Exchange 2007 Server 安装权限参考
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
上一次修改主题: 2009-12-08
本主题说明安装 Microsoft Exchange Server 2007 组织所需的权限。
在某些情况下,访问控制列表 (ACL) 不应用于常用的属性 ntSecurityDescriptor,而是应用于另一个属性(例如 msExchMailboxSecurityDescriptor)。目录服务不能强制实现 Microsoft Windows 安全描述符中未指定的安全性。大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。不过,只有将这些 ACL 作为原始二进制数据查看的工具。
每个权限表的列包含以下信息:
帐户 允许或拒绝权限的安全主体。
ACE 类型 访问控制条目 (ACE) 类型。
允许 ACE
拒绝 ACE
继承 用于子对象的继承类型。
“所有”指示权限应用于该对象及其所有子对象。
“后代”指示权限应用于“针对属性/应用于”行中列出的对象类。
“无”指示这些权限只应用于该对象。
权限 为帐户授予的权限。
针对属性/应用于 在某些情况下,权限只应用于给定的属性、属性集和对象类。此处指定了这些受限的权限。
斜体 的名称指示将 Read Property 和 Write Property 应用于的属性。
纯文本的名称指示继承 ACE 的对象类。
加粗的名称指示将 Create Child 和 Delete Child 权限应用于的类名。
注释 如果适用,此列说明需要这些权限的原因并提供有关权限的其他信息。
权限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上(在 View/Edit 选项卡上 Advanced 视图中的 Security 属性页)使用的名称在表中列出。ADSI Edit Security 属性页上列出很简洁的权限视图。LDP 工具 (Ldp.exe) 直接使用数字值显示访问掩码。安装代码通过预定义的常量引用权限。
下表说明这些值之间的关系。
ADSI Edit Summary 页 | ADSI Edit Advanced 视图,View/Edit 选项卡 | 应用于给定对象的 ACL 条目 | 二进制值 (LDP 中的访问掩码) |
---|---|---|---|
完全控制 |
完全控制 |
WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD |
0x000F01FF |
读取 |
List Contents + List Object + Read All Properties + Read Permissions |
ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL |
0x00020014 |
Write |
Write All Properties + All Validated Writes |
ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF |
0x00000028 |
|
列出内容 |
ACTRL_DS_LIST |
0x00000004 |
|
Read All Properties |
ACTRL_DS_READ_PROP |
0x00000010 |
|
Write All Properties |
ACTRL_DS_WRITE_PROP |
0x00000020 |
|
Delete |
DELETE |
0x00010000 |
|
Delete Subtree |
ACTRL_DS_DELETE_TREE |
0x00000040 |
|
读取权限 |
READ_CONTROL |
0x00020000 |
|
Modify Permissions |
WRITE_DAC |
0x00040000 |
|
Modify Owner |
WRITE_OWNER |
0x00080000 |
|
All Validated Writes |
ACTRL_DS_SELF |
0x00000008 |
|
All Extended Rights |
ACTRL_DS_CONTROL_ACCESS |
0x00000100 |
Create All Child Objects |
Create All Child Objects |
ACTRL_DS_CREATE_CHILD |
0x00000001 |
Delete All Child Objects |
Delete All Child Objects |
ACTRL_DS_DELETE_CHILD |
0x00000002 |
|
|
ACTRL_DS_LIST_OBJECT |
0x00000080 |
扩展权限是由各个应用程序指定的自定义权限。这些权限在 ACL 中指定。但是,这些权限对于 Active Directory 目录服务是没有意义的。特定的应用程序强制使用任何扩展权限。“Create public folder”和“Create named properties in the information store”就是 Exchange 扩展权限的示例。
注意: |
---|
有关在安装 Microsoft Exchange Server 2003 期间设置的权限的信息,请参阅 在 Exchange Server 2003 中使用 Active Directory 权限。 |
准备旧版 Exchange 权限
本节中的权限表说明在执行 setup /PrepareLegacyExchangePermissions 命令时设置的权限。
对象的可分辨名称:DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Enterprise Servers |
允许 ACE |
所有 |
Write Property |
Exchange Information |
|
经过身份验证的用户 |
允许 ACE |
所有 |
读取属性 |
Exchange Information |
|
对象的可分辨名称:CN=AdminSDHolder、CN=System、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Enterprise Servers |
允许 ACE |
所有 |
读取属性 Write Property |
Exchange Information |
|
对象的可分辨名称:CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Domain Servers |
允许 ACE |
所有 |
Write Property |
Exchange Information |
|
准备 Active Directory 权限
本节中的权限表说明在执行 Setup /PrepareAD 命令时设置的权限。
Microsoft Exchange 容器权限
下表说明为配置分区中的 Microsoft Exchange 容器设置的权限。
对象的可分辨名称:CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Installation Account |
允许 ACE |
所有 |
完全控制 |
|
此帐户用于运行 /PrepareAD。 |
Exchange Servers |
允许 ACE |
所有 |
读取 |
|
|
经过身份验证的用户 |
允许 ACE |
无 |
读取属性 列出内容 |
|
|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
Microsoft Exchange 组织容器权限
本节中的权限表说明为配置分区中的 Microsoft Exchange 组织及其子容器设置的权限。
对象的可分辨名称:CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Enterprise Administrator Root Domain Administrator Installation Account |
拒绝 ACE |
所有 |
Send As Receive As |
|
不允许 Windows 管理员打开邮箱。 |
Enterprise Administrator Root Domain Administrator Installation Account |
拒绝 ACE |
所有 |
Store Transport Access Store Constrained Delegation Store Read Access Store Read Write Access Exchange Web Services Impersonation Exchange Web Services Token Serialization |
|
扩展权限 |
Exchange Servers |
拒绝 ACE |
所有 |
Store Transport Access Store Constrained Delegation Store Read Only Access Store Read and Write Access |
|
扩展权限 |
经过身份验证的用户 |
拒绝 ACE |
后代 |
读取属性 |
msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace |
|
经过身份验证的用户 |
允许 ACE |
无 |
读取属性 列出对象 |
|
|
Everyone 和 Anonymous |
允许 ACE |
所有 |
Create Public Folder |
|
扩展权限 |
Everyone 和 Anonymous |
允许 ACE |
所有 |
Create named properties in the information store |
|
扩展权限 |
Everyone 和 Anonymous |
允许 ACE |
所有 |
读取 |
msExchPrivateMDB |
|
Everyone 和 Anonymous |
允许 ACE |
所有 |
读取 |
msExchPublicMDB |
|
Exchange Servers |
允许 ACE |
所有 |
