Exchange Server 2003 배포

  • 아티클

 

마지막으로 수정된 항목: 2007-05-18

이 항목에서 설명하는 사용 권한은 Exchange 2000 Server 배포에도 적용됩니다.

Exchange Server 2003 설치 프로그램용 ForestPrep을 실행하는 데 필요한 사용 권한은 무엇입니까?

ForestPrep은 Active Directory® 디렉터리 서비스 스키마를 업데이트하고 Exchange 조직 개체를 만듭니다. 또한 첫 번째 Exchange Server 2003 관리자 계정을 지정할 수 있습니다. 이 계정은 사용자 또는 그룹 개체일 수 있습니다. 간단한 작업 수행을 위해 그룹 개체를 사용하는 것이 좋습니다. 다음 사용 권한을 가진 사용자로 로그온해야 합니다.

  • Schema Admins
  • Enterprise Admins

ForestPrep은 Active Directory 스키마 마스터가 있는 도메인에서 실행해야 합니다. 기본적으로 이 도메인은 포리스트의 루트 도메인입니다. 스키마 마스터에서 ForestPrep을 실행하지 않고 도메인에 있는 Windows® 2000이나 Windows Server™ 2003 컴퓨터에서 실행해도 됩니다. 단, 네트워크 중단 및 대기 시간이 스키마 업데이트에 영향을 주지 않도록 스키마 마스터에서 ForestPrep을 실행하는 것이 가장 좋습니다.

Exchange Server 2003 ForestPrep을 실행하면 일부 타사 응용 프로그램이 작동을 멈추는 이유는 무엇입니까?

Exchange Server 2003 ForestPrep을 실행하면 일부 타사 응용 프로그램이 사서함에 액세스할 때 사용 권한 오류로 인해 오류 이벤트를 기록할 수 있습니다.

이러한 응용 프로그램은 주로 Exchange Domain Servers 그룹의 구성원을 통해 사서함에 액세스합니다. 그러나 각 Exchange Server 2003 ForestPrep 및 서버 설치 시 'Deny ACE'가 '서버' 컨테이너의 이 그룹에 배치됩니다. 이러한 변경은 공격 액세스 지점을 최소화하고 메시징 시스템의 전체 보안을 향상시키기 위한 것입니다.

응용 프로그램에서 사서함 데이터에 계속 액세스하게 하려면 그룹 하나를 만든 후 응용 프로그램의 서비스 계정을 이 그룹에 추가합니다. 이 그룹에 조직 개체와 같은 해당 Exchange 구성 컨테이너에 대한 "Send AS" 및 "Receive As" 권한을 부여합니다. 보안을 향상시키려면 응용 프로그램이 액세스해야 하는 사서함 저장소에만 해당하는 사용 권한을 구성합니다.

Exchange Server 2003 설치 프로그램용 DomainPrep에서 수행하는 작업은 무엇입니까?

DomainPrep을 사용하면 Microsoft Active Directory® 디렉터리 서비스 도메인 관리자가 Exchange 2000 Server 또는 Exchange Server 2003 사용자 및/또는 서버에 대해 도메인을 준비할 수 있습니다. DomainPrep을 실행하면 다음 작업이 수행됩니다.

  • 도메인의 사용자 컨테이너 내에 'Exchange Enterprise Servers' 도메인 로컬 그룹을 만듭니다.
    • 이 그룹에는 받는 사람 업데이트 서비스가 포함된 각 도메인의 'Exchange Domain Servers' 그룹이 포함됩니다.
    • 이 그룹의 구성원은 Exchange 시스템 수행자(System Attendant) 서비스 내의 프로세스로 관리합니다.
    • 'Exchange Enterprise Servers' 그룹과 Org Exchange Full Administrators에게 이 개체에 대한 '모든 권한'을 부여합니다. 위임될 경우 받는 사람 업데이트 서비스에서 Org Exchange Full Administrators를 추가합니다.
  • 도메인의 사용자 컨테이너 내에 'Exchange Domain Servers' 글로벌 그룹을 만듭니다.
    • 이 그룹에는 도메인 내의 Exchange 2000 Server와 Exchange Server 2003 서버가 모두 포함됩니다.
    • 설치 시 이 그룹에 서버가 추가되지만 이 그룹의 구성원은 시스템 수행자(System Attendant) 내의 프로세스로 관리합니다.
    • 'Exchange Enterprise Servers' 그룹과 Org Exchange Full Administrators에게 이 개체에 대한 '모든 권한'을 부여합니다. 위임될 경우 받는 사람 업데이트 서비스에서 Org Exchange Full Administrators를 추가합니다.
  • 도메인 루트에 'Microsoft Exchange System Objects' 컨테이너를 만듭니다.
    • 이 컨테이너는 공용 폴더 프록시 개체와 Exchange 관련 시스템 개체(예: 사서함 저장소의 사서함)를 저장하는 데 사용됩니다.
    • 이 폴더에 대한 특정 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 "Exchange 설치 중 부여되는 사용 권한"을 참조하십시오.
  • 'Exchange Enterprise Servers' 그룹에 도메인 수준의 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 "Exchange 설치 중 부여되는 사용 권한"을 참조하십시오.
  • 'Exchange Enterprise Servers' 그룹에 기본 도메인 컨트롤러 정책(도메인 컨트롤러 조직 단위의 그룹 정책 개체)에 대한 사용자 권한 '감사 및 보안 로그 관리'를 할당합니다.
  • 'Exchange Enterprise Servers' 그룹에 도메인의 adminSDHolder 컨테이너에 대한 특정 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 "Exchange 설치 중 부여되는 사용 권한"을 참조하십시오.
  • 받는 사람 업데이트 서비스에서 각 도메인의 'Exchange Domain Servers' 그룹을 이 그룹의 구성원에 추가할 수 있도록 도메인의 Pre-Windows 2000 Server Compatible Access 도메인 로컬 그룹에 대한 특정 사용 권한을 'Exchange Enterprise Servers' 그룹에 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 "Exchange 설치 중 부여되는 사용 권한"을 참조하십시오.

