Cómo configurar la administración entre bosques

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2010-09-20

En este tema se explica el modo de usar Setup.com para habilitar la administración entre bosques. Puede usar este procedimiento si dispone de una cuenta de usuario en un bosque que debe administrar Microsoft Exchange Server 2007 en un bosque diferente. Use este procedimiento en los siguientes escenarios:

  • El bosque de recursos es un escenario común en el que existe un bosque (el bosque de las cuentas de usuario) que no contiene ningún servidor de Exchange y un bosque distinto para la organización de Exchange.

  • El escenario entre bosques clásico con varios bosques de Exchange es un escenario en el que un usuario de un bosque podría administrar Exchange en ambos bosques. Como alternativa, un usuario de un bosque podría administrar Exchange en el otro bosque, pero no en ambos.

Para administrar servidores, propiedades y destinatarios de Exchange, se debe delegar en un administrador la pertenencia a una las siguientes funciones de administrador de Exchange:

  • Administrador de organización de Exchange

  • Administrador de carpeta pública de Exchange

  • Administrador de destinatarios de Exchange

  • Administrador con permiso de vista de Exchange

Nota

La función de administrador de carpetas públicas de Exchange no existe en la versión RTM de Exchange 2007. Se ha introducido en el Service Pack 1 (SP1) de Exchange 2007.

Sin embargo, no se puede agregar un usuario de un bosque diferente a una función de administrador de Exchange. Para administrar servidores de Exchange 2007 en el bosque B mediante una cuenta de usuario del bosque A, es necesario realizar los siguientes pasos:

  1. Si no existen todavía, cree funciones paralelas de administrador de Exchange en el bosque A.

  2. Use Setup.com con el parámetro ForeignForestFQDN para conceder permisos en objetos del bosque B a las funciones del bosque A.

  3. Agregue usuarios del bosque A a las funciones paralelas de administrador de Exchange que acaba de crear en el bosque A.

Estado de inicio

estado de inicio: permitir la administración entre bosques

Fase 1: Creación de funciones de administrador de Exchange paralelas en el bosque A

Fase 1: permitir la administración entre bosques

Fase 2: Concesión de permisos

Fase 2: permitir la administración entre bosques

Fase 3: Incorporación de un usuario a funciones de Exchange en el bosque A

Fase 3: permitir la administración entre bosques

Importante

Después de configurar la administración entre bosques, no es posible realizar ninguna acción de instalación de Exchange en un bosque mediante una cuenta de usuario de otro bosque. Por ejemplo, no es posible agregar o quitar funciones de servidor, ni recuperar un servidor en un bosque mediante una cuenta de usuario de otro bosque, aunque esa cuenta de usuario esté configurada para la administración entre bosques.

Nota

Para crear las funciones de administrador de Exchange, debe utilizar Usuarios y equipos de Active Directory para crear grupos. Debe seleccionar Universal para el ámbito del grupo y Seguridad para el tipo de grupo. Para obtener más información, consulte Consideraciones sobre permisos.

Antes de empezar

Asegúrese de que el nivel funcional de los dos bosques sea Microsoft Windows Server 2003. Para obtener más información acerca de los niveles funcionales de Active Directory, consulte Información general sobre los niveles funcionales (en inglés).

Cree una relación de confianza bidireccional entre los dos bosques. Para conocer los pasos detallados, consulte Crear una confianza bidireccional para ambos lados de la relación de confianza (en inglés). Esta confianza es necesaria para configurar la administración entre bosques. Si se encuentra en un escenario de bosques de recursos, después de realizar este procedimiento para configurar la administración entre bosques, reduzca la confianza hasta una confianza unidireccional, de modo que el bosque de Exchange confíe en el bosque de la cuenta de usuario. Tenga en cuenta que seguirá necesitando la confianza bidireccional para compartir carpetas.

Nota

Asegúrese de que el tipo de confianza sea Bosque, no Externo.

En el siguiente procedimiento, el bosque A tiene una cuenta de usuario que necesita administrar servidores de Exchange 2007 en un bosque diferente. El bosque B es el que tiene servidores de Exchange 2007 que administrará un usuario del bosque A.