All Extended rights |
|
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
groupT |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchMailboxSecurityDescriptor |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUMServerWritableFlags |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchDatabaseCreated |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
Public Information |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUserCulture |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
siteFolderGUID |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchMobileMailboxFlags |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
siteFolderServer |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchEDBOffline |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
userCertificate |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
Exchange Personal Information |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
Exchange Information |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchPatchMDB |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
publicDelegates |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUMSpokenName |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUMPinChecksum |
|
Exchange Servers |
允许 ACE |
后代 |
读取 |
siteAddressing |
|
Schema Administrators |
拒绝 ACE |
所有 |
Exchange Web Services Impersonation Exchange Web Services Token Serialization |
|
扩展权限 |
Exchange Organization Administrators |
拒绝 ACE |
所有 |
Send As Receive As |
|
不允许 Exchange 管理员打开邮箱。 |
Exchange Organization Administrators |
拒绝 ACE |
所有 |
Exchange Web Services Impersonation Exchange Web Services Token Serialization |
|
扩展权限 |
Exchange View-Only Administrators |
允许 ACE |
所有 |
View information store status |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
读取 |
|
|
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Create top level public folder |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
View information store status |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Administer information store |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Create named properties in the information store |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder ACL |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder quotas |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder admin ACL |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder expiry |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder replica list |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Modify public folder deleted item retention period |
|
扩展权限 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Create public folder |
|
扩展权限 |
对象的可分辨名称:CN=Address Lists Container、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
列出内容 |
|
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
|
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Write Property |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
对象的可分辨名称:CN=Offline Address Lists、CN=Address Lists Container、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
Download Offline Address Book |
|
|
对象的可分辨名称:CN=Recipient Update Services、CN=Address Lists Container、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=Addressing、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
读取 |
|
|
对象的可分辨名称:CN=Recipient Policies、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
|
Exchange Public Folder Administrators |
允许 ACE |
所有 |
Write Property |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
对象的可分辨名称:CN=Message Classifications、CN=Transport Settings、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
列出内容 |
|
|
对象的可分辨名称:CN=ExACPrivileged、CN=<language>、CN=Message Classifications、CN=Transport Settings、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
读取 |
|
|
对象的可分辨名称:CN=ExCompanyConfidential、CN=<language>、CN=Message Classifications、CN=Transport Settings、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
读取 |
|
|
对象的可分辨名称:CN=ExCompanyInternal、CN=<language>、CN=Message Classifications、CN=Transport Settings、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
读取 |
|
|
配置分区容器权限
本节中的权限表说明通过 Setup /PrepareAD 命令为配置分区中的各个容器设置的权限。
对象的可分辨名称:CN=Sites、CN=Configuration、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
Write Property |
msExchTransportSiteFlags / site |
|
Exchange Organization Administrators |
允许 ACE |
所有 |
Write Property |
msExchCost / siteLink |
|
对象的可分辨名称:CN=Deleted Objects、CN=Configuration、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
所有 |
列出内容 |
|
|
Exchange Organization Administrators |
允许 ACE |
