Exchange 2007 权限:常见问题

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2008-01-24

本主题将回答自 Microsoft Exchange Server 2007 发布之后我们收到的与权限相关的问题。

很多回答说明了对权限的具体更改,您可以允许或禁用访问权限。如果您对可用来管理权限的工具不熟悉,请参阅规划和实现拆分权限模型

将问题和回答分成两部分:

  • Exchange 2007 部署

  • Exchange 2007 管理

Exchange 2007 部署

问:运行林和域准备步骤需要什么权限?

答: 需要如下权限:

  • 若要运行 Setup /PrepareLegacyExchangePermissions 命令,您必须是 Enterprise Admins 安全组成员。

  • 若要运行 Setup /PrepareSchema 命令,您必须是 Schema Admins 和 Enterprise Admins 安全组成员。

  • 若要运行 Setup /PrepareAD 命令,您必须是 Enterprise Admins 安全组成员。

若要运行 Setup /PrepareDomain、setup /PrepareDomain:<FQDN> 命令或 Setup /PrepareAllDomains 命令,您必须是 Enterprise Admins 组的成员或必须是您要准备的任何域内 Domain Admins 组的成员。

问:Exchange 2007 的 /PrepareLegacyExchangePermissions 能做些什么?

**答:**有关详细信息,请参阅准备旧版 Exchange 权限

问:Setup/PrepareLegacyExchangePermissions 如何确定待更新的域列表?

答:Setup /PrepareLegacyExchangePermissions 任务从林配置检索林中的域列表。然后该任务连接到一个全局编录服务器,并在每个域的命名分区中进行查找。接着,任务会尝试解析 Exchange 域服务器和 Exchange 企业服务器安全组的安全标识符 (SID),以确定是否已为 Microsoft Exchange 2000 Server 或 Exchange Server 2003 准备了域。当任务构建了以前已准备好的域列表后,它将尝试与每个域建立域配置轻型目录访问协议 (LDAP) 会话。如果任务能够建立会话,它将为域设置旧版权限。如果由于权限相关问题或因为域不可用而无法建立会话,它会将域添加到不可访问域的列表。如果不可访问域的列表包含所有域,任务在处理可访问列表后将会失败。

如果任务失败,您必须确定一个正确的策略(例如使用具有正确凭据的帐户在该域中的域控制器上运行该任务),以确保在继续其余的 Exchange 2007 准备步骤之前域已更新。

问:Exchange 2007 的 Setup /PrepareSchema 能做些什么?

**答:**有关详细信息,请参阅如何准备 Active Directory 和域

问:Exchange 2007 的 Setup /PrepareAD 能做些什么?

**答:**有关详细信息,请参阅如何准备 Active Directory 和域

问:Exchange 2007 的 Setup /PrepareDomain 能做些什么?

**答:**有关详细信息,请参阅如何准备 Active Directory 和域。它将在域中创建 Microsoft Exchange 系统对象容器。

该容器用于存储公用文件夹代理对象和 Exchange 相关的系统对象,如邮箱存储的邮箱。

Setup /PrepareDomain 命令分配对该文件夹的特定权限。有关所授予的具体权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

Setup /PrepareDomain 命令创建 Exchange 安装域服务器全局安全组并将其置于 Microsoft Exchange 系统对象容器中。

它将 Exchange 安装域服务器全局安全组添加到 Exchange Server 通用安全组。

它为 Exchange Server 通用安全组分配域级别的权限。有关所授予的具体权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

它为 Exchange 收件人管理员通用安全组分配域级别的权限。有关所授予的具体权限的详细信息,请参阅 Exchange 2007 Server 安装权限参考

它将在默认域控制器策略组织单位上设置的管理审核和安全日志权限分配到 Exchange Server 通用安全组。

问:何时必须运行 Exchange 2007 的 Setup /PrepareDomain?

