Autorizzazioni di Exchange 2007: Domande frequenti

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2008-01-24

Questo argomento contiene le risposte a domande relative alle autorizzazioni ricevute dopo il rilascio di Microsoft Exchange Server 2007.

In molte risposte vengono descritte modifiche specifiche alle autorizzazioni che è possibile apportare per consentire o impedire l'accesso. Per ulteriori informazioni sugli strumenti che si utilizzano per gestire le autorizzazioni, vedere Pianificazione e implementazione di un modello di divisione delle autorizzazioni.

Domande e risposte sono suddivise in due sezioni:

  • Distribuzione di Exchange 2007

  • Gestione di Exchange 2007

Distribuzione di Exchange 2007

D: Quali autorizzazioni sono necessarie per eseguire la procedura di preparazione di foresta e dominio?

R: Sono necessarie le seguenti autorizzazioni:

  • Per eseguire il comando Setup /PrepareLegacyExchangePermissions, è necessario essere membri del gruppo Enterprise Admins.

  • Per eseguire il comando Setup /PrepareSchema, è necessario essere membri dei gruppi di protezione Schema Admins ed Enterprise Admins.

  • Per eseguire il comando Setup /PrepareAD, è necessario essere membri del gruppo Enterprise Admins.

Per eseguire il comando Setup /PrepareDomain, setup /PrepareDomain:<FQDN> o il comando Setup /PrepareAllDomains, è necessario essere membri del gruppo Enterprise Admins o Domain Admins nel dominio da preparare.

D: Che operazione si esegue con /PrepareLegacyExchangePermissions in Exchange 2007?

**R:**Per ulteriori informazioni, vedere Preparazione delle autorizzazioni legacy di Exchange.

D: In che modo Setup /PrepareLegacyExchangePermissions determina l'elenco dei domini da aggiornare?

R: L'attività Setup /PrepareLegacyExchangePermissions recupera l'elenco di domini della foresta dalla configurazione della foresta. Quindi viene eseguita la connessione a un server di catalogo globale e una ricerca nella partizione di denominazione di ciascun dominio. Infine, viene rilevato se il dominio è stato preparato per Microsoft Exchange 2000 Server o Exchange Server 2003 tentando di risolvere gli identificatori di protezione (SID) dei gruppi di protezione Exchange Domain Servers e Exchange Enterprise Servers. Dopo la creazione di un elenco di domini preparati in precedenza, l'attività tenta di stabilire una sessione LDAP (Lightweight Directory Access Protocol) di configurazione del dominio con ciascun dominio. Se la sessione viene stabilita, l'attività imposta le autorizzazioni precedenti per il dominio. Se la sessione non viene stabilita a causa di problemi di autorizzazione o di disponibilità del dominio, l'attività aggiunge tale dominio all'elenco dei domini non raggiungibili. Se, dopo l'elaborazione dell'elenco dei domini raggiungibili, nell'elenco dei domini non raggiungibili sono presenti dei domini, l'attività restituisce un errore.

In caso di errore è necessario individuare una strategia di risoluzione dei problemi, come l'esecuzione dell'attività su un controller di dominio del dominio interessato da un account con credenziali appropriate, per accertarsi che il dominio venga aggiornato prima di continuare con la procedura di preparazione di Exchange 2007.

D: Che operazione si esegue con Setup /PrepareSchema in Exchange 2007?

**R:**Per ulteriori informazioni, vedere Come preparare Active Directory e domini.

D: Che operazione si esegue con Setup /PrepareAD in Exchange 2007?

**R:**Per ulteriori informazioni, vedere Come preparare Active Directory e domini.

D: Che operazione si esegue con Setup /PrepareDomain in Exchange 2007?

R: Per ulteriori informazioni, vedere Come preparare Active Directory e domini. Consente di creare il contenitore Oggetti di sistema di Microsoft Exchange nel dominio.

Il contenitore viene utilizzato per la memorizzazione di oggetti proxy delle cartelle pubbliche e di oggetti di sistema correlati a Exchange, come la cassetta postale dell'archivio cassette postali.

Con il comando Setup /PrepareDomain si assegnano delle autorizzazioni specifiche per la cartella. Per ulteriori informazioni sulle autorizzazioni specifiche concesse, vedere Riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Con il comando Setup /PrepareDomain si crea il gruppo di protezione globale Exchange Install Domain Servers e lo si inserisce nel contenitore Oggetti di sistema di Microsoft Exchange.

Consente di aggiungere il gruppo di protezione globale Exchange Install Domain Servers al gruppo di protezione universale Exchange Servers.

Consente di assegnare le autorizzazioni a livello di dominio per il gruppo di protezione universale Exchange Servers. Per ulteriori informazioni sulle autorizzazioni specifiche concesse, vedere Riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Consente di assegnare le autorizzazioni a livello di dominio per il gruppo di protezione universale Exchange Recipient Administrators. Per ulteriori informazioni sulle autorizzazioni specifiche concesse, vedere Riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Consente di assegnare il set di autorizzazioni Gestione file registro di controllo e di protezione al gruppo di protezione universale Exchange Servers nell'unità organizzativa Criterio controller di dominio predefinito.

