Come configurare l'amministrazione tra foreste

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2010-09-20

In questo argomento viene illustrato come utilizzare Setup.com per abilitare l'amministrazione tra foreste. È possibile utilizzare questa procedura se si dispone di un account utente in una foresta che deve amministrare Microsoft Exchange Server 2007 in un'altra foresta. Utilizzare questa procedura nei seguenti scenari:

  • La foresta di risorse è uno scenario comune in cui ci sono una foresta, quella degli account utente, che non contiene alcun server di Exchange e un'altra foresta distinta per l'organizzazione di Exchange.

  • Il classico scenario tra foreste con più foreste di Exchange è quello in cui può essere necessario che un utente in una foresta amministri Exchange in entrambe le foreste. In alternativa, può essere necessario che un utente in una foresta amministri Exchange nell'altra foresta, ma non in entrambe le foreste.

Per amministrare server, proprietà e destinatari di Exchange, è necessario che all'amministratore sia stata delegata l'appartenenza a uno dei seguenti ruoli di amministrazione di Exchange:

  • Organization Administrator di Exchange

  • Exchange Public Folder Administrator

  • Amministratore dei destinatari di Exchange

  • View-Only Administrator di Exchange

Nota

Il ruolo amministratore cartelle pubbliche di Exchange non esiste nella versione di produzione (RTM) di Exchange 2007. È stato introdotto in Exchange 2007 Service Pack 1 (SP1).

Tuttavia, non è possibile aggiungere un utente da una foresta diversa a un ruolo di amministrazione di Exchange. Per amministrare i server di Exchange 2007 nella foresta B utilizzando un account utente della foresta A, è necessario eseguire i passaggi riportati di seguito:

  1. Se non esistono già, creare ruoli di amministrazione di Exchange paralleli nella foresta A.

  2. Utilizzare Setup.com con il parametro ForeignForestFQDN per concedere autorizzazioni su oggetti della foresta B ai ruoli della foresta A.

  3. Aggiungere utenti della foresta A ai ruoli di amministrazione di Exchange paralleli appena creati nella foresta A.

Stato iniziale

stato iniziale - abilitazione amministrazione tra foreste

Passaggio 1: Creazione di ruoli di amministratore di Exchange paralleli nella foresta A

Fase 1: abilitazione amministrazione tra foreste

Passaggio 2: Concessione delle autorizzazioni

fase 2: abilitazione amministrazione tra foreste

Passaggio 3: Aggiungere un utente ai ruoli Exchange nella foresta A

fase 3: abilitazione amministrazione tra foreste

Importante

Dopo aver configurato l'amministrazione tra foreste, non è supportata l'esecuzione di azioni di impostazione di Exchange in una foresta utilizzando un account utente in un'altra foresta. Non sono supportati, ad esempio, l'aggiunta e la rimozione di ruoli del server o il ripristino di un server in una foresta utilizzando un account utente di un'altra foresta, anche se quest'ultimo è stato configurato per l'amministrazione tra foreste.

Nota

Per creare i ruoli di amministrazione di Exchange, è necessario utilizzare Utenti e computer di Active Directory per la creazione di gruppi. Si selezionerà Universale per l'ambito del gruppo e Protezione per il tipo di gruppo. Per ulteriori informazioni, vedere Considerazioni sulle autorizzazioni.

Informazioni preliminari

Assicurarsi che il livello funzionale di entrambe le foreste sia Microsoft Windows Server 2003. Per ulteriori informazioni sui livelli funzionali di Active Directory, vedere Informazioni complementari sui livelli di funzionalità.

Creare una relazione di trust bidirezionale tra le due foreste. Per la procedura dettagliata, vedere Creare un trust tra foreste bidirezionale per entrambe le parti del trust. Questa relazione di trust è necessaria per configurare l'amministrazione tra foreste. Nello scenario di una foresta di risorse, dopo aver completato questa procedura per configurare l'amministrazione tra risorse, è possibile abbassare il trust a un trust unidirezionale in modo che la foresta di Exchange consideri attendibile la foresta degli account utente. È importante tenere presente che il trust bidirezionale potrebbe essere ancora necessario per la condivisione di cartelle.