答:Setup /PrepareDomain 命令允许 Active Directory 域管理员为 Exchange 2007 用户和服务器准备其域。需要为将包含如下项的所有域运行 Setup /PrepareDomain 命令:

  • Exchange 2000、Exchange 2003 或 Exchange 2007 服务器

  • 启用邮件的对象

  • Exchange 目录访问组件可能会使用的全局编录服务器

问:为什么在具有 Exchange 服务器或 Exchange 邮箱用户的每个域中 Exchange Servers 组是 Windows Authorization Access 组的成员?

**答:**在 Exchange 2007 Service Pack 1 的 PrepareDomain 功能中引入了此更改。通过此更改,Microsoft Exchange 传输服务可以使用 Service-for-User (S4U) Kerberos 扩展集合在非域控制器的计算机上执行权限检查。

问:我注意到 Setup /PrepareDomain 会更改域控制器策略。Exchange Server 通用安全组被授予管理审核和安全日志的权限。为什么需要该权限?

**答:**为了使存储进程支持邮箱审核而需要该权限,因为它使 Exchange Server 能够读取域内的系统访问控制列表 (SACL)。如果该权限被删除,则 Exchange Server 数据库将无法装入。这是 Setup /PrepareDomain 命令对域控制器策略所作的唯一调整。该策略将通过组合使用 Active Directory 复制和文件复制服务 (FRS) 复制到其他域控制器。

note注意:
如果您已在域控制器组织单位上实现了其他策略,必须将该权限添加到适用的最高策略。

返回顶部

问:Exchange 安装域服务器安全组执行什么功能?

**答:**当安装了 Exchange 2007 服务器后,其计算机帐户将被添加到 Exchange Servers 通用安全组。默认情况下,该组驻留在林的根域中。如果安装的服务器位于其他域,Exchange 服务在安装期间可能不会启动,因为 Active Directory 复制没有将 Exchange Server 成员身份复制到您所安装的 Exchange 2007 所在域中的全局编录服务器。

Exchange 安装域服务器安全组的目的是确保安装期间服务能够正确启动,而无需等待 Active Directory 复制。Exchange 安装程序将计算机帐户添加到本地域的 Exchange 安装域服务器全局安全组中。

问:我是否可以将默认的 Exchange 安全组移到林中的其他容器或域中?

答: Exchange 2007 使用一个新的安全组集合管理权限模型和维护共存。这些组如下所示:

  • Exchange Servers

  • Exchange 仅查看管理员

  • Exchange 公用文件夹管理员(Exchange 2007 Service Pack 1 中的新增角色)

  • Exchange 收件人管理员

  • Exchange 组织管理员

  • ExchangeLegacyInterop

默认情况下,这些安全组位于 Microsoft Exchange 安全组组织单位中的根域中。可以将其移动到其他组织单位,也可以移动到林中的其他域内。支持在林中移动组,因为这些组具有两个唯一属性:已知 GUID 和可更改的可分辨名称。在执行 Setup /PrepareAD 任务期间,通过使用这两个属性并将它们添加到林的 otherWellKnownObjects 属性,Exchange 可以在林中任何位置找到安全组。当对象移动时,目录服务将更新对象的可分辨名称 (DN)。通过这种方式,Exchange 不需要在目录中有固定位置。

返回顶部

问:我们公司不允许从 Active Directory 域级别继承权限到子容器和组织单位。这会引起问题吗?

答:Setup /PrepareDomain 命令只在域级别上为 Exchange Servers 组和 Exchange Recipient Administrators 组放置访问控制条目 (ACE)。因此,如果阻止继承,Microsoft Exchange 将无法处理用户对象。结果导致收件人管理员无法提供邮件收件人,并且 Exchange 将无法更新对象的相应属性。

阻止继承时,您可以在选定的容器或组织单位上选择“删除”或“复制”权限。如果决定“复制”权限,将应用相应的 ACE。如果您决定“删除”权限,则不会应用 ACE,收件人设置也不会起作用。

note注意:
将来的 Microsoft Exchange 版本或 Service Pack 权限结构可能会变化。因此,建议您在部署新版本的 Microsoft Exchange 时允许继承或至少监视权限变化,以便阻止继承的容器能得到相应更新。

如果您想在组织单位上手动设置权限以便 Exchange 2007 和收件人能够处理或访问对象,必须分配如下权限:

