Справочник по разрешениям развертывания Exchange 2013

Область применения: Exchange Server 2013 г.

В этом разделе описываются разрешения, необходимые для настройки организации Microsoft Exchange Server 2013. Универсальные группы безопасности, связанные с группами ролей управления, а также другие группы и участники безопасности Windows добавляются в списки управления доступом (ACL) различных объектов Active Directory. С помощью списков управления доступом контролируются типы операций, которые можно выполнить над каждым объектом. Имея представление, какие разрешения предоставляются каждой группе ролей, группе или участнику безопасности, можно определить, какие минимальные разрешения необходимы для установки Exchange 2013.

В некоторых случаях список управления доступом применяется не к обычному свойству, ntSecurityDescriptor, а к другому свойству, например msExchMailboxSecurityDescriptor. Служба каталогов не может принудительно применить меры безопасности, не указанные в дескрипторе безопасности Windows. В большинстве случаев эти списки управления доступом реплицируются для сохранения списков управления доступом для соответствующих объектов с помощью службы хранилища. К сожалению, не существует средства просмотра этих списков управления доступом в виде, отличном от неформатированных двоичных данных.

Столбцы каждой таблицы разрешений включают указанные ниже данные.

• Учетная запись: субъект безопасности предоставил или отказал в разрешениях.
• Тип ACE: тип записи управления доступом (ACE)
  • Разрешить ACE. Разрешить ACE позволяет пользователю или группе, связанной с ACE, получить доступ к элементу.
  • Запретить ACE. Запрет ACE запрещает пользователю или группе, связанной с ACE, доступ к элементу.
• Наследование: тип наследования, используемый для дочерних объектов.
  • Все показывает, что разрешения применяются к самому объекту и всем дочерним объектам.
  • Убыв показывает, что разрешения применяются к классу объектов, указанному в строке "К свойству".
  • Нет показывает, что разрешения применяются только к самому объекту.
• Разрешения: разрешения, предоставленные учетной записи.
• В property/Applies To: В некоторых случаях разрешения применяются только к заданному свойству, набору свойств или классу объектов. Эти ограниченные разрешения указываются здесь.
• Примечания. Если применимо, в этом столбце объясняется, почему требуются разрешения, или приводятся другие сведения о разрешениях.

Разрешения, как правило, перечислены в таблице по именам, используемым на странице свойств "Безопасность " в режиме " Дополнительно " на вкладке "Вид и изменение " в интерфейсе службы Active Directory (ADSI) "Изменение" (AdsiEdit.msc). На странице свойств ADSI Edit Security отображается более сжатое представление разрешений. Средство LDP (Ldp.exe) отображает маску доступа непосредственно в виде числового значения. Код установки ссылается на разрешения по предопределенным константам.

В приведенной ниже таблице показаны соотношения между этими значениями.

Расширенные права — это настраиваемые права, заданные отдельными приложениями. Эти права указаны в списке управления доступом. Однако они не имеют смысла для Active Directory. Определенное приложение принудительно применяет все расширенные права. Примерами расширенных прав Exchange являются «Создание общей папки» и «Создание именованных свойств в банке данных».

Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Exchange Server 2010, см. на веб-странице Справка по разрешениям развертывания сервера Exchange 2010.

В таблицах разрешений в этом разделе отображаются разрешения, заданные при выполнении Setup /PrepareAD команды.

В приведенной ниже таблице показаны разрешения, установленные для контейнера Microsoft Exchange в разделе конфигурации.

В следующей таблице показаны разрешения, установленные для контейнера автообнаружения Microsoft Exchange в разделе конфигурации.

В таблицах разрешений в этом разделе показаны разрешения, заданные для организации Microsoft Exchange и вложенных контейнеров в разделе конфигурации.

В таблицах разрешений в этом разделе показаны разрешения, заданные командой Setup /PrepareAD для различных контейнеров в разделе конфигурации.

Команда Setup /PrepareAD также настраивает следующие разрешения для административных групп в организации.

В таблицах разрешений в этом разделе показаны разрешения, заданные для контейнера групп безопасности Microsoft Exchange в корневом разделе домена.

В следующих таблицах показаны разрешения, заданные при выполнении Setup /PrepareDomain команды.

При установке ролей сервера клиентского доступа и сервера почтовых ящиков программа установки добавляет универсальную группу безопасности "Управление организацией" в административную группу безопасности на локальном компьютере. Это позволяет участникам группы ролей управления с именем "Управление организацией" управлять сервером.

В следующей таблице показаны разрешения, устанавливаемые при установке ролей сервера клиентского доступа или сервера почтовых ящиков.

В таблицах разрешений, приведенных в этом разделе, показаны разрешения, установленные для групп доступности базы данных и их участников.

При установке пограничного транспортного сервера и установлении пограничной подписки с организацией Exchange устанавливаются разрешения из приведенной ниже таблицы разрешений.

Во время установки первого сервера почтовых ящиков создаются следующие контейнеры, если они не существуют. В приведенной ниже таблице разрешений показаны применяемые разрешения.

В следующей таблице показаны разрешения, устанавливаемые при создании соединителей отправки.