Para realizar los pasos de este procedimiento en el bosque A, se debe delegar lo siguiente a la cuenta que usted use:

  • Pertenencia al grupo Administradores de la empresa en el bosque A

Para realizar los pasos de este procedimiento en el bosque B, se debe delegar lo siguiente a la cuenta que usted use:

  • Pertenencia al grupo Administradores de la empresa en el bosque B

Nota

Si tiene una cuenta con derechos de Administrador de la empresa en el bosque A y el bosque B, al ejecutar el comando Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com se ejecutarán los pasos 2 a 7 automáticamente. Sin embargo, como no es probable que tenga un usuario con derechos de Administrador de empresa en ambos bosques, recomendamos que ejecute los pasos 2 a 7 manualmente para crear, en primer lugar, los grupos de seguridad universal de Exchange y asignar permisos a estos grupos en el bosque A, con una cuenta que sea miembro del grupo Administradores de la empresa, sólo en el bosque A. A continuación, puede ejecutar Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com en el bosque B con una cuenta que sea miembro del grupo Administradores de la empresa sólo en el bosque B.

Importante

Los administradores deben iniciar sesión en los servidores del bosque de recursos con la autenticación de nombre principal de usuario (UPN). También se deben asegurar de que los sufijos de UPN inusuales se registren en la confianza de bosque para que dispongan de un vale Kerberos cuando inicien sesión. El vale Kerberos es necesario para habilitar las herramientas de administración de Exchange y conectarse al contexto de nomenclatura de la configuración del bosque de recursos. Si se usa la autenticación NTLM (DOMINIO\USUARIO), se puede producir un error en el enlace LDAP de las herramientas de administración si no existe ninguna conexión almacenada en caché al dominio del bosque de la cuenta.

Procedimiento

SP1 de Exchange 2007

Para configurar la administración entre bosques en SP1 de Exchange 2007

  1. Si se encuentra en un escenario entre bosques clásico (Exchange está instalado en el bosque A y en el bosque B) y no desea que el usuario del bosque A que va a administrar Exchange en el bosque B sea también administrador en el bosque A, deberá cambiar el nombre de la unidad organizativa y los grupos del bosque A siguientes, o bien moverlos a otra ubicación:

    • Grupos de seguridad de Microsoft Exchange

    • Administradores de la organización de Exchange

    • Administradores de carpetas públicas de Exchange

    • Administradores de destinatarios de Exchange

    • Administradores con permisos de sólo vista de Exchange

    Para ello, use uno de los métodos siguientes:

    • Cambie el nombre de la unidad o del grupo

    • Mueva la unidad o el grupo a otra unidad organizativa

    • Mueva la unidad o el grupo a otro dominio

    Después de cambiar el nombre a estos grupos o de moverlos, conservarán la misma pertenencia y los mismos permisos, y el usuario podrá administrar Exchange en el bosque A con cuentas que pertenezcan a estos grupos.

    Si se encuentra en un escenario entre bosques clásico (Exchange está instalado en el bosque A y en el bosque B) y desea que el usuario del bosque A administre Exchange en el bosque A y en el bosque B, vaya al paso 9.

    Si se encuentra en un escenario de bosques de recursos, siga hasta el paso 2.

  2. En el dominio raíz del bosque A, cree una nueva unidad organizativa denominada Grupos de seguridad de Microsoft Exchange. Para obtener más información acerca de cómo crear una unidad organizativa, consulte Crear una nueva unidad organizativa.

  3. En la unidad organizativa Grupos de seguridad de Microsoft Exchange del bosque A, cree los siguientes grupos de seguridad universal:

    • Administradores de la organización de Exchange

    • Administradores de carpetas públicas de Exchange

    • Administradores de destinatarios de Exchange

    • Administradores con permisos de sólo vista de Exchange

    Para obtener más información, consulte Creación de un grupo nuevo (en inglés).

    Nota

    Asegúrese de seleccionar Universal para el ámbito del grupo y Seguridad para el tipo de grupo.

  4. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de la organización de Exchange al grupo Administradores de destinatarios de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores de destinatarios de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de la organización de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de Administradores de destinatarios de Exchange.

  5. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de la organización de Exchange al grupo Administradores de carpetas públicas de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores de carpetas públicas de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de la organización de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de administradores de carpetas públicas de Exchange .

  6. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de destinatarios de Exchange al grupo Administradores con permiso de vista de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores con permiso de vista de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de destinatarios de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de Administradores con permiso de vista de Exchange.

  7. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de carpetas públicas de Exchange al grupo Administradores con permiso de vista de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores con permiso de vista de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de carpetas públicas de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de Administradores con permiso de vista de Exchange.

