Referencia a los permisos de configuración de servidor de Exchange 2007

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Última modificación del tema: 2009-12-08

En este tema se describen los permisos necesarios para configurar una organización Microsoft Exchange Server 2007.

En algunos casos, la lista de control de acceso (ACL) no se aplica en la propiedad habitual, ntSecurityDescriptor, sino en otra propiedad, como msExchMailboxSecurityDescriptor. El servicio de directorio no puede aplicar seguridad que no esté especificada en el descriptor de seguridad de Microsoft Windows. En la mayoría de casos, estas ACL se replican para que el servicio de almacén almacene ACL en objetos adecuados. Lamentablemente, no existe ninguna herramienta para ver estas ACL que no sea como datos binarios sin procesar.

Las columnas de cada tabla de permisos incluyen la siguiente información:

  • Cuenta   La entidad de seguridad ha concedido o denegado los permisos.

  • Tipo de ACE   Tipo de entrada de control de acceso (ACE)

    • Permitir ACE

    • Denegar ACE

  • Herencia   El tipo de herencia usada para objetos secundarios.

    • Todos indica que los permisos se aplican al objeto y a todos los subobjetos.

    • Descripción indica que los permisos se aplican a la clase de objeto enumerada en la fila En la propiedad/se aplica a.

    • Ninguno indica que dichos permisos sólo se aplican al objeto.

  • Permisos   Los permisos concedidos a la cuenta.

  • En la propiedad/se aplica a   En algunos casos, los permisos sólo se aplican a una determinada propiedad, a un conjunto de propiedades o a una clase de objeto. Estos permisos limitados se especifican aquí.

    • Los nombres en cursiva indican el atributo o atributos donde se aplica una Propiedad de lectura o una Propiedad de escritura.

    • Los nombres en texto sin formato indican la clase o clases de objeto donde se hereda una ACE.

    • Los nombres en negrita indican el nombre de clase donde se aplican los permisos de Crear secundario o Eliminar secundario.

  • Comentarios   Si corresponde, esta columna explica por qué los permisos son necesarios o proporciona otras informaciones acerca de los permisos.

Los permisos normalmente se enumeran en la tabla de la página de propiedades Seguridad de Edición de interfaces ADSI (AdsiEdit.msc) Active Directory, en la vista Avanzada de la ficha Ver/Editar. La página de propiedades Seguridad del Editor ADSI muestra una vista mucho más condensada de los permisos. La herramienta LDP (Ldp.exe) muestra la máscara de acceso directamente como un valor numérico. El código de instalación se refiere a los permisos con constantes predefinidas.

En la siguiente tabla se muestran las relaciones entre estos valores.

Página de resumen del Editor ADSI Vista avanzada del Editor ADSI, ficha Ver/Editar Entradas ACL aplicadas a un objeto determinado Valor binario (máscara de acceso en LDP)

Control total

Control total

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

Leer

Contenidos de lista + Objetos de lista + Leer todas las propiedades + Permisos de lectura

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

Escribir

Escribir todas las propiedades + Todas las escrituras validadas

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

 

Contenidos de lista

ACTRL_DS_LIST

0x00000004

 

Leer todas las propiedades

ACTRL_DS_READ_PROP

0x00000010

 

Escribir todas las propiedades

ACTRL_DS_WRITE_PROP

0x00000020

 

Eliminar

ELIMINAR

0x00010000

 

Eliminar subárbol

ACTRL_DS_DELETE_TREE

0x00000040

 

Permisos de lectura

READ_CONTROL

0x00020000

 

Modificar permisos

WRITE_DAC

0x00040000

 

Modificar propietario

WRITE_OWNER

0x00080000

 

Todas las escrituras validadas

ACTRL_DS_SELF

0x00000008

 