所有 |
读取 Write Permission |
|
|
Exchange 管理组权限
Setup /PrepareAD 命令还为组织中的管理组配置下列权限。
对象的可分辨名称:CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Recipient Administrators |
允许 ACE |
后代 |
Access Recipient Update Service |
msExchExchangeServer |
允许 Exchange Recipient Administrators 使用代理地址信息标记收件人。 |
SYSTEM |
允许 ACE |
后代 |
Access Recipient Update Service |
msExchExchangeServer |
允许服务器使用代理地址信息标记收件人。 |
Exchange Public Folder Administrators |
允许 ACE |
后代 |
Access Recipient Update Service |
msExchExchangeServer |
允许 Exchange Public Folder Administrators 使用代理地址信息标记收件人。 |
对象的可分辨名称:CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
拒绝 ACE |
所有 |
Receive As |
|
不允许 Exchange Servers 打开邮箱。 |
经过身份验证的用户 |
允许 ACE |
无 |
列出内容 |
|
|
对象的可分辨名称:CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
无 |
列出内容 |
|
|
对象的可分辨名称:CN=Encryption、CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
无 |
读取属性 |
|
|
Microsoft Exchange 安全组容器权限
本节中的权限表说明为根域分区中的 Microsoft Exchange 安全组容器设置的权限。
对象的可分辨名称:OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange 受信任子系统 |
允许 ACE |
所有 |
完全控制 |
Exchange 2007 SP2 安装程序创建了此组,并将其添加到本地 Administrators 组。Exchange 受信任子系统是一个具有高权限的通用安全组,拥有组织内每个与 Exchange 相关对象的读写权限。有关详细信息,请参阅如何安装 Exchange 2007 的最新 Service Pack 或更新汇总。 |
|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=Exchange Organization Administrators、OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=Exchange Recipient Administrators、OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=Exchange View-Only Administrators、OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=ExchangeLegacyInterop、OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
对象的可分辨名称:CN=Exchange Servers、OU=Microsoft Exchange Security Groups、DC=<root domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Organization Administrators |
允许 ACE |
所有 |
完全控制 |
|
|
Root Domain Administrators |
允许 ACE |
所有 |
Read Members Write Members |
|
|
Child Domain Administrators |
允许 ACE |
所有 |
Read Members Write Members |
|
|
准备域
下列各表说明在运行 Setup /PrepareDomain 命令时设置的权限。
对象的可分辨名称:DC=<domain> 和 CN=AdminSDHolder、CN=System、CN=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
读取属性 |
Exchange Information |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
Exchange Personal Information |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
Exchange Information |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
groupType |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
publicDelegates |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
userCertificate |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUMPinChecksum |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchMobileMailboxFlags |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchMailboxSecurityDescriptor |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUserCulture |
|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
msExchUMServerWriteableFlags |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
garbageCollPeriod |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
userAccountControl |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
canonicalName |
|
Exchange Servers |
允许 ACE |
所有 |
读取属性 |
memberOf |
|
Exchange Servers |
允许 ACE |
后代 |
Modify Permissions |
group |
在 Microsoft Exchange Server 2007 SP1 Setup /PrepareDomain 中已删除此权限。如果已经安装 Microsoft Exchange Server 2007,即使在部署 Exchange 2007 SP1 之后,您仍拥有此权限。 |
Exchange Servers |
允许 ACE |
所有 |
Change Password |
|
扩展权限 |
Exchange Recipient Administrators |
允许 ACE |
所有 |
读取 |
|
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
Exchange Information |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
Exchange Personal Information |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
legacyExchangeDN |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
displayName |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
adminDisplayName |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
displayNamePrintable |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
publicDelegates |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
garbageCollPeriod |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
textEncodedORAddress |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
showInAddressBook |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
proxyAddresses |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Write Property |
邮件 |
|
Exchange Recipient Administrators |
允许 ACE |
所有 |
Create Child Delete Child |
msExchDynamicDistributionList |
|
Exchange Recipient Administrators |
允许 ACE |
后代 |
完全控制 |
msExchDynamicDistributionList |
