Exchange 2007 사용 권한: 질문과 대답
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2008-01-24
이 항목에서는 Exchange Server 2007이 출시된 이후로 사용 권한과 관련하여 받아온 질문에 대한 답변을 제공합니다.
대부분의 답변에서는 액세스를 허용 또는 허용하지 않기 위해 수행할 수 있는 특정 사용 권한의 변경에 대해 설명합니다. 사용 권한을 관리하는 데 사용할 수 있는 도구에 익숙치 않은 경우 사용 권한 분할 모델 계획 및 구현을 참조하십시오.
질문과 답변은 두 가지 섹션으로 구성됩니다.
Exchange 2007 배포
Exchange 2007 관리
Exchange 2007 배포
Q: 포리스트 및 도메인 준비 단계를 실행하려면 어떤 사용 권한이 필요합니까?
A: 다음 사용 권한이 필요합니다.
Setup /PrepareLegacyExchangePermissions 명령을 실행하려면 Enterprise Admins 보안 그룹의 구성원이어야 합니다.
Setup /PrepareSchema 명령을 실행하려면 Schema Admins 및 Enterprise Admins 보안 그룹의 구성원이어야 합니다.
Setup /PrepareAD 명령을 실행하려면 Enterprise Admins 보안 그룹의 구성원이어야 합니다.
Setup /PrepareDomain, setup /PrepareDomain:<FQDN> 명령 또는 Setup /PrepareAllDomains 명령을 실행하려면 Enterprise Admins 그룹의 구성원이거나 준비할 도메인에서 Domain Admins 그룹의 구성원이어야 합니다.
Q: Exchange 2007의 /PrepareLegacyExchangePermissions는 어떤 작업을 합니까?
A: 자세한 내용은 레거시 Exchange 권한 준비을 참조하십시오.
Q: Setup /PrepareLegacyExchangePermissions는 업데이트할 도메인 목록을 어떻게 결정합니까?
A: Setup /PrepareLegacyExchangePermissions 작업은 포리스트 구성으로부터 포리스트에 있는 도메인 목록을 검색합니다. 그런 다음 글로벌 카탈로그 서버에 연결해서 각 도메인의 명명 파티션에서 조회를 수행합니다. 그 후에 Exchange Domain Servers 및 Exchange Enterprise Servers 보안 그룹의 SID(보안 식별자)를 확인하려고 시도하여 Microsoft Exchange 2000 Server 또는 Exchange Server 2003에 대해 도메인이 준비되었는지 여부를 확인합니다. 이 작업에서는 이전에 준비된 도메인 목록을 생성한 후, 각 도메인을 사용하여 도메인 구성 LDAP(Lightweight Directory Access Protocol) 세션을 설정하려고 시도합니다. 이 작업을 통해 세션을 설정할 수 있는 경우, 도메인에 대한 레거시 사용 권한이 설정됩니다. 사용 권한 관련 문제로 인해 또는 도메인을 사용할 수 없기 때문에 세션을 설정할 수 없는 경우에는 연결할 수 없는 도메인 목록에 해당 도메인이 추가됩니다. 연결할 수 없는 도메인 목록에 도메인이 있을 경우, 연결할 수 있는 목록이 처리된 후에 작업이 실패합니다.
작업이 실패하면 나머지 Exchange 2007 준비 단계를 계속하기 전에 도메인을 업데이트하기 위해 수정 전략(예: 적합한 자격 증명이 있는 계정을 사용하여 해당 도메인의 도메인 컨트롤러에서 작업 실행)을 결정해야 합니다.
Q: Exchange 2007의 Setup /PrepareSchema는 어떤 작업을 합니까?
A: 자세한 내용은 Active Directory 및 도메인을 준비하는 방법을 참조하십시오.
Q: Exchange 2007의 Setup /PrepareAD는 어떤 작업을 합니까?
A: 자세한 내용은 Active Directory 및 도메인을 준비하는 방법을 참조하십시오.
Q: Exchange 2007의 Setup /PrepareDomain은 어떤 작업을 합니까?
A: 자세한 내용은 Active Directory 및 도메인을 준비하는 방법을 참조하십시오. 이 작업은 도메인에 Microsoft Exchange System Objects 컨테이너를 만듭니다.
이 컨테이너는 사서함 저장소의 사서함과 같은 Exchange 관련 시스템 개체 및 공용 폴더 프록시 개체를 저장하는 데 사용합니다.
Setup /PrepareDomain 명령은 이 폴더에 대한 특정 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 Exchange 2007 서버 설치 권한 참조를 참조하십시오.
Setup /PrepareDomain 명령은 Exchange Install Domain Servers 글로벌 보안 그룹을 만들어 Microsoft Exchange System Objects 컨테이너에 넣습니다.
Exchange Install Domain Servers 글로벌 보안 그룹을 Exchange Servers 유니버설 보안 그룹에 추가합니다.
도메인 수준에서 Exchange Servers 유니버설 보안 그룹의 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 Exchange 2007 서버 설치 권한 참조를 참조하십시오.
도메인 수준에서 Exchange Recipient Administrators 유니버설 보안 그룹의 사용 권한을 할당합니다. 부여된 특정 사용 권한에 대한 자세한 내용은 Exchange 2007 서버 설치 권한 참조를 참조하십시오.
