Vorbereiten von Exchange-Legacyberechtigungen

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-11-21

Beim Wechseln von Microsoft Exchange Server 2003 oder Exchange 2000 Server zu Exchange Server 2007 müssen Sie zuerst bestimmte Exchange-Berechtigungen in sämtlichen Domänen vergeben, in denen Exchange 2003 oder Exchange 2000 DomainPrep ausgeführt wurde. Führen Sie hierzu den Befehl setup /PrepareLegacyExchangePermissions aus. Es wird empfohlen, den Befehl setup /PrepareLegacyExchangePermissions in der Stammdomäne der Active Directory-Gesamtstruktur auszuführen. Der Befehl kann auf einem beabsichtigten Servercomputer mit Exchange 2007 oder einer Exchange 2007-Verwaltungsarbeitsstation ausgeführt werden. Unabhängig davon, ob Sie den Befehl setup /PrepareLegacyExchangePermissions ausführen, muss Setup in der Lage sein, mit einem Active Directory-Verzeichnisserver zu kommunizieren, der Windows Server 2003 Service Pack 1 oder höher ausführt.

Die Vergabe dieser Berechtigungen gehört zur Vorbereitung des Active Directory-Verzeichnisdiensts sowie der Domänen auf die Installation von Exchange 2007. Ausführliche Anweisungen finden Sie unter Vorbereiten von Active Directory und Domänen.

In diesem Thema wird erläutert, wann und warum Sie den Befehl setup /PrepareLegacyExchangePermissions ausführen müssen und welche Berechtigungen durch den Befehl in der Exchange 2007-Organisation festgelegt werden.

Gründe für die Ausführung von Setup /PrepareLegacyExchangePermissions

Im Wesentlichen müssen Sie den Befehl setup /PrepareLegacyExchangePermissions so ausführen, dass der Exchange 2003- oder Exchange 2000-Empfängeraktualisierungsdienst ordnungsgemäß funktioniert, nachdem Sie das Active Directory-Schema für Exchange 2007 aktualisiert haben. In diesem Abschnitt wird das Hauptproblem und dessen Lösung durch Ausführung des Befehls erläutert.

Problem

In Exchange Server 2003 und Exchange 2000 Server aktualisiert der Empfängeraktualisierungsdienst bestimmte Postfachattribute wie beispielsweise die Proxyadresse oder E-Mail-aktivierte Benutzerobjekte. Der Empfängeraktualisierungsdienst verfügt über die Berechtigung zum Ändern dieser Attribute, da sich das Computerkonto (mit der Bezeichnung <Servername>) für den Server, auf dem dieser Dienst ausgeführt wird, in der Exchange Enterprise Servers-Gruppe (EES) befindet. Die EES-Gruppe wird erstellt, wenn Sie Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausführen. Anstatt der EES-Gruppe Berechtigungen für jedes einzelne Postfachattribut zu erteilen, das der Empfängeraktualisierungsdienst ändern muss, werden die Postfachattribute in Eigenschaftensätzen gruppiert. Wenn Sie Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausführen, stellt Exchange der EES-Gruppe die Berechtigungen zum Ändern der Eigenschaftensätze über Zugriffssteuerungseinträge (Access Control Entries, ACEs) zur Verfügung, die Exchange für den Domänencontainer in Active Directory festlegt.

Exchange 2007 verfügt über eine neue vordefinierte Exchange-Administratorrolle, die als Exchange-Empfängeradministrator bezeichnet wird. Diese Rolle umfasst Berechtigungen zum Verwalten der E-Mail-Attribute aller Benutzer. Exchange-Administratoren, die Mitglieder der Rolle Exchange-Empfängeradministratoren sind, können nur die E-Mail-Eigenschaften von Benutzern verwalten. Um diese Funktion zu aktivieren, muss Exchange 2007 einige E-Mail-Attribute von Benutzern in einen Eigenschaftensatz namens "Exchange-Informationen" verschieben. Exchange definiert zu diesem Zweck die Attributschemas in Active Directory neu, wenn das neue Exchange 2007-Schema importiert wird. Die EES-Legacygruppe verfügt jedoch nicht über Berechtigungen für den Eigenschaftensatz Exchange-Informationen. Deshalb weist der Empfängeraktualisierungsdienst beim Importieren des neuen Exchange 2007-Schemas keine Berechtigungen mehr für die E-Mail-Attribute der Benutzer auf und wird nicht länger ordnungsgemäß ausgeführt. (Der Dienst ist beispielsweise nicht mehr in der Lage, Proxyadressen für neu erstellte Exchange Server 2003-Benutzer festzulegen.)