Exchange Server 2003 설치 프로그램용 DomainPrep은 언제 실행해야 합니까?

DomainPrep을 사용하면 Active Directory 도메인 관리자가 Exchange 2000 Server 또는 Exchange Server 2003 사용자 및/또는 서버에 대해 도메인을 준비할 수 있습니다. 다음을 포함하는 각 도메인에서 DomainPrep을 실행해야 합니다.

  • Exchange 2000 Server 또는 Exchange Server 2003 서버 중 하나
  • 메일 사용 가능 개체
  • Exchange 디렉터리 액세스 구성 요소에서 사용할 수 있는 글로벌 카탈로그 서버

또한 포리스트의 루트 도메인에서도 공용 폴더 프록시 개체가 성공적으로 만들어졌는지 확인하기 위해 DomainPrep을 실행해야 합니다.

DomainPrep은 Exchange Domain Servers 글로벌 보안 그룹인 Exchange Enterprise Servers 로컬 보안 그룹을 만들고 Exchange 서버에서 Active Directory 데이터베이스에 액세스하는 데 필요한 사용 권한을 구성합니다. DomainPrep을 실행하려면 DomainPrep을 실행할 도메인의 Domain Admin 그룹 구성원인 사용자로 로그온해야 합니다.

DomainPrep이 도메인 컨트롤러 정책을 변경했습니다. Exchange Enterprise Servers 그룹에 '감사 및 보안 로그 관리' 권한을 부여했습니다. 이렇게 해야 하는 이유는 무엇입니까?

이 사용 권한을 사용하여 Exchange 서버에서 도메인 내의 SACL(시스템 액세스 제어 목록)을 읽을 수 있으므로 저장소 프로세스에서 사서함을 감사하려면 이 사용 권한이 필요합니다. 이 사용 권한을 제거하면 Exchange 서버 데이터베이스가 탑재되지 않습니다. 이 방법으로만 DomainPrep에서 도메인 컨트롤러 정책을 조정할 수 있습니다. 이 정책은 파일 복제 서비스와 Active Directory 복제 조합을 통해 다른 도메인 컨트롤러에 복제됩니다. Exchange Server 2003 CD의 Support\ExDeploy 폴더에 있는 policytest.exe 도구를 사용하여 조정한 정책의 복제 상태를 확인할 수 있습니다.

참고

도메인 컨트롤러 조직 단위에 다른 정책을 구현한 경우 이러한 권한을 가능한 최상위 정책에 추가해야 합니다.

Exchange Domain Servers와 Exchange Enterprise Servers 그룹이 수행하는 기능은 무엇입니까?

두 그룹은 모두 DomainPrep을 통해 만들어지며 도메인의 사용자 컨테이너에 있습니다. 이 그룹을 이동하거나 이름을 변경하면 안 됩니다. 그렇지 않으면 도메인에서 Exchange 2000 Server나 Exchange Server 2003을 실행하는 컴퓨터가 종료됩니다. Exchange를 컴퓨터에 설치할 때마다 컴퓨터 계정이 로컬 Exchange Domain Servers 글로벌 보안 그룹에 추가됩니다. 결과적으로 이 그룹은 각 도메인에 있는 Exchange Enterprise Servers 로컬 보안 그룹의 구성원입니다. 받는 사람 업데이트 서비스는 모든 Exchange 그룹 중첩이 포리스트 내에서 완료되었는지 확인합니다. Exchange Enterprise Servers 그룹에 Active Directory의 도메인 명명 컨텍스트에 대한 여러 가지 사용 권한이 제공됩니다. 이러한 상속 권한을 통해 받는 사람 업데이트 서비스에서 각 도메인에 있는 사용자 계정의 Exchange 특성을 수정할 수 있습니다.

