Exchange Server 2003 部署
上一次修改主题: 2007-05-18
该主题中指定的权限也适用于 Exchange 2000 Server 部署。
需要什么权限才能为 Exchange Server 2003 安装程序运行 ForestPrep?
ForestPrep 将更新 Active Directory® 目录服务架构并创建 Exchange 组织对象。另外,您还可以指定第一个 Exchange Server 2003 管理员帐户。该帐户可以是用户或组对象。出于简单性考虑,建议您使用组对象。您需要作为具有下列权限的用户登录:
- Schema Admins
- Enterprise Admins
ForestPrep 必须运行于包含 Active Directory 架构主机的域中。默认情况下,该域是目录林的根域。您并非必须在架构主机上运行 ForestPrep;在域中的任何 Windows® 2000 或 Windows Server™ 2003 计算机上都可以运行它。就是说,最佳做法是在架构主机上运行 ForestPrep,这样,网络中断和滞后都不会影响架构更新。
在运行 Exchange Server 2003 ForestPrep 之后,为什么我的某些第三方应用程序停止工作?
运行 Exchange Server 2003 ForestPrep 之后,由于访问邮箱时发生权限错误,某些第三方应用程序可能会记录错误事件。
很可能这些应用程序依赖于通过 Exchange Domain Servers 组的成员身份来获得邮箱访问权。但是,在每个 Exchange Server 2003 ForestPrep 和服务器安装上,该组对“服务器”容器的权限现已设置为“拒绝 ACE”。这一更改减少了潜在的访问权攻击点,并有助于提高邮件系统的整体安全性。
若要继续允许应用程序访问邮箱数据,请创建一个组,并将应用程序的服务帐户放在该组中。在合适的 Exchange 配置容器(例如“组织”对象)上,将“代理发送”和“代理接收”权限授予该组。若要进一步增强安全性,请只对应用程序需要访问的邮箱存储配置权限。
DomainPrep 能为 Exchange Server 2003 安装程序做什么?
DomainPrep 允许 Microsoft Active Directory® 目录服务域管理员对他们的域进行相应调整,以便为 Exchange 2000 Server 或 Exchange Server 2003 用户和/或服务器做好准备。运行 DomainPrep 时它将执行下列操作:
- 在域的“用户”容器中创建“Exchange Enterprise Servers”域本地组。
- 该组将包含每个域的具有收件人更新服务的“Exchange Domain Servers”组。
- 该组的成员身份由 Exchange System Attendant 服务中的进程管理。
- 将对该对象的“完全控制”权限授予“Exchange Enterprise Servers”组和 Org Exchange 管理员(完全控制)。收件人更新服务会添加所委派的 Org Exchange 管理员(完全控制)。
- 在域的“用户”容器中创建“Exchange Domain Servers”全局组。
- 该组将在域中包含所有 Exchange 2000 Server 和 Exchange Server 2003 服务器。
- 该组的成员身份由系统助理中的进程管理(虽然安装程序会将服务器添加到该组)。
- 将对该对象的“完全控制”权限授予“Exchange Enterprise Servers”组和 Org Exchange 管理员(完全控制)。收件人更新服务会添加所委派的 Org Exchange 管理员(完全控制)。
- 在域的根位置创建“Microsoft Exchange System Objects”容器。
- 该容器用来存储公用文件夹代理对象和与 Exchange 有关的系统对象(例如,邮箱存储的邮箱)。
- 在该文件夹上分配具体的权限。有关所授予的特定权限的详细信息,请参阅“在 Exchange 安装期间授予的权限”。
- 在域级别为“Exchange Enterprise Servers”组分配权限。有关所授予的特定权限的详细信息,请参阅“在 Exchange 安装期间授予的权限”。
- 在默认域控制器策略(域控制器组织单位的组策略对象)上,为“Exchange Enterprise Servers”组分配用户权利“管理审核 & 安全日志”。
- 在域的 adminSDHolder 容器上为“Exchange Enterprise Servers”组分配具体权限。有关所授予的特定权限的详细信息,请参阅“在 Exchange 安装期间授予的权限”。
- 在域的“Pre-Windows 2000 Server Compatible Access”域本地组上为“Exchange Enterprise Servers”组分配具体的权限,以便收件人更新服务可以将每个域的“Exchange Domain Servers”组作为成员添加到该组中。有关所授予的特定权限的详细信息,请参阅“在 Exchange 安装期间授予的权限”。
什么时候我需要为 Exchange Server 2003 安装程序运行 DomainPrep?