|
对象的可分辨名称:CN=Microsoft Exchange System Objects、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
所有 |
读取 Delete Tree |
|
|
Exchange Servers |
拒绝 ACE |
所有 |
Delete Tree |
|
Exchange 2003 RUS 将 Read ACE 从 Microsoft Exchange 系统对象 (MESO) 容器中删除。 |
Exchange Servers |
允许 ACE |
所有 |
Create Child Delete Child |
publicFolder |
|
Exchange Servers |
允许 ACE |
后代 |
Write Property |
publicFolder |
|
Exchange Servers |
允许 ACE |
所有 |
Create Child |
msExchSystemMailbox |
|
Exchange Servers |
允许 ACE |
后代 |
Write Property |
msExchSystemMailbox |
|
Exchange Organization Administrators |
允许 ACE |
所有 |
Delete Child |
msExchSystemMailbox |
|
经过身份验证的用户 |
允许 ACE |
所有 |
读取权限 |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
读取 |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
读取属性 |
garbageCollPeriod adminDisplayName modifyTimeStamp |
|
Exchange Public Folder Administrators |
允许 ACE |
所有 |
读取属性 Write Property |
Exchange-Information / publicFolder Exchange-Personal-Information / publicFolder LegacyExchangeDN / publicFolder displayName / publicFolder displayNamePrintable / publicFolder publicDelegates / publicFolder garbageCollPeriod / publicFolder textEncodedORAddress / publicFolder showInAddressBook / publicFolder proxyAddresses / publicFolder mail / publicFolder pFContacts / publicFolder msDS-PhoneticDisplayName / publicFolder cn / publicFolder name / publicFolder |
允许 Exchange Public Folder Administrator 角色管理已启用邮件的公用文件夹代理对象的邮件相关属性。 |
Exchange Public Folder Administrators |
允许 ACE |
所有 |
读取属性 |
安装服务器
在安装集线器传输服务器角色、统一消息服务器角色、邮箱服务器角色和客户端访问服务器角色期间,安装程序会将 Exchange Organization Administrators 安全组添加到本地计算机上的管理员安全组中,以便名为 Exchange Organization Administrators 的管理员安全组的成员可以管理该服务器。
以下权限表说明在非群集计算机上安装集线器传输服务器角色、统一消息服务器角色、邮箱服务器角色和客户端访问服务器角色时设置的权限。
对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
MACHINE$ |
允许 ACE |
所有 |
读取 |
|
|
MACHINE$ |
允许 ACE |
无 |
Write Property |
msExchServerSite msExchEdgeSyncCredential |
|
Exchange Servers |
允许 ACE |
所有 |
Store Transport Access Store Constrained Delegation Store Read Only Access Store Read and Write Access |
|
扩展权限 |
经过身份验证的用户 |
允许 ACE |
无 |
Read Properties |
|
ACE 在 msExchExchangeServer 类对象 defaultSecurityDescriptor 的架构中定义。 |
安装群集邮箱服务器
如果安装群集邮箱服务器,将设置以下权限表中列出的权限。
对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
CLUSTEREDNODE$ |
允许 ACE |
所有 |
读取 |
|
安装的第一个节点具有此权限。 |
CLUSTEREDNODE$ |
允许 ACE |
所有 |
完全控制 |
|
以后在 Exchange 群集中安装的所有节点均具有此权限。 |
CLUSTEREDNODE$ |
允许 ACE |
无 |
Write Property |
msExchServerSite msExchEdgeSyncCredential |
|
Exchange Servers |
允许 ACE |
所有 |
Store Transport Access Store Constrained Delegation Store Read Only Access Store Read and Write Access |
|
扩展权限 |
经过身份验证的用户 |
允许 ACE |
无 |
Read Properties |
|
ACE 在 msExchExchangeServer 类对象 defaultSecurityDescriptor 的架构中定义。 |
群集邮箱服务器计算机帐户
如果安装群集邮箱服务器,将为域分区中的群集邮箱服务器计算机帐户设置以下权限表中的权限。
对象的可分辨名称:CN=<server>、CN=Computers、DC=<domain> 或 CN=<server>、OU=<organizational unit>、DC=<domain>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Cluster Service Account |
允许 ACE |
无 |
读取 访问控制 |
|
|
Cluster Service Account |
允许 ACE |
无 |
Write Property |
Logon Information |
|
Cluster Service Account |
允许 ACE |
无 |
Write Property |
说明 |
|
Cluster Service Account |
允许 ACE |
无 |
Write Property |
sAMAccountName |
|
Cluster Service Account |
允许 ACE |
无 |
Write Property |
Account Restrictions |
|
Cluster Service Account |
允许 ACE |
无 |
已验证的到 DNS 主机名的写入 |
|
|
Cluster Service Account |
允许 ACE |
无 |
已验证的到服务主体名的写入 |
|
|
边缘传输
如果安装边缘传输服务器并与 Exchange 组织建立边缘订阅,在组织中实例化该边缘传输服务器时,将设置以下权限表中的权限。
对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
所有 |
Write Property |
|
|
经过身份验证的用户 |
允许 ACE |
无 |
Read Properties |
|
ACE 在 msExchExchangeServer 类对象 defaultSecurityDescriptor 的架构中定义。 |
安装客户端访问服务器
在安装第一台客户端访问服务器期间,将创建以下容器。以下权限表说明所应用的权限。
对象的可分辨名称:CN=Availability Configuration、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
后代 |
读取属性 |
msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects |
扩展权限 |
安装集线器传输服务器
在安装每台集线器传输服务器期间,将设置下列权限。
对象的可分辨名称:CN=Default <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
ExchangeLegacyInterop |
拒绝 ACE |
所有 |
接受林头 |
|
|
ExchangeLegacyInterop |
拒绝 ACE |
所有 |
接受组织头 |
|
|
Exchange Servers |
允许 ACE |
所有 |
Accept Any Sender |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
Accept Any Sender |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Accept Any Sender |
|
这是集线器传输服务器已知的安全标识符 (SID)。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Accept Any Sender |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Accept Any Sender |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受 EXCH50 |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