기본 도메인 컨트롤러 정책 조직 구성 단위에 설정된 감사 및 보안 로그 관리 권한을 Exchange Servers 유니버설 보안 그룹에 할당합니다.
Q: Exchange 2007에 대해 Setup /PrepareDomain을 실행하는 시기는 언제입니까?
A: Setup /PrepareDomain 명령을 실행하면 Active Directory 도메인 관리자는 Exchange 2007 사용자 및 서버를 위한 도메인을 준비할 수 있습니다. 다음이 포함된 각 도메인에서 Setup /PrepareDomain 명령을 실행해야 합니다.
Exchange 2000, Exchange 2003 또는 Exchange 2007 서버
메일 사용 가능 개체
Exchange 디렉터리 액세스 구성 요소가 사용할 수 있는 글로벌 카탈로그 서버
Q: Exchange 사서함을 가진 Exchange 서버 또는 사용자가 있는 각 도메인에서 Exchange Server 그룹이 Windows Authorization Access Group의 구성원인 이유는 무엇입니까?
A: 이러한 변경은 Exchange 2007 서비스 팩 1의 PrepareDomain 기능과 함께 도입되었습니다. 이를 통해 Microsoft Exchange Transport Service에서 S4U(Service-for-User) Kerberos 확장 컬렉션을 사용하여 도메인 컨트롤러가 아닌 컴퓨터에 대한 사용 권한 검사를 수행할 수 있습니다.
Q: Setup /PrepareDomain으로 인해 도메인 컨트롤러 정책이 변경되었습니다. 그리고 Exchange Servers 유니버설 보안 그룹에 감사 및 보안 로그를 관리할 수 있는 사용 권한이 부여되었습니다. 이 사용 권한이 필요한 이유는 무엇입니까?
A: 저장소 프로세스에서 사서함 감사를 지원하려면 이 사용 권한이 필요합니다. 이 사용 권한이 있어야 Exchange 서버에서 도메인의 SACL(시스템 액세스 제어 목록)을 읽을 수 있기 때문입니다. 이 사용 권한을 제거하면 Exchange 서버 데이터베이스가 탑재되지 않습니다. 이러한 점은 Setup /PrepareDomain 명령이 도메인 컨트롤러 정책에 대해 수행하는 유일한 조정 사항입니다. 이 정책은 Active Directory 복제와 FRS(파일 복제 서비스)의 조합을 통해 다른 도메인 컨트롤러로 복제됩니다.
참고
도메인 컨트롤러 조직 구성 단위에서 다른 정책을 구현한 경우, 적용 가능한 최상위 정책에 이 사용 권한을 추가해야 합니다.
맨 위로 이동
Q: Exchange Install Domain Servers 보안 그룹이 수행하는 기능은 무엇입니까?
A: Exchange 2007 서버를 설치하면 해당 서버의 컴퓨터 계정이 Exchange Servers 유니버설 보안 그룹에 추가됩니다. 기본적으로 이 그룹은 포리스트의 루트 도메인에서 호스팅됩니다. 설치 중인 서버가 다른 도메인에 있을 경우 설치 중에 Exchange 서비스가 시작되지 않을 수 있습니다. 이는 Active Directory 복제가 Exchange 2007을 설치 중인 도메인에 있는 글로벌 카탈로그 서버에 Exchange Servers 구성원을 복제하지 않았기 때문입니다.
Exchange Install Domain Servers 보안 그룹의 목적은 설치 중에 Active Directory 복제를 기다리지 않고도 서비스가 적절히 시작될 수 있도록 하는 것입니다. Exchange 설치 프로그램에서는 컴퓨터 계정을 로컬 도메인의 Exchange Install Domain Servers 글로벌 보안 그룹에 추가합니다.
Q: 기본 Exchange 보안 그룹을 포리스트의 다른 도메인 또는 다른 컨테이너로 이동할 수 있습니까?
A: Exchange 2007에서는 새 보안 그룹 집합을 사용하여 사용 권한 모델을 관리하고 동시 사용을 유지 관리합니다. 이러한 그룹은 다음과 같습니다.
Exchange Servers
Exchange 보기 권한만 있는 관리자
Exchange 공용 폴더 관리자(Exchange 2007 서비스 팩 1의 새로운 기능)
Exchange 받는 사람 관리자
Exchange 조직 관리자
ExchangeLegacyInterop
기본적으로 이 보안 그룹은 루트 도메인의 Microsoft Exchange 보안 그룹 조직 구성 단위에 있지만 다른 조직 구성 단위 또는 포리스트의 다른 도메인으로 이동할 수도 있습니다. 이러한 보안 그룹에는 두 가지 고유 속성, 즉, 잘 알려진 GUID와 변경 가능한 고유 이름이 있기 때문에 포리스트 내에서 해당 그룹을 이동할 수 있습니다. Setup /PrepareAD 작업 중에 이 두 가지 속성을 사용하고 이 속성을 포리스트의 otherWellKnownObjects 특성에 추가하면 Exchange에서 보안 그룹이 포리스트 내 어디에 있든지 보안 그룹을 찾을 수 있습니다. 디렉터리 서비스는 이동한 개체의 DN(고유 이름) 업데이트를 처리합니다. 이러한 방식으로 Exchange에서는 디렉터리 내의 고정 위치를 필요로 하지 않습니다.
