ der Vererbung, der für untergeordnete Objekte verwendet wird.
- Alle zeigt an, dass die Berechtigungen für das Objekt und alle Unterobjekte gelten.
- Beschr. zeigt an, dass Berechtigungen für die Objektklasse gelten, die in der Zeile Für Eigenschaft/Angewendet auf aufgelistet werden.
- Keine zeigt an, dass diese Berechtigungen nur für das Objekt gelten.
Berechtigungen Die dem Konto erteilten Berechtigungen.
Für Eigenschaft/Angewendet auf In einigen Fällen gelten Berechtigungen nur für eine bestimmte Eigenschaft, einen Eigenschaftensatz oder eine Objektklasse. Diese eingeschränkten Berechtigungen werden hier angegeben.
Kommentare Diese Spalte erläutert ggf., warum die Berechtigungen erforderlich sind, oder stellt andere Informationen zu den Berechtigungen zur Verfügung.

Die Berechtigungen werden in der Tabelle im Allgemeinen unter den Namen aufgeführt, die auf der Eigenschaftenseite Sicherheit des ADSI-Editors (Active Directory Service Interfaces, AdsiEdit.msc) auf der Registerkarte Anzeigen/Bearbeiten in der Ansicht Erweitert angegeben sind. Auf der Eigenschaftenseite Sicherheit des ADSI-Editors werden die Berechtigungen nur in verkürzter Form angezeigt. Im LDP-Tool (Ldp.exe) wird die Zugriffsmaske direkt als numerischer Wert angezeigt. Bei den hier angegebenen Codes handelt es sich um Konstanten, die eindeutig die entsprechenden Berechtigungen definieren.

In der folgenden Tabelle werden die Beziehungen zwischen diesen Werten gezeigt.

Zusammenfassungsseite des ADSI-Editors	Ansicht "ADSI-Editor, Erweitert", Registerkarte "Anzeigen/Bearbeiten"	Auf ein bestimmtes Objekt angewendete ACL-Einträge	Binärer Wert (Zugriffsmaske in LDP)
Vollzugriff	Vollzugriff	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
Lesen	Inhalt auflisten + Alle Eigenschaften lesen + Berechtigungen lesen	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
Schreiben	Alle Eigenschaften schreiben + Alle bestätigten Schreibvorgänge	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	Inhalt auflisten	`ACTRL_DS_LIST`	`0x00000004`
	Alle Eigenschaften lesen	`ACTRL_DS_READ_PROP`	`0x00000010`
	Alle Eigenschaften schreiben	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	Löschen	`DELETE`	`0x00010000`
	Unterstruktur löschen	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	Berechtigungen lesen	`READ_CONTROL`	`0x00020000`
	Berechtigungen ändern	`WRITE_DAC`	`0x00040000`
	Besitzer ändern	`WRITE_OWNER`	`0x00080000`
	Alle bestätigten Schreibvorgänge	`ACTRL_DS_SELF`	`0x00000008`
	Alle erweiterten Rechte	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
Alle untergeordneten Objekte erstellen	Alle untergeordneten Objekte erstellen	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
Alle untergeordneten Objekte löschen	Alle untergeordneten Objekte löschen	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

Bei erweiterten Rechten handelt es sich um benutzerdefinierte Rechte, die von bestimmten Anwendungen festgelegt werden. Sie werden in der ACL angegeben. Für Active Directory sind sie jedoch bedeutungslos. Die bestimmte Anwendung erzwingt alle erweiterten Rechte. Beispiele für erweiterte Rechte von Exchange sind Öffentlichen Ordner erstellen oder Benannte Eigenschaften im Informationsspeicher erstellen.

Hinweis

Weitere Informationen zu Berechtigungen, die während der Installation von Microsoft Exchange Server 2003 festgelegt werden, finden Sie im Dokument Arbeiten mit Active Directory-Berechtigungen in Exchange Server 2003 (möglicherweise in englischer Sprache). Informationen zu Berechtigungen, die während der Installation von Microsoft Exchange Server 2007 festgelegt werden, finden Sie unter Berechtigungsreferenz für Exchange2007 Server Setup.

