Vorbereiten von Exchange 2003-Legacyberechtigungen

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-01-25

Beim Upgrade von Exchange Server 2003 auf Exchange Server 2010 müssen Sie zuerst bestimmte Exchange-Berechtigungen in sämtlichen Domänen vergeben, in denen Exchange 2003 DomainPrep ausgeführt wurde. Führen Sie hierzu den Befehl setup /PrepareLegacyExchangePermissions aus. Die Vergabe dieser Berechtigungen gehört zur Vorbereitung von Active Directory sowie der Domänen auf die Installation von Exchange Server 2010. Ausführliche Anweisungen finden Sie unter Vorbereiten von Active Directory und Domänen.

In diesem Thema wird erläutert, wann und warum Sie den Befehl setup /PrepareLegacyExchangePermissions ausführen müssen und welche Berechtigungen durch den Befehl in der Exchange Server 2010-Organisation festgelegt werden.

Gründe für die Ausführung von Setup /PrepareLegacyExchangePermissions

Im Wesentlichen müssen Sie den Befehl setup /PrepareLegacyExchangePermissions so ausführen, dass der Exchange 2003-Empfängerupdatedienst ordnungsgemäß funktioniert, nachdem Sie das Active Directory-Schema für Exchange Server 2010 aktualisiert haben. In diesem Abschnitt wird das Hauptproblem und dessen Lösung durch Ausführung des Befehls erläutert.

Problem

In Exchange Server 2003 aktualisiert der Empfängerupdatedienst bestimmte Postfachattribute wie die Proxyadresse oder E-Mail-aktivierte Benutzerobjekte. Der Empfängerupdatedienst verfügt über die Berechtigung zum Ändern dieser Attribute, da sich das Computerkonto (mit der Bezeichnung <Servername>) für den Server, auf dem dieser Dienst ausgeführt wird, in der Exchange Enterprise Servers-Gruppe (EES) befindet. Die EES-Gruppe wird erstellt, wenn Sie Exchange Server 2003 DomainPrep ausführen. Anstatt der EES-Gruppe Berechtigungen für jedes einzelne Postfachattribut zu erteilen, das der Empfängerupdatedienst ändern muss, werden die Postfachattribute in Eigenschaftensätzen gruppiert. Wenn Sie Exchange Server 2003 DomainPrep ausführen, stellt Exchange der EES-Gruppe die Berechtigungen zum Ändern der Eigenschaftensätze über Zugriffssteuerungseinträge (Access Control Entries, ACEs) zur Verfügung, die Exchange für den Domänencontainer in Active Directory festlegt.

Exchange Server 2010 weist eine Verwaltungsrolle mit dem Namen "Empfängerverwaltung" auf. Diese Rolle umfasst Berechtigungen zum Verwalten der E-Mail-Attribute aller Benutzer. Exchange-Administratoren, die Mitglieder der Rolle "Exchange-Empfängerverwaltung" sind, können nur die E-Mail-Eigenschaften von Benutzern verwalten.

Um diese Funktion zu aktivieren, muss Exchange Server 2010 einige E-Mail-Attribute von Benutzern in einen Eigenschaftensatz namens "Exchange-Informationen" verschieben. Exchange definiert zu diesem Zweck die Attributschemas in Active Directory neu, wenn das neue Exchange Server 2010-Schema importiert wird. Die EES-Legacygruppe verfügt jedoch nicht über Berechtigungen für den Eigenschaftensatz "Exchange-Informationen". Deshalb weist der Empfängerupdatedienst beim Importieren des neuen Exchange Server 2010-Schemas keine Berechtigungen mehr für die E-Mail-Attribute der Benutzer auf und wird nicht länger ordnungsgemäß ausgeführt. (Der Dienst ist beispielsweise nicht mehr in der Lage, Proxyadressen für neu erstellte Exchange Server 2003-Benutzer festzulegen.)