맨 위로 이동
Q: 우리 회사에서는 Active Directory 도메인 수준으로부터 자식 컨테이너 및 조직 구성 단위로 사용 권한이 상속되는 것을 허용하지 않습니다. 이러한 점이 문제를 일으킬 수 있습니까?
A: Setup /PrepareDomain 명령은 도메인 수준에서 Exchange Servers 그룹 및 Exchange Recipient Administrators 그룹의 ACE(액세스 제어 항목)를 넣기만 합니다. 그러므로 상속을 차단하면 Microsoft Exchange에서 사용자 개체를 처리할 수 없습니다. 그 결과, Recipient Administrators는 메일 받는 사람을 제공할 수 없으며 Exchange에서는 개체의 적합한 특성을 업데이트할 수 없습니다.
상속을 차단할 때 선택한 컨테이너 또는 조직 구성 단위에서 사용 권한을 제거 또는 복사할 수 있는 옵션이 있습니다. 사용 권한을 복사하는 경우 적합한 ACE가 적용됩니다. 사용 권한을 제거하는 경우 적합한 ACE가 적용되지 않으며 받는 사람이 제공되지 않습니다.
참고
사용 권한 구조는 Microsoft Exchange의 이후 버전 또는 서비스 팩에서 변경될 수 있습니다. 그러므로 상속을 허용하는 것이 좋으며, 최소한 새 Microsoft Exchange 버전을 배포할 때 사용 권한 변경을 모니터링하여 상속이 차단된 컨테이너가 이에 따라 업데이트될 수 있도록 하는 것이 좋습니다.
Exchange 2007 및 받는 사람이 개체를 처리하거나 개체에 액세스할 수 있도록 조직 구성 단위에서 사용 권한을 수동으로 설정하려면 다음 사용 권한을 할당해야 합니다.
조직 구성 단위의 모든 받는 사람 개체 유형에 대한 다음 사용 권한을 Authenticated Users 보안 개체에 할당합니다.
- Exchange 정보 속성 집합에 대한 읽기 권한
조직 구성 단위의 모든 받는 사람 개체 유형에 대한 다음 사용 권한을 Exchange Servers 그룹에 할당합니다.
다음 특성에 대한 쓰기 권한:
groupType
msExchUMPinChecksum
msExchMailboxSecurityDescriptor
publicDelegates
msExchUMSpokenName
msExchUserCulture
userCertificate
msExchMobileMailboxFlags
msExchUMServerWriteableFlags
다음 특성에 대한 읽기 권한:
garbageCollPeriod
canonicalName
userAccountControl
memberOf
Exchange 개인 정보 속성 집합에 대한 읽기 권한
Exchange 정보 속성 집합에 대한 읽기 권한
암호 변경 권한
그룹 개체에 대한 사용 권한 쓰기 권한
Exchange 2000 또는 Exchange 2003 서버가 포함된 환경을 운영하는 경우 Exchange 2003 받는 사람 업데이트 서비스에서 개체를 처리할 수 있도록 Exchange Enterprise Servers 보안 그룹에 다음 사용 권한도 할당해야 합니다.
내용 보기
모든 속성 읽기
읽기 권한
공용 정보 쓰기
개인 정보 쓰기
Exchange 정보 쓰기
displayName 쓰기
groupType 쓰기
그룹 개체에 대한 사용 권한 쓰기 권한(이 사용 권한은 숨겨진 그룹 구성원을 지원하는 데 필요함)
Exchange Recipient Administrators가 조직 구성 단위에서 받는 사람 개체를 관리할 수 있도록 하려면 Exchange Recipient Administrators 보안 그룹에 다음 사용 권한을 할당해야 합니다.
다음 속성 집합에 대한 쓰기 액세스 권한:
Exchange 개인 정보
Exchange 정보
다음 특성에 대한 쓰기 액세스 권한:
legacyExchangeDN
publicDelegates
showInAddressBook
displayName
garbageCollPeriod
proxyAddresses
adminDisplayName
textEncodedORAddress
mail
displayNamePrintable
msExchDynamicDistributionList 개체 만들기 권한
msExchDynamicDistributionList 개체 사용자 삭제 권한
msExchDynamicDistributionList 개체에 대한 모든 권한
일반 읽기 권한(읽기, 내용 보기, 개체 보기 및 모든 속성 읽기 권한 포함)
ADSI(Active Directory 서비스 인터페이스) 스냅인, DACL(임의 액세스 제어 목록) 또는 Exchange 관리 셸의 Add-ADPermission cmdlet를 사용하여 이러한 사용 권한을 모두 설정할 수 있습니다. 조직 구성 단위 수준에서 사용 권한을 설정하는 방법에 대한 자세한 내용은 사용 권한 분할 모델 계획 및 구현을 참조하십시오.
맨 위로 이동
Q: 첫 번째 Exchange 서버를 설치하려면 어떤 사용 권한이 필요합니까?
A: 모든 포리스트 및 도메인 준비 단계를 수행했다고 가정할 때, 첫 번째 Exchange 서버를 설치하려면 다음 사용 권한으로 Active Directory에 로그온해야 합니다.
Exchange 조직 관리자 역할
대상 Exchange 서버에서 로컬 관리자 그룹의 구성원
참고
각 Exchange 2007 서버 역할에 대한 첫 번째 서버를 설치하려면 Exchange 조직 관리자 역할이 필요합니다.