Vorbereiten von Exchange-Legacyberechtigungen

In den Berechtigungstabellen in diesem Abschnitt wird aufgezeigt, welche Berechtigungen festgelegt werden, wenn Sie den Befehl setup /PrepareLegacyExchangePermissions ausführen.

DN (Distinguished Name) des Objekts: DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Exchange Enterprise Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	Exchange-Informationen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	Exchange-Informationen

DN (Distinguished Name) des Objekts: CN=AdminSDHolder,CN=System,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Exchange Enterprise Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen Eigenschaft schreiben	Exchange-Informationen

Exchange Enterprise Servers

ALLOW-Zugriffssteuerungseintrag

Alle

Eigenschaft lesen

Eigenschaft schreiben

Exchange-Informationen

DN (Distinguished Name) des Objekts: CN=<Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Exchange Domain Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	Exchange-Informationen

Vorbereiten der Active Directory-Berechtigungen

In den Berechtigungstabellen in diesem Abschnitt wird aufgezeigt, welche Berechtigungen festgelegt werden, wenn Sie den Befehl Setup /PrepareAD ausführen.

Microsoft Exchange-Containerberechtigungen

Die folgende Tabelle zeigt die Berechtigungen, die für den Microsoft Exchange-Container innerhalb der Konfigurationspartition festgelegt werden.

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Kommentare
Installationskonto	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff	Hierbei handelt es sich um das zum Ausführen von `/PrepareAD` verwendete Konto.
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft lesen Inhalt auflisten
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten
Delegiertes Setup	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten

Containerberechtigungen der Microsoft Exchange-AutoErmittlung

In der folgenden Tabelle werden die Berechtigungen aufgeführt, die für den Container der Microsoft Exchange-AutoErmittlung innerhalb der Konfigurationspartition festgelegt werden.

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen

Containerberechtigungen der Microsoft Exchange-Organisation

In den Berechtigungstabellen in diesem Abschnitt wird aufgezeigt, welche Berechtigungen für die Microsoft Exchange-Organisation und die Untercontainer innerhalb der Konfigurationspartition festgelegt werden.

DN (Distinguished Name) des Objekts: CN=<Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

