访问 Exchange 对象
上一次修改主题: 2005-05-18
本主题使用两个示例来说明 Microsoft® Exchange 使用的访问控制过程。在第一个示例中,用户尝试打开其邮箱中的文件夹或邮件。在第二个示例中,用户尝试打开其公用文件夹中的文件夹或邮件。
打开用户邮箱中的文件夹或邮件
当用户尝试访问邮箱中的文件夹或邮件,或尝试对其执行操作时,Exchange 使用下图所示的过程确定用户是否有权执行操作。
.gif "note") 注意: |
|---|
| Windows 2000 将执行实际检查,但由 Exchange 控制进程,因此有时会应用特殊的规则和修改。有关这些规则和修改的说明,请参阅 Exchange 访问控制过程的详细内容。 |
.gif "efa00397-3f58-4272-893f-44339b8e9a3b")
如上图所示,授权过程主要通过下列两个步骤进行:一组初步检查和文件夹级或邮件级检查。
用户邮箱的初步检查 Exchange 执行三种初步检查:
- 用户是否正在请求文件夹或邮件属性?(属性的访问控制超出了本书的主题范围。)
- 何种类型的用户正在请求访问权?某些类型的用户(如邮箱所有者)具有对邮箱中所有项目的完全访问权限。
- 用户是否也在执行管理操作?与客户端操作(如创建一个新邮件)相比,管理操作(如更改特定邮箱的存储限制)由一组不同的权限控制。Exchange 通过此检查来确定检查文件夹或邮件权限时要使用的权限组。
有关 Exchange 如何识别管理操作的信息,请参阅 Exchange 访问控制过程的详细内容中的“确定客户端应用程序的类型”。
用户邮箱的文件夹或邮件检查 根据初次检查的结果,Exchange 按下列两种方式之一处理此检查:
- 如果用户是指定的特殊用户(例如,该用户是邮箱所有者),则 Exchange 将跳过此检查并授予其完全访问权限。
- 如果用户不是指定的特殊用户,Exchange 将确定该用户是否具有执行请求操作所需的适当权限。如果用户使用管理应用程序,但不具有执行请求操作所需的适当权限,Exchange 将使用常规权限执行其他检查。
由于授权过程中的第二次检查在文件夹或邮件级进行,用户可能会登录到其他人的邮箱;不过,除非对该用户指定了对特定文件夹或邮件的访问权限,否则用户无法访问邮箱中的邮件。
| 注意: |
|---|
| 尽管本示例说明的是对用户邮箱的访问检查,但此过程同样适用于系统邮箱(或您创建的任何其他类型的邮箱)。 |
打开公用文件夹或公用文件夹邮件
当用户尝试访问公用文件夹或公用文件夹中的邮件,或尝试对其执行操作时,Exchange 使用下图所示的过程确定用户是否有权执行操作。
.gif "4ef416c3-8f2a-4dd9-83f6-881c22a06560")
如上图所示,授权过程主要通过下列两个步骤完成:一组初步检查和文件夹级或邮件级检查。
公用文件夹或邮件的初步检查 Exchange 执行下列初步检查:
- 用户是否正在请求文件夹或邮件属性?(属性的访问控制超出了本书的主题范围。)
- 用户是否也在执行管理操作?
Exchange 通过此检查来确定检查文件夹或邮件权限时要使用的权限组。与控制客户端操作的权限相比,管理操作由一组不同的权限控制。Exchange 基于请求操作的应用程序类型将操作标识为“管理”。如果 Microsoft Outlook® 请求此操作,Exchange 将此操作视为客户端操作。如果 Exchange 系统管理器请求此操作,Exchange 将此操作视为管理操作。即使操作相同(如更改权限),并且用户可能将该操作视为“管理”,当 Outlook 请求该操作时 Exchange 将其视为客户端操作,而当 Exchange 系统管理器请求该操作时将其视为管理操作。有关 Exchange 如何标识管理操作的详细信息,请参阅 Exchange 访问控制过程的详细内容中的“确定客户端应用程序的类型”。
公用文件夹或邮件的文件夹或邮件检查 根据初步检查的结果,Exchange 按下列三种方式之一处理此检查:
- 如果用户是指定的特殊用户(例如,该用户是文件夹所有者),并且请求的操作不是管理操作,则 Exchange 将跳过此检查并授予其完全访问权限。
- 如果用户是指定的特殊用户,并且请求的操作是管理操作,则 Exchange 将确定用户是否有执行请求操作所需的适当管理权限。
- 如果用户不是指定的特殊用户,Exchange 将确定该用户是否具有执行请求操作所需的适当非管理权限。注意:
系统文件夹(如忙/闲公用文件夹)的其他限制在此处不予以说明。