D: Quando è necessario eseguire Setup /PrepareDomain in Exchange 2007?

R: Il comando Setup /PrepareDomain consente agli amministratori di dominio di Active Directory di preparare i domini per utenti e server di Exchange 2007. È necessario eseguire il comando Setup /PrepareDomain in ciascun dominio che conterrà i seguenti elementi:

  • Server di Exchange 2000, Exchange 2003 o Exchange 2007

  • Oggetti abilitati alla posta elettronica

  • Server di catalogo globale utilizzabili dai componenti di accesso alla directory di Exchange

D: Perché il gruppo Exchange Servers è un membro del gruppo di accesso autorizzazione Windows in ciascun dominio con server Exchange o utenti con cassette postali di Exchange?

R: Questa modifica è stata introdotta con la funzionalità PrepareDomain in Exchange 2007 Service Pack 1 e consente al servizio di trasporto di Microsoft Exchange di utilizzare l'insieme di estensioni Kerberos S4U (Service-for-User) per eseguire le verifiche delle autorizzazioni di computer che non sono controller di dominio.

D: Quando si utilizza Setup /PrepareDomain, il criterio del controller di dominio viene modificato. Al gruppo di protezione universale Exchange Servers viene concessa l'autorizzazione per la gestione dei registri di controllo e di protezione. Perché è necessaria questa modifica?

R: L'autorizzazione è necessaria per impostare il processo di archiviazione in modo che supporti il controllo delle cassette postali, perché consente al server Exchange di leggere gli elenchi di controllo di accesso di sistema (SACL) nel dominio. Se si rimuove l'autorizzazione, i database del server Exchange non verranno montati. Questa è l'unica modifica apportata dal comando Setup /PrepareDomain al criterio del controller di dominio. Il criterio viene replicato su altri controller di dominio con una combinazione di replica Active Directory e servizio Replica file (FRS).

Nota

Se nelle unità organizzative del controller di dominio si sono implementati altri criteri, sarà necessario aggiungere l'autorizzazione al criterio più alto applicabile.

Distribuzione di Exchange 2007

D: Qual è la funzione del gruppo di protezione Exchange Install Domain Servers?

R: Quando si installa un server Exchange 2007, i relativi account computer vengono aggiunti al gruppo di protezione universale Exchange Servers. Per impostazione predefinita, il gruppo viene ospitato nel dominio radice della foresta. Se il server in corso di installazione si trova su un altro dominio, è possibile che i servizi di Exchange non vengano avviati durante l'installazione, poiché la replica Active Directory non ha replicato l'appartenenza a Exchange Servers nei server di catalogo globale che si trovano nel dominio in cui si intende installare Exchange 2007.

Lo scopo del gruppo di protezione Exchange Install Domain Servers consiste nel garantire che i servizi vengano avviati in modo corretto durante l'installazione, anche senza replica Active Directory. Con l'installazione di Exchange, si aggiunge l'account computer al gruppo di protezione globale Exchange Install Domain Servers del dominio locale.

D: È possibile spostare i gruppi di protezione Exchange predefiniti in un altro contenitore o dominio della foresta?

R: Exchange 2007 utilizza un nuovo insieme di gruppi di protezione per gestire il modello di autorizzazioni e la coesistenza. I gruppi sono i seguenti:

  • Server Exchange

  • Amministratori di Exchange solo visualizzazione

  • Exchange Public Folder Administrators (Novità in Exchange 2007 Service Pack 1)

  • Amministratori destinatari di Exchange

  • Amministratori dell'organizzazione di Exchange

  • ExchangeLegacyInterop

Per impostazione predefinita, i gruppi di protezione si trovano nel dominio radice dell'unità organizzativa dei gruppi di protezione di Microsoft Exchange. È possibile spostarli in altre unità organizzative o in altri domini della foresta. Lo spostamento all'interno della foresta è supportato perché i gruppi sono caratterizzati da due proprietà univoche: un GUID noto e un nome distinto che può essere modificato. È possibile utilizzare queste due proprietà e aggiungerle all'attributo otherWellKnownObjects della foresta durante l'attività Setup /PrepareAD. Exchange sarà in grado di individuare i gruppi di protezione in qualsiasi posizione della foresta. L'aggiornamento del nome distinto (DN) dell'oggetto spostato viene gestito dal servizio directory. In Exchange non è quindi necessario stabilire una posizione fissa nella directory.

Distribuzione di Exchange 2007

D: In azienda non sono consentite le autorizzazioni ereditate dal livello dominio di Active Directory ai contenitori e alle unità organizzative figlio. Possono verificarsi dei problemi?