Pre-Windows 2000 Compatible Access 그룹에 Exchange Domain Servers 그룹이 포함되어 있는 이유는 무엇입니까?

Exchange 보안 모델의 모든 도메인에는 두 가지 그룹인 Exchange Domain Servers라는 도메인 글로벌 그룹과 Exchange Enterprise Servers라는 도메인 로컬 그룹이 포함되어 있습니다. Exchange Domain Servers 그룹에는 해당 도메인의 모든 Exchange 서버가 포함됩니다. Exchange Enterprise Servers 그룹에는 DomainPrep을 실행한 포리스트의 모든 도메인에 속한 Exchange Domain Servers 그룹이 포함됩니다. DomainPrep에서는 Exchange Enterprise Servers 그룹에 도메인 파티션 개체의 다양한 메일 관련 특성에 대한 읽기 및 쓰기 권한을 부여합니다. DomainPrep을 실행한 후 모든 Exchange 서버에는 두 수준의 그룹 구성원을 통해 이러한 읽기 및 쓰기 권한을 가져야 합니다.

DomainPrep을 실행한 후 Exchange 2000 Server의 모든 Exchange 서버에 필요한 읽기 및 쓰기 권한이 항상 있는 것은 아닙니다. 특히 Exchange 서버가 도메인 파티션 사서함 사용이 가능한 사용자 개체에 대한 특성을 읽으려고 하고 사용자와는 다른 도메인의 글로벌 카탈로그 서버에 연결되어 있으면 Exchange 서버의 보안 토큰에는 Exchange Enterprise Servers 그룹이 없으므로 Exchange Enterprise Servers 그룹의 읽기 및 쓰기 권한이 적용되지 않습니다. 이 경우 Exchange 서버는 인증된 사용자 역할을 합니다.

Everyone 보안 사용자 및 Windows Server™ 2003의 Anonymous Logon 보안 사용자는 도메인 내 모든 개체의 모든 특성에 대한 읽기 권한이 있으므로 “Windows 2000 이전 응용 프로그램에만 호환되는 사용 권한"으로 도메인을 사용하면 문제가 발생하지 않습니다. 따라서 Exchange 서버에는 필요한 데이터에 대한 액세스 권한이 있습니다.

도메인이 Windows 2000 이전 응용 프로그램에 대한 준비가 되어 있지 않을 경우를 방지하기 위해 Exchange Server 2003 DomainPrep은 도메인 내 BUILTIN\Pre-Windows 2000 Compatible Access 그룹에 Exchange Domain Servers 그룹을 추가합니다. 또한 DomainPrep은 Pre-Windows 2000 Compatible Access 그룹에 액세스 제어 항목을 추가하여 Exchange Enterprise Servers 그룹이 Pre-Windows 2000 Compatible Access 그룹의 구성원을 수정할 수 있도록 합니다.

회사 정책에 따라 Active Directory 도메인 수준에서 하위 컨테이너와 조직 단위로 사용 권한이 상속되지 않습니다. 이것이 문제가 됩니까?

DomainPrep은 Exchange Enterprise Servers 그룹의 ACE(액세스 제어 항목)만 도메인 수준에 배치합니다. 따라서 상속을 차단하는 경우 받는 사람 업데이트 서비스를 통해 사용자 개체를 처리할 수 없습니다. 그 결과 새 사용자가 Exchange에 로그온할 수 없으며 기존 사용자에 대한 정책 수정 사항이 적용되지 않습니다.

상속 차단 시 선택한 컨테이너/조직 단위에 대한 사용 권한을 '제거'하거나 '복사'할 수 있는 옵션이 제공됩니다. 사용 권한을 '복사'하도록 선택하면 받는 사람 업데이트 서비스가 개체를 계속 처리하며 사용 권한을 '제거'하도록 선택하면 받는 사람 업데이트 서비스가 해당 컨테이너에서 작동하지 않습니다.

받는 사람 업데이트 서비스가 개체를 처리할 수 있도록 조직 단위에 대해 사용 권한을 수동으로 설정하려면 Exchange Enterprise Servers 그룹에 조직 단위의 모든 사용자 개체에 대한 다음 사용 권한을 할당합니다.

  • 내용 보기
  • 모든 속성 읽기
  • 권한 읽기
  • 공용 정보 쓰기
  • 개인 정보 쓰기
  • 그룹 종류 쓰기
  • 표시 이름 쓰기

또한 Exchange Enterprise Servers 그룹에 그룹 개체에 대한 '권한 수정' 권한이 있어야 합니다. 이 사용 권한은 숨겨진 그룹 구성원을 지원하는 데 필요합니다.