Konten	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Organisations-Admins Stammdomänen-Admins Installationskonto Organisationsverwaltung	DENY-Zugriffssteuerungseintrag	Alle	Senden als Empfangen als		Windows-Administratoren sind nicht berechtigt, Postfächer zu öffnen.
Organisations-Admins Schema-Admins Stammdomänen-Admins Installationskonto Organisationsverwaltung	DENY-Zugriffssteuerungseintrag	Alle	Identitätswechsel für Exchange-Webdienste Tokenserialisierung für Exchange-Webdienste		Erweitertes Recht
Organisations-Admins Schema-Admins Stammdomänen-Admins Installationskonto Organisationsverwaltung Exchange Servers	DENY-Zugriffssteuerungseintrag	Alle	Speicherübertragungszugriff Eingeschränkte Delegierung für Speicher Speicherlesezugriff Speicherlese/-schreibzugriff
Authentifizierte Benutzer	DENY-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Zugriff steuern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten
NT-Autorität\Netzwerkdienst	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`groupType`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchOwningServer`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMailboxSecurityDescriptor`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMServerWritableFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchDatabaseCreated`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUserCulture`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMobileMailboxFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`siteFolderGUID`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`siteFolderServer`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchEDBOffline`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`userCertificate`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMDtmfMap`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchBlockedSendersHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Personal Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Public Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPatchMDB`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`publicDelegates`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMSpokenName`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMPinChecksum`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`legacyExchangeDN`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchSafeSendersHash`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Öffentliche Ordner der obersten Ebene erstellen
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Öffentliche Ordner der obersten Ebene erstellen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Status des Informationsspeichers anzeigen
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Status des Informationsspeichers anzeigen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Informationsspeicher verwalten
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Informationsspeicher verwalten
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Benannte Eigenschaften im Informationsspeicher erstellen
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Benannte Eigenschaften im Informationsspeicher erstellen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	ACL für Öffentlichen Ordner ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	ACL für Öffentlichen Ordner ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Kontingente für Öffentliche Ordner ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Kontingente für Öffentliche Ordner ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Verwaltungs-ACL für Öffentlichen Ordner ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Verwaltungs-ACL für Öffentlichen Ordner ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Ablaufzeitraum für Öffentlichen Ordner ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Ablaufzeitraum für Öffentlichen Ordner ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Replikatlisten für Öffentliche Ordner ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Replikatlisten für Öffentliche Ordner ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Aufbewahrungszeit für gelöschte Objekte in Öffentlichen Ordnern ändern
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Aufbewahrungszeit für gelöschte Objekte in Öffentlichen Ordnern ändern
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Öffentlichen Ordner erstellen
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Öffentlichen Ordner erstellen
Alle NT-Autorität\Anonyme Anmeldung	ALLOW-Zugriffssteuerungseintrag	Alle	Benannte Eigenschaften im Informationsspeicher erstellen
Alle NT-Autorität\Anonyme Anmeldung	ALLOW-Zugriffssteuerungseintrag	Alle	Öffentlichen Ordner erstellen
Alle NT-Autorität\Anonyme Anmeldung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ msExchPrivateMDB`
Alle NT-Autorität\Anonyme Anmeldung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ msExchPublicMDB`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ siteAddressing`

DN (Distinguished Name) des Objekts: CN=All Address Lists,CN=Address Lists Container,CN=<Organisation>

Konto ACE-Typ Vererbung Berechtigungen Für Eigenschaft/Angewendet auf

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Inhalt auflisten
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Authentifizierte Benutzer

ALLOW-Zugriffssteuerungseintrag

Alle

Inhalt auflisten

Organisationsverwaltung

ALLOW-Zugriffssteuerungseintrag

Alle

Eigenschaft schreiben

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Verwaltung Öffentlicher Ordner

ALLOW-Zugriffssteuerungseintrag

Alle

Eigenschaft schreiben

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

DN (Distinguished Name) des Objekts: CN=Offline Address Lists,CN=Address Lists Container, CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Download des Offlineadressbuchs

DN (Distinguished Name) des Objekts: CN=Addressing,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen

DN (Distinguished Name) des Objekts: CN=Recipient Policies,CN=<Organisation>

Konto ACE-Typ Vererbung Berechtigungen Für Eigenschaft/Angewendet auf

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Organisationsverwaltung

ALLOW-Zugriffssteuerungseintrag

Alle

Eigenschaft schreiben

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Verwaltung Öffentlicher Ordner

ALLOW-Zugriffssteuerungseintrag

Alle

Eigenschaft schreiben

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Containerberechtigungen der Konfigurationspartition

In den Berechtigungstabellen in diesem Abschnitt werden die Berechtigungen aufgeführt, die durch Ausführen des Befehls Setup /PrepareAD für die verschiedenen Container innerhalb der Konfigurationspartition festgelegt werden.