  8. En Usuarios y equipos de Active Directory del bosque A, dentro del menú Ver, haga clic en Características avanzadas y, a continuación, realice los siguientes pasos:

    1. Haga clic con el botón secundario en la unidad organizativa Grupos de seguridad de Microsoft Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, haga clic en Avanzada.

    3. En la ficha Permisos, seleccione Administradores de la organización de Exchange en la lista Entradas de permisos y, a continuación, haga clic en Editar.

    4. En la ficha Objeto, en la lista Aplicar a, seleccione Este objeto y todos los objetos secundarios.

    5. En la lista Permisos, busque Control total y, a continuación, haga clic para activar la casilla Permitir.

    6. Haga clic en Aceptar.

    7. En la ficha Permisos, seleccione Administradores de destinatarios de Exchange y, a continuación, haga clic en Editar.

    8. En la ficha Objeto, en la lista Aplicar a, seleccione Este objeto y todos los objetos secundarios.

    9. En la lista Permisos, busque Control total y, a continuación, haga clic para activar la casilla Permitir.

    10. Haga clic en Aceptar.

    11. En la ficha Permisos, seleccione Administradores de carpetas públicas de Exchange y, a continuación, haga clic en Editar.

    12. En la ficha Objeto, en la lista Aplicar a, seleccione Este objeto y todos los objetos secundarios.

    13. En la lista Permisos, busque Control total y, a continuación, haga clic para activar la casilla Permitir.

    14. Haga clic en Aceptar.

    15. En la ficha Permisos, seleccione Administradores con permiso de vista de Exchange y, a continuación, haga clic en Editar.

    16. En la ficha Objeto, en la lista Aplicar a, seleccione Este objeto y todos los objetos secundarios.

    17. En la lista Permisos, busque Control total y, a continuación, haga clic para activar la casilla Permitir.

    18. Haga clic en Aceptar dos veces.

  9. Inicie sesión en el bosque B con una cuenta que sea miembro del grupo Administradores de la empresa en el bosque B y, a continuación, ejecute el siguiente comando desde una ventana de símbolo del sistema:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Este comando comprueba que se han creado los grupos de seguridad universal de Exchange en el bosque A y que se hayan asignado correctamente los permisos. En el bosque B, el comando configura las entradas de control de acceso (ACE) en Active Directory en los objetos de configuración de Exchange para que los grupos de seguridad de Exchange creados recientemente en el bosque A tengan derechos para la configuración de Exchange en el bosque B. Al ejecutar Setup /PrepareAD sin el parámetro ForeignForestFQDN, el comando crea los grupos de seguridad universal de Exchange en el bosque local y define los permisos en estos grupos. Al agregar el parámetro ForeignForestFQDN, se especifica que se desea proporcionar a los grupos de seguridad universal de Exchange de un bosque externo permiso para la configuración de Exchange en el bosque en el que se ejecuta el comando.

  10. Para comprobar que la instalación ha finalizado correctamente, realice los siguientes pasos:

    1. En el bosque B, haga clic con el botón secundario en el grupo de seguridad universal de los servidores de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange (<dominio del bosque A\Administradores de la organización de Exchange>).

    3. Compruebe que la opción Permitir está seleccionada para el permiso Control total.

    Nota

    Si surge un error en el programa de instalación debido a que los derechos de acceso son insuficientes, compruebe si ha creado correctamente los grupos de seguridad universal en el bosque A, si los grupos están anidados de forma adecuada y si el grupo Administradores de la organización de Exchange tiene control total de la nueva unidad organizativa y los tres nuevos grupos de seguridad universal y, a continuación, vuelva a realizar el paso 9.

  11. Para administrar Exchange en el bosque B mediante una cuenta del bosque A, agregue la cuenta del bosque A a uno o más grupos de seguridad universal de Exchange creados en el bosque A.

  12. (Opcional) Cambie la confianza del bosque, de bidireccional a unidireccional. Para ello, elimine la confianza entrante bidireccional existente del bosque A. Para obtener instrucciones detalladas, consulte Quitar confianza creada manualmente (en inglés).

    Nota

    Asegúrese de seleccionar Sí, quitar la confianza del dominio local y del otro dominio.

    Nota

    Debe conservar la confianza saliente.

  13. En Active Directory, Usuarios y equipos del bosque B, en el menú Ver, haga clic en Características avanzadas.

  14. (Opcional) Si desea que los administradores de destinatarios del bosque A administren usuarios del bosque B, deberá asignar los permisos manualmente. Realice los siguientes pasos:

    1. En Usuarios y equipos del bosque B de Active Directory, haga clic con el botón secundario en el contenedor Usuarios y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, haga clic en Avanzada.