Lösung

Durch Verwendung des Befehls setup /PrepareLegacyExchangePermissions wird der vorherige Empfängerupdatedienst ordnungsgemäß ausgeführt. Vor dem Importieren des neuen Exchange Server 2010-Schemas muss Exchange Server 2010 neue Berechtigungen in jeder Domäne vergeben, in der Exchange Server 2003 DomainPrep ausgeführt wurde. Der Befehl setup /PrepareLegacyExchangePermissions erteilt diese neuen Berechtigungen. Vor dem Ausführen von setup /PrepareSchema müssen Sie setup /PrepareLegacyExchangePermissions verwenden und die Replikation der Berechtigungen in der Exchange-Organisation zulassen.

Der Server, auf dem Sie setup /PrepareLegacyExchangePermissions ausführen, stellt eine Verbindung mit dem lokalen globalen Katalog her, um die Domänen zu ermitteln, in denen Sie Exchange Server 2003 DomainPrep ausgeführt haben, indem das Vorhandensein der EES- und EDS-Gruppen (Exchange Domain Servers, Exchange-Domänenserver) überprüft wird. Der Server muss in der Lage sein, mit jeder Domäne in der Gesamtstruktur zu kommunizieren, in der Sie Exchange Server 2003 DomainPrep ausgeführt haben. Darüber hinaus muss das Konto, das zum Ausführen von setup /PrepareLegacyExchangePermissions verwendet wird, über die Berechtigungen der universellen Sicherheitsgruppe "Organisations-Admins" verfügen, damit die Zugriffssteuerungseinträge in jeder Domäne sowie in der Exchange-Organisation festgelegt werden können.

Von Setup /PrepareLegacyExchangePermissions festgelegte Berechtigungen

Bei Ausführung von setup /PrepareLegacyExchangePermissions wird jede Domäne in der Gesamtstruktur gefunden, die die EES- und die EDS-Gruppe (Exchange Domain Servers) enthält. Für jede Domäne mit diesen Gruppen führt setup /PrepareLegacyExchangePermissions Folgendes aus:

  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste (ACL) des Stamms der Domäne, um der EES-Gruppe WRITE_PROP-Berechtigungen im Eigenschaftensatz "Exchange-Informationen" zuzuweisen.
  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste (ACL) des Stamms der Domäne, um authentifizierten Benutzern READ_PROP-Berechtigungen im Eigenschaftensatz "Exchange-Informationen" zuzuweisen.
  • Hinzufügen eines Zugriffssteuerungseintrags zum AdminSDHolder-Container der Domäne, um der EES-Gruppe WRITE_PROP- und READ_PROP Berechtigungen im Eigenschaftensatz "Exchange-Informationen" zuzuweisen.
  • Hinzufügen eines Zugriffssteuerungseintrags zur Zugriffssteuerungsliste des Containers der Exchange-Organisation, um der EDS-Gruppe WRITE_PROP-Berechtigungen im Eigenschaftensatz "Exchange-Informationen" zuzuweisen.

Erneutes Ausführen von "Setup /PrepareLegacyExchangePermissions"

In einigen Fällen müssen Sie setup /PrepareLegacyExchangePermissions erneut ausführen:

  • Sie verfügen über eine Domäne, die Servercomputer mit Exchange Server 2003 enthält, und Sie haben DomainPrep nicht ausgeführt.
  • Sie verfügen in einer vorhandenen Domäne über postfachaktivierte Benutzer, die sich an Postfächern auf Servercomputern mit Exchange Server 2003 in Domänen anmelden, in denen Sie nicht DomainPrep ausgeführt haben.

In diesen Fällen müssen Sie setup /PrepareLegacyExchangePermissions erneut ausführen, nachdem Sie Exchange Server 2003 DomainPrep ausgeführt haben. Dies ermöglicht die ordnungsgemäße Ausführung des Exchange Server 2003-Empfängerupdatediensts in dieser Domäne.

Berechtigungsreferenz für die Bereitstellung von Exchange 2010

Damit Exchange 2010 in Ihrer Organisation ordnungsgemäß funktioniert und bereitgestellt werden kann, sind Berechtigungen erforderlich. Diese Berechtigungen sind auf die Zugriffssteuerungslisten (Access Control Lists, ACL) der Objekte gestempelt, die während Setup von Exchange 2010 verwendet werden. Weitere Informationen finden Sie unter Berechtigungsreferenz für die Exchange 2010-Bereitstellung.