DN (Distinguished Name) des Objekts: CN=Sites,CN=Configuration,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchVersion / site`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchVersion / site-link`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPartnerId / site`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag		Eigenschaft schreiben	`msExchTransportSiteFlags / site`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchCost / site-link`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ msExchEdgeSyncEHFConnector`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ msExchEdgeSyncMservConnector`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Untergeordnete Objekte	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen Struktur löschen	`msExchEdgeSyncServiceConfig / site`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten	`/ msExchEdgeSyncServiceConfig`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Untergeordnete Objekte	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen Struktur löschen	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
Organisationsverwaltung Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Untergeordnete Objekte	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen Struktur löschen	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

DN (Distinguished Name) des Objekts: CN=Deleted Objects,CN=Configuration,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Kommentare
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Inhalt auflisten
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigung lesen Berechtigung schreiben Inhalt auflisten Eigenschaft lesen Objekt auflisten
Installationskonto	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigung lesen Berechtigung schreiben Inhalt auflisten Eigenschaft lesen Objekt auflisten	Hierbei handelt es sich um das zum Ausführen von `/PrepareAD` verwendete Konto.
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigung lesen Inhalt auflisten Eigenschaft lesen Objekt auflisten

Berechtigungen der administrativen Gruppen von Exchange

Mit dem Befehl Setup /PrepareAD werden auch die folgenden Berechtigungen für die administrativen Gruppen innerhalb der Organisation konfiguriert.

DN (Distinguished Name) des Objekts: CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Zugriff auf Empfängeraktualisierungsdienst	`msExchExchangeServer`	Ermöglicht Exchange-Empfängeradministratoren, Empfänger mit Proxyadressinformationen zu stempeln.
NT-AUTORITÄT\SYSTEM	ALLOW-Zugriffssteuerungseintrag	Beschr.	Zugriff auf Empfängeraktualisierungsdienst	`msExchExchangeServer`	Ermöglicht allen Servern, Empfänger mit Proxyadressinformationen zu stempeln.
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Zugriff auf Empfängeraktualisierungsdienst	`msExchExchangeServer`	Ermöglicht Exchange-Administratoren für Öffentliche Ordner, Empfänger mit Proxyadressinformationen zu stempeln.

DN (Distinguished Name) des Objekts: CN=Advanced Security Settings,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Inhalt auflisten

DN (Distinguished Name) des Objekts: CN=Encryption,CN=Advanced Security Settings,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft lesen

DN (Distinguished Name) des Objekts: CN=Arrays,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Inhalt auflisten

DN (Distinguished Name) des Objekts: CN=Database Availability Groups,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Inhalt auflisten

DN (Distinguished Name) des Objekts: CN=Databases,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Inhalt auflisten

DN (Distinguished Name) des Objekts: CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Exchange Servers	DENY-Zugriffssteuerungseintrag	Alle	Empfangen als		Exchange-Server sind nicht berechtigt, Postfächer zu öffnen.
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Inhalt auflisten

Containerberechtigungen der Microsoft Exchange-Sicherheitsgruppen

In den Berechtigungstabellen in diesem Abschnitt wird aufgezeigt, welche Berechtigungen für den Microsoft Exchange-Sicherheitsgruppencontainer innerhalb der Stammdomänenpartition festgelegt werden.

DN (Distinguished Name) des Objekts: OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

Konto ACE-Typ Vererbung Berechtigungen Für Eigenschaft/Angewendet auf

Organisationsverwaltung

ALLOW-Zugriffssteuerungseintrag

Alle

Vollzugriff

Vertrauenswürdiges Exchange-Subsystem

ALLOW-Zugriffssteuerungseintrag

Alle

Untergeordnetes Objekt erstellen

Untergeordnetes Objekt löschen

/ Group

Vertrauenswürdiges Exchange-Subsystem

ALLOW-Zugriffssteuerungseintrag

Beschr.

Eigenschaft schreiben

Member / group

DN (Distinguished Name) des Objekts: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff

DN (Distinguished Name) des Objekts: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff

DN (Distinguished Name) des Objekts: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

Organisationsverwaltung

ALLOW-Zugriffssteuerungseintrag

Alle

Vollzugriff

Stammdomänenadministratoren

ALLOW-Zugriffssteuerungseintrag

Alle

Mitglieder lesen

Mitglieder schreiben

Administratoren untergeordneter Domänen

ALLOW-Zugriffssteuerungseintrag

Alle

Mitglieder lesen

Mitglieder schreiben

Domäne vorbereiten

In den folgenden Tabellen werden die Berechtigungen aufgeführt, die beim Ausführen des Befehls Setup /PrepareDomain festgelegt werden.