接受 EXCH50 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受 EXCH50 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受 EXCH50 |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
接受 EXCH50 |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受路由头 |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
接受路由头 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受路由头 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受路由头 |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
接受路由头 |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受林头 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受林头 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受林头 |
|
这是边缘传输服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受身份验证标志 |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
接受身份验证标志 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受身份验证标志 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受身份验证标志 |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
接受身份验证标志 |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
Bypass Message Size Limit |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
Bypass Message Size Limit |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Bypass Message Size Limit |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Bypass Message Size Limit |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Bypass Message Size Limit |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受组织头 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受组织头 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受组织头 |
这是边缘传输服务器已知的 SID。 |
|
Exchange Servers |
允许 ACE |
所有 |
Submit Messages to Server |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
Submit Messages to Server |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Submit Messages to Server |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Submit Messages to Server |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Submit Messages to Server |
|
这是外部安全服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
接受权威域发件人 |
|
|
ExchangeLegacyInterop |
允许 ACE |
所有 |
接受权威域发件人 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
接受权威域发件人 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
接受权威域发件人 |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
接受权威域发件人 |
|
这是外部安全服务器已知的 SID。 |
经过身份验证的用户 |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
接受路由头 |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
Submit Messages to Server |
|
|
对象的可分辨名称:CN=Client <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
经过身份验证的用户 |
允许 ACE |
所有 |
Submit Messages to any Recipient |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
接受路由头 |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
Bypass Anti-Spam |
|
|
经过身份验证的用户 |
允许 ACE |
所有 |
Submit Messages to Server |
|
|
创建 SMTP 发送连接器
下表说明在创建发送连接器时设置的权限。
对象的可分辨名称:CN=<Connector Name>、CN=Connections、CN=<routing group>、CN=Routing Groups、CN=<admin group>、CN=<organization>
帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | 注释 |
---|---|---|---|---|---|
Exchange Servers |
允许 ACE |
所有 |
Send Organization Headers |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Send Organization Headers |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Send Organization Headers |
|
这是边缘传输服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
Send Forest Headers |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Send Forest Headers |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Send Forest Headers |
|
这是边缘传输服务器已知的 SID。 |
Exchange Servers |
允许 ACE |
所有 |
Send Routing Headers |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-10 |
允许 ACE |
所有 |
Send Routing Headers |
|
这是伙伴服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Send Routing Headers |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Send Routing Headers |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Send Routing Headers |
|
这是外部安全服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-24 |
允许 ACE |
所有 |
Send Routing Headers |
|
这是旧版 Exchange 服务器已知的 SID。 |
ANONYMOUS LOGON |
允许 ACE |
所有 |
Send Routing Headers |
|
|
Exchange Servers |
允许 ACE |
所有 |
Send Exch50 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允许 ACE |
所有 |
Send Exch50 |
|
这是集线器传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允许 ACE |
所有 |
Send Exch50 |
|
这是边缘传输服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允许 ACE |
所有 |
Send Exch50 |
|
这是外部安全服务器已知的 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-24 |
允许 ACE |
所有 |
Send Exch50 |
|
这是旧版 Exchange 服务器已知的 SID。 |