이러한 모든 사용 권한은 ADSI 편집 MMC 스냅인을 사용하여 설정할 수 있습니다. 조직 단위 수준에서 사용 권한을 설정하는 방법에 대한 자세한 내용은 "사용 권한 분할 모델 구현"을 참조하십시오.

도메인 개체에 대한 고급 사용 권한 탭을 검토할 때 'Enterprise Exchange Servers' 그룹이 여러 번 나타납니다. 그러나 대부분의 사용 권한에 아무 것도 나타나지 않는 이유는 무엇입니까?

Enterprise Exchange Servers 그룹에 도메인 수준의 사용 권한이 있어야 Exchange 2000 Server를 실행하는 컴퓨터에서 새 전자 메일과 사서함 사용 가능 사용자를 처리할 수 있습니다. 예를 들어 새 사서함 사용 가능 사용자가 생성되면 받는 사람 업데이트 서비스는 개체의 전자 메일 주소를 기록하고 그 사용자를 올바른 주소 목록에 배치합니다. 받는 사람 업데이트 서비스는 Exchange 서버에서 Exchange 시스템 수행자(System Attendant) 프로세스의 일부로 실행됩니다. Exchange 서버의 컴퓨터 개체는 Exchange Domain Servers 그룹의 구성원(따라서 Exchange Enterprise Servers 그룹의 구성원)이므로 받는 사람 업데이트 서비스는 도메인의 개체를 성공적으로 업데이트할 수 있습니다.

Active Directory에서 부여할 수 있는 세부 사용 권한이 모두 인터페이스에 표시되지는 않기 때문에 Active Directory 사용자 및 컴퓨터 스냅인에 사용 권한이 표시되지 않을 수 있습니다. 따라서 사용 권한이 부여되어도 인터페이스에 나타나지 않을 수 있습니다. 세분화된 사용 권한을 모두 보려면 "사용 권한 분할 모델 구현"의 설명대로 Dsalcs.exe 도구를 사용합니다.

첫 번째 Exchange 서버를 설치하는 데 필요한 사용 권한은 무엇입니까?

ForestPrep 및 DomainPrep을 실행했다는 가정 하에서 첫 번째 Exchange 서버를 설치하려면 다음 사용 권한으로 Active Directory에 로그온해야 합니다.

  • ForestPrep 실행 중에 정의된 전체 Exchange 관리자 역할
  • 대상 Exchange 서버의 로컬 Administrators 그룹 구성원

또한 기존 Exchange Server 5.5 사이트에 연결하는 경우 로그온한 계정에 다음 사용 권한이 있어야 Exchange Server 5.5 디렉터리에 액세스할 수 있으며 Exchange를 설치하는 사용자는 사이트 서비스 계정 이름과 암호를 알고 있어야 합니다.

  • 연결할 Exchange 사이트의 Exchange Server 5.5 사이트 명명 컨텍스트에 대한 관리자 역할
  • 연결할 Exchange 사이트의 Exchange Server 5.5 구성 명명 컨텍스트에 대한 관리자 역할

Exchange 2000 Server나 Exchange Server 2003을 설치하는 도메인과 Exchange Server 5.5를 실행하는 서버가 있는 도메인 사이에 양방향 트러스트가 필요합니다.

Windows NT® 도메인과 Active Directory 사이의 양방향 트러스트 구성에 필요한 두 가지 독립적인 요구 사항이 있습니다. 먼저 Active Directory에서 Windows NT로의 트러스트가 필요합니다. Exchange Server 2003 메시지 전송 에이전트(MTA)와 사이트 복제 서비스가 Windows NT 도메인에 있는 Exchange Server 5.5 사이트 서비스 계정을 사용해야 하기 때문입니다. 두 번째 단방향 트러스트인 Windows NT에서 Active Directory로의 트러스트는 Exchange Server 2003에 Exchange Server 5.5 조직, 사이트 및 구성 명명 컨텍스트를 읽고 쓰는 데 적합한 권한(Exchange Server 5.5 사이트에 설치할 때 지정한 계정)을 제공하는 데 필요합니다.

다른 관리자가 여러 Exchange Server 2003 서비스를 관리할 수 있도록 사용 권한을 위임하는 방법은 무엇입니까?

다른 사용자에게 사용 권한을 위임하려면 Exchange System Manager 콘솔의 일부분인 Exchange 위임 마법사를 사용합니다.