DomainPrep 允许 Active Directory 域管理员对他们的域进行相应调整,以便为 Exchange 2000 Server 或 Exchange Server 2003 用户和/或服务器做好准备。您应当在每个包含下列项的域中运行 DomainPrep:
- Exchange 2000 Server 或 Exchange Server 2003 服务器
- 允许使用邮件的对象
- Exchange 目录访问组件可能使用的全局编录服务器。
此外,还必须在目录林的根域上运行 DomainPrep,以确保能够成功创建公用文件夹代理对象。
DomainPrep 将创建 Exchange Domain Servers 全局安全组、Exchange Enterprise Servers 本地安全组,并配置相应权限以便 Exchange 服务器可以访问 Active Directory 数据库。若要运行 DomainPrep,必须作为特定用户登录,该用户必须是要运行 DomainPrep 的域中的 Domain Admin 组的成员。
我注意到 DomainPrep 更改了域控制器策略。Exchange Enterprise Servers 组被授予“管理审核和安全日志”权限。为什么这是必需的?
为了让存储进程支持邮箱审核,必须具有该权限,因为它允许 Exchange 服务器读取域中的系统访问控制列表 (SACL)。如果删除该权限,则无法装入 Exchange 服务器数据库。这是 DomainPrep 对域控制器策略所做的唯一调整。通过 Active Directory 复制和文件复制服务的组合,该策略会复制到其他域控制器。可以使用 policytest.exe 工具(位于 Exchange Server 2003 媒体上的 Support\ExDeploy 文件夹中)检查所调整的策略的复制状态。
.gif "note") 注意: |
|---|
| 如果已在域控制器组织单位上实现其他策略,则必须将该权利添加到最高可适用策略。 |
Exchange Domain Servers 和 Exchange Enterprise Servers 组执行哪些功能?
这两个组都是通过 DomainPrep 创建的。它们驻留在域内的“用户”容器中,一定不要移动或重命名它们(否则,域中那些运行 Exchange 2000 Server 或 Exchange Server 2003 的计算机将关机)。每次在计算机上安装 Exchange 时,该计算机帐户将都添加到本地 Exchange Domain Servers 全局安全组中。然后,该组又将成为每个域中的 Exchange Enterprise Servers 本地安全组的成员。收件人更新服务负责确保目录林中的所有 Exchange 组嵌套都是完整的。Exchange Enterprise Servers 组会被授予对 Active Directory 中的域命名上下文的各种权限。通过这些继承的权限,收件人更新服务可以修改每个域中用户帐户上特定于 Exchange 的属性。
为什么 Pre-Windows 2000 Compatible Access 组包含 Exchange Domain Servers 组?