Todos los derechos extendidos

ACTRL_DS_CONTROL_ACCESS

0x00000100

Crear todos los objetos secundarios

Crear todos los objetos secundarios

ACTRL_DS_CREATE_CHILD

0x00000001

Eliminar todos los objetos secundarios

Eliminar todos los objetos secundarios

ACTRL_DS_DELETE_CHILD

0x00000002

 

 

ACTRL_DS_LIST_OBJECT

0x00000080

Los derechos extendidos son derechos personalizados especificados por aplicaciones individuales. Se especifican en la ACL. No obstante, carecen de sentido para el servicio de directorio de Active Directory. La aplicación particular impone todos los derechos extendidos. Son ejemplos de derechos extendidos de Exchange "Crear una carpeta pública" o "Crear propiedades denominadas en el almacén de información".

Nota

Para obtener información acerca de los permisos que se establecen durante una instalación de Microsoft Exchange Server 2003, consulte Trabajar con permisos de Active Directory en Exchange Server 2003.

Preparar permisos heredados de Exchange

Las tablas de permisos de esta sección muestran los permisos que se establecen al ejecutar el comando setup /PrepareLegacyExchangePermissions.

Nombre distintivo del objeto: DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores empresariales de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información de Exchange

 

Usuarios autenticados

Permitir ACE

Todas

Propiedad de lectura

Información de Exchange

 

Nombre distintivo del objeto: CN=AdminSDHolder,CN=Sistema,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores empresariales de Exchange

Permitir ACE

Todas

Propiedad de lectura

Propiedad de escritura

Información de Exchange

 

Nombre distintivo del objeto: CN=<organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de dominio de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información de Exchange

 

Preparar permisos de Active Directory

Las tablas de permisos de esta sección muestran los permisos que se establecen al ejecutar el comando Setup /PrepareAD.

Permisos de contenedor de Microsoft Exchange

En la siguiente tabla se muestran los permisos que se establecen en el contenedor de Microsoft Exchange dentro de la partición de configuración.

Nombre distintivo del objeto: CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Cuenta de instalación

Permitir ACE

Todas

Control total

 

Es la cuenta que se usa para ejecutar /PrepareAD

Servidores de Exchange

Permitir ACE

Todas

Leer

 

 

Usuarios autenticados

Permitir ACE

Ninguno

Propiedad de lectura

Contenidos de lista

 

 

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Permisos de contenedor de organización de Microsoft Exchange

Las tablas de permisos de esta sección muestran los permisos que se establecen en la organización y subcontenedores de Microsoft Exchange dentro de la partición de configuración.

Nombre distintivo del objeto: CN=<organización>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administrador de empresa

Administrador de dominio raíz

Cuenta de instalación

Denegar ACE

Todas

Enviar como

Recibir como

 

Los administradores de Windows no tienen permiso para abrir buzones.

Administrador de empresa

Administrador de dominio raíz

Cuenta de instalación

Denegar ACE

Todas

Almacenar acceso de transporte

Almacenar delegación limitada

Almacenar acceso de lectura

Almacenar acceso de escritura y lectura

Usurpación de servicios web de Exchange

Serialización de testigo de servicios web de Exchange

 

Derecho extendido

Servidores de Exchange

Denegar ACE

Todas

Almacenar acceso de transporte

Almacenar delegación limitada

Almacenar acceso de sólo lectura

Almacenar acceso de escritura y lectura

 

Derecho extendido

Usuarios autenticados

Denegar ACE

Descripción

Propiedad de lectura

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace

 

Usuarios autenticados

Permitir ACE

Ninguno

Propiedad de lectura

Objeto de lista

 

 

Todos y anónimos

Permitir ACE

Todas

Crear una carpeta pública

 

Derecho extendido

Todos y anónimos

Permitir ACE

Todas

Crear propiedades denominadas en el almacén de información

 

Derecho extendido

Todos y anónimos

Permitir ACE

Todas

Leer

msExchPrivateMDB

 

Todos y anónimos

Permitir ACE

Todas

Leer

msExchPublicMDB

 

Servidores de Exchange

Permitir ACE

Todas

Todos los derechos extendidos

 