Nota

Assicurarsi che il tipo di trust sia Foresta e non Esterno.

Nella seguente procedura, la foresta A è quella con un account utente che deve amministrare i server di Exchange 2007 in un'altra foresta. La foresta B è quella con i server di Exchange 2007 che l'utente della foresta A amministrerà.

Per eseguire i passaggi di questa procedura nella foresta A, è necessario utilizzare un account a cui sia stato delegato quanto segue:

  • Appartenenza al gruppo Enterprise Admins nella foresta A

Per eseguire i passaggi di questa procedura nella foresta B, è necessario utilizzare un account a cui sia stato delegato quanto segue:

  • Appartenenza al gruppo Enterprise Admins nella foresta B

Nota

Se si dispone di un account con diritti di livello Enterprise Admin in entrambe le foreste, eseguendo il comando Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com verranno automaticamente eseguiti i passaggi da 2 a 7. Tuttavia, poiché è improbabile che un utente disponga di diritti di livello Enterprise Admin in entrambe le foreste, è consigliabile eseguire i passaggi da 2 a 7 manualmente, per creare innanzitutto i gruppi di protezione universale di Exchange e assegnare autorizzazioni per questi gruppi nella foresta A, con un account appartenente al gruppo Enterprise Admins nella sola foresta A. È quindi possibile eseguire Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com nella foresta B con un account appartenente al gruppo Enterprise Admins nella sola foresta B.

Importante

Gli amministratori devono accedere ai server nella foresta di risorse usando l'autenticazione con il nome dell'entità utente (UPN). Inoltre, gli amministratori devono accertarsi che qualsiasi suffisso UPN tipico sia registrato sul trust tra foreste in modo che dispongano di un ticket Kerberos durante l'accesso. Il ticket Kerberos è necessario per consentire agli strumenti di gestione di Exchange di connettersi al contesto dei nomi di configurazione nella foresta della risorsa. Se si utilizza l'autenticazione NTLM (DOMINIO\NOMEUTENTE), il binding LDAP negli strumenti di gestione può non riuscire se non esiste una connessione al dominio della foresta dell'account memorizzata nella cache.

Procedura

Exchange 2007 SP1

Per configurare un'amministrazione tra foreste in Exchange 2007 SP1

  1. In un classico scenario tra foreste, se Exchange è installato sia nella foresta A che nella foresta B e, se non si desidera che l'utente nella foresta A che amministrerà Exchange nella foresta B sia un amministratore anche nella foresta A, è necessario rinominare o spostare nella foresta A l'unità organizzativa e i gruppi seguenti:

    • Gruppi di protezione di Microsoft Exchange

    • Amministratori dell'organizzazione di Exchange

    • Amministratori cartelle pubbliche di Exchange

    • Amministratori dei destinatari Exchange

    • Amministratori di Exchange solo visualizzazione

    A tale scopo, utilizzare uno dei seguenti metodi:

    • Rinominare l'unità o il gruppo

    • Spostare l'unità o il gruppo in un'unità organizzativa differente

    • Spostare l'unità o il gruppo in un dominio differente

    Dopo essere stati rinominati o spostati, questi gruppi continuano ad avere le stesse appartenenze e autorizzazioni ed è ancora possibile amministrare Exchange nella foresta A utilizzando account appartenenti ad essi.

    In un classico scenario tra foreste, se Exchange è installato sia nella foresta A che nella foresta B e, se si desidera che l'utente nella foresta A amministri Exchange in entrambe le foreste A e B, andare al passaggio 9.

    In uno scenario di foreste di risorse, andare al passaggio 2.

  2. Nel dominio principale della foresta A, creare una nuova unità organizzativa denominata Gruppi di sicurezza di Microsoft Exchange. Per ulteriori informazioni sulla creazione di unità organizzative, vedere Creare una nuova unità organizzativa.