R: Con il comando Setup /PrepareDomain si definiscono solo le voci di controllo di accesso (ACE) per il gruppo Exchange Servers e il gruppo Exchange Recipient Administrators a livello di dominio. Ne consegue che, se si impedisce l'ereditarietà, Microsoft Exchange non sarà in grado di elaborare gli oggetti utente. Di conseguenza gli amministratori dei destinatari non saranno in grado di eseguire il provisioning per i destinatari ed Exchange non potrà aggiornare gli attributi degli oggetti appropriati.

Quando si blocca l'ereditarietà, è possibile scegliere Rimuovi o copiare le autorizzazioni nel contenitore o nell'unità organizzativa selezionata. Se si decide di copiare le autorizzazioni, verranno applicate le ACE corrette. Se si decide di utilizzare l'opzione Rimuovi le autorizzazioni, le ACE non verranno applicate e il provisioning dei destinatari non funzionerà.

Nota

È possibile che la struttura delle autorizzazioni venga modificata nelle versioni o nei service pack futuri di Microsoft Exchange. È quindi consigliabile consentire l'ereditarietà o, almeno, monitorare le modifiche apportate alle autorizzazioni quando si distribuiscono le nuove versioni di Microsoft Exchange, in modo che sia possibile aggiornare i contenitori con l'ereditarietà bloccata.

Per impostare manualmente le autorizzazioni per un'unità organizzativa in modo che Exchange 2007 e i destinatari possano elaborare o accedere agli oggetti, è necessario assegnare le seguenti autorizzazioni:

  • Assegnare all'oggetto di protezione Authenticated Users la seguente autorizzazioni per tutti i tipi di oggetto destinatario dell'unità organizzativa:

    • Accesso in lettura per l'insieme di proprietà Informazioni di Exchange

  • Assegnare al gruppo Exchange Servers le seguenti autorizzazioni per tutti i tipi di oggetto destinatario dell'unità organizzativa:

    • Accesso in scrittura per i seguenti attributi:

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • Accesso in lettura per i seguenti attributi:

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • Accesso in lettura per l'insieme di proprietà Informazioni personali di Exchange

    • Accesso in lettura per l'insieme di proprietà Informazioni di Exchange

    • Autorizzazione di cambio della password

    • Autorizzazioni di scrittura per gli oggetti del gruppo

Se nell'ambiente utilizzato sono attivi dei server Exchange 2000 o Exchange 2003, sarà inoltre necessario assegnare al gruppo di protezione Exchange Enterprise Servers le autorizzazioni seguenti, in modo che il Servizio aggiornamento destinatari di Exchange 2003 possa elaborare gli oggetti:

  • Visualizzazione contenuto

  • Leggi tutte le proprietà

  • Autorizzazioni di lettura

  • Scrittura di informazioni pubbliche

  • Scrittura di informazioni personali

  • Scrittura di informazioni di Exchange

  • Scrittura di displayName

  • Scrittura di groupType

  • Autorizzazioni di scrittura sugli oggetti gruppo (l'autorizzazione è necessaria per il supporto delle appartenenze ai gruppi nascosti)

Per accertarsi che gli amministratori dei destinatari di Exchange possano gestire gli oggetti destinatario dell'unità organizzativa, assegnare al gruppo di protezione Exchange Recipient Administrators le seguenti autorizzazioni:

  • Accesso in scrittura ai seguenti insiemi di proprietà:

    • Exchange Personal Information

    • Exchange Information

  • Accesso in scrittura ai seguenti attributi:

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • Autorizzazione alla creazione di oggetti msExchDynamicDistributionList

  • Diritto utente all'eliminazione di oggetti msExchDynamicDistributionList

  • Controllo completo sugli oggetti msExchDynamicDistributionList

  • Lettura generica, che comprende le autorizzazioni di lettura, elencazione contenuto, elencazione oggetti e lettura di tutte le proprietà

È possibile impostare le autorizzazioni utilizzando lo snap-in Active Directory Service Interfaces (ADSI), gli elenchi di controllo di accesso discrezionali (DACL) o il cmdlet Add-ADPermission in Exchange Management Shell. Per ulteriori informazioni sull'impostazione delle autorizzazioni a livello di unità organizzativa, vedere Pianificazione e implementazione di un modello di divisione delle autorizzazioni

Distribuzione di Exchange 2007

D: Quali autorizzazioni sono necessarie per installare il primo server Exchange Server?

R: Partendo dal presupposto che si sia eseguita l'intera procedura di preparazione di foresta e dominio, per installare il primo server Exchange, è necessario accedere ad Active Directory con le seguenti autorizzazioni:

  • Ruolo Exchange Organization Administrator

  • Membro del gruppo Administrators sul server Exchange di destinazione

Nota

Il ruolo Exchange Organization Administrator è necessario per l'installazione del primo server per ciascun ruolo del server di Exchange 2007.

D: Quali autorizzazioni sono necessarie per l'installazione di ulteriori server Exchange Server?