Exchange 위임 마법사를 사용하려면 조직에 대해 전체 Exchange 관리자 역할을 가진 사용자로 로그온해야 합니다. 이러한 이유는 물론 성능상의 이유로 관리 권한을 사용자에게 직접 위임하지 않고 그룹 개체에 위임하는 것이 좋습니다. 예를 들면 "Seattle Exchange Admins"라는 Active Directory 그룹을 만들 수 있습니다. Exchange 위임 마법사를 사용하여 이 그룹의 구성원에게 "Seattle" 관리자 그룹에 대한 관리 권한을 위임할 수 있습니다. 도메인 관리자나 그에 해당하는 사람이 관련 관리자 계정을 포함하도록 그룹 개체의 구성원을 변경할 수 있습니다.

Exchange 컴퓨터 계정을 Active Directory의 다른 조직 단위로 이동하면 Exchange 사용 권한과 위임에 영향을 줍니까?

아니요. Exchange 관리 위임 마법사는 컴퓨터 계정이 있는 도메인 명명 컨텍스트가 아닌 Active Directory의 구성 명명 컨텍스트에 사용 권한을 할당합니다. 그러나 컴퓨터 계정 개체를 이동한 후에는 Exchange 서버에서 시스템 수행자(System Attendant)를 다시 시작해야 합니다. Exchange 서버를 다시 시작해야 하는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 271335, "XADM: System Attendant Generates 9186 and 9187 Event ID Messages"를 참조하십시오.

전체 Exchange 관리자와 Exchange 관리자 역할의 차이는 무엇입니까?

전체 Exchange 관리자는 구성 명명 컨텍스트에서 모든 Exchange 개체를 조작할 수 있습니다. 또한 다음 개체의 보안 탭에서 아래 설정을 수정할 권한을 갖고 있습니다.

  • Exchange 데이터베이스
  • MAPI 및 응용 프로그램 공용 폴더 계층
  • 주소 목록

Exchange 관리자는 Exchange 개체를 조작할 수 있지만 위에 나열된 Exchange 개체의 보안 탭에서 설정을 변경하거나 사용 권한을 위임할 수 없습니다. 그러나 공용 폴더에 대한 사용 권한을 보안 탭에서 변경할 수 있습니다.

Exchange 조직 수준의 사용 권한을 사용자나 그룹에 부여하면 이러한 사용 권한이 모든 관리 그룹에 자동으로 전달됩니까?

예. Exchange Server 5.5와 달리 Exchange Server 2003 사용 권한은 상속됩니다.

Exchange Server 2003을 실행하는 다음 서버를 내 조직에 설치하는 데 필요한 권한은 무엇입니까?

Exchange 2000 Server에서 관리자에게 Exchange 2000 Server를 설치 및 제거하고 서버를 업그레이드하고 서버에서 재해 복구를 수행할 조직 수준의 전체 Exchange 관리자 관리 역할을 할당해야 합니다. 이러한 요구 사항은 관리 그룹 수준에서 전체 Exchange 관리자 관리 역할이 할당된 관리자가 Exchange Server 2003을 설치 및 제거하고 서버를 업그레이드하고 해당 관리 그룹에 있는 서버에서 재해 복구를 수행할 수 있게 Exchange Server 2003에서 변경되었습니다.

다음 고려 사항은 관리 그룹 수준에서만 전체 Exchange 관리자 권한을 가진 관리자로 Exchange Server 2003을 서버에 설치할 때 적용됩니다.

  • 도메인 관리자는 서버의 컴퓨터 계정을 Exchange Domain Servers 그룹에 수동으로 추가해야 합니다.
  • 조직 수준의 전체 Exchange 관리자 권한을 가진 관리자는 조직에 있는 컴퓨터에서 첫 번째 Exchange Server 2003 설치를 수행해야 합니다.
  • 조직 수준의 전체 Exchange 관리자 권한을 가진 관리자는 Active Directory 도메인에서 첫 번째 Exchange Server 2003 설치를 수행해야 합니다.
  • 조직 수준의 전체 Exchange 관리자 권한을 가진 관리자는 관리 그룹에 있는 컴퓨터에서 첫 번째 Exchange Server 2003 설치를 수행해야 합니다.
  • 조직 수준의 전체 Exchange 관리자 권한을 가진 관리자만 Exchange 2000 Server를 실행 중이며 디렉터리 복제 커넥터의 브리지헤드 서버로 구성된 컴퓨터를 Exchange Server 2003으로 업그레이드할 수 있습니다.
  • 조직 수준의 전체 Exchange 관리자 권한을 가진 관리자만 사이트 복제 서비스(SRS)가 설치된 서버에 Exchange Server 2003을 설치하거나 제거할 수 있습니다.

관리 그룹에서 전체 Exchange 관리자인 관리자가 클러스터되지 않은 서버에서 Exchange Server 2003 설치 프로그램을 실행하면 액세스할 권한을 가진 관리 그룹만 나타납니다. 그러나 클러스터된 서버에서 Exchange Server 2003 설치 프로그램을 실행하면 모든 관리 그룹이 표시됩니다. 액세스할 권한이 없는 관리 그룹을 선택하면 "액세스가 거부되었습니다."라는 메시지가 나타납니다.