  3. Nell'unità organizzativa Gruppi di protezione di Microsoft Exchange nella foresta A, creare i seguenti gruppi di protezione universale:

    • Amministratori dell'organizzazione di Exchange

    • Amministratori cartelle pubbliche di Exchange

    • Amministratori dei destinatari Exchange

    • Amministratori di Exchange solo visualizzazione

    Per ulteriori informazioni, vedere Creare un nuovo gruppo.

    Nota

    Assicurarsi di selezionare Universale per l'ambito del gruppo e Protezione per il tipo di gruppo.

  4. Nella foresta A, eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Organization Administrators al gruppo Exchange Recipient Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange Recipient Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Organization Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina delle proprietà di Exchange Recipient Administrators.

  5. Nella foresta A, eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Organization Administrators al gruppo Exchange Public Folder Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange Public Folders Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Organization Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina delle proprietà di Exchange Public Folder Administrators.

  6. Nella foresta A, eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Recipient Administrators al gruppo Exchange View-Only Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange View-Only Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Recipient Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina Proprietà Exchange View-Only Administrators.

  7. Nella foresta A eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Public Folder Administrators al gruppo Exchange View-Only Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange View-Only Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Public Folder Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina Proprietà Exchange View-Only Administrators.

  8. In Utenti e computer di Active Directory nella foresta A, scegliere Caratteristiche avanzate dal menu Visualizza, quindi seguire i passaggi riportati di seguito:

    1. Fare clic con il pulsante destro del mouse sull'unità organizzativa Gruppi di protezione di Microsoft Exchange, quindi scegliere Proprietà.

    2. Nella scheda Protezione fare clic su Avanzate.

    3. Nella scheda Autorizzazioni selezionare Exchange Organization Administrators dall'elenco delle autorizzazioni, quindi scegliere Modifica.

    4. Nella scheda Oggetto, dall'elenco Applica a, selezionare Questo oggetto e tutti i relativi oggetti secondari.

    5. Nell'elenco Autorizzazioni individuare Controllo completo, quindi selezionare la casella di controllo Consenti.

    6. Fare clic su OK.

    7. Nella scheda Autorizzazioni selezionare Amministratori dei destinatari Exchange, quindi fare clic su Modifica.

    8. Nella scheda Oggetto, dall'elenco Applica a, selezionare Questo oggetto e tutti i relativi oggetti secondari.

    9. Nell'elenco Autorizzazioni individuare Controllo completo, quindi selezionare la casella di controllo Consenti.

    10. Fare clic su OK.

    11. Nella scheda Autorizzazioni selezionare Amministratori cartelle pubbliche di Exchange, quindi fare clic su Modifica.

    12. Nella scheda Oggetto, dall'elenco Applica a, selezionare Questo oggetto e tutti i relativi oggetti secondari.

    13. Nell'elenco Autorizzazioni individuare Controllo completo, quindi selezionare la casella di controllo Consenti.

    14. Fare clic su OK.

    15. Nella scheda Autorizzazioni selezionare Amministratori di Exchange solo visualizzazione, quindi fare clic su Modifica.

    16. Nella scheda Oggetto, dall'elenco Applica a, selezionare Questo oggetto e tutti i relativi oggetti secondari.

    17. Nell'elenco Autorizzazioni individuare Controllo completo, quindi selezionare la casella di controllo Consenti.

    18. Fare clic su OK due volte.

  9. Accedere alla foresta B utilizzando un account appartenente al gruppo Enterprise Admins nella foresta B, quindi eseguire il comando riportato di seguito da una finestra del prompt dei comandi:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Questo comando consente di verificare che i gruppi di protezione universale di Exchange nella foresta A vengano creati e che le autorizzazioni vengano assegnate correttamente. Nella foresta B, il comando consente di configurare voci di controllo di accesso (ACE) in Active Directory sugli oggetti di configurazione di Exchange in modo che i gruppi di protezione universale di Exchange appena creati nella foresta A abbiano diritti per la configurazione di Exchange nella foresta B. Quando si esegue Setup /PrepareAD senza il parametro ForeignForestFQDN, il comando consente di creare i gruppi di protezione universale di Exchange nella foresta locale e di impostare autorizzazioni per questi gruppi. Se si aggiunge il parametro ForeignForestFQDN, si specifica che si desidera assegnare ai gruppi di protezione universale di Exchange in una foresta esterna l'autorizzazione alla configurazione di Exchange nella foresta in cui si è eseguito il comando.