DN (Distinguished Name) des Objekts: DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Information`
NT-AUTORITÄT\NETZWERK	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Personal Information`	Hiermit werden dem Transportdienst Leseberechtigungen erteilt.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`groupType`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMailboxSecurityDescriptor`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMServerWritableFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`userAccountControl`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`canonicalName`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Personal Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUserCultulre`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`memberOf`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`garbageCollPeriod`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Replikationssynchronisierung		Erweitertes Recht
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen Untergeordnete Objekte auflisten	`msExchActiveSyncDevices / User`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchSafeSendersHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMobileMailboxFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchSafeRecipientsHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`userCertificate`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMDtmfMap`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchBlockedSendersHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMSpokenName`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMPinChecksum`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Information`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`garbageCollPeriod`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`legacyExchangeDN`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`textEncodedORAddress`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`proxyAddresses`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`mail`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayNamePrintable`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`showInAddressBook`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Personal Information`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff	`/ msExchDynamicDistributionList`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`adminDisplayName`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Public Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`adminDisplayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff	`/ msExchDynamicDistributionList`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Personal Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`garbageCollPeriod`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`textEncodedORAddress`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`showInAddressBook`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`legacyExchangeDN`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Personal Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`proxyAddresses`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayNamePrintable`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`mail`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`pwdLastSet`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Struktur löschen WriteDACL	`/ user`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Struktur löschen WriteDACL	`/ inetOrgPerson`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`sAMAccountName`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ contact`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ user`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ organizationUnit`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ group`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ computer`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Member`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`wwwHomePage`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`countryCode`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`userAccountControl`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`managedBy`
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Kennwort zurücksetzen		Erweitertes Recht
Exchange/Windows-Berechtigungen	ALLOW-Zugriffssteuerungseintrag	Alle	Kennwort ändern		Erweitertes Recht

DN (Distinguished Name) des Objekts: CN=AdminSDHolder,CN=System,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`groupType`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMailboxSecurityDescriptor`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMServerWritableFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`userAccountControl`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`canonicalName`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Personal Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Information`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUserCultulre`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`memberOf`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`garbageCollPeriod`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Replikationssynchronisierung		Erweitertes Recht
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen Untergeordnete Objekte auflisten	`msExchActiveSyncDevices / User`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchSafeSendersHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchMobileMailboxFlags`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchSafeRecipientsHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`userCertificate`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMDtmfMap`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchBlockedSendersHash`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMSpokenName`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchUMPinChecksum`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Information`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`garbageCollPeriod`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`legacyExchangeDN`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`textEncodedORAddress`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`proxyAddresses`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`mail`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayNamePrintable`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`showInAddressBook`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Personal Information`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff	`/ msExchDynamicDistributionList`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`adminDisplayName`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Public Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`msExchPublicDelegates`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`adminDisplayName`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff	`/ msExchDynamicDistributionList`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Exchange Personal Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`garbageCollPeriod`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`textEncodedORAddress`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`showInAddressBook`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`legacyExchangeDN`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`Personal Information`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`proxyAddresses`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`displayNamePrintable`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben	`mail`