  • 为组织单位中的所有收件人对象类型分配 Authenticated Users 安全对象的如下权限:

    • 对 Exchange Information 属性集的读取权限

  • 为组织单位中所有收件人对象类型分配 Exchange Server 组的如下权限:

    • 以下属性的写入权限:

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • 以下属性的读取权限:

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • Exchange Personal Information 属性集的读取权限

    • 对 Exchange Information 属性集的读取权限

    • 更改密码权限

    • 组对象的“写入权限”权限

如果您操作的环境包含 Exchange 2000 或 Exchange 2003 服务器,还可以为 Exchange 企业服务器安全组分配如下权限,以便 Exchange 2003 收件人更新服务能够处理对象:

  • List Contents

  • Read All Properties

  • Read Permissions

  • 写入公共信息

  • 写入个人信息

  • 写入 Exchange 信息

  • 写入 displayName

  • 写入 groupType

  • 对组对象的“写入权限”权限(该权限对支持隐藏组成员身份是必要的)

为确保 Exchange 收件人管理员能够管理组织单位中的收件人对象,必须为 Exchange 收件人管理员安全组分配如下权限:

  • 对下列属性集的写入访问权限:

    • Exchange 个人信息

    • Exchange Information

  • 对下列属性的写入访问权限:

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • 创建 msExchDynamicDistributionList 对象权限

  • 删除 msExchDynamicDistributionList 对象用户权限

  • msExchDynamicDistributionList 对象的完全控制权限

  • 一般的读取权限,包括读取、列出内容、列出对象和读取所有属性权限

可以使用 Active Directory 服务接口 (ADSI) 管理单元、自定义访问控制列表 (DACL) 或 Exchange 命令行管理程序中的 Add-ADPermission cmdlet 设置所有这些权限。有关如何在组织单位级别设置权限的详细信息,请参阅规划和实现拆分权限模型

返回顶部

问:安装第一个 Exchange 服务器时需要什么权限?

**答:**假设您已执行了所有林和域准备步骤,若要安装第一个 Exchange 服务器,您必须使用如下权限登录到 Active Directory:

  • Exchange 组织管理员角色

  • 目标 Exchange Server 上的本地 Administrators 组成员

note注意:
若要为每个 Exchange 2007 服务器角色安装第一个服务器,需要 Exchange 组织管理员角色。

问:安装其他 Exchange 服务器需要什么权限?

**答:**假设您已执行所有准备步骤,并且第一个 Exchange 2007 服务器角色已安装,若要安装同一角色的其他 Exchange 服务器,您必须使用如下权限登录到 Active Directory:

  • Exchange 组织管理员角色或已被委派通过安装程序的服务器设置过程安装服务器的权限。有关如何设置服务器对象的详细信息,请参阅如何设置 Exchange 2007 Server 和委派安装

  • 目标 Exchange Server 上的本地 Administrators 组成员

问:我如何委派权限给其他管理员,以便他们能够管理各种 Exchange 2007 服务?

**答:**若要委派权限给其他用户,请使用以下工具:

  • Exchange 管理控制台中的“添加 Exchange 管理员”向导

  • Exchange 命令行管理程序中的 Add-ExchangeAdministrator cmdlet

若要委派其他管理员,您必须以拥有 Exchange 管理员角色的用户身份登录。

返回顶部

问:如果我将 Exchange 计算机帐户移动到 Active Directory 中的其他组织单位,会影响我的 Exchange 权限和委派吗?

答: 不会。“添加 Exchange 管理员”向导会在 Active Directory 的配置命名上下文而不是域命名上下文中分配权限,前者是计算机帐户所驻留的位置。但是,在移动计算机帐户对象后,必须重启 Exchange Server 上的 Microsoft Exchange 系统助理服务。有关必须重启 Exchange Server 的原因的详细信息,请参阅 Microsoft 知识库文章:系统助理在 Exchange 2000 和 Exchange 2003 中生成事件 ID 9186 和事件 ID 9187

问:Exchange 组织管理员角色和 Exchange Server 管理员角色的区别是什么?