Q: Exchange 서버를 추가로 설치하려면 어떤 사용 권한이 필요합니까?
A: 모든 준비 단계를 수행했고 첫 번째 Exchange 2007 서버 역할이 설치되어 있다고 가정할 때, 동일한 역할의 Exchange 서버를 추가로 설치하려면 다음 사용 권한으로 Active Directory에 로그온해야 합니다.
Exchange 조직 관리자 역할 또는 설치 프로그램의 서버 제공 프로세스를 통해 서버를 설치할 수 있는 사용 권한을 위임받은 역할. 서버 개체를 제공하는 방법에 대한 자세한 내용은 Exchange 2007 Server를 제공하고 설치를 위임하는 방법을 참조하십시오.
대상 Exchange 서버에서 로컬 관리자 그룹의 구성원
Q: 다양한 Exchange 2007 서비스를 관리할 수 있도록 다른 관리자에게 사용 권한을 위임하는 방법은 무엇입니까?
A: 다른 사용자에게 사용 권한을 위임하려면 다음을 사용합니다.
Exchange 관리 콘솔의 Exchange 관리자 추가 마법사
Exchange 관리 셸의 Add-ExchangeAdministrator cmdlet
추가 관리자를 위임하려면 Exchange 조직 관리자 역할이 할당된 사용자로 로그온해야 합니다.
맨 위로 이동
Q: Exchange 컴퓨터 계정을 Active Directory의 다른 조직 구성 단위로 이동하면 내 Exchange 사용 권한과 위임에 영향을 줍니까?
A: 아닙니다. Exchange 관리자 추가 마법사에서는 컴퓨터 계정이 있는 도메인 명명 컨텍스트가 아니라 Active Directory의 구성 명명 컨텍스트에서 사용 권한을 할당합니다. 그러나 컴퓨터 계정 개체를 이동한 후에 사용자는 Exchange 서버에서 Microsoft Exchange System Attendant 서비스를 다시 시작해야 합니다. Exchange 서버를 다시 시작해야 하는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 Exchange 2000 및 Exchange 2003에서 이벤트 ID 9186 및 이벤트 ID 9187 생성하는 System Attendant를 참조하십시오.
Q: Exchange 조직 관리자 역할과 Exchange Server 관리자 역할의 차이점은 무엇입니까?
A: Exchange 조직 관리자는 Exchange 조직의 구성 파티션에서 모든 Exchange 개체에 대한 설정을 조정 및 변경할 수 있습니다.
Exchange Server 관리자는 사용 권한을 위임받은 Exchange 서버 개체 및 이 개체의 모든 하위 항목만을 처리할 수 있습니다.
Q: Exchange 조직 수준에서 사용자 또는 그룹 권한을 부여할 경우 이러한 권한이 자동으로 하위 수준까지 상속됩니까?
A: 그렇습니다. Exchange 2003에서와 마찬가지로 사용 권한은 상속됩니다.
Q: Exchange 2007 클러스터 구성의 서비스 계정에 대해서는 어떤 사용 권한이 필요합니까?
A: 클러스터 서비스 계정에는 어떤 Exchange 조직 권한도 필요하지 않습니다.
Q: 클러스터 구성에서 Exchange 2007을 설치하려면 어떤 사용 권한이 필요합니까?
A: 클러스터된 사서함 서버의 위임된 설치를 수행하는 방법에 대한 자세한 내용은 클러스터된 사서함 서버의 위임 설치를 수행하는 방법을 참조하십시오.
맨 위로 이동
Q: 각 사용자 사서함에 대한 모든 권한을 필요로 하는 타사 메시징 응용 프로그램이 있습니다. Exchange Server 5.5를 사용하여 특수 계정에 서비스 계정 관리자 권한을 부여한 다음, 응용 프로그램에서 이 계정을 사용하도록 지시합니다. Exchange 2007에서 이와 유사한 기능을 어떻게 수행할 수 있습니까?
A: Exchange 2007 보안은 Exchange Server 5.5의 보안과는 다르게 작동합니다. 사실, Exchange 2007에서는 사이트 서비스 계정을 사용하지 않습니다. 대신, 모든 서비스가 로컬 컴퓨터 계정으로 시작됩니다.
로그온 계정이 관리자 계정, 루트 도메인 관리자 구성원, Enterprise Administrators 그룹 구성원 또는 Exchange 조직 관리자 역할 구성원인 경우 Exchange 시스템에 대해 모든 관리 권한이 있더라도 자신의 사서함이 아닌 모든 사서함에 대해서는 액세스가 명시적으로 거부됩니다. 관리자에게 다른 사람의 메일을 읽을 수 있는 충분한 권한을 부여할 필요 없이 모든 Exchange 2007 관리 작업을 수행할 수 있습니다.
다음과 같은 방법으로 원하는 결과를 얻을 수 있지만 조직의 보안 및 개인 정보 보호 정책에 따라서만 이 작업을 수행하십시오.
Exchange 관리 셸에서 다음 명령을 사용하여 지정된 사서함 저장소에 있는 모든 사서함에 대해 액세스를 허용합니다.
Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-AsExchange 관리 셸에서 다음 명령을 사용하여 개별 사서함에 대한 액세스를 허용합니다.
Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
맨 위로 이동
Q: 도메인 관리자가 해당 도메인에서 사서함을 사용하는 사용자 계정을 스푸핑할 수 있는 이유는 무엇입니까?
A: Active Directory에는 디렉터리의 개체에 적용할 수 있는 기본 사용 권한 집합이 포함되어 있습니다. 특히, Active Directory에는 다른 사람 이름으로 보내기 확장 권한이 있습니다. 기본적으로 Administrators 그룹, Domain Admins 그룹, Enterprise Admins 그룹 및 Account Operators 그룹에는 모든 사용자에 대한 다른 사람 이름으로 보내기 권한이 있습니다. Administrators 그룹 권한 및 Enterprise Admins 그룹 권한은 도메인 수준으로부터 상속됩니다. Account Operators 그룹 및 Domain Admins 그룹은 Active Directory 스키마에 있는 사용자 개체의 정의를 기준으로 명시적 사용 권한을 받습니다.
도메인의 사용자 개체 관리자에 대해 다른 사람 이름으로 보내기 ACE 거부의 구현을 고려할 수도 있습니다. 도메인의 사용자 개체 관리자에 대해 다른 사람 이름으로 보내기 ACE 거부를 구현하려는 경우 다음 사항을 고려하십시오.
명시적 ACE 허용은 상속된 ACE 거부를 무시합니다. 즉, 명시적 ACE가 상속된 ACE보다 먼저 적용됩니다.
Domain Admins 그룹 구성원은 ACE 거부를 제거하고 명시적 ACE 허용을 추가할 수 있습니다.
ACE 거부를 추가하면 사용자 환경에서 추가 결과가 나타날 수 있습니다.
도메인의 사용자 개체 관리자에 대해 다른 사람 이름으로 보내기 ACE 거부를 구현해서 메시징 환경이 위험해지면 다음 중 하나 이상을 구현해야 합니다.
특정 작업을 위임하여 도메인에서 도메인 관리자 수를 제한합니다. 자세한 내용은 Active Directory 관리 위임에 대한 모범 사례를 참조하십시오.
감사 기능을 사용하여 Domain Admins 그룹 구성원인 계정의 계정 로그온 이벤트를 모니터링합니다.
맨 위로 이동
Q: Exchange 조직에서 Enterprise Admins 그룹 및 루트 Domain Admins 그룹 구성원에게 모든 권한이 있는 이유는 무엇입니까?
A: Exchange 2000 및 Exchange Server의 이후 버전에서는 Exchange 조직에 대한 데이터가 별도의 디렉터리에 저장되지 않습니다. Exchange에서는 구성 명명 컨텍스트에서 조직 데이터를 Active Directory에 저장합니다. Enterprise Admins 그룹 또는 루트 Domain Admins 그룹의 구성원인 포리스트 관리자는 디렉터리의 모든 부분 및 디렉터리에 저장된 데이터를 제어합니다. 단일 구성 변경 사항이 전체 포리스트에 좋지 않은 영향을 끼칠 수 있으므로 포리스트 관리자는 디렉터리를 제어해야 합니다. 구성 명명 컨텍스트에 저장된 Exchange 조직은 구성 명명 컨텍스트 및 상속에 의해 다음 사용 권한을 가집니다.
Enterprise Admins – 모든 권한
루트 Domain Admins – 읽기, 쓰기, 모든 자식 개체 만들기, 특정 권한
상속된 사용 권한 외에도 Exchange 설치 프로그램은 Enterprise Admins 그룹 및 루트 Domain Admins 그룹의 다른 사람 이름으로 보내기 및 다음으로 받기에 대한 ACE 거부를 추가합니다. 그러면 이러한 관리자는 포리스트에서 사서함에 액세스하거나 사서함을 스푸핑할 수 없습니다. 자세한 내용은 Exchange 2007 서버 설치 권한 참조을 참조하십시오.
구성 명명 컨텍스트의 Exchange 조직 노드에서 상속을 제거할 수 없습니다. 메시징 관리자가 포리스트 관리자를 신뢰하지 않을 경우 메시징 관리자는 고유 포리스트에 Exchange를 격리하는 것이 좋습니다. 배포 옵션에 대한 자세한 내용은 Exchange Server 2007 배포를 참조하십시오.
별도의 포리스트에 Exchange 조직을 격리할 수 없는 경우 다음 작업 중 하나 이상을 수행하는 것이 좋습니다.
특정 작업을 위임하여 루트 도메인의 엔터프라이즈 관리자 및 도메인 관리자 수를 제한합니다. 자세한 내용은 Active Directory 관리 위임에 대한 모범 사례를 참조하십시오.
감사 기능을 사용하여 권한 있는 그룹의 구성원인 계정의 계정 로그온 이벤트를 모니터링합니다. 여기에는 Enterprise Admins 그룹 및 루트 Domain Admins 그룹이 포함됩니다.
감사 기능을 사용하여 디렉터리의 CN=<Exchange Organization>, CN=Microsoft Exchange, CN=Services, CN=Configuration, DC=<루트 도메인> 부분에 발생하는 변경 사항을 모니터링합니다.
맨 위로 이동
Q: Account Operators 그룹 구성원이 Exchange 서버 보안 그룹을 수정할 수 있는 이유는 무엇입니까?
