Поделиться через


Подготовка устаревших разрешений Exchange

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-11-21

При переходе с сервера Microsoft Exchange Server 2003 или Exchange 2000 Server на сервер Exchange Server 2007 необходимо предварительно предоставить определенные разрешения для Exchange в каждом из доменов, где выполнена команда DomainPrep для серверов Exchange 2003 или Exchange 2000. Для этого выполните команду setup /PrepareLegacyExchangePermissions. Рекомендуется выполнять команду setup /PrepareLegacyExchangePermissions в корневом домене леса Active Directory. Команду можно выполнить на нужном сервере Exchange 2007 или на административной рабочей станции Exchange 2007. Вне зависимости от того, где выполняется команда setup /PrepareLegacyExchangePermissions, программа установки должна иметь возможность подключаться к серверу каталогов Active Directory под управлением Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии.

Предоставление таких разрешений является частью подготовки службы каталогов Active Directory и доменов к установке Exchange 2007. Подробные инструкции см. в разделе Инструкции по подготовке службы Active Directory и доменов.

В этом разделе объясняется, почему необходимо выполнить команду setup /PrepareLegacyExchangePermissions, когда ее следует выполнять, а также какие разрешения задаются при выполнении этой команды в организации Exchange 2007.

Причины выполнения Setup /PrepareLegacyExchangePermissions

Команду setup /PrepareLegacyExchangePermissions необходимо выполнить для обеспечения правильной работы службы обновления получателей серверов Exchange 2003 или Exchange 2000 после обновления схемы Active Directory для сервера Exchange 2007. В этом разделе объясняется суть проблемы, а также рассказывается о том, как выполнение данной команды позволяет устранить эту проблему.

Проблема

На серверах Exchange Server 2003 и Exchange 2000 Server служба обновления получателей обновляет некоторые атрибуты почтовых ящиков объектов пользователей, поддерживающих почту, например адрес прокси-сервера. Служба обновления получателей обладает разрешением на изменение этих атрибутов, так как учетная запись компьютера сервера (с именем <имя_сервера>), на котором она выполняется, входит в группу серверов предприятия Exchange. Группа серверов предприятия Exchange создается при выполнении команды DomainPrep в Exchange Server 2003 или Exchange 2000 Server. Вместо предоставления группе серверов предприятия Exchange разрешений для каждого отдельного атрибута почтового ящика, который должна изменить служба обновления получателей, атрибуты почтового ящика группируются в наборы свойств. При выполнении команды DomainPrep для Exchange Server 2003 или Exchange 2000 Server сервер Exchange предоставляет группе серверов предприятия Exchange разрешения на изменение наборов свойств с помощью элементов управления доступом, которые Exchange задает в контейнере домена в Active Directory.

В сервере Exchange 2007 добавлена новая предопределенная роль администратора Exchange, которая носит название «Администраторы получателей Exchange». Эта роль содержит разрешения на управление атрибутами электронной почты для всех пользователей. Администраторы Exchange, которые являются членами роли «Администраторы получателей Exchange», могут управлять только свойствами электронной почты пользователей. Чтобы включить эту функцию, сервер Exchange 2007 должен переместить некоторые атрибуты электронной почты пользователей в набор свойств «Набор свойств данных о Exchange». Exchange выполняет это путем переопределения схем атрибутов в Active Directory при импорте новой схемы Exchange 2007. Однако старая группа серверов предприятия Exchange не обладает разрешениями на доступ к набору свойств данных о Exchange. Таким образом, при импорте новой схемы Exchange 2007 служба обновления получателей утрачивает разрешения на доступ к атрибутам электронной почты пользователей и перестает работать нормально. (Например, она не сможет задавать адреса прокси-серверов для создаваемых пользователей Exchange Server 2003.)

Решение

Выполнение команды setup /PrepareLegacyExchangePermissions позволяет обеспечить нормальную работу устаревшей службы обновления получателей. Перед импортом новой схемы Exchange 2007 необходимо предоставить новые разрешения Exchange 2007 в каждом из доменов, в котором выполнена команда DomainPrep для Exchange Server 2003 или Exchange 2000 Server . Команда setup /PrepareLegacyExchangePermissions предоставляет эти новые разрешения. Перед выполнением команды setup /PrepareSchema необходимо выполнить команду setup /PrepareLegacyExchangePermissions и предоставить разрешения на репликацию в рамках всей организации Exchange. Сервер, на котором выполняется команда setup /PrepareLegacyExchangePermissions, подключается к локальному глобальному каталогу для поиска доменов, в которых была выполнена команда DomainPrep для сервера Exchange Server 2003 или Exchange 2000 Server, проверяя группы серверов предприятия Exchange и серверов домена Exchange. Сервер должен иметь возможность связываться с каждым доменом в лесу, в котором выполняется команда DomainPrep для Exchange Server 2003 или Exchange 2000 Server. Кроме того, учетная запись, которая использовалась для выполнения команды setup /PrepareLegacyExchangePermissions, должна обладать разрешениями, назначенными универсальной группе безопасности «Администраторы предприятия», чтобы настраивать элементы управления доступом в каждом домене, а также в организации Exchange.

Разрешения, задаваемые командой Setup /PrepareLegacyExchangePermissions

Команда setup /PrepareLegacyExchangePermissions находит все домены в лесу, которые содержат группу серверов предприятия Exchange, а также группу серверов домена Exchange. Для каждого домена, содержащего эти группы, при выполнении команды setup /PrepareLegacyExchangePermissions выполняются указанные ниже действия.

  • Добавляется запись управления доступом в список управления доступом корня домена с целью предоставить группе серверов предприятия Exchange разрешения WRITE_PROP на доступ к набору свойств данных о Exchange.

  • Добавляется запись управления доступом в список управления доступом корня домена с целью предоставить авторизованным пользователям разрешения READ_PROP на доступ к набору свойств данных о Exchange.

  • Добавляется запись управления доступом в контейнер домена AdminSDHolder с целью предоставить группе серверов предприятия Exchange разрешения WRITE_PROP и READ_PROP на доступ к набору свойств данных о Exchange.

  • Добавляется элемент управления доступом в ACL контейнера организации Exchange для предоставления группе серверов предприятия Exchange разрешений WRITE_PROP на доступ к набору свойств данных о Exchange.

Повторное выполнение команды Setup /PrepareLegacyExchangePermissions

Ниже перечислены случаи, в которых требуется повторно выполнить команду setup /PrepareLegacyExchangePermissions:

  • В домене есть серверы Exchange Server 2003 или Exchange 2000 Server, а команда DomainPrep не была выполнена.

  • В лес добавляется новый домен, и в этом домене необходимо установить Exchange Server 2003 или Exchange 2000 Server

  • В новом или существующем домене включена поддержка почтовых ящиков для пользователей, которые будут входить в почтовые ящики на серверах Exchange Server 2003 или Exchange 2000 Server в доменах, в которых не была выполнена команда DomainPrep.

В таких случаях необходимо повторно выполнить команду setup /PrepareLegacyExchangePermissions после выполнения команды DomainPrep для сервера Exchange Server 2003 или Exchange 2000 Server. Это обеспечивает правильную работу службы обновления получателей Exchange Server 2003 или Exchange 2000 Server в данном домене.