Lösung

Durch Verwendung des Befehls setup /PrepareLegacyExchangePermissions wird der vorherige Empfängeraktualisierungsdienst ordnungsgemäß ausgeführt. Vor dem Importieren des neuen Exchange 2007-Schemas muss Exchange 2007 neue Berechtigungen in jeder Domäne vergeben, in der Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausgeführt wurde. Der Befehl setup /PrepareLegacyExchangePermissions erteilt diese neuen Berechtigungen. Vor dem Ausführen von setup /PrepareSchema müssen Sie setup /PrepareLegacyExchangePermissions verwenden und die Replikation der Berechtigungen in der Exchange-Organisation zulassen. Der Server, auf dem Sie setup /PrepareLegacyExchangePermissions ausführen, stellt eine Verbindung mit dem lokalen globalen Katalog her, um die Domänen zu ermitteln, in denen Sie Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausgeführt haben, indem das Vorhandensein der EES- und EDS-Gruppen (Exchange Domain Servers, Exchange-Domänenserver) überprüft wird. Der Server muss in der Lage sein, mit jeder Domäne in der Gesamtstruktur zu kommunizieren, in der Sie Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausgeführt haben. Darüber hinaus muss das Konto, das zum Ausführen von setup /PrepareLegacyExchangePermissions verwendet wird, über die Berechtigungen der universellen Sicherheitsgruppe Organisations-Admins verfügen, damit die Zugriffssteuerungseinträge in jeder Domäne sowie in der Exchange-Organisation festgelegt werden können.

Von Setup /PrepareLegacyExchangePermissions festgelegte Berechtigungen

Bei Ausführung von setup /PrepareLegacyExchangePermissions wird jede Domäne in der Gesamtstruktur gefunden, die die EES- und die EDS-Gruppe (Exchange Domain Servers) enthält. Für jede Domäne mit diesen Gruppen führt setup /PrepareLegacyExchangePermissions Folgendes aus:

  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste (ACL) des Stamms der Domäne, um der EES-Gruppe WRITE_PROP-Berechtigungen im Eigenschaftensatz Exchange-Informationen zuzuweisen.

  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste (ACL) des Stamms der Domäne, um authentifizierten Benutzern READ_PROP-Berechtigungen im Eigenschaftensatz Exchange-Informationen zuzuweisen.

  • Hinzufügen eines Zugriffssteuerungseintrags zum AdminSDHolder-Container der Domäne, um der EES-Gruppe WRITE_PROP- und READ_PROP Berechtigungen im Eigenschaftensatz Exchange-Informationen zuzuweisen.

  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste des Containers der Exchange-Organisation, um der EDS-Gruppe WRITE_PROP-Berechtigungen im Eigenschaftensatz Exchange-Informationen zuzuweisen.

Erneutes Ausführen von "Setup /PrepareLegacyExchangePermissions"

In einigen Fällen müssen Sie setup /PrepareLegacyExchangePermissions erneut ausführen:

  • Sie verfügen über eine Domäne, die Servercomputer mit Exchange Server 2003 oder Exchange 2000 Server enthält, und Sie haben DomainPrep nicht ausgeführt.

  • Sie fügen Ihrer Gesamtstruktur eine neue Domäne hinzu und möchten Exchange Server 2003 oder Exchange 2000 Server in dieser Domäne installieren.

  • Sie postfachaktivieren in einer neuen oder vorhandenen Domäne Benutzer, die sich an Postfächern auf Servercomputern mit Exchange Server 2003 oder Exchange 2000 Server in Domänen anmelden, in denen Sie nicht DomainPrep ausgeführt haben.

In diesen Fällen müssen Sie setup /PrepareLegacyExchangePermissions erneut ausführen, nachdem Sie Exchange Server 2003 oder Exchange 2000 Server DomainPrep ausgeführt haben. Dies ermöglicht die ordnungsgemäße Ausführung des Exchange Server 2003- oder Exchange 2000 Server-Empfängeraktualisierungsdiensts in dieser Domäne.