在 Exchange 安全模型中,每个域都包含两个组:名为 Exchange Domain Servers 的域全局组和名为 Exchange Enterprise Servers 的域本地组。Exchange Domain Servers 组包含该域中的所有 Exchange 服务器。Exchange Enterprise Servers 组包含在其中运行 DomainPrep 的目录林中的所有域的 Exchange Domain Servers 组。DomainPrep 在域分区对象上将对各种邮件相关属性的读取和写入权限授予 Exchange Enterprise Servers 组。运行 DomainPrep 之后,通过两个级别的组成员身份,所有 Exchange 服务器都应当有这些读取和写入权限。
在 Exchange 2000 Server 中,在运行 DomainPrep 之后,所有 Exchange 服务器都不会总是拥有所需的读取和写入权限。具体来说,如果 Exchange 服务器试图读取域分区的已启用邮箱的用户对象上的属性,并连接到用户所驻留的域以外的其他域中的全局编录服务器,则 Exchange Enterprise Servers 组不会出现在 Exchange Server 的安全令牌中;因此,来自 Exchange Enterprise Servers 组的读取和写入权限无效。在这种情况下,该 Exchange 服务器充当已通过身份验证的用户。
如果用“兼容于 Windows 2000 以前的应用程序的权限”来启用域,则这不是问题,因为 Everyone 安全主体(以及 Windows Server™ 2003 中的 Anonymous Logon 安全主体)对域中所有对象上的所有属性都拥有读取权限。因此,Exchange 服务器能够访问所需数据。
为了防止出现域尚未为 Windows 2000 以前的应用程序做好准备的情况,Exchange Server 2003 DomainPrep 将 Exchange Domain Servers 组添加到该域内的 BUILTIN\Pre-Windows 2000 Compatible Access 组中。此外,DomainPrep 还将一个访问控制条目添加到 Pre-Windows 2000 Compatible Access 组,以便允许 Exchange Enterprise Servers 组修改 Pre-Windows 2000 Compatible Access 组的成员身份。
我所在的公司的策略是不允许出现从 Active Directory 域级别到子容器和组织单位的继承权限。这会导致问题吗?
DomainPrep 只会将 Exchange Enterprise Servers 组的访问控制条目 (ACE) 放在域级别;因此,如果阻塞继承,收件人更新服务将不能处理用户对象。结果,新用户将无法登录到 Exchange,并且无法应用对现有用户的策略修改。
如果阻塞继承,可以选择“删除”或“复制”所选容器/组织单位的权限。如果选择“复制”权限,收件人更新服务将继续处理对象。如果选择“删除”权限,则收件人更新服务无法在该容器中正常工作。
如果要对组织单位手动设置权限,以便收件人更新服务可以处理对象,请将对组织单位中所有用户对象的下列权限分配给 Exchange Enterprise Servers 组:
- 列出内容
- 读取所有属性
- 读取权限
- 写入公用信息
- 写入个人信息
- 写入组类型
- 写入显示名
此外,Exchange Enterprise Servers 组还必须对组对象拥有“modify-permissions”权限。该权限是为了支持隐藏的组成员身份而需要的。
可以使用 ADSI Edit MMC 管理单元来设置所有这些权限。有关在组织单位级别设置权限的详细信息,请参阅“实现拆分权限模型”。
查看域对象的“高级权限”选项卡时,我看到“Enterprise Exchange Servers”组多次出现。但是,为什么大多数权限显示为空白?
Enterprise Exchange Servers 组需要域级别的权限,以便运行 Exchange 2000 Server 的计算机可以处理新的邮件和已启用邮箱的用户。例如,在创建新的已启用邮箱的用户时,收件人更新服务将在该对象上写入一组电子邮件地址,并将该用户放在正确的地址列表中。收件人更新服务作为 Exchange 系统助理进程的组成部分运行于 Exchange 服务器上。由于 Exchange 服务器的计算机对象是 Exchange Domain Servers 组(而它又是 Exchange Enterprise Servers 组的成员)的成员,因此,收件人更新服务可以成功处理域中的对象的更新。
在 Active Directory 用户和计算机管理单元中权限可能为空,这是因为界面没有显示可以在 Active Directory 中授予的所有粒度的权限。因此,权限已被授予,但它们在界面中不可查看。若要查看所有粒度的权限,请按照“实现拆分权限模型”中的说明使用 Dsalcs.exe 工具。
我需要什么权限才能安装第一台 Exchange 服务器?