**答:**Exchange 组织管理员可以在 Exchange 组织内操作和更改配置分区中所有 Exchange 对象的设置。

Exchange Server 管理员只能操作 Exchange Server 对象以及该对象下管理员已被委派权限的所有对象。

问:如果我在 Exchange 组织级别授予用户或组权限,这些权限会自动向下继承吗?

**答:**会。权限将被继承,和在 Exchange 2003 中一样。

问:Exchange 2007 群集配置中的服务帐户需要什么权限?

**答:**该群集服务帐户不需要任何 Exchange 组织权限。

问:在群集配置中安装 Exchange 2007 需要什么权限?

**答:**有关如何执行群集邮箱服务器的委派安装的详细信息,请参阅如何执行群集邮箱服务器的委派安装

返回顶部

问:我有一个第三方邮件应用程序,该应用程序需要对每个用户邮箱的完全访问权限。对于 Exchange Server 5.5,我们为一个特殊帐户授予服务帐户 Admin 权限,然后让应用程序使用该帐户。如何在 Exchange 2007 中获得类似功能?

答: Exchange 2007 安全与 Exchange Server 5.5 安全的工作方式不同。实际上,Exchange 2007 不使用站点服务帐户。而所有服务均作为本地计算机帐户启动。

如果您的登录帐户为管理员帐户、根域管理员的成员、Enterprise Administrators 组的成员或 Exchange 组织管理员角色的成员,您将被显式拒绝访问您邮箱之外的所有邮箱,即使您对 Exchange 系统拥有完全管理权限也是如此。可以执行所有 Exchange 2007 管理任务,而无需授予管理员读取他人邮件所需的足够权限。

可以通过以下方式得到想要的结果,但前提是必须遵循贵组织的安全和隐私策略:

  • 在 Exchange 命令行管理程序中,使用以下命令允许访问给定邮箱存储内的所有邮箱:

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As

  • 在 Exchange 命令行管理程序中,使用以下命令允许访问单个邮箱:

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess

返回顶部

问:为什么域管理员能够欺骗其域内启用了邮箱的用户帐户?

答: Active Directory 包括一个可以对目录内的对象应用的基础权限集。特别之处在于 Active Directory 还包括“代理发送”这一扩展权限。默认情况下,Administrators 组、Domain Admins 组、Enterprise Admins 组和 Account Operators 组具有对所有用户的“代理发送”权限。Administrators 组权限和 Enterprise Admins 组权限从域级别继承。Account Operators 组和 Domain Admins 组接收基于 Active Directory 架构中用户对象定义的显式权限。

您可能要考虑为域内的用户对象实现对管理员的拒绝代理发送 ACE。如果决定为域内的用户对象实现对管理员的拒绝代理发送 ACE,请注意如下事项:

  • 显式允许 ACE 将覆盖继承的拒绝 ACE。这意味着显式 ACE 将先于继承的 ACE 被应用。

  • Domain Admins 组的成员可以删除拒绝 ACE 并添加显式允许 ACE。

  • 添加拒绝 ACE 对环境可能造成其他影响。

如果为域内的用户对象实现对管理员的拒绝代理发送 ACE 对邮件环境带来风险,应实现如下一项或多项操作:

返回顶部

问:为什么 Enterprise Admins 组和根 Domain Admins 组的成员对 Exchange 组织具有完全控制权限?

**答:**在 Exchange 2000 和更高版本的 Exchange Server 中,有关 Exchange 组织的数据不存储在单独的目录中。Exchange 将组织数据存储在配置命名上下文的 Active Directory 中。林管理员(同时也是 Enterprise Admins 组或根 Domain Admins 组的成员)控制目录的所有内容以及存储于目录内的数据。林管理员必须控制该目录,因为一个配置更改就可能对整个林带来负面影响。配置命名上下文以及存储在配置命名上下文中继承而来的 Exchange 组织具有如下权限:

  • Enterprise Admins – 完全控制

  • Root Domain Admins – 读取、写入、创建所有子对象、特殊权限

除了继承的权限外,Exchange 安装程序还为 Enterprise Admins 组和根 Domain Admins 组添加了拒绝代理发送和代理接收 ACE。这样可以防止这些管理员访问和欺骗林中的邮箱。有关详细信息,请参阅Exchange 2007 Server 安装权限参考