A: Account Operators 보안 그룹과 같이 권한 있는 그룹에는 Active Directory에서 특정 사용 권한이 부여됩니다. 특히, Account Operators 보안 그룹에는 도메인 파티션의 모든 개체에 대한 모든 권한이 명시적으로 부여되므로 이 그룹은 이러한 개체를 관리할 수 있습니다.
이러한 보안 그룹의 Account Operators에 대한 ACE(액세스 제어 항목) 거부 구현을 고려할 수도 있습니다. ACE 거부를 구현하려는 경우 다음 사항을 고려하십시오.
Account Operators에는 디렉터리의 개체에 대한 명시적 ACE를 사용하여 모든 권한이 부여됩니다. 그러므로 제한할 각 그룹에 명시적 ACE 거부를 지정해야 합니다. 명시적 ACE 허용은 상속된 ACE 거부를 무시합니다.
ACE 거부를 추가하면 사용자 환경에서 추가 결과가 나타날 수 있습니다. 자세한 내용은 사용 권한 분할 모델 계획 및 구현을 참조하십시오.
Account Operators 또는 Exchange 보안 그룹에 대해 권한 있는 기타 그룹에 ACE 거부를 구현해서 메시징 환경이 위험해지면 다음 중 하나 이상을 구현해야 합니다.
특정 작업을 위임하여 도메인의 Account Operators 수를 제한합니다. 자세한 내용은 Active Directory 관리 위임에 대한 모범 사례를 참조하십시오.
감사 기능을 사용하여 Account Operators 보안 그룹 구성원인 계정의 계정 로그온 이벤트를 모니터링합니다.
감사 기능을 사용하여 Exchange 보안 그룹의 변경 사항을 모니터링합니다.
Q: Exchange 2007 서비스는 기본 제공 컴퓨터 계정인 LocalSystem으로 시작할 수 있는데 Exchange Server 5.5에는 특수 서비스 계정이 있는 이유는 무엇입니까?
A: Microsoft Windows NT 4.0의 제약 때문에 Exchange Server 5.5 서비스를 사용하려면 특수 로그온 계정이 필요했습니다. Windows NT 4.0의 로컬 컴퓨터 계정에 토큰은 있었지만 자격 증명은 없었습니다. 그러므로 하나의 컴퓨터 계정이 다른 컴퓨터 계정으로 인증받을 수 없었습니다. Windows Server 2003에서는 Kerberos 인증을 사용하며, 컴퓨터 계정에 토큰과 자격 증명이 둘 다 있습니다.
관리자가 지정하는 계정보다 로컬 컴퓨터 계정을 사용하는 것이 더 안전한 이유는 다음과 같습니다.
로컬 컴퓨터 암호는 사람이 읽을 수 있는 문자열이 아니라 임의의 16진수입니다.
로컬 컴퓨터 암호는 7일마다 자동으로 변경됩니다.
무차별 암호 대입 로그온 시도로 인해 계정이 사용할 수 없게 설정되고 Exchange 서비스가 종료될 수 있으므로 Exchange Server 5.5 서비스 계정을 잠금 정책에서 제외해야 합니다.
맨 위로 이동
Exchange 2007 관리
Q: Exchange 2007 사용자를 만들고 삭제하려면 어떤 권한이 필요합니까?
A: 사용자와 사서함 둘 다를 관리해야 하는 경우 Active Directory에서 받는 사람 개체를 만들고 관리할 수 있는 사용 권한이 있어야 합니다. 예를 들어, Domain Admin 또는 Account Operator일 수 있으며, 특정 조직 구성 단위에 대한 액세스 권한을 위임받았을 수도 있습니다. 자식 도메인 권한이 있는 계정의 구성원은 Exchange 관리 콘솔과 Exchange 관리 셸에서 메일 관련 속성을 관리하려면 Exchange 보기 권한만 있는 관리자 역할도 있어야 합니다. 관리자 권한이 없으면 다음 사용 권한이 있어야 합니다.
Exchange 받는 사람 관리자 역할 또는 적합한 사용 권한을 위임받은 역할. 받는 사람 관리를 위임하는 방법에 대한 자세한 내용은 사용 권한 분할 모델 계획 및 구현 및 사용 권한 고려 사항을 참조하십시오.
- 서버 간에 사서함을 이동하려면 관리자는 원본 서버와 대상 서버에서 Exchange 서버 관리자 역할을 위임받거나 Exchange 조직 관리자여야 합니다.
도메인 파티션에서 원하는 개체를 만들고, 삭제하고, 관리할 수 있는 적합한 사용 권한.
또한 공용 폴더 개체를 관리하는 경우, Exchange 관리 콘솔 또는 Exchange 관리 셸에서 개체를 조정할 때 로그온하는 계정인 관리 계정이 메일 사용 가능한 계정이거나 사서함 사용 가능한 계정인 것이 좋습니다. 공용 폴더 개체를 관리하는 계정이 메일 사용 가능한 계정이거나 사서함 사용 가능한 계정이 아닐 경우, 사용 권한 사용자 인터페이스에 이상한 작업이 발생하거나 표시 이름 확인에 오류가 발생할 수 있습니다.
자세한 내용은 Exchange Server 2003 저장소 사용의 "Exchange Server 2003 저장소 문제 해결 및 복구(Troubleshooting and Repairing Exchange Server 2003 Store Problems)" 섹션에서 "기타 문제(Other Problems)" 항목을 참조하십시오.