假定已运行 ForestPrep 和 DomainPrep,若要安装第一台 Exchange 服务器,必须用下列权限登录到 Active Directory:
- Exchange 管理员(完全控制)角色(它是在运行 ForestPrep 期间定义的)
- 目标 Exchange 服务器上的本地 Administrators 组的成员
另外,如果要加入现有 Exchange Server 5.5 站点,则登录帐户必须有下列权限才能访问 Exchange Server 5.5 目录,并且安装 Exchange 的人员必须知道站点服务帐户的名称和密码:
- (想要加入的 Exchange 站点的)Exchange Server 5.5 站点命名上下文的 Admin 角色
- (想要加入的 Exchange 站点的)Exchange Server 5.5 配置命名上下文的 Admin 角色
在要安装 Exchange 2000 Server 或 Exchange Server 2003 的域与包含正在运行 Exchange Server 5.5 的服务器的域之间,双向信任将是必需的。
有两个独立的要求使 Windows NT® 域和 Active Directory 之间的双向信任成为必需。之所以需要从 Active Directory 到 Windows NT 的信任,是因为 Exchange Server 2003 邮件传输代理 (MTA) 和站点复制服务必须使用 Exchange Server 5.5 站点服务帐户,而该帐户存在于 Windows NT 域中。第二个单向信任是从 Windows NT 到 Active Directory,有了它才能为 Exchange Server 2003(安装到 Exchange Server 5.5 站点中时所指定的帐户)提供合适的权利,以便读取和写入 Exchange Server 5.5 组织、站点和配置命名上下文。
我如何向其他管理员委派权限,让他们可以管理各种 Exchange Server 2003 服务?
若要向其他用户委派权限,请使用 Exchange 委派向导,该向导是 Exchange 系统管理器控制台的一部分。
您必须作为具有 Exchange 管理员(完全控制)角色的用户登录到组织,才能使用 Exchange 委派向导。由于这个原因和性能原因,建议您向组对象委派控制权,而不要直接向用户委派。例如,您可能想要创建一个称为“Seattle Exchange Admins”的 Active Directory 组。您可以使用 Exchange 委派向导允许该组的成员管理“Seattle”管理组。域管理员或同等用户可以更改组对象的成员身份,使其包括相关的管理员帐户。
如果我将 Exchange 计算机帐户转移到 Active Directory 中的其他组织单位,这会不会影响我的 Exchange 权限和委派?
不会,Exchange 管理委派向导在 Active Directory 的配置命名上下文中分配权限,而不是在域命名上下文(这是驻留计算机帐户的位置)中执行分配。但是,在移动计算机帐户对象之后,需要在 Exchange 服务器上重新启动系统助理。有关为什么需要重新启动 Exchange 服务器的详细信息,请参阅 Microsoft 知识库文章 271335“XADM:系统助理生成 9186 和 9187 事件 ID 消息”。
Exchange 管理员(完全控制)和 Exchange 管理员角色之间有何区别?
Exchange 管理员(完全控制)能够操纵配置命名上下文中的任何 Exchange 对象。另外,完全控制管理员有权在下列对象的“安全性”选项卡上修改下列设置:
- Exchange 数据库
- MAPI 和应用程序公用文件夹层次结构
- 地址列表
Exchange 管理员可以操纵任何 Exchange 对象,但不能在上述 Exchange 对象的“安全性”选项卡上委派权限或更改设置。但是,Exchange 管理员可以在公用文件夹上更改权限(“安全性”选项卡)。
如果我在 Exchange 组织级别向用户或组授予权限,则这些权限是否会自动向下传递给所有管理组?
会。不像 Exchange Server 5.5, Exchange Server 2003 权限是会继承的。
我需要什么权限才能将以后运行 Exchange Server 2003 的服务器安装到我的组织中?
