Preparar permisos heredados de Exchange 2003

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2011-04-28

Al realizar la actualización de Exchange Server 2003 a Exchange Server 2010, primero debe conceder permisos de Exchange específicos en cada uno de los dominios en los que se ejecutó DomainPrep de Exchange 2003. Para hacerlo, ejecute el comando setup /PrepareLegacyExchangePermissions. La concesión de estos permisos forma parte de la preparación del servicio de directorio de Active Directory y sus dominios para la instalación de Exchange Server 2010. Para obtener instrucciones detalladas, consulte Preparar Active Directory y los dominios.

En este tema se explica por qué se debe ejecutar el comando setup /PrepareLegacyExchangePermissions, cuándo se debe ejecutar y los permisos que el comando establece en la organización de Exchange Server 2010.

Por qué ejecutar Setup /PrepareLegacyExchangePermissions

Básicamente, debe ejecutar el comando setup /PrepareLegacyExchangePermissions para que el servicio de actualización de destinatarios de Exchange 2003 funcione correctamente después de actualizar el esquema Active Directory para Exchange Server 2010. En esta sección se explica el problema principal y cómo lo resuelve la ejecución del comando.

Problema

En Exchange Server 2003, el servicio de actualización de destinatarios actualiza algunos atributos de buzón, como la dirección proxy, en objetos de usuario habilitado para correo. El servicio de actualización de destinatarios tiene permiso para modificar dichos atributos, ya que la cuenta del equipo (denominada <nombreDeServidor>) para el servidor donde se ejecuta el servicio de actualización de destinatarios se encuentra en el grupo Servidores empresariales de Exchange (EES). El grupo EES se crea al ejecutar DomainPrep de Exchange Server 2003. En lugar de conceder los permisos del grupo EES a cada uno de los atributos de buzón de correo que el Servicio de actualización de destinatarios debe modificar, los atributos de buzón de correo se agrupan en conjuntos de propiedades. Al ejecutar DomainPrep de Exchange Server 2003, Exchange proporciona al grupo EES permisos para modificar los conjuntos de propiedades mediante entradas de control de acceso (ACE) que Exchange establece en el contenedor de dominios de Active Directory.

Exchange Server 2010 tiene un rol de administración denominado Administración de destinatarios. Este rol tiene permisos para administrar los atributos de correo electrónico de todos los usuarios. Los administradores de Exchange que forman parte del rol Administración de destinatarios de Exchange solo pueden administrar propiedades de correo electrónico de los usuarios.

Para habilitar esta funcionalidad, Exchange Server 2010 debe poner algunos de los atributos de correo electrónico de los usuarios en un conjunto de propiedades denominado "conjunto de propiedades de información de Exchange". Para hacerlo, Exchange vuelve a definir los esquemas de atributos de Active Directory al importar el nuevo esquema de Exchange Server 2010. Sin embargo, el grupo EES heredado no tiene permisos en el conjunto de propiedades de información de Exchange. Por tanto, al importar el esquema de Exchange Server 2010 nuevo, el Servicio de actualización de destinatarios dejará de tener permisos en los atributos de correo electrónico de los usuarios y de funcionar correctamente. (Por ejemplo, no podrá definir direcciones proxy para usuarios de Exchange Server 2003 creados recientemente.)

Solución

Al ejecutar el comando setup /PrepareLegacyExchangePermissions, el servicio de actualización de destinatarios heredado podrá funcionar correctamente. Antes de importar el esquema de Exchange Server 2010 nuevo, Exchange Server 2010 debe conceder nuevos permisos a todos los dominios donde se ejecutara DomainPrep de Exchange Server 2003. El comando setup /PrepareLegacyExchangePermissions concede estos permisos nuevos. Antes de ejecutar setup /PrepareSchema, debe ejecutar setup /PrepareLegacyExchangePermissions y permitir que los permisos se repliquen en toda la organización de Exchange.

El servidor donde ejecuta setup /PrepareLegacyExchangePermissions se pone en contacto con el catálogo global local para localizar los dominios en que se ejecuta DomainPrep de Exchange Server 2003 comprobando los grupos EES y Servidores de dominio de Exchange (EDS). El servidor debe poder comunicarse con todos los dominios del bosque en que ejecutó DomainPrep de Exchange Server 2003. Además, la cuenta utilizada para ejecutar setup /PrepareLegacyExchangePermissions debe tener los permisos asignados al grupo de seguridad universal (USG) de Administradores de la organización para que pueda establecer las ACE en cada dominio y en la organización de Exchange.

Permisos establecidos por Setup /PrepareLegacyExchangePermissions

Al ejecutar setup /PrepareLegacyExchangePermissions, se encuentran todos los dominios del bosque que tengan el grupo EES y el grupo Servidores de dominio de Exchange (EDS). Para cada dominio que tenga estos grupos, setup /PrepareLegacyExchangePermissions hace lo siguiente:

  • Agrega una ACE a la lista de control de acceso (ACL) de la raíz de dominio para proporcionar permisos WRITE_PROP al grupo EES en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE a la ACL de la raíz de dominio para proporcionar permisos READ_PROP a usuarios autenticados en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE al contenedor AdminSDHolder del dominio para proporcionar permisos WRITE_PROP y READ_PROP al grupo EES en el conjunto de propiedades de información de Exchange.

  • Agrega una ACE a la ACL del contenedor de organización de Exchange para proporcionar permisos WRITE_PROP al grupo EDS en el conjunto de propiedades de información de Exchange.

Ejecución de nuevo de Setup /PrepareLegacyExchangePermissions

Existen algunos casos en los que necesitará ejecutar setup /PrepareLegacyExchangePermissions de nuevo:

  • Tiene un dominio que contiene servidores de Exchange Server 2003 y no es necesario ejecutar DomainPrep.

  • En un dominio existente, los usuarios habilitados para buzón iniciarán sesión en los buzones de los servidores de Exchange Server 2003 en dominios en que no se ejecutó DomainPrep.

En estos casos, debe ejecutar de nuevo setup /PrepareLegacyExchangePermissions después de ejecutar DomainPrep de Exchange Server 2003. Esto permite que el servicio de actualización de destinatarios de Exchange Server 2003 funcione correctamente en este dominio.

Referencia de permisos de implementación de Exchange 2010

Exchange 2010 necesita permisos para la implementación y el funcionamiento correcto en la organización. Estos permisos quedan estampados en las listas de control de acceso (ACL) de los objetos que usa Exchange 2010 durante la instalación. Para obtener más información, consulte Referencia de permisos de implementación de Exchange 2010.

 © 2010 Microsoft Corporation. Reservados todos los derechos.