不能在配置命名上下文中删除对 Exchange 组织节点的继承。如果邮件管理员不信任林管理员,邮件管理员应考虑在自己的林中隔离 Exchange。有关部署选项的详细信息,请参阅 Exchange Server 2007 部署

如果无法在单独的林中隔离 Exchange 组织,建议执行下列一个或多个任务:

  • 通过委派特定任务限制根域内企业管理员和域管理员的数量。有关详细信息,请参阅 委派 Active Directory 管理的最佳实践

  • 使用审核功能监视任意特权组成员帐户的帐户登录事件。这些特权组包括 Enterprise Admins 组和根 Domain Admins 组。

  • 使用审核功能监视目录中 CN=<Exchange Organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<root domain> 部分发生的更改。

返回顶部

问:为什么 Account Operators 组成员可以修改 Exchange Server 安全组?

**答:**特权组(如 Account Operators 安全组)在 Active Directory 中被授予了特定权限。特别是 Account Operators 安全组被授予对域分区内所有对象的显式完全控制权限,因此该组能够管理这些对象。

您可能要考虑为这些安全组的帐户操作员实现拒绝访问控制条目 (ACE)。如果决定实现拒绝 ACE,请注意如下事项:

  • 帐户操作员被使用显式 ACE 授予了对目录中对象的完全控制权限。这意味着您必须对要限制的每个组设置显式拒绝 ACE。请注意,显式允许 ACE 将覆盖继承的拒绝 ACE。

  • 添加拒绝 ACE 对环境可能造成其他影响。有关详细信息,请参阅规划和实现拆分权限模型

如果为 Exchange 安全组实现对帐户操作员或其他特权组的拒绝 ACE 为邮件环境带来风险,应实现以下一项或多项:

  • 通过委派特定任务限制域内帐户管理员的数量。有关详细信息,请参阅 委派 Active Directory 管理的最佳实践

  • 使用审核功能监视 Account Operators 安全组成员帐户的帐户登录事件。

  • 使用审核功能监视 Exchange 安全组的变化。

问:为什么 Exchange Server 5.5 中存在一个特殊服务帐户,而 Exchange 2007 服务可以作为 LocalSystem(内置计算机帐户)启动?

答: 由于 Microsoft Windows NT 4.0 的限制,Exchange Server 5.5 需要一个特殊的服务登录帐户。虽然 Windows NT 4.0 中的本地计算机帐户有令牌,但它们没有凭据。因此,计算机帐户之间无法相互进行身份验证。在 Windows Server 2003 中,使用 Kerberos 身份验证,计算机帐户拥有令牌和凭据。

由于如下原因,使用本地计算机帐户比使用管理员指定的帐户更安全:

  • 本地计算机密码是一个随机的十六进制数字,而不是人眼可识别的字符串。

  • 本地计算机密码每七天自动更改。

  • 必须将 Exchange Server 5.5 服务帐户从锁定策略中排除,因为强行尝试登录会导致禁用帐户并关闭 Exchange 服务。

返回顶部

Exchange 2007 管理

问:创建和删除 Exchange 2007 用户需要什么权限?

**答:**如果您同时负责用户和邮箱管理,必须在 Active Directory 中拥有创建和管理收件人对象的权限。例如,您可以是域管理员或帐户操作员,或者您可能委派了访问特定组织单位的权限。请注意,子域特权帐户的成员也必须拥有 Exchange 仅查看管理员角色才能通过 Exchange 管理控制台和 Exchange 命令行管理程序管理邮件相关的属性。如果没有提升的权限,必须拥有下列权限:

  • Exchange 收件人管理员角色或已被委派适当权限。有关如何委派收件人管理权限的详细信息,请参阅规划和实现拆分权限模型权限注意事项

    • 若要在服务器之间移动邮箱,管理员必须是 Exchange 组织管理员或已在源和目标服务器上被委派了 Exchange Server 管理员角色。

  • 在域分区中创建、删除和管理所述对象的适当权限。

此外,如果管理公用文件夹对象,建议对管理帐户启用邮件或启用邮箱。该管理帐户是在 Exchange 管理控制台或 Exchange 命令行管理程序中操作对象时用于登录的帐户。在某些情况下,如果管理公用文件夹对象的帐户未启用邮件或邮箱,可能出现权限用户界面发生异常以及显示名称解析错误。

