Preparación de permisos de Exchange heredados

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-11-21

Al realizar la transición de Microsoft Exchange Server 2003 o Exchange 2000 Server a Exchange Server 2007, primero debe conceder permisos de Exchange específicos en cada uno de los dominios en los que se ejecutó DomainPrep de Exchange 2003 o Exchange 2000. Para hacerlo, ejecute el comando setup /PrepareLegacyExchangePermissions. Es aconsejable ejecutar el comando setup /PrepareLegacyExchangePermissions en el dominio raíz del bosque de Active Directory. El comando se puede ejecutar en un equipo que se vaya a usar como servidor de Exchange 2007 o en una estación de trabajo de administración de Exchange 2007. Independientemente del lugar donde se ejecute el comando setup /PrepareLegacyExchangePermissions, el programa de instalación debe poder comunicarse con un servidor de directorios de Active Directory en el que se esté ejecutando Windows Server 2003 con Service Pack 1 o posterior.

La concesión de estos permisos forma parte de la preparación del servicio de directorio de Active Directory y sus dominios para la instalación de Exchange 2007. Para obtener instrucciones detalladas, consulte Cómo preparar Active Directory y dominios.

En este tema se explica por qué se debe ejecutar el comando setup /PrepareLegacyExchangePermissions, cuándo se debe ejecutar y los permisos que el comando establece en la organización de Exchange 2007.

Por qué ejecutar Setup /PrepareLegacyExchangePermissions

Básicamente, debe ejecutar el comando setup /PrepareLegacyExchangePermissions para que el servicio de actualización de destinatarios de Exchange 2003 o de Exchange 2000  funcione correctamente después de actualizar el esquema Active Directory para Exchange 2007. En esta sección se explica el problema principal y cómo lo resuelve la ejecución del comando.

Problema

En Exchange Server 2003 y Exchange 2000 Server, el servicio de actualización de destinatarios actualiza algunos atributos de buzón, como la dirección proxy, en objetos de usuario habilitado para correo. El servicio de actualización de destinatarios tiene permiso para modificar dichos atributos, ya que la cuenta del equipo (denominada <nombreDeServidor>) para el servidor donde se ejecuta el servicio de actualización de destinatarios se encuentra en el grupo Servidores empresariales de Exchange (EES). El grupo EES se crea al ejecutar Exchange Server 2003 o DomainPrep Exchange 2000 Server. En lugar de conceder los permisos del grupo EES a cada uno de los atributos de buzón de correo que el Servicio de actualización de destinatarios debe modificar, los atributos de buzón de correo se agrupan en conjuntos de propiedades. Al ejecutar DomainPrep de Exchange Server 2003 o Exchange 2000 Server, Exchange proporciona al grupo EES permisos para modificar los conjuntos de propiedades mediante entradas de control de acceso (ACE) que Exchange establece en el contenedor de dominios de Active Directory.

Exchange 2007 tiene una nueva función de administrador de Exchange predefinida denominada Administradores de destinatarios de Exchange. Esta función tiene permisos para administrar los atributos de correo electrónico de todos los usuarios. Los administradores de Exchange que forman parte de la función Administradores de destinatarios de Exchange sólo pueden administrar propiedades de correo electrónico de los usuarios. Para habilitar esta funcionalidad, Exchange 2007 debe poner algunos de los atributos de correo electrónico de los usuarios en un conjunto de propiedades denominado "conjunto de propiedades de información de Exchange". Para hacerlo, Exchange vuelve a definir los esquemas de atributos de Active Directory al importar el nuevo esquema de Exchange 2007. Sin embargo, el grupo EES heredado no tiene permisos en el conjunto de propiedades de información de Exchange. Por tanto, al importar el esquema de Exchange 2007 nuevo, el Servicio de actualización de destinatarios dejará de tener permisos en los atributos de correo electrónico de los usuarios y de funcionar correctamente. (Por ejemplo, no podrá definir direcciones proxy para usuarios de Exchange Server 2003 creados recientemente.)

Solución

Al ejecutar el comando setup /PrepareLegacyExchangePermissions, el servicio de actualización de destinatarios heredado podrá funcionar correctamente. Antes de importar el esquema de Exchange 2007 nuevo, Exchange 2007 debe conceder nuevos permisos a todos los dominios donde se ejecutara DomainPrep de Exchange Server 2003 o Exchange 2000 Server. El comando setup /PrepareLegacyExchangePermissions concede estos permisos nuevos. Antes de ejecutar setup /PrepareSchema, debe ejecutar setup /PrepareLegacyExchangePermissions y permitir que los permisos se repliquen en toda la organización de Exchange. El servidor donde ejecuta setup /PrepareLegacyExchangePermissions se pone en contacto con el catálogo global local para localizar los dominios en que se ejecuta DomainPrep de Exchange Server 2003 o Exchange 2000 Server comprobando los grupos EES y Servidores de dominio de Exchange (EDS). El servidor debe poder comunicarse con todos los dominios del bosque en que ejecutó DomainPrep de Exchange Server 2003 o Exchange 2000 Server. Además, la cuenta utilizada para ejecutar setup /PrepareLegacyExchangePermissions debe tener los permisos asignados al grupo de seguridad universal (USG) de Administradores de la organización para que pueda establecer las ACE en cada dominio y en la organización de Exchange.

Permisos establecidos por Setup /PrepareLegacyExchangePermissions

Al ejecutar setup /PrepareLegacyExchangePermissions, se encuentran todos los dominios del bosque que tengan el grupo EES y el grupo Servidores de dominio de Exchange (EDS). Para cada dominio que tenga estos grupos, setup /PrepareLegacyExchangePermissions hace lo siguiente:

  • Agrega una ACE a la lista de control de acceso (ACL) de la raíz de dominio para proporcionar permisos WRITE_PROP al grupo EES en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE a la ACL de la raíz de dominio para proporcionar permisos READ_PROP a usuarios autenticados en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE al contenedor AdminSDHolder del dominio para proporcionar permisos WRITE_PROP y READ_PROP al grupo EES en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE a la ACL del contenedor de organización de Exchange para proporcionar permisos WRITE_PROP al grupo EDS en el conjunto de propiedades de información de Exchange.

Ejecución de nuevo de Setup /PrepareLegacyExchangePermissions

Existen algunos casos en los que necesitará ejecutar setup /PrepareLegacyExchangePermissions de nuevo:

  • Tiene un dominio que contiene servidores de Exchange Server 2003 o Exchange 2000 Server y no es necesario ejecutar DomainPrep.

  • Agrega un dominio nuevo al bosque y desea instalar Exchange Server 2003 o Exchange 2000 Server en este dominio.

  • En un dominio nuevo o existente, los usuarios habilitados para buzón iniciarán sesión en los buzones de Exchange Server 2003 o Exchange 2000 Server en dominios en que no se ejecutó DomainPrep.

En estos casos, debe ejecutar de nuevo setup /PrepareLegacyExchangePermissions después de ejecutar DomainPrep de Exchange Server 2003 o Exchange 2000 Server. Esto permite que el servicio de actualización de destinatarios de Exchange Server 2003 o Exchange 2000 Server funcione correctamente en este dominio.