  10. Per verificare che l'installazione sia stata completata correttamente, eseguire i passaggi riportati di seguito:

    1. Nella foresta B fare clic con il pulsante destro del mouse sul gruppo di protezione universale Server Exchange, quindi scegliere Proprietà.

    2. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators (<Dominio foresta A\Exchange Organization Administrators>).

    3. Verificare che sia selezionata l'opzione Consenti per l'autorizzazione Controllo completo.

    Nota

    Se l'installazione non riesce a causa di diritti di accesso insufficienti, verificare che i gruppi di protezione universale nella foresta A siano stati creati correttamente, che i gruppi siano nidificati correttamente e che il gruppo Exchange Organization Administrators abbia il controllo completo della nuova unità organizzativa e di tutti e tre i nuovi gruppi di protezione universale, quindi eseguire nuovamente il passaggio 9.

  11. Per amministrare Exchange nella foresta B utilizzando un account nella foresta A, aggiungere l'account nella foresta A a uno o più dei gruppi di protezione universale di Exchange creati nella foresta A.

  12. (Opzionale) Modificare il trust tra foreste da bidirezionale a unidirezionale. A questo scopo, eliminare il trust in ingresso bidirezionale con la foresta A. Per la procedura dettagliata, vedere Remove a manually created trust (informazioni in lingue inglese).

    Nota

    Assicurarsi di selezionare Sì, rimuovi il trust dal dominio locale e dall'altro dominio.

    Nota

    È necessario conservare il trust in uscita.

  13. In Utenti e computer di Active Directory nella foresta B, scegliere Caratteristiche avanzate dal menu Visualizza.

  14. (Facoltativo) Se si desidera che gli amministratori nella foresta A amministrino utenti nella foresta B, è necessario assegnare loro le autorizzazioni manualmente. Eseguire i passaggi riportati di seguito:

    1. In Utenti e computer di Active Directory nella foresta B, fare clic con il pulsante destro del mouse sul contenitore Utenti, quindi scegliere Proprietà

    2. Nella scheda Protezione fare clic su Avanzate.

    3. In Autorizzazioni selezionare la voce in cui Tipo corrisponde a Consenti, Nome corrisponde a Exchange Recipient Administrators (<Dominio foresta A\Exchange Recipient Administrators>) e Autorizzazione corrisponde a Speciale, quindi fare clic su Modifica

    4. Nella pagina Autorizzazioni per gli utenti, nella scheda Oggetti, Autorizzazioni, selezionare Consenti per le seguenti autorizzazioni: Elenca contenuto, Leggi tutte le proprietà, Scrivi tutte le proprietà, Autorizzazioni di lettura, Crea oggetti utente, Elimina oggetti utente.

    5. Fare clic su OK.

    6. Nella pagina Impostazioni avanzate di protezione per utente selezionare la casella di controllo Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio, quindi scegliere OK.

    Nota

    Questo passaggio consente di fornire le autorizzazioni necessarie ai membri del gruppo Exchange Recipient Administrators nella foresta A per modificare oggetti nel contenitore Utente nella foresta B. Con l'esecuzione di Setup /ForeignForestFQDN nella foresta B (nel passaggio 9) agli utenti veniva concessa l'autorizzazione nei gruppi di protezione di Exchange nella foresta  A per le proprietà di Exchange nella foresta  B, ma non per le proprietà dell'utente di Windows nella foresta B.
    Per fornire autorizzazioni ad altri gruppi nella foresta A in modo che possano modificare oggetti nel contenitore Utente nella foresta B, selezionare un gruppo diverso in Avanzate nella pagina Impostazione di protezione per gli utenti.