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange System Objects,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
NT-AUTORITÄT\NETZWERK	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`Exchange Personal Information`
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Berechtigungen lesen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`garbageCollPeriod`
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`adminDisplayName`
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen	`modifyTimeStamp`
Exchange Servers	DENY-Zugriffssteuerungseintrag	Alle	Struktur löschen
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen Struktur löschen
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ msExchSystemMailbox`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle		`/ publicFolder`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft schreiben	`/ publicFolder`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft schreiben	`/ msExchSystemMailbox`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft schreiben	`/ msExchSystemMailbox`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ msExchSystemMailbox`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`mail / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayNamePrintable / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayName / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`textEncodedORAddress / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`proxyAddresses / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`cn / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`showInAddressBook / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Information / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`legacyExchangeDN / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Personal Information / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msDSPhoneticDisplayName / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPFContacts / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`garbageCollPeriod / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`name / publicFolder`
Organisationsverwaltung	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPublicDelegates / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`mail / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayNamePrintable / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayName / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`textEncodedORAddress / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`proxyAddresses / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`cn / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`showInAddressBook / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Information / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`legacyExchangeDN / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Personal Information / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msDSPhoneticDisplayName / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPFContacts / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`garbageCollPeriod / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`name / publicFolder`
Verwaltung Öffentlicher Ordner	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPublicDelegates / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`mail / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayNamePrintable / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`displayName / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`textEncodedORAddress / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`proxyAddresses / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`cn / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`showInAddressBook / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Information / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`legacyExchangeDN / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`Exchange Personal Information / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msDSPhoneticDisplayName / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPFContacts / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`garbageCollPeriod / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`name / publicFolder`
Vertrauenswürdiges Exchange-Subsystem	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen Eigenschaft schreiben	`msExchPublicDelegates / publicFolder`

Serverrolleninstallation

Während der Installation der Clientzugriffs-, Hub-Transport-, Unified Messaging- und Postfachserverrollen wird vom Setupprogramm der Sicherheitsgruppe Administratoren auf dem lokalen Computer die universelle Sicherheitsgruppe Organisationsverwaltung hinzugefügt, sodass Mitglieder der Verwaltungsrollengruppe Organisationsverwaltung den Server verwalten können.

In der folgenden Berechtigungstabelle werden die Berechtigungen aufgeführt, die beim Installieren der Clientzugriffs-, Hub-Transport-, Unified Messaging- und Postfachserverrollen festgelegt werden.

DN (Distinguished Name) des Objekts: CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
MACHINE$	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
MACHINE$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`msExchServerSite` `msExchEdgeSyncCredential`
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Speicherübertragungszugriff Eingeschränkte Delegierung für Speicher Schreibgeschützter Zugriff auf Speicher Schreib-/Lesezugriff auf Speicher		Erweiterte Rechte
NT-AUTORITÄT\NETZWERK	ALLOW-Zugriffssteuerungseintrag	Alle	Tokenserialisierung für Exchange-Webdienste		Erweitertes Recht Wird nur für Objekte der Clientzugriffs-Serverrolle erteilt
NT-AUTORITÄT\NETZWERK	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen		Wird nur für Objekte der Hub-Transport-Serverrolle erteilt
Delegiertes Setup	ALLOW-Zugriffssteuerungseintrag	Alle	Vollzugriff
Delegiertes Setup	ALLOW-Zugriffssteuerungseintrag	Alle	Lesen
Delegiertes Setup	DENY-Zugriffssteuerungseintrag	Alle	Untergeordnetes Objekt erstellen Untergeordnetes Objekt löschen	`/ msExchPublicMDB`
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft lesen
Delegiertes Setup	DENY-Zugriffssteuerungseintrag	Alle	Empfangen als Senden als		Erweitertes Recht

Datenbankverfügbarkeitsgruppen

In den Berechtigungstabellen in diesem Abschnitt werden die Berechtigungen aufgeführt, die im Zusammenhang mit Datenbankverfügbarkeitsgruppen und den jeweils zugehörigen Mitgliedern festgelegt werden.