R: Dopo aver eseguito l'intera procedura di preparazione e l'installazione del primo ruolo del server di Exchange 2007, per installare ulteriori server Exchange del medesimo ruolo, è necessario accedere ad Active Directory con le seguenti autorizzazioni:

  • ruolo Exchange Organization Administrator o delega dell'autorizzazione per l'installazione del server ottenuta tramite il processo di provisioning del server dell'installazione. Per ulteriori informazioni sul provisioning degli oggetti server, vedere Come eseguire il provisioning di Exchange 2007 Server e delegare l'installazione.

  • Membro del gruppo Administrators sul server Exchange di destinazione

D: In che modo è possibile delegare ad altri amministratori le autorizzazioni per la gestione di alcuni servizi di Exchange 2007?

R: Per delegare le autorizzazioni ad altri utenti, utilizzare i seguenti strumenti:

  • Procedura guidata Aggiungi amministratore di Exchange in Exchange Management Console

  • Cmdlet Add-ExchangeAdministrator in Exchange Management Shell

Per delegare ulteriori amministratori, è necessario accedere come utente con ruolo di Exchange Organization Administrator.

Distribuzione di Exchange 2007

D: Lo spostamento degli account computer di Exchange in un'altra unità organizzativa in Active Directory influisce su autorizzazioni e deleghe di Exchange?

R: No, con la procedura guidata Aggiungi amministratore di Exchange si assegnano le autorizzazioni nel contesto dei nomi per la configurazione di Active Directory, non nel contesto dei nomi per la configurazione del dominio, dove invece risiedono gli account computer. È tuttavia necessario riavviare il servizio Microsoft Exchange - Supervisore sistema sul server Exchange dopo lo spostamento dell'oggetto account computer. Per ulteriori informazioni sulla necessità di riavviare il server Exchange, vedere l'articolo della Microsoft Knowledge Base, Supervisore sistema genera 9186 ID evento ed 9187 ID evento Exchange 2000 ed Exchange 2003

D: Qual è la differenza tra i ruoli Exchange Organization Administrator ed Exchange Server Administrator?

R: Un Exchange Organization Administrator può modificare le impostazioni di qualsiasi oggetto Exchange nella partizione di configurazione dell'organizzazione Exchange.

Un Exchange Server Administrator può modificare solo l'oggetto server Exchange, e tutto ciò che ne fa parte, per cui ha ricevuto una delega di amministrazione.

D: Se si concedono a un utente o gruppo delle autorizzazioni a livello di organizzazione Exchange, queste vengono automaticamente riportate ai livelli inferiori?

R: Sì. Le autorizzazioni vengono ereditate, come già accade in Exchange 2003.

D: Quali autorizzazioni sono necessarie per l'account di servizio nella configurazione cluster di Exchange 2007?

R: Per l'account di servizio del cluster non è necessaria alcuna autorizzazione dell'organizzazione Exchange.

D: Quali autorizzazioni sono necessarie per installare Exchange 2007 in una configurazione cluster?

R: Per ulteriori informazioni su come eseguire un'installazione delegata di server di cassette postali in cluster, vedere Come eseguire un'installazione delegata di un server di cassette postali in cluster.

Distribuzione di Exchange 2007

D: Nell'organizzazione viene utilizzata un'applicazione di messaggistica di terze parti che richiede un accesso completo alla cassetta postale di ciascun utente. In Exchange Server 5.5 si concede a un account speciale l'autorizzazione di amministratore dell'account di servizio, quindi si imposta l'applicazione in modo che utilizzi questo account. In che modo è possibile ottenere lo stesso risultato con Exchange 2007?

R: La protezione in Exchange 2007 funziona in modo diverso rispetto a Exchange Server 5.5. Infatti, in Exchange 2007 non si utilizza un account di servizio del sito. I servizi vengono invece tutti avviati con un account computer locale.

Se per l'accesso si utilizza un account Amministratore, un membro dei gruppi Domain Administrators ed Enterprise Administrators oppure un membro del ruolo Exchange Organization Administrators, verrà esplicitamente negato l'accesso a tutte le cassette postali diverse dalla propria, anche se si dispone di diritti amministrativi completi sul sistema Exchange. È possibile eseguire tutte le attività amministrative di Exchange 2007 senza concedere diritti di amministrazione sufficienti a leggere le cassette postali degli altri utenti.

È possibile ottenere il risultato desiderato con le procedure seguenti, purché siano conformi ai criteri di protezione e privacy adottati dall'organizzazione:

  • In Exchange Management Shell utilizzare il comando seguente per consentire l'accesso a tutte le cassette postali di un determinato archivio cassette postali:

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As

  • In Exchange Management Shell utilizzare il comando seguente per consentire l'accesso a una singola cassetta postale:

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess

Distribuzione di Exchange 2007

D: Perché agli amministratori del dominio è consentito falsificare gli account utente abilitati alle cassette postali del proprio dominio?