    3. En Entradas de permisos, seleccione la entrada en la que Tipo sea Permitir, Nombre sea Administradores de destinatarios de Exchange (<dominio del bosque A\Administradores de destinatarios de Exchange>) y Permiso sea Especial y, a continuación, haga clic en Editar.

    4. En la página Entrada de permisos para usuarios, en la ficha Objetos en Permisos, seleccione Permitir para los siguientes permisos: Contenidos de lista, Todas las propiedades de lectura, Todas las propiedades de escritura, Permisos de lectura, Crear objetos de usuarios, Eliminar objetos de usuarios.

    5. Haga clic en Aceptar.

    6. En la página Configuración de seguridad avanzada para usuarios, seleccione la casilla Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios y, a continuación, haga clic en Aceptar.

    Nota

    Este paso proporciona los permisos necesarios para que los miembros del grupo Administradores de destinatarios de Exchange del bosque A modifiquen objetos en el contenedor Usuario del bosque B. La ejecución de Setup /ForeignForestFQDN en el bosque B (en el paso 9) concedía a los usuarios de los grupos de seguridad de Exchange del bosque A permiso para las propiedades de Exchange del bosque B, pero no para las propiedades de usuarios de Windows de este bosque.
    Para proporcionar permisos a otros grupos del bosque A para que puedan modificar objetos del contenedor Usuario del bosque B, seleccione un grupo diferente de la página Avanzadas de seguridad avanzada para usuarios.

  15. (Opcional) Si desea que los administradores del bosque A tengan permisos para usar la Consola de administración de Exchange y el Shell de administración de Exchange en un servidor de Exchange del bosque B, deberá conceder manualmente al usuario permisos en los directorios Bin, Public y Scripts del directorio de Exchange Server. Realice los siguientes pasos:

    1. Navegue hasta el directorio de Exchange Server en el que esté instalado Exchange. (De forma predeterminada, el directorio es %programfiles%\Microsoft\Exchange Server.)

    2. Haga clic con el botón secundario en el directorio de Bin y, a continuación, haga clic en Propiedades.

    3. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    4. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    5. Haga clic con el botón secundario en el directorio de Público y, a continuación, haga clic en Propiedades.

    6. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    7. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    8. Haga clic con el botón secundario en el directorio de Scripts y, a continuación, haga clic en Propiedades.

    9. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    10. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    Nota

    Para administrar Exchange en el bosque B, los usuarios del bosque A deben poder también iniciar sesión en un servidor del bosque B que tenga instalado Exchange o las herramientas de administración de Exchange. Si agrega usuarios al bosque A al grupo de administradores del dominio o al grupo de administradores locales del servidor del bosque B para que puedan iniciar sesión en un servidor del bosque B, ya tendrán permisos de Leer y ejecutar en los directorios Bin, Public y Scripts. De forma alternativa, puede otorgar a usuarios del bosque A permisos específicos para iniciar sesión de forma remota en un servidor mediante el uso del componente Servicios de terminal de Windows Server 2003.

Exchange 2007 RTM

Para configurar la administración entre bosques en la versión RTM de Exchange 2007

  1. Si se encuentra en un escenario entre bosques clásico, Exchange está instalado en el bosque A y el bosque B, y si no desea que el usuario del bosque A que administrará Exchange en el bosque B sea también administrador en el bosque A, deberá cambiar el nombre de la unidad organizativa y los grupos del bosque A siguientes, así como moverlos a una unidad organizativa o a un dominio diferente:

    • Grupos de seguridad de Microsoft Exchange

    • Administradores de la organización de Exchange

    • Administradores de destinatarios de Exchange

    • Administradores con permisos de sólo vista de Exchange

    Después de cambiar el nombre a estos grupos o de moverlos, conservarán la misma pertenencia y los mismos permisos, y el usuario podrá administrar Exchange en el bosque A con cuentas que pertenezcan a estos grupos.

    Si se encuentra en un escenario entre bosques clásico, Exchange está instalado en el bosque A y el bosque B, y desea que el usuario del bosque A administre Exchange en el bosque A y el bosque B, continúe hasta el paso 7.

    Si se encuentra en un escenario de bosques de recursos, siga hasta el paso 2.

  2. En el dominio raíz del bosque A, cree una nueva unidad organizativa denominada Grupos de seguridad de Microsoft Exchange. Para obtener más información sobre la creación de una unidad organizativa, consulte Creación de una nueva unidad organizativa (en inglés).