DN (Distinguished Name) des Objekts: CN=<Name der Datenbankverfügbarkeitsgruppe>,CN=Database Availability Groups,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaften lesen

DN (Distinguished Name) des Objekts: CN=<Name der Datenbankverfügbarkeitsgruppe>,CN=Computers,DC=<Domäne>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Löschen Berechtigungen lesen Inhalt auflisten Eigenschaft lesen Struktur löschen Objekt auflisten
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`Logon Information`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`description`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`displayName`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`sAMAccountName`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`Account Restrictions`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`Validated write to DNS host name`
Postfachserver-Computerkonto$	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaft schreiben	`Validated write to service principal name`

Edge-Transport

Wenn Sie einen Edge-Transport-Server installieren und ein Edge-Abonnement für die Exchange-Organisation einrichten, werden die in der folgenden Berechtigungstabelle angegebenen Berechtigungen festgelegt, wenn der Edge-Transport-Server in der Organisation instanziiert wird.

DN (Distinguished Name) des Objekts: CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Eigenschaft schreiben
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Keine	Eigenschaften lesen		Der Zugriffssteuerungseintrag ist im Schema für `msExchExchangeServer class`-Objekte (`defaultSecurityDescriptor.`) definiert.

Installation des Clientzugriffsservers

Während der Installation des ersten Clientzugriffsservers wird der folgende Container erstellt. Die folgende Berechtigungstabelle zeigt die Berechtigungen, die angewendet werden.

DN (Distinguished Name) des Objekts: CN=Availability Configuration,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Für Eigenschaft/Angewendet auf	Kommentare
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Beschr.	Eigenschaft lesen	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	Erweitertes Recht

Installation des Hub-Transport-Servers

Während der Installation jedes Hub-Transport-Servers werden die folgenden Berechtigungen festgelegt.

DN (Distinguished Name) des Objekts: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Kommentare
ExchangeLegacyInterop	DENY-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen akzeptieren
ExchangeLegacyInterop	DENY-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen akzeptieren
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Jeden Absender akzeptieren
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Jeden Absender akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Jeden Absender akzeptieren	Dies ist die bekannte Sicherheits-ID (SID) für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Jeden Absender akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Jeden Absender akzeptieren	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	EXCH50 akzeptieren
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	EXCH50 akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	EXCH50 akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	EXCH50 akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	EXCH50 akzeptieren	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	XShadow annehmen
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	XShadow annehmen	Dies ist die bekannte SID für Edge-Transport-Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Authentifizierungsflag akzeptieren
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Authentifizierungsflag akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Authentifizierungsflag akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Authentifizierungsflag akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Authentifizierungsflag akzeptieren	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Beschränkung der Nachrichtengröße umgehen
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Beschränkung der Nachrichtengröße umgehen
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Beschränkung der Nachrichtengröße umgehen	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Beschränkung der Nachrichtengröße umgehen	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Beschränkung der Nachrichtengröße umgehen	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln	Dies ist die bekannte SID für extern gesicherte Server.
Exchange Servers	ALLOW-Zugriffssteuerungseintrag	Alle	Absender aus autoritativer Domäne akzeptieren
ExchangeLegacyInterop	ALLOW-Zugriffssteuerungseintrag	Alle	Absender aus autoritativer Domäne akzeptieren
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Absender aus autoritativer Domäne akzeptieren	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Absender aus autoritativer Domäne akzeptieren	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Absender aus autoritativer Domäne akzeptieren	Dies ist die bekannte SID für extern gesicherte Server.
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln

DN (Distinguished Name) des Objekts: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an beliebige Empfänger übermitteln
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen akzeptieren
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Antispam umgehen
Authentifizierte Benutzer	ALLOW-Zugriffssteuerungseintrag	Alle	Nachrichten an Server übermitteln

Erstellung der SMTP-Sendeconnectors

In der folgenden Tabelle werden die Berechtigungen aufgeführt, die beim Erstellen von Sendeconnectors festgelegt werden.