R: In Active Directory è disponibile un insieme di autorizzazioni di base che possono essere applicate agli oggetti della directory. In particolare in Active Directory è presente un'autorizzazione estesa per l'invio con altro nome. Per impostazione predefinita, nei gruppi Administrators, Domain Admins, Enterprise Admins e Account Operators sono disponibili autorizzazioni di invio con altro nome per tutti gli utenti. Le autorizzazioni dei gruppi Administrators e Enterprise Admins vengono ereditate dal livello dominio. I gruppi Account Operators e Domain Admins ricevono autorizzazioni esplicite basate sulla definizione dell'oggetto utente che si trova nello schema Active Directory.

Può essere utile implementare per gli amministratori un'ACE per impedire l'invio con altro nome per gli oggetti utente del dominio. Quando si decide di implementare per gli amministratori un'ACE di questo tipo per gli oggetti utente del dominio, è opportuno tenere presente quanto segue:

  • Un'ACE che consente esplicitamente l'azione sostituisce l'ACE ereditata che la impedisce. Ciò significa che le ACE esplicite vengono applicate prima delle ACE ereditate.

  • I membri del gruppo Domain Admins possono rimuovere l'ACE che impedisce l'azione e aggiungere un'ACE che la consente esplicitamente.

  • L'aggiunta di un'ACE che impedisce l'azione può comportare altre conseguenze per l'ambiente in uso.

Se l'implementazione per gli amministratori di un'ACE per impedire l'invio con altro nome degli oggetti utente del dominio costituisce un rischio per l'ambiente di messaggistica in uso, è opportuno implementare una o più di una delle seguenti misure:

  • Limitare il numero di amministratori di dominio delegando specifiche attività. Per ulteriori informazioni, vedere la pagina relativa alle procedure consigliate per la delega dell'amministrazione di Active Directory (informazioni in lingua inglese).

  • Utilizzare il controllo per monitorare gli eventi di accesso degli account per gli account membri del gruppo Domain Admins.

Distribuzione di Exchange 2007

D: Perché i membri del gruppo Enterprise Admins e del gruppo radice Domain Admins hanno il controllo completo nell'organizzazione di Exchange?

R: In Exchange 2000 e nelle versioni successive di Exchange Server, i dati relativi all'organizzazione di Exchange non sono archiviati in una directory separata. In Exchange i dati organizzativi in Active Directory vengono archiviati nel contesto dei nomi di configurazione. Gli amministratori della foresta, membri del gruppo Enterprise Admins o del gruppo radice Domain Admins, controllano tutti gli aspetti della directory nonché i dati archiviati nella directory. Gli amministratori della foresta devono controllare la directory perché una singola modifica della configurazione potrebbe influire in modo negativo sull'intera foresta. Per il contesto dei nomi di configurazione, e, per ereditarietà, per l'organizzazione di Exchangearchiviata nel contesto dei nomi di configurazione, sono disponibili le seguenti autorizzazioni:

  • Gruppo Enterprise Admins: controllo completo

  • Gruppo radice Domain Admins: lettura, scrittura, creazione di tutti gli oggetti figlio, autorizzazioni speciali

Oltre alle autorizzazioni ereditate, il programma di installazione di Exchange consente l'aggiunta di una ACE di negazione per l'invio e la ricezione come per il gruppo Enterprise Admins e per il gruppo radice Domain Admins. Ciò impedisce a tali amministratori di accedere alle cassette postali della foresta e di eseguirne lo spoofing. Per ulteriori informazioni, vedere Riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Non è possibile rimuovere l'eredità dal nodo Exchange nel contesto dei nomi di configurazione. Se gli amministratori della messaggistica non considerano attendibili gli amministratori della foresta, dovrebbero prendere in considerazione l'isolamento di Exchange nella relativa foresta. Per ulteriori informazioni sulle opzioni di distribuzione, vedere la pagina relativa alla distribuzione di Exchange Server 2007 (informazioni in lingua inglese).

Se non è possibile isolare l'organizzazione di Exchange in una foresta separata, è consigliabile eseguire una o più di una delle seguenti operazioni:

  • Limitare il numero di amministratori dell'organizzazione e amministratori di dominio nel dominio radice delegando specifiche attività. Per ulteriori informazioni, vedere la pagina relativa alle procedure consigliate per la delega dell'amministrazione di Active Directory (informazioni in lingua inglese).

  • Utilizzare il controllo per monitorare gli eventi di accesso degli account per gli account membri dei gruppi con privilegi. Questi comprendono il gruppo Enterprise Admins e il gruppo radice Domain Admins.

  • Utilizzare il controllo per monitorare le modifiche apportate nella parte della directory CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>.

Distribuzione di Exchange 2007

D: Perché i membri del gruppo Account Operators possono modificare i gruppi di protezione di Exchange Server?

R: I gruppi dotati di privilegi, come il gruppo di protezione Account Operators, sono dotati inoltre di autorizzazioni specifiche in Active Directory. In particolare, al gruppo di protezione Account Operators sono concesse autorizzazioni Controllo completo esplicite per tutti gli oggetti della partizione del dominio, perché il gruppo possa gestirli.