在 Exchange 2000 Server 中,管理员必须获得组织级别的 Exchange 管理员(完全控制)管理角色,然后才能在服务器上安装和删除 Exchange 2000 Server、升级服务器以及执行灾难恢复。在 Exchange Server 2003 中,该要求更改为允许在管理组级别具有 Exchange 管理员(完全控制)管理角色的管理员在属于该管理组的服务器上安装和删除 Exchange Server 2003、升级服务器以及执行灾难恢复。
作为只在管理组级别具有 Exchange 管理员(完全控制)权限的管理员在服务器上安装 Exchange Server 2003 时,要注意下列事项:
- 域管理员必须手动将服务器的计算机帐户添加到 Exchange Domain Servers 组。
- 在组织级别具有 Exchange 管理员(完全控制)权限的管理员必须在属于某个组织的计算机上执行第一个 Exchange Server 2003 安装。
- 在组织级别具有 Exchange 管理员(完全控制)权限的管理员必须在 Active Directory 域中执行第一个 Exchange Server 2003 安装。
- 在组织级别具有 Exchange 管理员(完全控制)权限的管理员必须在属于某个管理组的计算机上执行第一个 Exchange Server 2003 安装。
- 如果运行 Exchange 2000 Server 的计算机被配置为与 Exchange Server 2003 进行目录复制的连接器的桥头服务器,那么,只有在组织级别具有 Exchange 管理员(完全控制)权限的管理员才能升级这样的计算机。
- 只有在组织级别具有 Exchange 管理员(完全控制)权限的管理员才能在安装站点复制服务 (SRS) 的服务器上安装或删除 Exchange Server 2003。
如果您是在管理组中具有 Exchange 管理员(完全控制)角色的管理员,并且在未加入群集的服务器上运行 Exchange Server 2003 安装程序,那么您只会看见您有权访问的管理组。但是,在群集服务器上,Exchange Server 2003 安装程序将显示所有管理组。如果您选择您无权访问的管理组,将收到“拒绝访问”消息。
如果要将随后的服务器安装到混合的 Exchange 2000 Server 或 Exchange Server 2003 和 Exchange Server 5.5 站点中,则必须在要安装 Exchange 2000 Server 或 Exchange Server 2003 的域与运行 Exchange Server 5.5 的服务器存在于其中的域之间建立双向信任。
我需要什么权限才能在群集配置中安装 Exchange Server 2003?
为了让 Exchange 2000 Server 群集管理员能够创建、删除或修改 Exchange 虚拟服务器,群集管理员的帐户和群集服务帐户需要具有下列权限:
- 如果 Exchange 虚拟服务器是 Exchange 组织中的第一个 Exchange 虚拟服务器,则群集管理员的帐户和群集服务帐户都必须属于具有适用于组织级别的 Exchange 管理员(完全控制)角色的组。
- 如果 Exchange 虚拟服务器不是组织中的第一个 Exchange 虚拟服务器,则群集管理员的帐户和群集服务帐户都必须属于具有适用于管理组级别的 Exchange 管理员(完全控制)角色的组。
在 Exchange Server 2003 中,权限模型已更改。Windows 群集服务帐户不再需要特定于 Exchange 的权限。具体来说,Windows 群集服务帐户不再要求将 Exchange 管理员(完全控制)角色应用于它,在 Exchange 组织级别和管理组级别都不需要。它在目录林中的默认权限足以让它在 Exchange Server 2003 中正常工作。
与 Exchange 2000 Server 一样,群集管理员需要下列权限:
- 如果 Exchange 虚拟服务器是组织中的第一个虚拟服务器,则群集管理员必须是在组织级别应用了 Exchange 管理员(完全控制)角色的组的成员。
- 如果 Exchange 虚拟服务器不是组织中的第一个 Exchange 虚拟服务器,则所使用的帐户必须是在管理组级别应用了 Exchange 管理员(完全控制)角色的组的成员。
但是,取决于 Exchange 组织所运行的模式(纯模式或混合模式)以及拓扑配置,群集管理员必须拥有下列其他权限:
当 Exchange 组织处于纯模式时,如果 Exchange 虚拟服务器属于跨越多个管理组的路由组,则群集管理员必须是在路由组所跨越的所有管理组级别应用了 Exchange 管理员(完全控制)角色的组的成员。例如,如果 Exchange 虚拟服务器在一个跨越第一个管理组和第二个管理组的路由组中,那么,群集管理员所使用的帐户必须是在第一个管理组应用了 Exchange 管理员(完全控制)角色的组的成员,同时还必须是在第二个管理组应用了 Exchange 管理员(完全控制)角色的组的成员。
注意:在 Exchange 纯模式组织中的路由组可以跨越多个管理组。在 Exchange 混合模式组织中的路由组不能跨越多个管理组。 在诸如父域/子域这样的拓扑中,如果群集服务器是子域中的第一个 Exchange 服务器,则群集管理员必须是一个特定组的成员,这个组应当拥有在组织级别应用的 Exchange 管理员角色或更高的角色,这样才能指定在子域中负责收件人更新服务的服务器。
我需要什么权限才能安装 Exchange Server 2003 的 Service Pack?