DN (Distinguished Name) des Objekts: CN=<Connectorname>,CN=Connections,CN=<Routinggruppe>,CN=Routing Groups, CN=<Administratorgruppe>,CN=<Organisation>

Konto	ACE-Typ	Vererbung	Berechtigungen	Kommentare
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen senden	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Organisationskopfzeilen senden	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen senden	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Gesamtstrukturkopfzeilen senden	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	XShadow senden	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	XShadow senden	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-10	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden	Dies ist die bekannte SID für Partnerserver.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden	Dies ist die bekannte SID für extern gesicherte Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden	Dies ist die bekannte SID für Exchange-Legacyserver.
NT-AUTORITÄT\ANONYME ANMELDUNG	ALLOW-Zugriffssteuerungseintrag	Alle	Routingkopfzeilen senden
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ALLOW-Zugriffssteuerungseintrag	Alle	Exch50 senden	Dies ist die bekannte SID für Hub-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ALLOW-Zugriffssteuerungseintrag	Alle	Exch50 senden	Dies ist die bekannte SID für Edge-Transport-Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ALLOW-Zugriffssteuerungseintrag	Alle	Exch50 senden	Dies ist die bekannte SID für extern gesicherte Server.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ALLOW-Zugriffssteuerungseintrag	Alle	Exch50 senden	Dies ist die bekannte SID für Exchange-Legacyserver.

Berechtigungsreferenz für die Exchange 2010-Bereitstellung

Vorbereiten von Exchange-Legacyberechtigungen

DN (Distinguished Name) des Objekts: DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=AdminSDHolder,CN=System,DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=<Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

Vorbereiten der Active Directory-Berechtigungen

Microsoft Exchange-Containerberechtigungen

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

Containerberechtigungen der Microsoft Exchange-AutoErmittlung

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<Domäne>

Containerberechtigungen der Microsoft Exchange-Organisation

DN (Distinguished Name) des Objekts: CN=<Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=All Address Lists,CN=Address Lists Container,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Offline Address Lists,CN=Address Lists Container, CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Addressing,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Recipient Policies,CN=<Organisation>

Containerberechtigungen der Konfigurationspartition

DN (Distinguished Name) des Objekts: CN=Sites,CN=Configuration,DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=Deleted Objects,CN=Configuration,DC=<Domäne>

Berechtigungen der administrativen Gruppen von Exchange

DN (Distinguished Name) des Objekts: CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Advanced Security Settings,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Encryption,CN=Advanced Security Settings,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Arrays,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Database Availability Groups,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Databases,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Containerberechtigungen der Microsoft Exchange-Sicherheitsgruppen

DN (Distinguished Name) des Objekts: OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

DN (Distinguished Name) des Objekts: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

DN (Distinguished Name) des Objekts: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

DN (Distinguished Name) des Objekts: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<Stammdomäne>

Domäne vorbereiten

DN (Distinguished Name) des Objekts: DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=AdminSDHolder,CN=System,DC=<Domäne>

DN (Distinguished Name) des Objekts: CN=Microsoft Exchange System Objects,DC=<Domäne>

Serverrolleninstallation

DN (Distinguished Name) des Objekts: CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Datenbankverfügbarkeitsgruppen

DN (Distinguished Name) des Objekts: CN=<Name der Datenbankverfügbarkeitsgruppe>,CN=Database Availability Groups,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=<Name der Datenbankverfügbarkeitsgruppe>,CN=Computers,DC=<Domäne>

Edge-Transport

DN (Distinguished Name) des Objekts: CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=Administrative Groups,CN=<Organisation>

Installation des Clientzugriffsservers

DN (Distinguished Name) des Objekts: CN=Availability Configuration,CN=<Organisation>

Installation des Hub-Transport-Servers

DN (Distinguished Name) des Objekts: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=<Organisation>

DN (Distinguished Name) des Objekts: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<Administratorgruppe>,CN=<Organisation>

Erstellung der SMTP-Sendeconnectors

DN (Distinguished Name) des Objekts: CN=<Connectorname>,CN=Connections,CN=<Routinggruppe>,CN=Routing Groups, CN=<Administratorgruppe>,CN=<Organisation>

Zusätzliche Ressourcen