  15. (Facoltativo) Se si desidera che gli amministratori nella foresta A dispongano dell'autorizzazione a utilizzare Exchange Management Console ed Exchange Management Shell in un server Exchange nella foresta B, è necessario concedere manualmente all'utente le autorizzazioni per le directory Bin, Public and Scripts del server di elenchi in linea Exchange. Eseguire i passaggi riportati di seguito:

    1. Passare alla directory di Exchange in cui è installato Exchange. Per impostazione predefinita, la directory è %Programmi%\Microsoft\Exchange Server.

    2. Fare clic con il pulsante destro del mouse sulla directory Bin, quindi scegliere Proprietà.

    3. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    4. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    5. Fare clic con il pulsante destro del mouse sulla directory Pubblico, quindi scegliere Proprietà.

    6. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    7. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    8. Fare clic con il pulsante destro del mouse sulla directory Scripts, quindi scegliere Proprietà.

    9. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    10. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    Nota

    Per amministrare Exchange nella foresta B, gli utenti della foresta A devono anche essere in grado di accedere a un server nella foresta B in cui sono installati gli strumenti di gestione di Exchange o di Exchange. Se si aggiungono utenti della foresta A al gruppo Domain Admins o al gruppo Administrators locale sul server della foresta B in modo che possano accedere a un server nella foresta B, gli utenti dovranno già disporre delle autorizzazioni Lettura & esecuzione per le directory Bin, Public, and Scripts. In alternativa, è possibile concedere agli utenti della foresta A autorizzazioni specifiche per accedere in modalità remota utilizzando il componente Servizi terminal di Windows Server 2003.

Exchange 2007 RTM

Per configurare l'amministrazione tra foreste nella versione RTM di Exchange 2007

  1. In un classico scenario tra foreste, Exchange è installato sia nella foresta A che nella foresta B e, se non si desidera che l'utente nella foresta A che amministrerà Exchange nella foresta B sia un amministratore anche nella foresta A, è necessario rinominare, spostare in una diversa unità organizzativa o spostare in un altro dominio le unità organizzative e i gruppi seguenti della foresta A:

    • Gruppi di protezione di Microsoft Exchange

    • Amministratori dell'organizzazione di Exchange

    • Amministratori dei destinatari Exchange

    • Amministratori di Exchange solo visualizzazione

    Dopo essere stati rinominati o spostati, questi gruppi continuano ad avere le stesse appartenenze e autorizzazioni ed è ancora possibile amministrare Exchange nella foresta A utilizzando account appartenenti ad essi.

    In un classico scenario tra foreste, Exchange è installato sia nella foresta A che nella foresta B e, se si desidera che l'utente nella foresta A amministri Exchange in entrambe le foreste, andare al passaggio 7.

    In uno scenario di foreste di risorse, andare al passaggio 2.

  2. Nel dominio principale della foresta A, creare una nuova unità organizzativa denominata Gruppi di protezione di Microsoft Exchange. Per ulteriori informazioni sulla creazione di unità organizzative, vedere Creare una nuova unità organizzativa .

  3. Nell'unità organizzativa Gruppi di protezione di Microsoft Exchange nella foresta A, creare i seguenti gruppi di protezione universale:

    • Amministratori dell'organizzazione di Exchange

    • Amministratori dei destinatari Exchange

    • Amministratori di Exchange solo visualizzazione

    Per ulteriori informazioni, vedere Create a new group .

    Nota

    Assicurarsi di selezionare Universale per l'ambito del gruppo e Protezione per il tipo di gruppo.

  4. Nella foresta A, eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Organization Administrators al gruppo Exchange Recipient Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange Recipient Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Organization Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina delle proprietà di Exchange Recipient Administrators.

  5. Nella foresta A, eseguire i passaggi riportati di seguito per aggiungere il gruppo Exchange Recipient Administrators al gruppo Exchange View-Only Administrators:

    1. Fare clic con il pulsante destro del mouse sul gruppo Exchange View-Only Administrators, quindi scegliere Proprietà.

    2. Nella scheda Membri fare clic su Aggiungi.

    3. In Seleziona utenti, computer o gruppi digitare Exchange Recipient Administrators, quindi scegliere OK.

    4. Fare clic su OK nella pagina Proprietà Exchange View-Only Administrators.

  6. In Utenti e computer di Active Directory nella foresta A, scegliere Caratteristiche avanzate dal menu Visualizza, quindi eseguire i passaggi riportati di seguito:

    1. Fare clic con il pulsante destro del mouse sull'unità organizzativa Gruppi di protezione di Microsoft Exchange, quindi scegliere Proprietà.