必须在安装 Exchange Server 2003 之后,才能安装 Exchange 的 Service Pack。不存在包括 Service Pack 的集成 Exchange 安装程序。若要应用 Service Pack,需要有下列权限:
- 对存在 Exchange Server 2003 服务器的管理组的 Exchange 管理员角色。
- 目标 Exchange Server 2003 服务器上的本地 Administrators 组的成员。
.gif "important") 重要提示: |
|---|
| 如果使用 Exchange Server 2003 Service Pack 2 (SP2) 开始,则需要组织级别的 Exchange 管理员角色才能将第一台服务器升级到最新的 Service Pack。这样安装程序才能在配置分区内的 Exchange 组织容器中创建 UCE 内容筛选容器。在升级第一台服务器并创建此容器之后,您只需要对目标管理组的 Exchange 管理员角色即可升级其他服务器。 |
我有第三方邮件应用程序,该程序需要对每个用户邮箱的完整访问权。使用 Exchange Server 5.5 时,我们将“Service Account Admin”权限授予特殊帐户,然后告诉应用程序使用该帐户。我怎样才能在 Exchange Server 2003 中获得相似的功能?
Exchange Server 2003 安全机制的工作方式不同于 Exchange Server 5.5。实际上,Exchange Server 2003 不使用站点服务帐户;而是让所有服务用本地计算机帐户启动。
下列 Microsoft 知识库文章介绍了可取得所需效果的推荐方法:
- 821897: "如何在 Exchange Server 2003 中为所有邮箱指派服务帐户访问权限”
- 262054: "XADM:如何在 Exchange 2000 中获得对所有邮箱的服务帐户访问”
| 注意: |
|---|
| 如果您正在运行 Exchange 2000 Server,并且已用 EDSLock 脚本来保护访问 Exchange 邮箱时的安全性,则“Exchange Domain Servers”组的成员将无权打开远程 Exchange 服务器上的邮箱。 |
为什么域管理员可以冒充在其域中的已启用邮箱的用户帐户?
Active Directory 包括一组可以应用于目录内对象的基本权限。特别是,Active Directory 包括“代理发送”扩展权限。默认情况下,Administrators 组、Domain Admins 组、Enterprise Admins 组和 Account Operators 组都有针对所有用户的“代理发送”权限。Administrators 组权限和 Enterprise Admins 组权限是从域级别继承的。Account Operators 组和 Domain Admins 组则接收基于 Active Directory 架构中的用户对象定义的显式权限。
可以考虑为域中的用户对象实现一个针对管理员的拒绝“代理发送”访问控制条目 (ACE)。如果您决定为域中的用户对象实现一个针对管理员的拒绝“代理发送”ACE,请考虑下列情况:
- 显式的“允许 ACE”将覆盖继承的“拒绝”(换句话说,将在继承的 ACE 之前应用显式的 ACE)。
- Domain Admins 组的成员能够删除“拒绝 ACE”,并且/或者添加显式的“允许 ACE”。
- 添加“拒绝 ACE”可能导致环境中出现其他后果。有关详细信息,请参阅“在哪里应用权限”。
如果为域中的用户对象实现对管理员的拒绝“代理发送”ACE 会为邮件环境带来风险,则应当实现一个或多个下列项:
- 通过委派具体的任务,限制域中的域管理员人数。有关详细信息,请参阅“Best Practices for Delegating Active Directory Administration”(https://go.microsoft.com/fwlink/?LinkId=31309)(英文)。
- 使用审核可以监视那些作为 Domain Admins 组的成员的帐户的帐户登录事件。
为什么 Enterprise Admins 组和根 Domain Admins 组的成员在 Exchange 组织中有完全控制权?