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

groupT

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchMailboxSecurityDescriptor

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUMServerWritableFlags

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchDatabaseCreated

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información pública

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUserCulture

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

siteFolderGUID

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchMobileMailboxFlags

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

siteFolderServer

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchEDBOffline

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

userCertificate

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información personal de Exchange

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información de Exchange

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchPatchMDB

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

publicDelegates

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUMSpokenName

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUMPinChecksum

 

Servidores de Exchange

Permitir ACE

Descripción

Leer

siteAddressing

 

Administradores de esquema

Denegar ACE

Todas

Usurpación de servicios web de Exchange

Serialización de testigo de servicios web de Exchange

 

Derecho extendido

Administradores de organización de Exchange

Denegar ACE

Todas

Enviar como

Recibir como

 

Los administradores de Exchange no tienen permiso para abrir buzones.

Administradores de organización de Exchange

Denegar ACE

Todas

Usurpación de servicios web de Exchange

Serialización de testigo de servicios web de Exchange

 

Derecho extendido

Administradores de Exchange con permiso de vista

Permitir ACE

Todas

Ver el estado del almacén de información

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Leer

 

 

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Crear carpeta pública de alto nivel

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Ver el estado del almacén de información

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Administrar almacén de información

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Crear propiedades denominadas en el almacén de información

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar ACL de carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar cuotas de carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar ACL de administración de carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar expiración de carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar lista de réplica de carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Modificar período de retención de elementos eliminados en una carpeta pública

 

Derecho extendido

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Crear una carpeta pública

 

Derecho extendido

Nombre distintivo del objeto: CN=Contenedor de listas de direcciones,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Contenidos de lista

 

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nombre distintivo del objeto: CN=Lista de direcciones sin conexión,CN=Contenedor de listas de direcciones, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Descargar la libreta de direcciones sin conexión

 

 

Nombre distintivo del objeto: CN=Servicios de actualización de destinatarios,CN=Contenedor de listas de direcciones, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=Direccionamiento,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Leer

 

 

Nombre distintivo del objeto: CN=Directivas de destinatarios,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nombre distintivo del objeto: CN=Clasificaciones de mensaje,CN=Configuración de transporte, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Contenidos de lista

 

 

Nombre distintivo del objeto: CN=ExACPrivileged,CN=<idioma>,CN=Clasificaciones de mensaje,CN=Configuración de transporte, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Leer

 

 

Nombre distintivo del objeto: CN=ExCompanyConfidential,CN=<idioma>,CN=Clasificaciones de mensaje,CN=Configuración de transporte, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Leer

 

 

Nombre distintivo del objeto: CN=ExCompanyInternal,CN=<idioma>,CN=Clasificaciones de mensaje,CN=Configuración de transporte, CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Leer

 

 

Permisos de contenedor de partición de configuración

Las tablas de permisos de esta sección muestran los permisos que establece el comando Setup /PrepareAD en varios contenedores dentro de la partición de configuración.

Nombre distintivo del objeto: CN=Sitios,CN=Configuración,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchTransportSiteFlags / site

 

Administradores de organización de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchCost / siteLink

 

Nombre distintivo del objeto: CN=Objetos eliminados,CN=Configuración,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Todas

Contenidos de lista

 

 

Administradores de organización de Exchange

Permitir ACE

Todas

Leer

Permiso de escritura

 

 

Permisos de grupo administrativo de Exchange

El comando Setup /PrepareAD también configura los siguientes permisos en grupos administrativos dentro de la organización.

Nombre distintivo del objeto: CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de destinatarios de Exchange

Permitir ACE

Descripción

Servicio de actualización de acceso de destinatarios

msExchExchangeServer

Permite a los administradores de destinatarios de Exchange marcar a los destinatarios con información de la dirección del proxy.

SISTEMA

Permitir ACE

Descripción

Servicio de actualización de acceso de destinatarios

msExchExchangeServer

Permite a los servidores marcar a los destinatarios con información de la dirección del proxy.