有关详细信息,请参阅 使用 Exchange Server 2003 存储中“Exchange Server 2003 存储问题故障排除和修复”部分中的“其他问题”主题。

返回顶部

问:为什么我需要 Exchange 收件人管理员角色未附带的其他权限才能对邮箱执行某些操作,比如更改邮箱类型?

答: 为了将邮箱从一种类型转换到另一种类型,我们必须在 Active Directory 中进行几项更改,这些更改可能需要 Exchange 收件人管理员角色未提供的更高特权。下面是我们要将用户邮箱转换到会议室邮箱的一个示例:资源邮箱按设计是已启用邮箱但被禁用的用户帐户,而用户邮箱是已启用邮箱的用户帐户。因此,要将邮箱从 UserMailbox 类型转换到 RoomMailbox 类型,我们必须禁用用户帐户。这需要将用户的属性 userAccountControl 从值 512(启用)更改到 514(禁用)。此外,因为现在禁用了该帐户,为了让邮箱能够继续使用,我们必须设置 msExchMasterAccountSID 属性,并应用相应的权限。在这种情况下,我们没有分配链接的帐户,而是将 NT AUTHORITY\SELF 特权分配给 msExchMasterAccountSID 属性。此外,我们需要确保 NT AUTHORITY\SELF 特权拥有相应的权限,以便不影响邮件流和邮箱。这可以通过两种方式完成。首先,通过更新邮箱安全描述符,将对该邮箱的完全访问权授予 NT AUTHORITY\SELF 特权。其次,我们将 Send-As 扩展权限和对 Personal Information 属性集的读写访问权授予 NT AUTHORITY\SELF 特权(以便可以由 NT AUTHORITY\SELF 管理 publicDelegates 和其他属性)。

问:修改用户对象的邮箱权限需要什么权限?

**答:**若要通过 Exchange 命令行管理程序修改邮箱权限,必须拥有下列权限:

  • Exchange 仅查看管理员角色

  • 被授予对邮箱所在的邮箱存储的管理信息存储权限

  • 被授予对邮箱所在的邮箱存储的写入权限

问:在 Exchange 邮箱存储之间移动邮箱需要什么权限?

**答:**可以通过 Exchange 管理控制台和 Exchange 命令行管理程序访问的移动邮箱功能将登录到源邮箱,并将文件夹和邮件移动到目标邮箱。可以在同一存储组的邮箱存储之间、跨同一服务器上的不同存储组,以及在 Exchange Server 之间移动邮箱。必须拥有 Active Directory 中用户对象的权限才能修改其 Exchange 邮箱属性。帐户操作员用户拥有这些权限。还必须拥有如下权限:

  • Exchange 组织管理员角色,或在源和目标 Exchange 2007 邮箱服务器上被委派了 Exchange Server 管理员角色。

    note注意:
    如果在 Exchange 2007–Exchange 2003 混合环境中的管理员组之间移动邮箱,必须在源和目标管理组上被委派了 Exchange 管理员角色。

  • 本地工作站或服务器上的 Administrators 组成员,以创建动态 MAPI 配置文件

返回顶部

问:在 Exchange 2007 服务器上新建邮箱、公用文件夹存储或存储组需要什么权限?

**答:**必须使用如下权限登录:

  • Exchange 组织管理员角色,或在 Exchange 2007 邮箱服务器上被委派了 Exchange Server 管理员角色

    note注意:
    Exchange Server 管理员不能创建公用文件夹数据库。

问:我注意到各种接收连接器和发送连接器的几个安全标识符 (SID) 没有解析。为什么?