Può essere utile implementare una voce di controllo dell'accesso (ACE) per il gruppo Account Operators per questi gruppi di protezione. Se si decide di implementare un'ACE di negazione, considerare quanto riportato di seguito:

  • Al gruppo Account Operators è concesso il controllo completo mediante un'ACE esplicita sugli oggetti della directory. Ciò significa che è necessario applicare un'ACE di negazione esplicita a ciascun gruppo che si desidera limitare. Un'ACE che consente esplicitamente l'azione sostituisce l'ACE ereditata che la impedisce.

  • L'aggiunta di un'ACE che impedisce l'azione può comportare altre conseguenze per l'ambiente in uso. Per ulteriori informazioni, vedere Pianificazione e implementazione di un modello di divisione delle autorizzazioni.

Se l'implementazione di un'ACE di negazione per il gruppo Account Operators o per altri gruppi con privilegi per i gruppi di protezione di Exchange costituisce un rischio per l'ambiente di messaggistica in uso, è opportuno implementare una o più di una delle seguenti misure:

  • Limitare il numero di membri del gruppo Account Operators nel dominio delegando specifiche attività. Per ulteriori informazioni, vedere la pagina relativa alle procedure consigliate per la delega dell'amministrazione di Active Directory (informazioni in lingua inglese).

  • Utilizzare il controllo per monitorare gli eventi di accesso degli account per gli account membri del gruppo di protezione Account Operators.

  • Utilizzare il controllo per monitorare le modifiche ai gruppi di protezione di Exchange.

D: Perché esiste un account di servizio speciale in Exchange Server 5.5, mentre i servizi di Exchange 2007 possono essere avviati come LocalSystem (account integrato nel computer)?

R: Per Exchange Server 5.5 era necessario un account di accesso speciale per i servizi a causa di una limitazione relativa a Microsoft Windows NT 4.0. Anche se gli account del computer locale in Windows NT 4.0 disponevano di token, non disponevano di credenziali. Per questo motivo, un account di un computer non poteva autenticarsi presso un altro. In Windows Server 2003 viene utilizzata l'autenticazione Kerberos e gli account del computer dispongono sia di token che di credenziali.

È più sicuro utilizzare l'account del computer locale piuttosto che un account amministratore specificato per i motivi seguenti:

  • La password del computer locale è un numero esadecimale casuale anziché una stringa leggibile da un utente.

  • La password del computer locale cambia automaticamente ogni sette giorni.

  • L'account di servizio di Exchange Server 5.5 deve essere escluso dai criteri di blocco perché un tentativo di forzare l'accesso potrebbe disabilitare l'account e arrestare i servizi di Exchange.

Distribuzione di Exchange 2007

Gestione di Exchange 2007

D: Quali autorizzazioni sono necessarie per creare ed eliminare utenti di Exchange 2007?

R: Se si è responsabili della gestione di utenti e di cassette postali, è necessario disporre delle autorizzazioni per la creazione e la gestione di oggetti destinatari in Active Directory. È il caso ad esempio dei membri del gruppo Domain Admins o Account Operators, o di chi dispone di accesso con delega a una specifica unità organizzativa. I membri di account con privilegi del dominio figlio devono disporre anche del ruolo Amministratore sola visualizzazione di Exchange per gestire le proprietà relative alla posta da Exchange Management Console e in Exchange Management Shell. Se non si dispone di autorizzazioni elevate, è necessario disporre delle seguenti autorizzazioni:

  • ruolo Exchange Recipient Administrator o aver ricevuto la delega delle autorizzazioni appropriate. Per ulteriori informazioni sulla delega dell'amministrazione dei destinatari, vedere Pianificazione e implementazione di un modello di divisione delle autorizzazioni e Considerazioni sulle autorizzazioni.

    • Per spostare la cassetta postale tra server, l'amministratore deve essere un amministratore dell'organizzazione di Exchange o deve aver ricevuto la delega del ruolo di Exchange Server Administrator sui server di origine e di destinazione.

  • Autorizzazioni appropriate nella partizione di dominio per creare, eliminare e gestire gli oggetti in questione.

Inoltre, se si gestiscono oggetti di cartelle pubbliche, è consigliabile che l'account di amministrazione, vale a dire l'account con il quale si accede per la gestione di oggetti in Exchange Management Console o Exchange Management Shell, sia abilitato alla posta o per la cassetta postale. In alcuni casi, è possibile che si verifichino comportamenti strani nell'interfaccia utente per le autorizzazioni e degli errori di risoluzione del nome visualizzato qualora l'account che amministra gli oggetti di cartelle pubbliche non sia abilitato alla posta o per la cassetta postale.

Per ulteriori informazioni vedere l'argomento relativo ad "Ulteriori Problemi" nella sezione "Risoluzione dei problemi relativi agli archivi Exchange Server 2003 e ripristino" di Utilizzo degli archivi di Exchange Server 2003.