    2. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators.

    3. In Autorizzazioni per Exchange Organization Administrators selezionare Controllo completo, quindi scegliere OK.

    4. Fare clic con il pulsante destro del mouse sul gruppo Exchange Organization Administrators, quindi scegliere Proprietà.

    5. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators.

    6. In Autorizzazioni per Exchange Organization Administrators selezionare Controllo completo, quindi scegliere OK.

    7. Fare clic con il pulsante destro del mouse sul gruppo Exchange Recipient Administrators, quindi scegliere Proprietà.

    8. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators.

    9. In Autorizzazioni per Exchange Organization Administrators selezionare Controllo completo, quindi scegliere OK.

    10. Fare clic con il pulsante destro del mouse sul gruppo Exchange View-Only Administrators, quindi scegliere Proprietà.

    11. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators.

    12. In Autorizzazioni per Exchange Organization Administrators selezionare Controllo completo, quindi scegliere OK.

  7. Accedere alla foresta B utilizzando un account appartenente al gruppo Enterprise Admins nella foresta B, quindi eseguire il comando riportato di seguito da una finestra del prompt dei comandi:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Questo comando consente di verificare che i gruppi di protezione universale di Exchange nella foresta A vengano creati e che le autorizzazioni vengano correttamente assegnate. Nella foresta B, il comando consente di configurare voci di controllo di accesso (ACE) in Active Directory sugli oggetti di configurazione di Exchange, in modo che i gruppi di protezione universale di Exchange appena creati nella foresta A abbiano diritti per la configurazione di Exchange nella foresta B. Quando si esegue Setup /PrepareAD senza il parametro ForeignForestFQDN, il comando consente di creare i gruppi di protezione universale di Exchange nella foresta locale e di impostare autorizzazioni per questi gruppi. Se si aggiunge il parametro ForeignForestFQDN, si specifica che si desidera assegnare ai gruppi di protezione universale di Exchange in una foresta esterna l'autorizzazione alla configurazione di Exchange nella foresta in cui si è eseguito il comando.

  8. Per verificare che l'installazione sia stata completata correttamente, eseguire i passaggi riportati di seguito:

    1. Nella foresta B fare clic con il pulsante destro del mouse sul gruppo di protezione universale Server Exchange, quindi scegliere Proprietà.

    2. Nella scheda Protezione, in Utenti e gruppi selezionare Exchange Organization Administrators (<Dominio foresta A\Exchange Organization Administrators>).

    3. Verificare che sia selezionata l'opzione Consenti per l'autorizzazione Controllo completo.

    Nota

    Se l'installazione non riesce a causa di diritti di accesso insufficienti, verificare che i gruppi di protezione universale nella foresta A siano stati correttamente creati, che i gruppi siano correttamente nidificati e che il gruppo Exchange Organization Administrators abbia il controllo completo della nuova unità organizzativa e di tutti e tre i nuovi gruppi di protezione universale, quindi eseguire nuovamente il passaggio 7.

  9. Per amministrare Exchange nella foresta B utilizzando un account nella foresta A, aggiungere l'account nella foresta A a uno o più dei gruppi di protezione universale di Exchange creati nella foresta A.

  10. (Opzionale) Modificare il trust tra foreste da bidirezionale a unidirezionale. A questo scopo, eliminare il trust in ingresso bidirezionale con la foresta A. Per la procedura dettagliata, vedere Remove a manually created trust (informazioni in lingue inglese).

    Nota

    Assicurarsi di selezionare Sì, rimuovi il trust dal dominio locale e dall'altro dominio.

    Nota

    È necessario conservare il trust in uscita.