Administradores de carpeta pública de Exchange

Permitir ACE

Descripción

Servicio de actualización de acceso de destinatarios

msExchExchangeServer

Permite a los administradores de carpetas públicas de Exchange marcar a los destinatarios con información de la dirección del proxy.

Nombre distintivo del objeto: CN=Servidores,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Denegar ACE

Todas

Recibir como

 

Los servidores de Exchange no tienen permiso para abrir buzones.

Usuarios autenticados

Permitir ACE

Ninguno

Contenidos de lista

 

 

Nombre distintivo del objeto: CN=Configuración de seguridad avanzada,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Ninguno

Contenidos de lista

 

 

Nombre distintivo del objeto: CN=Cifrado,CN=Configuración de seguridad avanzada,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Ninguno

Propiedad de lectura

 

 

Permisos de contenedor de grupos de seguridad de Microsoft Exchange

Las tablas de permisos de esta sección muestran los permisos que se establecen en el contenedor de los grupos de seguridad de Microsoft Exchange dentro de la partición de dominio raíz.

Nombre distintivo del objeto: OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Subsistema de confianza de Exchange

Permitir ACE

Todas

Control total

El programa de instalación de Exchange 2007 SP2 crea este grupo y lo agrega al grupo local de administradores. El ETS (subsistema de confianza de Exchange) es un grupo de seguridad universal con privilegios elevados, que dispone de acceso de lectura y escritura a todos los objetos relacionados con Exchange de la organización. Para obtener más información, consulte Instalación del Service Pack más reciente o del último paquete acumulativo de actualizaciones para Exchange 2007.

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=Administradores de organización de Exchange,OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=Administradores de destinatarios de Exchange,OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=Administradores de Exchange con permiso de vista,OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=ExchangeLegacyInterop,OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Nombre distintivo del objeto: CN=Servidores de Exchange,OU=Grupos de seguridad de Microsoft Exchange,DC=<dominio raíz>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Administradores de organización de Exchange

Permitir ACE

Todas

Control total

 

 

Administradores de dominio raíz

Permitir ACE

Todas

Leer miembros

Escribir miembros

 

 

Administradores de dominios secundarios

Permitir ACE

Todas

Leer miembros

Escribir miembros

 

 

Preparar dominio

En las tablas siguientes se muestran los permisos que se establecen al ejecutar el comando Setup /PrepareDomain.

Nombre distintivo del objeto: DC=<dominio> y CN=AdminSDHolder,CN=Sistema,CN=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Propiedad de lectura

Información de Exchange

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

Información personal de Exchange

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

Información de Exchange

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

groupType

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

publicDelegates

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

userCertificate

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUMPinChecksum

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchMobileMailboxFlags

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchMailboxSecurityDescriptor

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUserCulture

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

msExchUMServerWriteableFlags

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

garbageCollPeriod

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

userAccountControl

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

canonicalName

 

Servidores de Exchange

Permitir ACE

Todas

Propiedad de lectura

memberOf

 

Servidores de Exchange

Permitir ACE

Descripción

Modificar permisos

grupo

Este permiso se ha quitado de /PrepareDomain en el programa de instalación de Microsoft Exchange Server 2007 SP1. Si ya ha instalado Microsoft Exchange Server 2007, dispondrá de este permiso incluso después de la implementación de Exchange 2007 SP1. 