맨 위로 이동
Q: 사서함 유형을 변경하는 등 사서함에 대해 특정 작업을 수행할 때 Exchange 받는 사람 관리자 역할에서 제공하지 않는 사용 권한이 추가로 필요한 이유는 무엇입니까?
A: 사서함 유형을 변환하려면 Active Directory에서 몇 가지 변경 작업을 수행해야 하며, 이 변경 작업에는 Exchange 받는 사람 관리자 역할에서 제공하지 않는 높은 권한이 필요할 수 있습니다. 예를 들어, 사용자 사서함을 대화방 사서함으로 변환하는 작업을 수행하려는 경우가 있습니다. 리소스 사서함은 기본적으로 사서함을 사용할 수 있지만 사용할 수 없도록 설정된 사용자 계정인 반면, 사용자 사서함은 사서함을 사용할 수 있는 사용자 계정입니다. 그러므로 사서함을 UserMailbox 유형에서 RoomMailbox 유형으로 변환하려면 사용자 계정을 사용할 수 없도록 설정해야 합니다. 이렇게 하려면 userAccountControl 사용자 특성을 512 값(사용)에서 514 값(사용 안 함)으로 변경해야 합니다. 또한 이제 계정이 사용되지 않도록 설정되었으므로 사서함을 계속 사용하려면 msExchMasterAccountSID 특성을 설정하고 적절한 사용 권한을 적용해야 합니다. 이 경우에는 연결된 계정을 할당하는 것이 아니라 msExchMasterAccountSID 특성에 NT AUTHORITY\SELF 권한을 할당해야 합니다. 또한 메일 흐름과 사서함에 영향이 없도록 NT AUTHORITY\SELF 권한에 적절한 사용 권한이 있는지도 확인해야 합니다. 이 작업은 두 가지 방법으로 수행할 수 있는데, 그 중 하나는 사서함 보안 설명자를 업데이트하여 NT AUTHORITY\SELF 권한에 사서함에 대한 전체 권한을 부여하는 것이고, 다른 하나는 개인 정보 속성 집합에 대한 다른 사람 이름으로 보내기 확장 권한과 읽기 및 쓰기 권한을 NT AUTHORITY\SELF 권한에 부여하여 NT AUTHORITY\SELF로 publicDelegates 및 다른 특성을 관리할 수 있도록 하는 것입니다.
Q: 사용자 개체의 사서함 사용 권한을 수정하려면 어떤 권한이 필요합니까?
A: Exchange 관리 셸을 통해 사서함 사용 권한을 올바르게 수정하려면 다음 사용 권한이 있어야 합니다.
Exchange 보기 권한만 있는 관리자 역할
사서함이 있는 사서함 저장소에 대해 부여된 정보 저장소 관리 권한
사서함이 있는 사서함 저장소에 대해 부여된 쓰기 권한
Q: Exchange 사서함 저장소 간에 사서함을 이동하려면 어떤 권한이 필요합니까?
A: Exchange 관리 콘솔과 Exchange 관리 셸에서 액세스할 수 있는 사서함 이동 기능은 원본 사서함에 로그온하여 폴더와 메시지를 대상 사서함으로 이동합니다. 동일한 저장소 그룹의 사서함 저장소 간, 동일한 서버에 있는 다른 저장소 그룹 간, Exchange 서버 간에 사서함을 이동할 수 있습니다. Exchange 사서함 특성을 수정하려면 Active Directory에서 사용자 개체에 대한 사용 권한이 있어야 합니다. Account Operator인 사용자에게는 이러한 사용 권한이 있습니다. 또한 다음 사용 권한도 있어야 합니다.
Exchange 조직 관리자 역할 또는 원본과 대상 Exchange 2007 사서함 서버에 대한 Exchange 서버 관리자 역할을 위임받은 사용자
참고
Exchange 2007과 Exchange 2003이 혼합된 환경에서 관리 그룹 간에 사서함을 이동하는 경우, 원본 관리 그룹과 대상 관리 그룹에 대한 Exchange 관리자 역할을 위임받아야 합니다.
동적 MAPI 프로필을 만들기 위한 로컬 워크스테이션 또는 서버에 대한 Administrators 그룹 구성원
맨 위로 이동
Q: Exchange 2007 서버에서 새 사서함이나 공용 폴더 저장소 또는 저장소 그룹을 만들려면 어떤 권한이 필요합니까?
A: 다음 사용 권한으로 로그온해야 합니다.
Exchange 조직 관리자 역할 또는 Exchange 2007 사서함 서버에 대한 Exchange 서버 관리자 역할을 위임받은 사용자
참고
Exchange 서버 관리자는 공용 폴더 데이터베이스를 만들 수 없습니다.
Q: 다양한 수신 커넥터 및 송신 커넥터에 대한 여러 SID(보안 식별자)를 확인할 수 없습니다. 그 이유는 무엇입니까?
A: 다양한 수신 커넥터와 송신 커넥터에 대한 사용 권한을 할당하는 데 사용하는 일부 논리 그룹은 SID로 나타나며, 표시 이름이 없습니다. 이러한 경우 Get-ADPermission cmdlet는 SID만 출력합니다. 다음 SID는 Exchange 2007 Transport에 정의되어 있습니다.