Exchange 2000 Server 또는 Exchange Server 2003과 Exchange Server 5.5를 함께 사용하는 사이트에 다음 서버를 설치하는 경우 Exchange 2000 Server 또는 Exchange Server 2003을 설치하는 도메인과 Exchange Server 5.5를 실행하는 서버가 있는 도메인 사이에 양방향 트러스트가 필요합니다.

클러스터 구성에 Exchange Server 2003을 설치하는 데 필요한 사용 권한은 무엇입니까?

Exchange 2000 Server 클러스터 관리자가 Exchange 가상 서버를 만들거나 삭제하거나 수정하려면 클러스터 관리자 계정과 클러스터 서비스 계정에 다음 사용 권한이 필요합니다.

  • Exchange 가상 서버가 Exchange 조직의 첫 번째 Exchange 가상 서버인 경우 클러스터 관리자의 계정 및 클러스터 서비스 계정은 각각 조직 수준에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원이어야 합니다.
  • Exchange 가상 서버가 조직의 첫 번째 Exchange 가상 서버가 아닌 경우 클러스터 관리자의 계정 및 클러스터 서비스 계정은 각각 관리 그룹 수준에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원이어야 합니다.

Exchange Server 2003에서는 사용 권한 모델이 변경되었습니다. Windows 클러스터 서비스 계정에는 Exchange 특정 사용 권한이 필요하지 않습니다. Windows 클러스터 서비스 계정의 경우 Exchange 조직 수준이나 관리 그룹 수준에서 더 이상 전체 Exchange 관리자 역할이 적용되지 않아도 됩니다. Exchange Server 2003에서 기능을 수행하는 데 포리스트의 해당 기본 사용 권한이면 충분합니다.

Exchange 2000 Server에서처럼 클러스터 관리자는 다음 사용 권한이 필요합니다.

  • Exchange 가상 서버가 조직의 첫 번째 Exchange 가상 서버인 경우 클러스터 관리자는 조직 수준에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원이어야 합니다.
  • Exchange 가상 서버가 조직의 첫 번째 Exchange 가상 서버가 아닌 경우 관리 그룹 수준에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원인 계정을 사용해야 합니다.

그러나 Exchange 조직이 실행되는 모드(전용 모드 또는 혼합 모드)와 토폴로지 구성에 따라 클러스터 관리자에게 다음과 같은 추가 사용 권한이 필요합니다.

  • Exchange 조직이 전용 모드일 때 Exchange 가상 서버가 여러 관리 그룹에 걸쳐 있는 라우팅 그룹에 있으면 클러스터 관리자는 라우팅 그룹이 걸쳐 있는 모든 관리 그룹 수준에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원이어야 합니다. 예를 들어 Exchange 가상 서버가 첫 번째 및 두 번째 관리 그룹에 걸쳐 있는 라우팅 그룹에 있는 경우 클러스터 관리자는 첫 번째 관리 그룹에서 전체 Exchange 관리 역할이 적용된 그룹의 구성원인 계정을 사용해야 하며 두 번째 관리 그룹에서 전체 Exchange 관리자 역할이 적용된 그룹의 구성원이어야 합니다.

    참고

    전용 모드에서 실행되는 Exchange 조직의 라우팅 그룹은 여러 관리 그룹에 걸쳐 있을 수 있습니다. 혼합 모드에서 실행되는 Exchange 조직의 라우팅 그룹은 여러 관리 그룹에 걸쳐 있을 수 없습니다.

  • 클러스터 서버가 자식 도메인의 첫 번째 Exchange 서버인 부모/자식 도메인 같은 토폴로지에서 클러스터 관리자는 자식 도메인에서 받는 사람 업데이트 서비스를 담당할 서버를 지정할 수 있으며 조직 수준에서 Exchange 관리자 역할 이상의 역할이 적용된 그룹의 구성원이어야 합니다.

Exchange Server 2003 서비스 팩을 설치하는 데 필요한 사용 권한은 무엇입니까?

Exchange 서비스 팩은 Exchange Server 2003을 설치한 후에 설치해야 합니다. 서비스 팩이 들어 있는 통합된 Exchange 설치 프로그램은 없습니다. 서비스 팩을 설치하려면 다음 사용 권한이 필요합니다.