  11. In Utenti e computer di Active Directory nella foresta B, scegliere Caratteristiche avanzate dal menu Visualizza.

  12. (Facoltativo) Se si desidera che gli amministratori nella foresta A amministrino utenti nella foresta B, è necessario assegnare loro le autorizzazioni manualmente. Eseguire i passaggi riportati di seguito:

    1. In Utenti e computer di Active Directory nella foresta B, fare clic con il pulsante destro del mouse sul contenitore Utenti, quindi scegliere Proprietà

    2. Nella scheda Protezione fare clic su Avanzate.

    3. In Autorizzazioni selezionare la voce in cui Tipo corrisponde a Consenti, Nome corrisponde a Exchange Recipient Administrators (<Dominio foresta A\Exchange Recipient Administrators>) e Autorizzazione corrisponde a Speciale, quindi fare clic su Modifica

    4. Nella pagina Autorizzazioni per gli utenti, nella scheda Oggetti, Autorizzazioni, selezionare Consenti per le seguenti autorizzazioni: Elenca contenuto, Leggi tutte le proprietà, Scrivi tutte le proprietà, Autorizzazioni di lettura, Crea oggetti utente, Elimina oggetti utente.

    5. Scegliere OK.

    6. Nella pagina Impostazioni avanzate di protezione per utente selezionare la casella di controllo Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto e a tutti gli oggetti figlio, quindi scegliere OK.

    Nota

    Questo passaggio consente di fornire le autorizzazioni necessarie ai membri del gruppo Exchange Recipient Administrators nella foresta A per modificare oggetti nel contenitore Utente nella foresta B. Con l'esecuzione di Setup /ForeignForestFQDN nella foresta B (nel passaggio 7) agli utenti veniva concessa l'autorizzazione nei gruppi di protezione di Exchange nella foresta  A per le proprietà di Exchange nella foresta  B, ma non per le proprietà dell'utente di Windows nella foresta B.
    Per fornire autorizzazioni ad altri gruppi nella foresta A in modo che possano modificare oggetti nel contenitore Utente nella foresta B, selezionare un gruppo diverso in Avanzate nella pagina Impostazione di protezione per gli utenti.

  13. (Facoltativo) Se si desidera che gli amministratori nella foresta A dispongano dell'autorizzazione a utilizzare Exchange Management Console ed Exchange Management Shell in un server Exchange nella foresta B, è necessario concedere manualmente all'utente le autorizzazioni per le directory Bin, Public and Scripts del server di elenchi in linea Exchange. Eseguire i passaggi riportati di seguito:

    1. Passare alla directory di Exchange in cui è installato Exchange. Per impostazione predefinita, la directory è %Programmi%\Microsoft\Exchange Server.

    2. Fare clic con il pulsante destro del mouse sulla directory Bin, quindi scegliere Proprietà.

    3. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    4. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    5. Fare clic con il pulsante destro del mouse sulla directory Pubblico, quindi scegliere Proprietà.

    6. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    7. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    8. Fare clic con il pulsante destro del mouse sulla directory Scripts, quindi scegliere Proprietà.

    9. Nella scheda Protezione fare clic su Aggiungi, quindi immettere l'utente o il gruppo a cui si desidera assegnare l'autorizzazione.

    10. In Autorizzazioni per <utente o gruppo>, selezionare Consenti per l'autorizzazione Lettura/esecuzione, quindi scegliere OK.

    Nota

    Per amministrare Exchange nella foresta B, gli utenti della foresta A devono anche essere in grado di accedere a un server nella foresta B in cui sono installati gli strumenti di gestione di Exchange o di Exchange. Se si aggiungono utenti della foresta A al gruppo Domain Admins o al gruppo Administrators locale sul server della foresta B in modo che possano accedere a un server nella foresta B, gli utenti dovranno già disporre delle autorizzazioni Lettura & esecuzione per le directory Bin, Public, and Scripts. In alternativa, è possibile concedere agli utenti della foresta A autorizzazioni specifiche per accedere in modalità remota utilizzando il componente Servizi terminal di Windows Server 2003.

Ulteriori informazioni

Per ulteriori informazioni sull'installazione di Exchange 2007 utilizzando Setup.com da una finestra del prompt dei comandi, vedere Come installare Exchange 2007 in modalità automatica.