Distribuzione di Exchange 2007

D: Perché mi occorrono ulteriori autorizzazioni non fornite con il ruolo Exchange Recipient Administrator per eseguire alcune operazioni sulle cassette postali, quali la modifica del tipo di cassetta postale?

R: Per convertire una cassetta postale da un tipo a un altro, è necessario apportare diverse modifiche in Active Directory che potrebbero richiedere privilegi elevati non forniti dal ruolo Exchange Recipient Administrator. Un esempio di scenario in cui si desidera convertire una cassetta postale utente in una cassetta postale sala è il seguente: le cassette postali per le risorse, per impostazione predefinita, sono account utente disabilitati abilitati per le cassette postali, mentre le cassette postali utente sono account utente abilitati per le cassette postali. Pertanto, per convertire la cassetta postale dal tipo UserMailbox al tipo RoomMailbox, è necessario disabilitare l'account utente. Questa operazione richiede la modifica dell'attributo utente userAccountControl dal valore 512 (abilitato) al valore 514 (disabilitato). Inoltre, poiché l'account adesso è disabilitato, per poter continuare a utilizzare la cassetta postale è necessario impostare l'attributo msExchMasterAccountSID e applicare le autorizzazioni appropriate. In questo caso non viene assegnato un account collegato, bensì il privilegio NT AUTHORITY\SELF all'attributo msExchMasterAccountSID. Inoltre, è necessario assicurare che il privilegio NT AUTHORITY\SELF disponga delle autorizzazioni appropriate in modo che il flusso di posta e la cassetta postale non vengano influenzate. Per eseguire questa operazione è possibile procedere in due fasi. Innanzitutto, al privilegio NT AUTHORITY\SELF viene concesso l'accesso completo alla cassetta postale, aggiornando il descrittore di protezione della cassetta. Quindi al privilegio viene concesso il diritto esteso Invia come e l'accesso in lettura e scrittura all'insieme di proprietà Informazioni personali (in modo che publicDelegates e altri attributi possano essere gestiti da NT AUTHORITY\SELF).

D: Quali autorizzazioni sono necessarie per modificare le autorizzazioni relative alla cassetta postale di un oggetto utente?

R: Per modificare correttamente le autorizzazioni relative alla cassetta postale in Exchange Management Shell, è necessario disporre delle seguenti autorizzazioni:

  • Ruolo Amministratore di Exchange solo visualizzazione

  • Autorizzazione Amministrazione archivio informazioni concessa sull'archivio di cassette postali in cui risiede la cassetta postale

  • Autorizzazione di scrittura concessa sull'archivio di cassette postali in cui risiede la cassetta postale

D: Quali autorizzazioni sono necessarie per spostare una cassetta postale tra archivi di cassette postali di Exchange?

R: La funzionalità Sposta cassetta postale che è possibile utilizzare da Exchange Management Console e Exchange Management Shell consente di accedere alla cassetta postale di origine e di spostare le cartelle e i messaggi nella cassetta postale di destinazione. È possibile spostare cassette postali tra archivi di cassette postali nello stesso gruppo di archiviazione, tra gruppi di archiviazione diversi sullo stesso server e tra server Exchange. È necessario disporre delle autorizzazioni sull'oggetto utente in Active Directory per modificare gli attributi della relativa cassetta postale di Exchange. Queste autorizzazioni sono concesse agli utenti Operatore account. È inoltre necessario disporre delle seguenti autorizzazioni:

  • Ruolo Amministratore dell'organizzazione di Exchange o disporre della delega del ruolo di Exchange Server Administrator sui server Cassette postali di Exchange 2007 di origine e di destinazione.

    Nota

    Se si spostano cassette postali tra gruppi amministrativi in un ambiente misto Exchange 2007–Exchange 2003, è necessario disporre della delega del ruolo di amministratore di Exchange sui gruppi amministrativi di origine e di destinazione.

  • Membro del gruppo Administrators sulla workstation o sul server locale per creare un profilo MAPI dinamico.

Distribuzione di Exchange 2007

D: Quali autorizzazioni sono necessarie per creare una nuova cassetta postale o un archivio di cartelle pubbliche in un server Exchange 2007?

R: È necessario accedere con le seguenti autorizzazioni:

  • ruolo Exchange Organization Administrator o disporre della delega del ruolo Exchange Server Administrator sul server Cassette postali di Exchange 2007.

    Nota

    Gli utenti con ruolo Exchange Server Administrator non possono creare database di cartelle pubbliche.

D: Non è possibile risolvere diversi identificatori di protezione (SID, Security Identifier) di connettori di ricezione e connettori di invio. Perché?

R: Alcuni gruppi logici utilizzati per assegnare autorizzazioni a diversi connettori di ricezione e di invio sono rappresentati da un identificatore di protezione e non hanno un nome visualizzato. In alcuni casi, il cmdlet Get-ADPermission visualizza solo il SID. Sono stati definiti i seguenti SID nel Trasporto di Exchange 2007:

  • Server Trasporto Hub nella stessa organizzazione: S-1-9-1419165041-1139599005-3936102811-1022490595-21

    Nota

    Per l'autenticazione e l'autorizzazione tra due server Trasporto Hub nello stesso dominio, viene utilizzato l'account del computer membro del gruppo di protezione di Exchange Server.