  • Exchange Server 2003 서버가 있는 관리 그룹에 대한 Exchange 관리자 역할
  • 대상 Exchange Server 2003 서버의 로컬 Administrators 그룹 구성원

중요

Exchange Server 2003 서비스 팩 2(SP2)로 시작하는 경우 첫 번째 서버를 최신 서비스 팩으로 업그레이드하려면 조직 수준의 Exchange 관리자 역할이 필요합니다. 이는 설치 작업으로 구성 파티션 내의 Exchange 조직 컨테이너에 UCE 콘텐트 필터를 만들 수 있기 때문입니다. 첫 번째 서버를 업그레이드하고 이 컨테이너를 만든 후 추가 서버를 업그레이드하려면 대상 관리 그룹에 대한 Exchange 관리자 역할만 있으면 됩니다.

각 사용자의 사서함에 대한 모든 권한이 필요한 타사 메시징 응용 프로그램이 있습니다. Exchange Server 5.5를 사용하여 특별 계정에 '서비스 계정 관리자' 권한을 부여한 다음 응용 프로그램에서 이 계정을 사용하도록 지정했습니다. Exchange Server 2003에서 비슷한 기능을 수행하려면 어떻게 해야 합니까?

Exchange Server 2003 보안은 Exchange Server 5.5의 보안과 다르게 작동합니다. 실제로 Exchange Server 2003은 사이트 서비스 계정을 사용하지 않습니다. 대신 모든 서비스가 로컬 컴퓨터 계정으로 시작합니다.

원하는 결과를 얻기 위한 방법이 아래 Microsoft 기술 자료 문서에 설명되어 있습니다.

참고

Exchange 2000 Server를 실행 중이고 EDSLock 스크립트를 사용하여 Exchange 사서함 액세스를 보호하는 경우 "Exchange Domain Servers" 그룹의 구성원에게는 원격 Exchange 서버의 사서함을 열 권한이 없습니다.

도메인 관리자가 해당 도메인에서 사서함 사용이 가능한 사용자 계정을 위장할 수 있는 이유는 무엇입니까?

Active Directory에는 디렉터리 내 개체에 적용할 수 있는 기본 사용 권한 세트가 포함되어 있습니다. 특히 Active Directory에는 Send As 확장 권한이 포함되어 있습니다. 기본적으로 Administrators 그룹, Domain Admins 그룹, Enterprise Admins 그룹 및 Account Operators 그룹에는 모든 사용자에 대해 Send As 권한이 있습니다. Administrators 그룹 권한과 Enterprise Admins 그룹 권한은 도메인 수준에서 상속됩니다. Account Operators 그룹과 Domain Admins 그룹은 Active Directory 스키마에 있는 사용자 개체 정의를 기반으로 한 명시적 사용 권한을 받습니다.

도메인 내 사용자 개체의 관리자에 대해 거부 "Send As" ACE(액세스 제어 항목)의 구현을 고려할 수 있습니다. 도메인 내 사용자 개체의 관리자에 대해 거부 "Send As" ACE를 구현하려면 다음을 고려해야 합니다.

  • 명시적 허용 ACE는 상속된 거부(즉, 상속된 ACE 이전에 적용된 명시적 ACE)를 다시 정의합니다.
  • Domain Admins 그룹 구성원에게는 거부 ACE 제거 및/또는 명시적 허용 ACE 추가 권한이 있습니다.
  • 거부 ACE를 추가하면 사용자 환경에 부가적인 결과를 가져올 수 있습니다. 자세한 내용은 사용 권한을 적용할 위치를 참조하십시오.

도메인 내 사용자 개체의 관리자에 대해 거부 "Send As" ACE를 구현하여 메시징 환경이 위험해지면 다음 항목을 하나 이상 구현해야 합니다.

  • 특정 작업을 위임하여 도메인의 도메인 관리자 수를 제한합니다. 자세한 내용은 “Best Practices for Delegating Active Directory Administration”(https://go.microsoft.com/fwlink/?LinkId=31309)을 참조하십시오.
  • 감사를 사용하여 Domain Admins 그룹 구성원인 계정의 계정 로그온 이벤트를 모니터링합니다.

Enterprise Admins 그룹과 루트 Domain Admins 그룹의 구성원에게 Exchange 조직의 모든 권한이 있는 이유는 무엇입니까?

Exchange 2000 Server 이상 버전에서 Exchange 조직에 대한 데이터는 별도의 디렉터리에 저장되지 않습니다. Exchange에서는 Active Directory의 조직 데이터를 구성 명명 컨텍스트에서 저장합니다. 포리스트 관리자(Enterprise Admins 그룹 또는 루트 Domain Admins 그룹의 구성원)는 디렉터리의 모든 부분을 제어하고 기본적으로 디렉터리 내에 저장된 데이터를 소유합니다. 하나의 구성이 변경되면 전체 포리스트에 나쁜 영향을 줄 수 있으므로 포리스트 관리자가 디렉터리를 제어해야 합니다. 구성 명명 컨텍스트 및 상속으로 구성 명명 컨텍스트 내에 저장된 Exchange 조직에는 다음 권한이 있습니다.