  3. En la unidad organizativa Grupos de seguridad de Microsoft Exchange del bosque A, cree los siguientes grupos de seguridad universal:

    • Administradores de la organización de Exchange

    • Administradores de destinatarios de Exchange

    • Administradores con permisos de sólo vista de Exchange

    Para obtener más información, consulte Creación de un grupo nuevo (en inglés).

    Nota

    Asegúrese de seleccionar Universal para el ámbito del grupo y Seguridad para el tipo de grupo.

  4. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de la organización de Exchange al grupo Administradores de destinatarios de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores de destinatarios de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de la organización de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de Administradores de destinatarios de Exchange.

  5. En el bosque A, realice los pasos siguientes para agregar el grupo Administradores de destinatarios de Exchange al grupo Administradores con permiso de vista de Exchange:

    1. Haga clic con el botón secundario en el grupo Administradores con permiso de vista de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Miembros, haga clic en Agregar.

    3. En Seleccionar usuarios, equipos o grupos, escriba Administradores de destinatarios de Exchange y, a continuación, haga clic en Aceptar.

    4. Haga clic en Aceptar en la página Propiedades de Administradores con permiso de vista de Exchange.

  6. En Usuarios y equipos de Active Directory del bosque A, dentro del menú Ver, haga clic en Características avanzadas y, a continuación, realice los siguientes pasos:

    1. Haga clic con el botón secundario en la unidad organizativa Grupos de seguridad de Microsoft Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange.

    3. En Permisos para administradores de la organización de Exchange, seleccione Control total y, a continuación, haga clic en Aceptar.

    4. Haga clic con el botón secundario en el grupo Administradores de la organización de Exchange y, a continuación, haga clic en Propiedades.

    5. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange.

    6. En Permisos para administradores de la organización de Exchange, seleccione Control total y, a continuación, haga clic en Aceptar.

    7. Haga clic con el botón secundario en el grupo Administradores de destinatarios de Exchange y, a continuación, haga clic en Propiedades.

    8. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange.

    9. En Permisos para administradores de la organización de Exchange, seleccione Control total y, a continuación, haga clic en Aceptar.

    10. Haga clic con el botón secundario en el grupo Administradores con permiso de vista de Exchange y, a continuación, haga clic en Propiedades.

    11. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange.

    12. En Permisos para administradores de la organización de Exchange, seleccione Control total y, a continuación, haga clic en Aceptar.

  7. Inicie sesión en el bosque B con una cuenta que sea miembro del grupo Administradores de la empresa en el bosque B y, a continuación, ejecute el siguiente comando desde una ventana de símbolo del sistema:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Este comando comprueba que los grupos de seguridad universal de Exchange del bosque A se han creado y que los permisos se han asignado correctamente. En el bosque B, el comando configura las entradas de control de acceso (ACE) de Active Directory en los objetos de configuración de Exchange, de modo que los grupos de seguridad universal de Exchange recién creados del bosque A tengan derechos en la configuración de Exchange del bosque B. Cuando se ejecuta Setup /PrepareAD sin el parámetro ForeignForestFQDN, el comando crea los grupos de seguridad universal de Exchange en el bosque local y establece permisos en estos grupos. Al agregar el parámetro ForeignForestFQDN, se especifica que se desea proporcionar a los grupos de seguridad universal de Exchange de un bosque externo permiso para la configuración de Exchange en el bosque en el que se ejecuta el comando.

  8. Para comprobar que la instalación ha finalizado correctamente, realice los siguientes pasos:

    1. En el bosque B, haga clic con el botón secundario en el grupo de seguridad universal de los servidores de Exchange y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, dentro de Nombres de grupos o usuarios, seleccione Administradores de la organización de Exchange (<dominio del bosque A\Administradores de la organización de Exchange>).

    3. Compruebe que la opción Permitir está seleccionada para el permiso Control total.

    Nota

    Si surge un error en el programa de instalación debido a que los derechos de acceso son insuficientes, compruebe si ha creado correctamente los grupos de seguridad universal en el bosque A, si los grupos están anidados de forma adecuada y si el grupo Administradores de la organización de Exchange tiene control total de la nueva unidad organizativa y los tres nuevos grupos de seguridad universal y, a continuación, vuelva a realizar el paso 7.

  9. Para administrar Exchange en el bosque B mediante una cuenta del bosque A, agregue la cuenta del bosque A a uno o más grupos de seguridad universal de Exchange creados en el bosque A.