Servidores de Exchange

Permitir ACE

Todas

Cambiar contraseña

 

Derecho extendido

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Leer

 

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información de Exchange

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

Información personal de Exchange

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

legacyExchangeDN

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

displayName

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

adminDisplayName

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

displayNamePrintable

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

publicDelegates

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

garbageCollPeriod

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

textEncodedORAddress

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

showInAddressBook

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

proxyAddresses

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Propiedad de escritura

mail

 

Administradores de destinatarios de Exchange

Permitir ACE

Todas

Crear secundario

Eliminar secundario

msExchDynamicDistributionList

 

Administradores de destinatarios de Exchange

Permitir ACE

Descripción

Control total

msExchDynamicDistributionList

 

Nombre distintivo del objeto: CN=Objetos de sistema de Microsoft Exchange,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Todas

Leer

Eliminar árbol

 

 

Servidores de Exchange

Denegar ACE

Todas

Eliminar árbol

 

Exchange 2003 RUS eliminará las ACE de lectura del contenedor de objetos del sistema (MESO) de Microsoft Exchange

Servidores de Exchange

Permitir ACE

Todas

Crear secundario

Eliminar secundario

publicFolder

 

Servidores de Exchange

Permitir ACE

Descripción

Propiedad de escritura

publicFolder

 

Servidores de Exchange

Permitir ACE

Todas

Crear secundario

msExchSystemMailbox

 

Servidores de Exchange

Permitir ACE

Descripción

Propiedad de escritura

msExchSystemMailbox

 

Administradores de organización de Exchange

Permitir ACE

Todas

Eliminar secundario

msExchSystemMailbox

 

Usuarios autenticados

Permitir ACE

Todas

Permisos de lectura

 

 

Usuarios autenticados

Permitir ACE

Todas

Leer

 

 

Usuarios autenticados

Permitir ACE

Todas

Propiedad de lectura

garbageCollPeriod

adminDisplayName

modifyTimeStamp

 

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Propiedad de lectura

Propiedad de escritura

Exchange-Information / publicFolder

Exchange-Personal-Information / publicFolder

legacyExchangeDN / publicFolder

displayName / publicFolder

displayNamePrintable / publicFolder

publicDelegates / publicFolder

garbageCollPeriod / publicFolder

textEncodedORAddress / publicFolder

showInAddressBook / publicFolder

proxyAddresses / publicFolder

mail / publicFolder

pFContacts / publicFolder

msDS-PhoneticDisplayName / publicFolder

cn / publicFolder

name / publicFolder

Permite a la función de administrador de carpetas públicas de Exchange administrar propiedades relacionadas con el correo de objetos proxy de carpetas públicas habilitadas para correo.

Administradores de carpeta pública de Exchange

Permitir ACE

Todas

Propiedad de lectura

Instalación del servidor

Durante la instalación de las funciones de los servidores Transporte de concentradores, Mensajería unificada, Buzón y Acceso de cliente, la instalación agrega el grupo de seguridad de administradores de organización de Exchange al grupo de seguridad del administrador en el equipo local para que los miembros del grupo de funciones de administrador denominado Administradores de organización de Exchange puedan administrar el servidor.

En la siguiente tabla de permisos se muestran los permisos que se establecen al instalar las funciones del servidor Transporte de concentradores, Mensajería unificada, Buzón y Acceso de cliente en un equipo sin clúster.

Nombre distintivo del objeto: CN=<servidor>,CN=Servidores,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

MACHINE$

Permitir ACE

Todas

Leer

 

  

MACHINE$

Permitir ACE

Ninguno

Propiedad de escritura

msExchServerSite

msExchEdgeSyncCredential

 

Servidores de Exchange

Permitir ACE

Todas

Almacenar acceso de transporte

Almacenar delegación limitada

Almacenar acceso de sólo lectura

Almacenar acceso de escritura y lectura

 

Derecho extendido

Usuarios autenticados

Permitir ACE

Ninguno

Propiedades de lectura

 

ACE se define en esquema para objetos de clase de msExchExchangeServer defaultSecurityDescriptor

Instalación del servidor de buzones en clúster

Si instala un servidor de buzones en clúster, se definen los permisos que se enumeran en la siguiente tabla de permisos.

Nombre distintivo del objeto: CN=<servidor>,CN=Servidores,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

CLUSTEREDNODE$

Permitir ACE

Todas

Leer

 

Los primeros nodos instalados tienen este permiso.