**答:**一些用于为各种接收连接器和发送连接器分配权限的逻辑组用 SID 表示,但没有显示名称。在这些情况下,Get-ADPermission cmdlet 只输出 SID。以下 SID 已在 Exchange 2007 传输中定义:

  • 同一组织中的集线器传输服务器:S-1-9-1419165041-1139599005-3936102811-1022490595-21

    note注意:
    对于同一域中两个集线器传输服务器之间的身份验证和授权,使用 Exchange Server 安全组成员计算机帐户。

  • 受信任的边缘传输服务器:S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • 受信任的第三方服务器,服务于相同的权威域:S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • 同一组织中的 Exchange 2003 服务器:S-1-9-1419165041-1139599005-3936102811-1022490595-24

  • 合作伙伴传输服务器:S-1-9-1419165041-1139599005-3936102811-1022490595-10

返回顶部

问:搜索邮件需要什么权限?

**答:**若要使用 Export-Mailbox 任务搜索多个邮箱,管理员必须拥有如下权限:

  • 对源和目标邮箱服务器具有 Exchange Server 管理员角色或更高权限

  • 运行该任务的本地工作站或服务器上的本地 Administrators 组成员

问:跟踪邮件需要什么权限?

**答:**跟踪邮件需要如下权限:

  • 适用于 Exchange 2007 的正式发布 (RTM) 版     对任务可能查询的邮箱和集线器传输服务器的Exchange Server 管理员角色或更高权限

  • Exchange 2007 Service Pack 1 中的新增功能 组织内 Exchange 仅查看管理员角色或更高权限

  • 边缘传输服务器上的本地管理员

  • 运行任务的工作站的本地管理员

    note注意:
    在 Exchange 2007 RTM 中,如果希望管理员跟踪邮件,在为其授予 Exchange Server 管理员角色后,必须重启 Microsoft Exchange 传输日志搜索服务。

问:运行 Exchange 疑难解答助理需要什么权限?

**答:**运行 Exchange 邮件流分析工具需要如下权限:

  • Active Directory 服务器上的域管理员或 BUILTIN\Administrators 组成员,以便在域控制器和全局编录服务器上枚举 Active Directory 信息和调用 Microsoft Windows Management Instrumentation (WMI) 提供程序

  • 每个 Exchange Server 上的本地 Administrators 组成员,以便调用 WMI 提供程序以及访问注册表和 IIS 元数据库

  • Exchange 仅查看管理员角色或更高级别的角色

运行 Exchange 性能故障排除分析工具所需的权限如下:

  • 连接步骤中指定的全局编录服务器的域用户或更高权限

  • 每个运行 Microsoft Exchange 和将要分析的服务器上的本地 Administrators 组成员。这些权限用于访问 WMI、注册表和性能数据。

运行 Exchange 灾难恢复分析工具所需的权限如下:

  • 每个 Exchange Server 上的本地 Administrators 组成员,以便调用 WMI 提供程序、访问注册表和 IIS 元数据库,以及访问数据库、事务日志文件和数据库引擎

  • 每个服务器上的 Exchange Server 管理员角色或更高权限

返回顶部

问:运行 Microsoft Exchange 最佳实践分析工具需要什么权限?

**答:**若要运行 Exchange 最佳实践分析工具,必须拥有如下权限:

  • Exchange 仅查看管理员角色或更高级别的角色

  • 计算机系统管理员权限,以便在 DC 或 GC 服务器上枚举 Active Directory 信息和调用 WMI 提供程序

  • 每个 Exchange Server 上的本地 Administrators 组成员,以便调用 WMI 提供程序,以及访问注册表和 IIS 元数据库

问:管理邮件队列需要什么权限?

**答:**若要管理邮件队列,必须拥有如下权限:

  • 在边缘传输服务器上,必须是本地 Administrators 组成员。

  • 适用于 Exchange 2007 RTM   在集线器传输服务器上,必须是 Exchange Server 管理员角色的成员或拥有更高权限。

  • “Exchange 2007 Service Pack 1 中的新增功能”。在集线器传输服务器上,必须是 Exchange 仅查看管理员角色的成员或拥有更高权限才能查看队列。如果要操作队列,必须是 Exchange Server 管理员角色的成员或拥有更高权限。

返回顶部