동일한 조직의 허브 전송 서버: S-1-9-1419165041-1139599005-3936102811-1022490595-21
참고
동일한 도메인에 있는 두 허브 전송 서버 간의 인증 및 권한 부여에는 Exchange Servers 보안 그룹 구성원인 컴퓨터 계정이 사용됩니다.
트러스트된 Edge 전송 서버: S-1-9-1419165041-1139599005-3936102811-1022490595-22
신뢰할 수 있는 동일한 도메인을 제공하는 트러스트된 타사 서버: S-1-9-1419165041-1139599005-3936102811-1022490595-23
동일한 조직에 있는 Exchange 2003 서버: S-1-9-1419165041-1139599005-3936102811-1022490595-24
파트너 전송 서버: S-1-9-1419165041-1139599005-3936102811-1022490595-10
맨 위로 이동
Q: 메시지를 검색하려면 어떤 사용 권한이 필요합니까?
A: Export-Mailbox 작업을 사용하여 여러 사서함을 검색하려면 관리자에게 다음 사용 권한이 있어야 합니다.
원본 및 대상 사서함 서버에 대한 Exchange 서버 관리자 역할 이상
작업이 실행 중인 로컬 워크스테이션 또는 서버에 대한 Local Administrators 그룹 구성원
Q: 메시지를 추적하려면 어떤 사용 권한이 필요합니까?
A: 메시지를 추적하려면 다음 사용 권한이 필요합니다.
Exchange 2007의 RTM(Release To Manufacturing) 버전의 경우 쿼리할 수 있는 사서함 및 허브 전송 서버에 대한 Exchange 서버 관리자 역할 이상
Exchange 2007 서비스 팩 1의 새로운 기능 조직 내에서 Exchange 보기 권한만 있는 관리자 역할 이상
Edge 전송 서버에 대한 로컬 관리자
작업이 실행 중인 워크스테이션에 대한 로컬 관리자
참고
Exchange 2007 RTM에서는 관리자가 메시지를 추적하도록 하려면 관리자에게 Exchange 서버 관리자 역할을 부여한 후 Microsoft Exchange Transport Log Search Service를 다시 시작해야 합니다.
Q: Exchange Troubleshooting Assistant를 실행하려면 어떤 사용 권한이 필요합니까?
A: Exchange Mail Flow Analyzer를 실행하려면 다음 사용 권한이 필요합니다.
도메인 컨트롤러 및 글로벌 카탈로그 서버에서 Active Directory 정보를 열거하고 Microsoft WMI(Windows Management Instrumentation) 공급자를 호출하기 위한 Active Directory 서버에 대한 Domain Administrator 또는 BUILTIN\Administrators 그룹 구성원
WMI 공급자를 호출하고 레지스트리와 IIS 메타베이스에 액세스하기 위한 각 Exchange 서버에 대한 Local Administrators 그룹 구성원
Exchange 보기 권한만 있는 관리자 역할 이상
Exchange Performance Troubleshooting Analyzer를 실행하는 데 필요한 사용 권한은 다음과 같습니다.
연결 단계에서 지정한 글로벌 카탈로그 서버에 대한 Domain User 이상의 사용 권한.
Microsoft Exchange를 실행 중이며 분석을 수행하게 될 각 서버에 대한 로컬 관리자 그룹 구성원. 이 사용 권한은 WMI, 레지스트리 및 성능 데이터에 액세스하는 데 필요합니다.
Exchange Disaster Recovery Analyzer를 실행하는 데 필요한 사용 권한은 다음과 같습니다.
WMI 공급자를 호출하고, 레지스트리와 IIS 메타베이스에 액세스하고, 데이터베이스, 트랜잭션 로그 파일과 데이터베이스 엔진에 액세스하기 위한 각 Exchange 서버에 대한 로컬 관리자 그룹 구성원
각 서버에 대한 Exchange 서버 관리자 역할 이상
맨 위로 이동
Q: Microsoft Exchange 모범 사례 분석기를 실행하려면 어떤 사용 권한이 필요합니까?
A: Exchange 모범 사례 분석기를 실행하려면 다음 사용 권한이 있어야 합니다.
Exchange 보기 권한만 있는 관리자 역할 이상
DC 또는 GC 서버에서 Active Directory 정보를 열거하고 WMI 공급자를 호출하기 위한 컴퓨터 관리자 권한
WMI 공급자를 호출하고 레지스트리와 IIS 메타베이스에 액세스하기 위한 각 Exchange 서버에 대한 로컬 관리자 그룹 구성원
Q: 메시지 큐를 관리하려면 어떤 사용 권한이 필요합니까?
A: 메시지 큐를 관리하려면 다음 사용 권한이 있어야 합니다.
Edge 전송 서버에서는 로컬 관리자 그룹 구성원이어야 합니다.
Exchange 2007 RTM의 경우 허브 전송 서버에서는 Exchange 서버 관리자 역할 이상의 구성원이어야 합니다.
Exchange 2007 서비스 팩 1의 새로운 기능 허브 전송 서버에서 큐를 보려면 Exchange 보기 권한만 있는 관리자 역할 이상의 구성원이어야 합니다. 큐를 조정하려면 Exchange 서버 관리자 역할 이상의 구성원이어야 합니다.
맨 위로 이동