Preparando permissões herdadas do Exchange

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-11-21

Ao fazer a transição do Microsoft Exchange Server 2003 ou Exchange 2000 Server para o Exchange Server 2007, você deve primeiro conceder permissões específicas do Exchange em cada domínio em que executou o Exchange 2003 ou o Exchange 2000 DomainPrep. Para fazer isso, execute o comando setup /PrepareLegacyExchangePermissions. Recomendamos executar o comando setup /PrepareLegacyExchangePermissions no domínio raiz da floresta do Active Directory. O comando pode ser executado em um servidor Exchange 2007 pretendido ou em uma estação de trabalho de administração do Exchange 2007. Independentemente do local onde você executará o comando setup /PrepareLegacyExchangePermissions, a instalação deverá poder se comunicar com um servidor de diretórios do Active Directory que esteja executando o Windows Server 2003 com o Service Pack 1 ou posterior.

A concessão dessas permissões é parte da preparação do serviço de diretório Active Directory e seus domínios para a instalação do Exchange 2007. Para obter instruções detalhadas, consulte Como preparar o Active Directory e os domínios.

Este tópico explica porque você deve executar o comando setup /PrepareLegacyExchangePermissions, quando executá-lo e quais são as permissões definidas pelo comando na organização do Exchange 2007.

Por que executar Setup /PrepareLegacyExchangePermissions

Essencialmente, você deve executar o comando setup /PrepareLegacyExchangePermissions para que o Exchange 2003 ou o Serviço de Atualização de Destinatário do Exchange 2000 funcione corretamente depois da atualização do esquema do Active Directory para o Exchange 2007. Esta seção explica o problema principal e como a execução do comando o resolve.

Problema

No Exchange Server 2003 e no Exchange 2000 Server, o Serviço de Atualização de Destinatário atualiza alguns atributos de caixa de correio, como o endereço de proxy, em objetos de usuário habilitados para email. O Serviço de Atualização de Destinatário tem permissão para modificar esses atributos porque a conta do computador (denominada <NomeDoServidor>) do servidor em que o Serviço de Atualização de Destinatário é executado está no grupo EES (Exchange Enterprise Servers). O grupo EES é criado quando você executa o Exchange Server 2003 ou o Exchange 2000 Server DomainPrep. Em vez de conceder ao grupo EES permissões para cada atributo de caixa de correio individual que o Serviço de Atualização de Destinatário precise modificar, os atributos de caixa de correio são agrupados em conjuntos de propriedades. Ao executar o Exchange Server 2003 ou o Exchange 2000 Server DomainPrep, o Exchange fornece permissões ao grupo EES para modificar os conjuntos de propriedades através de entradas de controle de acesso (ACEs) que o Exchange define no contêiner de domínio no Active Directory.

O Exchange 2007 tem uma nova função predefinida de Administrador do Exchange  denominada Administradores de Destinatários do Exchange. Essa função contém permissões para gerenciar os atributos de email de todos os usuários. Os administradores do Exchange que sejam membros da função Administradores de Destinatários do Exchange podem gerenciar somente propriedades de email dos usuários. Para habilitar essa funcionalidade, o Exchange 2007 precisa mover alguns atributos de email de usuários para um conjunto de propriedades chamado "conjunto de propriedades de informações do Exchange". O Exchange faz isso redefinindo os esquemas de atributos no Active Directory ao importar o novo esquema do Exchange 2007. Entretanto, o grupo EES herdado não tem permissões para o Conjunto de Propriedades de Informações do Exchange. Portanto, quando você importar o novo esquema do Exchange 2007, o Serviço de Atualização de Destinatário não terá mais permissões para os atributos de email dos usuários e não funcionará corretamente. (Por exemplo, não será capaz de definir endereços de proxy para usuários recém-criados do Exchange Server 2003.)

Resolução

A execução do comando setup /PrepareLegacyExchangePermissions permite que o Serviço de Atualização de Destinatário herdado funcione corretamente. Antes de importar o novo esquema do Exchange 2007, o Exchange 2007 deve conceder novas permissões em cada domínio em que você executou o Exchange Server 2003 ou o Exchange 2000 Server DomainPrep. O comando setup /PrepareLegacyExchangePermissions concede essas novas permissões. Antes de executar o setup /PrepareSchema, você deve executar o setup /PrepareLegacyExchangePermissions e permitir que as permissões sejam replicadas por toda a organização do Exchange. O servidor em que você executa setup /PrepareLegacyExchangePermissions entra em contato com o catálogo global local para localizar os domínios no qual você executou o DomainPrep do Exchange Server 2003 ou Exchange 2000 Server DomainPrep verificando se há grupos de EES e EDS (Servidores de Domínio do Exchange). O servidor deve poder se comunicar com todos os domínios da floresta em que você executou o DomainPrep do Exchange Server 2003 ou Exchange 2000 Server. Além disso, a conta que você usar para executar setup /PrepareLegacyExchangePermissions deve ter as permissões atribuídas ao USG (grupo de segurança universal) dos Administradores da Empresa para que ele possa definir as ACEs de cada domínio e na organização do Exchange.

Permissões definidas por Setup /PrepareLegacyExchangePermissions

A execução de setup /PrepareLegacyExchangePermissions localiza cada domínio na floresta que tenha o grupo EES e o grupo de EDS (Servidores de Domínio do Exchange). Para cada domínio que tenha esses grupos, o setup /PrepareLegacyExchangePermissions faz o seguinte:

  • Adiciona uma ACE à ACL (lista de controle de acesso) raiz do domínio para fornecer ao grupo EES permissões WRITE_PROP para o conjunto de propriedades de informações do Exchange.

  • Adiciona uma ACE à ACL raiz do domínio para fornecer usuários autenticados com permissões READ_PROP no conjunto de propriedades de informações do Exchange.

  • Adiciona uma ACE ao contêiner AdminSDHolder do domínio para fornecer ao grupo EES permissões WRITE_PROP e READ_PROP no conjunto de propriedades de informações do Exchange.

  • Adiciona uma ACE à ACL do contêiner da organização do Exchange para fornecer ao grupo EDS permissões WRITE_PROP no conjunto de propriedades de informações do Exchange.

Executando Setup /PrepareLegacyExchangePermissions novamente

Há alguns casos em que você precisará executar setup /PrepareLegacyExchangePermissions novamente:

  • Você tem um domínio que contém servidores Exchange Server 2003 ou Exchange 2000 Server e não executou o DomainPrep

  • Você adiciona um novo domínio em sua floresta e deseja instalar o Exchange Server 2003 ou o Exchange 2000 Server neste domínio

  • Em um domínio novo ou existente, você habilita usuários para caixa de correio que farão logon em caixas de correio nos servidores Exchange Server 2003 ou Exchange 2000 Server em domínios em que você não executou o DomainPrep.

Nesses casos, você deve executar setup /PrepareLegacyExchangePermissions novamente depois de executar o DomainPrep do Exchange Server 2003 ou Exchange 2000 Server. Isso permite que o Serviço de Atualização do Destinatário do Exchange Server 2003 ou do Exchange 2000 Server funcione corretamente nesse domínio.