  10. (Opcional) Cambie la confianza del bosque, de bidireccional a unidireccional. Para ello, elimine la confianza entrante bidireccional existente del bosque A. Para obtener instrucciones detalladas, consulte Quitar confianza creada manualmente (en inglés).

    Nota

    Asegúrese de seleccionar Sí, quitar la confianza del dominio local y del otro dominio.

    Nota

    Debe conservar la confianza saliente.

  11. En Active Directory, Usuarios y equipos del bosque B, en el menú Ver, haga clic en Características avanzadas.

  12. (Opcional) Si desea que los administradores de destinatarios del bosque A administren usuarios del bosque B, deberá asignar los permisos manualmente. Realice los siguientes pasos:

    1. En Active Directory, Usuarios y equipos del bosque B, haga clic con el botón secundario en el contenedor Usuarios y, a continuación, haga clic en Propiedades.

    2. En la ficha Seguridad, haga clic en Avanzada.

    3. En Entradas de permisos, seleccione la entrada en la que Tipo sea Permitir, Nombre sea Administradores de destinatarios de Exchange (<dominio del bosque A\Administradores de destinatarios de Exchange>) y Permiso sea Especial y, a continuación, haga clic en Editar.

    4. En la página Entrada de permisos para usuarios, en la ficha Objetos en Permisos, seleccione Permitir para los siguientes permisos: Contenidos de lista, Todas las propiedades de lectura, Todas las propiedades de escritura, Permisos de lectura, Crear objetos de usuarios, Eliminar objetos de usuarios.

    5. Haga clic en Aceptar.

    6. En la página Configuración de seguridad avanzada para usuarios, seleccione la casilla Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios y, a continuación, haga clic en Aceptar.

    Nota

    Este paso proporciona los permisos necesarios para que los miembros del grupo Administradores de destinatarios de Exchange del bosque A modifiquen objetos en el contenedor Usuario del bosque B. La ejecución de Setup /ForeignForestFQDN en el bosque B (en el paso 7) concedía a los usuarios de los grupos de seguridad de Exchange del bosque A permiso para las propiedades de Exchange del bosque B, pero no para las propiedades de usuarios de Windows de este bosque.
    Para proporcionar permisos a otros grupos del bosque A para que puedan modificar objetos del contenedor Usuario del bosque B, seleccione un grupo diferente de la página Avanzadas de seguridad avanzada para usuarios.

  13. (Opcional) Si desea que los administradores del bosque A tengan permisos para usar la Consola de administración de Exchange y el Shell de administración de Exchange en un servidor de Exchange del bosque B, deberá conceder manualmente al usuario permisos en los directorios Bin, Public y Scripts del directorio de Exchange Server. Realice los siguientes pasos:

    1. Desplácese hasta el directorio de Exchange Server en el que esté instalado Exchange. (De forma predeterminada, el directorio es %programfiles%\Microsoft\Exchange Server.)

    2. Haga clic con el botón secundario en el directorio de Bin y, a continuación, haga clic en Propiedades.

    3. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    4. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    5. Haga clic con el botón secundario en el directorio de Público y, a continuación, haga clic en Propiedades.

    6. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    7. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    8. Haga clic con el botón secundario en el directorio de Scripts y, a continuación, haga clic en Propiedades.

    9. En la ficha Seguridad, haga clic en Agregar y, a continuación, especifique el usuario o el grupo al que desee conceder permiso.

    10. En Permisos de <usuario o grupo>, seleccione Permitir para el permiso Leer y ejecutar y, a continuación, haga clic en Aceptar.

    Nota

    Para administrar Exchange en el bosque B, los usuarios del bosque A deben poder también iniciar sesión en un servidor del bosque B que tenga instalado Exchange o las herramientas de administración de Exchange. Si agrega usuarios al bosque A al grupo de administradores del dominio o al grupo de administradores locales del servidor del bosque B para que puedan iniciar sesión en un servidor del bosque B, ya tendrán permisos de Leer y ejecutar en los directorios Bin, Public y Scripts. De forma alternativa, puede otorgar a usuarios del bosque A permisos específicos para iniciar sesión de forma remota en un servidor mediante el uso del componente Servicios de terminal de Windows Server 2003.

Para obtener más información

Para obtener más información acerca de la instalación de Exchange 2007 mediante el uso de Setup.com desde una ventana del símbolo del sistema, consulte Cómo instalar Exchange 2007 en modo desatendido.