CLUSTEREDNODE$

Permitir ACE

Todas

Control total

 

Todos los nodos instalados más tarde en el clúster de Exchange tienen este permiso.

CLUSTEREDNODE$

Permitir ACE

Ninguno

Propiedad de escritura

msExchServerSite

msExchEdgeSyncCredential

 

Servidores de Exchange

Permitir ACE

Todas

Almacenar acceso de transporte

Almacenar delegación limitada

Almacenar acceso de sólo lectura

Almacenar acceso de escritura y lectura

 

Derecho extendido

Usuarios autenticados

Permitir ACE

Ninguno

Propiedades de lectura

 

ACE se define en esquema para objetos de clase de msExchExchangeServer defaultSecurityDescriptor

Cuenta de equipo servidor de buzones de correo en clústeres

Si instala un servidor de buzones de correo en clúster, los permisos en la siguiente tabla de permisos se establecen en la cuenta del equipo servidor de buzones de correo en clústeres dentro de la partición de dominio.

Nombre distintivo del objeto: CN=<servidor>,CN=Equipos,DC=<dominio> o CN=<servidor>,OU=<unidad organizativa>,DC=<dominio>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Leer

Acceso de control

 

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Propiedad de escritura

Información de inicio de sesión

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Propiedad de escritura

Descripción

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Propiedad de escritura

sAMAccountName

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Propiedad de escritura

Restricciones de cuenta

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Escritura validada en el nombre de host DNS

 

 

Cuenta de servicio de clúster

Permitir ACE

Ninguno

Escritura validada en el nombre principal del servicio

 

 

Transporte perimetral

Si instala un servidor de transporte perimetral y establece una suscripción perimetral con la organización de Exchange, los permisos de la siguiente tabla de permisos se establecen cuando se crea una instancia del servidor de transporte perimetral en la organización.

Nombre distintivo del objeto: CN=<servidor>,CN=Servidores,CN=<grupo administrativo>,CN=Grupos administrativos,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Todas

Propiedad de escritura

 

 

Usuarios autenticados

Permitir ACE

Ninguno

Propiedades de lectura

 

ACE se define en esquema para objetos de clase de msExchExchangeServer defaultSecurityDescriptor

Instalación del servidor de acceso de cliente

Durante la instalación del primer servidor de acceso de cliente, se crea el siguiente contenedor. La siguiente tabla de permisos muestra los permisos que se aplican.

Nombre distintivo del objeto: CN=Configuración de disponibilidad,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Descripción

Propiedad de lectura

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects

Derecho extendido

Instalación del servidor de transporte de concentradores

Durante la instalación de cada servidor de transporte de concentradores, se establecen los siguientes permisos.

Nombre distintivo del objeto: CN=Predeterminado<Servidor>,CN=Conectores de recepción SMTP,CN=Protocolos,CN=<Servidor>,CN=Servidores,CN=<grupo administrativo>,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

ExchangeLegacyInterop

Denegar ACE

Todas

Aceptar encabezados de bosque

 

 

ExchangeLegacyInterop

Denegar ACE

Todas

Aceptar encabezados de organización

 

 

Servidores de Exchange

Permitir ACE

Todas

Aceptar todos los remitentes

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Aceptar todos los remitentes

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar todos los remitentes

 

Es el identificador de seguridad (SID) conocido para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar todos los remitentes

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Aceptar todos los remitentes

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Aceptar EXCH50

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Aceptar EXCH50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar EXCH50

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar EXCH50

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Aceptar EXCH50

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

  

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Aceptar encabezados de bosque

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar encabezados de bosque

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar encabezados de bosque

  

Es el conocido SID para los servidores de transporte perimetral.