  • Enterprise Admins - 모든 권한
  • 루트 Domain Admins - 읽기, 쓰기, 모든 하위 개체 만들기, 특정 권한

상속된 사용 권한과 함께 Exchange 설치 프로그램은 Enterprise Admins 그룹과 루트 Domain Admins 그룹에 대해 “Send As” 및 “Receive As”의 거부 ACE를 추가합니다. 이로 인해 해당 관리자는 포리스트 내 사서함을 액세스하거나 위장할 수 없습니다. 자세한 내용은 Exchange 설치 중 부여되는 사용 권한을 참조하십시오.

구성 명명 컨텍스트 내 Exchange 조직 노드에서 상속을 제거할 수 없습니다. 메시징 관리자가 포리스트 관리자를 신뢰하지 않으면 메시징 팀은 팀 자체의 포리스트 내에서 Exchange 격리를 고려해야 합니다. 배포 옵션에 대한 자세한 내용은 Exchange Server 2003 배포 가이드(https://go.microsoft.com/fwlink/?LinkId=47569)를 참조하십시오.

Exchange 조직을 별도의 포리스트에 격리할 수 없는 경우에는 다음 작업을 하나 이상 수행하는 것이 좋습니다.

  • 특정 작업을 위임하여 루트 도메인의 엔터프라이즈 관리자와 도메인 관리자 수를 제한합니다. 자세한 내용은 “Best Practices for Delegating Active Directory Administration”(https://go.microsoft.com/fwlink/?LinkId=31309)을 참조하십시오.
  • 감사를 사용하여 Enterprise Admins 그룹과 루트 Domain Admins 그룹을 포함하여 권한 있는 그룹의 구성원인 계정의 계정 로그온 이벤트를 모니터링합니다.
  • 감사를 사용하여 디렉터리의 CN=<Exchange Org>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> 부분 내에서 발생하는 변경 내용을 모니터링합니다.

Exchange Server 5.5에 특별 서비스 계정이 있는 이유는 무엇이며 Exchange Server 2003 서비스를 LocalSystem(기본 제공 컴퓨터 계정)으로 시작할 수 있는 시기는 언제입니까?

Exchange Server 5.5의 경우 Windows NT Server 4.0에서의 제한적인 기능으로 인해 해당 서비스에 대한 특별 로그온 계정이 필요했습니다. Windows NT 4.0의 로컬 컴퓨터 계정에 토큰이 있었지만 자격 증명이 없었기 때문에 한 컴퓨터 계정이 다른 컴퓨터 계정을 인증하지 못했습니다. Kerberos 인증은 Windows 2000이나 Windows Server 2003에서 사용되며 컴퓨터 계정에 토큰과 자격 증명이 모두 있습니다.

다음과 같은 이유로 로컬 컴퓨터 계정을 사용하는 것이 관리자가 지정한 계정을 사용하는 것보다 안전합니다.

  • 로컬 컴퓨터 암호는 사람이 읽을 수 있는 문자열이 아니라 임의의 16진수로 구성되어 있습니다.
  • 로컬 컴퓨터 암호는 일주일마다 자동으로 변경됩니다.
  • 무작위 로그온 시도가 계정을 비활성화하고 Exchange 서비스를 종료할 수 있으므로 Exchange Server 5.5 서비스 계정을 잠금 정책에서 제외해야 합니다.

Exchange Server 2003 서버의 컴퓨터 계정이 Active Directory에서 실수로 삭제되었습니다. 계정을 다시 만들 수 있겠지만 이때 Exchange Server 2003 서비스가 제대로 작동합니까?

컴퓨터 계정을 다시 추가하면 이벤트 로그에 DSAccess 오류와 같은 몇 가지 문제가 발생할 수 있지만 Exchange 서비스는 제대로 시작됩니다. Exchange Server 2003 설치 중에 컴퓨터 계정에 Active Directory의 여러 사용 권한이 할당됩니다. 따라서 Exchange Server 2003 설치 프로그램을 다시 실행하고 다시 설치 옵션을 선택하면 새 컴퓨터 계정에 대한 올바른 사용 권한이 부여됩니다.

또는 Microsoft 기술 자료 문서 297295 "The Computer Account for Exchange Server Is Absent"에 설명된 대로 ADSI 편집을 사용하여 컴퓨터 계정에 적절한 사용 권한을 부여할 수 있습니다.

컴퓨터 계정을 다시 만든 후에 새 계정에 필요한 사용 권한을 부여할 수 있습니다. Exchange 컴퓨터 계정에 적절한 사용 권한을 할당하려면 "ADSI 편집을 사용하여 Exchange 컴퓨터 계정에 모든 권한 추가 방법"을 참조하십시오.