  • Server Trasporto Edge attendibili: S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • Server di terze parte attendibili che si trovano nello stesso dominio o negli stessi domini autorevoli: S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • Server Exchange 2003 nella stessa organizzazione: S-1-9-1419165041-1139599005-3936102811-1022490595-24

  • Server partner di trasporto: S-1-9-1419165041-1139599005-3936102811-1022490595-10

Distribuzione di Exchange 2007

D: Quali autorizzazioni sono necessarie per cercare un messaggio?

R: per cercare in più cassette postali utilizzando l'attività Export-Mailbox, l'amministratore deve disporre delle seguenti autorizzazioni:

  • Ruolo Exchange Server Administrator o superiore sul server Cassette postali di origine e destinazione

  • Membro del gruppo Local Administrators sulla workstation locale o sul server sul quale viene eseguita l'attività

D: Quali autorizzazioni sono necessarie per cercare un messaggio?

R: Per cercare un messaggio sono necessarie le seguenti autorizzazioni:

  • Per la versione di produzione (RTM, Release To Manufacturing) di Exchange 2007     Ruolo Exchange Server Administrator o superiore sui server Cassette postali e Trasporto Hub sui quali può essere eseguita la ricerca

  • Novità in Exchange 2007 Service Pack 1    Ruolo Amministratore di Exchange solo visualizzazione o superiore all'interno dell'organizzazione

  • Amministratore locale sul server Trasporto Edge

  • Amministratore locale sulla workstation sulla quale viene eseguita l'attività

    Nota

    In Exchange 2007 RTM, è necessario riavviare il servizio Microsoft Exchange Transport Log Search dopo aver concesso il ruolo di Exchange Server Administrator a un amministratore se si desidera che questi ricerchi i messaggi.

D: Quali autorizzazioni sono necessarie per eseguire l'assistente risoluzione problemi di Exchange?

R: Sono necessarie le seguenti autorizzazioni per eseguire Exchange Mail Flow Analyzer:

  • Amministratore di dominio o membro del gruppo BUILTIN\Administrators sul server Active Directory per enumerare le informazioni di Active Directory e chiamare i provider Microsoft Strumentazione gestione Windows (WMI) sui controller di dominio e i server di catalogo globali

  • Membro del gruppo Local Administrators su ciascun server Exchange Server per chiamare i provider WMI e accedere al Registro di sistema e alla metabase IIS

  • Ruolo Amministratore di Exchange solo visualizzazione o superiore

Le autorizzazioni necessarie per eseguire Exchange Performance Troubleshooting Analyzer sono le seguenti:

  • Utente del dominio o autorizzazioni superiori sul server di catalogo globale specificato nella procedura di connessione

  • Membro del gruppo Local Administrators su ciascun server che esegue Microsoft Exchange e che deve essere analizzato. Queste autorizzazioni sono necessarie per accedere a WMI, al Registro di sistema e ai dati relativi alle prestazioni.

Le autorizzazioni necessarie per eseguire Exchange Disaster Recovery Analyzer sono le seguenti:

  • Membro del gruppo Local Administrators su ciascun server Exchange Server per chiamare i provider WMI, accedere al Registro di sistema e alla metabase IIS e accedere al database, ai file di registro delle transazioni e al modulo di database

  • Ruolo Exchange Server Administrator o superiore su ciascun server

Distribuzione di Exchange 2007

D: Quali autorizzazioni sono necessarie per eseguire Exchange Server Analyzer?

R: Per eseguire Exchange Server Analyzer, è necessario disporre delle seguenti autorizzazioni:

  • Ruolo Amministratore di Exchange solo visualizzazione o superiore

  • Autorizzazioni di Amministratore del computer per enumerare le informazioni di Active Directory e chiamare i provider WMI sui server di catalogo globale o sui server controller di dominio

  • Membro del gruppo Local Administrators su ciascun server Exchange Server per chiamare i provider WMI e accedere al Registro di sistema e alla metabase IIS

D: Quali autorizzazioni sono necessarie per gestire le code dei messaggi?

R: Per gestire le code dei messaggi è necessario disporre delle seguenti autorizzazioni:

  • Sui server Trasporto Edge, è necessario essere membri del gruppo Local Administrators.

  • Per Exchange 2007 RTM   Sui server Trasporto Hub, è necessario essere membri del ruolo Exchange Server Administrator o superiore.

  • Novità in Exchange 2007 Service Pack 1   Sui server Trasporto Hub, per visualizzare le code è necessario essere membri del ruolo Amministratore di Exchange solo visualizzazione o superiore. Se si desidera gestire le code, è necessario essere membri del ruolo Exchange Server Administrator o superiore.

Distribuzione di Exchange 2007