Servidores de Exchange

Permitir ACE

Todas

Aceptar el marcador de autenticación

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Aceptar el marcador de autenticación

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar el marcador de autenticación

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar el marcador de autenticación

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Aceptar el marcador de autenticación

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Omitir tamaño límite de mensajes

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Omitir tamaño límite de mensajes

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Omitir tamaño límite de mensajes

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Omitir tamaño límite de mensajes

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Omitir tamaño límite de mensajes

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Aceptar encabezados de organización

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar encabezados de organización

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar encabezados de organización

Es el conocido SID para los servidores de transporte perimetral.

Servidores de Exchange

Permitir ACE

Todas

Enviar mensajes al servidor

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Enviar mensajes al servidor

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Enviar mensajes al servidor

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Enviar mensajes al servidor

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Enviar mensajes al servidor

 

Es el conocido SID para los servidores protegidos externamente.

Servidores de Exchange

Permitir ACE

Todas

Aceptar remitentes de dominios autoritativos

 

 

ExchangeLegacyInterop

Permitir ACE

Todas

Aceptar remitentes de dominios autoritativos

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Aceptar remitentes de dominios autoritativos

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Aceptar remitentes de dominios autoritativos

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Aceptar remitentes de dominios autoritativos

 

Es el conocido SID para los servidores protegidos externamente.

Usuarios autenticados

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

 

Usuarios autenticados

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

 

Usuarios autenticados

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

 

Usuarios autenticados

Permitir ACE

Todas

Enviar mensajes al servidor

 

 

Nombre distintivo del objeto: CN=Cliente <Servidor>,CN=Conectores de recepción SMTP,CN=Protocolos,CN=<Servidor>,CN=Servidores,CN=<grupo administrativo>,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Usuarios autenticados

Permitir ACE

Todas

Enviar mensajes a cualquier destinatario

 

 

Usuarios autenticados

Permitir ACE

Todas

Aceptar encabezados de enrutamiento

 

 

Usuarios autenticados

Permitir ACE

Todas

Omitir filtros contra el correo no deseado

 

 

Usuarios autenticados

Permitir ACE

Todas

Enviar mensajes al servidor

 

 

Creación de conector de envío SMTP

En la siguiente tabla se muestran los permisos que se establecen al crear conectores de envío.

Nombre distintivo del objeto: CN=<Nombre del conector>,CN=Conexiones,CN=<grupo de enrutamiento>,CN=Grupos de enrutamiento, CN=<grupo administrativo>,CN=<organización>

Cuenta Tipo de ACE Herencia Permisos En la propiedad/ se aplica a Comentarios

Servidores de Exchange

Permitir ACE

Todas

Enviar encabezados de organización

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Enviar encabezados de organización

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Enviar encabezados de organización

 

Es el conocido SID para los servidores de transporte perimetral.

Servidores de Exchange

Permitir ACE

Todas

Enviar encabezados de bosque

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Enviar encabezados de bosque

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Enviar encabezados de bosque

 

Es el conocido SID para los servidores de transporte perimetral.

Servidores de Exchange

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-10

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

Es el conocido SID para los servidores asociados.

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

Es el conocido SID para los servidores protegidos externamente.

S-1-9-1419165041-1139599005-3936102811-1022490595-24

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

Es el conocido SID para los servidores de Exchange heredados.

INICIO DE SESIÓN ANÓNIMO

Permitir ACE

Todas

Enviar encabezados de enrutamiento

 

 

Servidores de Exchange

Permitir ACE

Todas

Send Exch50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

Permitir ACE

Todas

Send Exch50

 

Es el conocido SID para los servidores de transporte de concentradores.

S-1-9-1419165041-1139599005-3936102811-1022490595-22

Permitir ACE

Todas

Send Exch50

 

Es el conocido SID para los servidores de transporte perimetral.

S-1-9-1419165041-1139599005-3936102811-1022490595-23

Permitir ACE

Todas

Send Exch50

 

Es el conocido SID para los servidores protegidos externamente.

S-1-9-1419165041-1139599005-3936102811-1022490595-24

Permitir ACE

Todas

Send Exch50

 

Es el conocido SID para los servidores de Exchange heredados.