在 Exchange 2000 Server 和更高版本中,有关 Exchange 组织的数据不存储在单独的目录中。Exchange 将组织数据按配置命名上下文存储在 Active Directory 中。目录林管理员(Enterprise Admins 组或根 Domain Admins 组的成员)控制目录的所有方面,事实上拥有存储在目录中的数据。由于单个配置更改即可对整个目录林造成负面影响,因此目录林管理员必须控制目录。配置命名上下文,以及通过继承获得的存储在配置命名上下文中的 Exchange 组织,拥有下列权限:
- Enterprise Admins – 完全控制
- Root Domain Admins - 读取、写入、创建所有子对象、特殊权限
除了继承的权限,Exchange 安装程序还会添加针对 Enterprise Admins 组和根 Domain Admins 组的、对“代理发送”和“代理接收”的“拒绝 ACE”;这将使这些管理员无法访问和冒用目录林中的邮箱。有关详细信息,请参阅“在 Exchange 安装期间授予的权限”。
您无法从配置命名上下文中的 Exchange 组织节点上删除继承。如果邮件管理员不信任目录林管理员,则邮件团队应当考虑将 Exchange 隔离在它自己的目录林内。有关部署选项的详细信息,请参阅“Exchange Server 2003 部署指南”(https://go.microsoft.com/fwlink/?LinkId=47569)。
如果无法将 Exchange 组织放在单独的目录林中,建议您执行一项或多项下列任务:
- 通过委派具体任务,限制根域中的企业管理员和域管理员人数。有关详细信息,请参阅“Best Practices for Delegating Active Directory Administration”(委派 Active Directory 管理的最佳实践)(https://go.microsoft.com/fwlink/?LinkId=31309)。
- 使用审核可以监视那些作为任何有特权的组(包括 Enterprise Admins 组和根 Domain Admins 组)的成员的帐户所发生的帐户登录事件。
- 使用审核可以监视发生在目录的 CN=<Exchange Org>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域> 部分中的更改。
当 Exchange Server 2003 服务可以作为 LocalSystem(内置计算机帐户)启动时,为什么 Exchange Server 5.5 中有特殊的服务帐户?
之所以 Exchange Server 5.5 要求其服务使用特殊的登录帐户,是因为受 Windows NT Server 4.0 的限制。尽管 Windows NT 4.0 中的本地计算机帐户有令牌,但它们没有凭据;因此,一个计算机帐户无法对另一个进行身份验证。Windows 2000 或 Windows Server 2003 使用 Kerberos 身份验证,并且计算机帐户同时拥有令牌和凭据。
由于下列原因,使用本地计算机帐户比使用特定于管理员的帐户更安全:
- 本地计算机密码是随机的十六进制数字,而不是人类可读字符串。
- 本地计算机密码每 7 天自动更改一次。
- 必须将 Exchange Server 5.5 服务帐户排除在锁定策略以外,这是因为粗暴登录尝试可以禁用帐户,并关闭 Exchange 服务。
我的 Exchange Server 2003 服务器的计算机帐户被意外从 Active Directory 中删除。尽管我可以重新创建它,但 Exchange Server 2003 服务会正常工作吗?
如果只是重新添加计算机帐户,Exchange 服务会启动,不过您可能会遇到某些问题(例如,事件日志中出现 DSAccess 错误)。在 Exchange Server 2003 安装期间,系统在 Active Directory 中为计算机帐户分配了各种权限。因此,应当再次运行 Exchange Server 2003 安装程序,并选择“重新安装”选项;这样,系统将向新计算机帐户授予正确的权限。
另外,还可以使用 ADSI Edit 为该计算机帐户授予相应的权限,具体方法请参阅 Microsoft 知识库文章 297295“The computer account for Exchange Server is absent”(英文)。
重新创建计算机帐户之后,即可将需要的权限授予新帐户。若要将相应的权限分配给 Exchange 计算机帐户,请参阅“如何使用 ADSI Edit 将完全控制权限添加到 Exchange 计算机帐户”。