“Active Directory 连接器”的定义

 

上一次修改主题: 2005-07-28

我需要什么权限才能在 Microsoft Windows® 2000 或 Windows Server 2003Active Directory 目录林中安装第一个 Active Directory 连接器 (ADC)?

若要安装第一个 Active Directory 连接器 (ADC),必须更新 Active Directory 的架构,并将二进制文件复制到本地计算机。因此,必须作为具有下列权限的用户登录:

  • Schema Admins
  • Enterprise Admins
  • 目标 ADC 服务器上的本地 Administrators 组的成员

此外,Schema Admins 组中的管理员可以在运行 Active Directory 连接器安装程序时使用 /SchemaOnly 命令行开关来扩展 Active Directory 架构。在此方案中,实际安装 ADC 服务的人不必是 Schema Admins 组的成员。该方法的优点是,如果公司对架构的控制非常严格,那么负责监视架构的人就可以进行必要的架构调整,而 ADC/Exchange 管理员可以独立完成自己的工作。

建议您在部署 ADC 服务时执行在 Exchange Server 2003 Deployment Guide 中定义的最佳实践。最佳实践的建议是先运行 ForestPrep,然后运行 DomainPrep,最后安装 ADC 服务。

我需要什么权限才能将随后的 Active Directory 连接器服务器安装到我的 Active Directory 目录林中?

由于架构已经更新,因此您需要下列 Active Directory 权限才能安装额外的连接器:

  • 域管理员
  • 目标 ADC 服务器上的本地 Administrators 组的成员

ADC 安装程序有硬编码的先决条件,它要求您必须属于 Active Directory 中的 Domain Admins 组。即使只想在计算机上安装 ADC 管理的管理单元,您也必须属于该组。

安装 Active Directory 连接器服务时,我需要输入服务帐户。当 Exchange 服务以 LocalSystem 启动时,为什么要求此操作?该服务帐户需要什么权限?

ADC 之所以需要服务帐户,是因为 ADC 技术的某个子集是通过 Windows Server 操作系统来提供的。Exchange 拥有某些功能,可以为服务器安装准备 Active Directory 目录林和域(通过使用 ForestPrep 和 DomainPrep)。该准备过程的一部分涉及在 Active Directory 中设置 LocalSystem 服务的权限。由于可以在没有安装 Microsoft Exchange 2000 Server 或 Exchange Server 2003 的情况下使用 ADC,因此使用了一个单独的服务帐户来获得相同的功能。

ADC 服务帐户需要下列权限:

  • 目标 ADC 服务器上的本地 Administrators 组的成员,以便写入本地安全颁发机构(即 LSA)全局机密。
  • 如果在基于 Windows 2000 或 Windows Server 2003 但没有 Exchange 2000 Server 或 Exchange Server 2003 的环境中使用 ADC,则必须是 Enterprise Admins 组的成员。
  • 如果将 ADC 与 Exchange 2000 Server 或 Exchange Server 2003 而不仅仅是 Windows 2000 或 Windows Server 2003 一起使用,则必须是 Enterprise Admins 组的成员,或组织级别的 Exchange 管理员(完全控制)的角色。

有关 ADC 如何写入到 LSA 全局机密的详细信息,请参阅 Microsoft 知识库文章 253830“XADM: How the Active Directory Connector Stores Passwords”(英文)。

ADC 服务帐户需要有相应的权限才能修改 Active Directory 数据库中的 Exchange 配置信息,这是因为默认情况下没有为配置连接协议 (CCA) 设置凭据。因此,ADC 必须假定该服务帐户拥有进行 Active Directory 更改所需的所有权限。

如果要通过加入现有 Exchange Server 5.5 组织来部署 Exchange Server 2003,则可以首先安装 ADC。如果愿意,可以在进行初始安装时将 ADC 服务帐户放入 Enterprise Admins 组中,随后,在已安装第一个运行 Exchange Server 2003 的服务器以后,再委派正确的 Exchange 角色。然后,就可以从 Enterprise Admins 组中删除 ADC 服务帐户。

但是,如前所述,如果执行 Exchange Server 2003 Deployment Guide 中的最佳实践,则可以通过 Exchange 系统管理器管理委派向导将 Exchange 管理员(完全控制)权限授予 ADC 服务帐户。

ADC 服务帐户需要什么用户权利?

在成员服务器上,ADC 会配置 ADC 服务帐户,以便在成员服务器的本地安全策略中包含下列用户权利:

  • 作为操作系统的一部分
  • 作为服务登录
  • 生成安全审核
  • 还原文件和目录

如果将 ADC 安装在运行 Active Directory 的服务器上,则在“默认域控制器”组策略上配置这些用户权利。

note注意:
如果已在域控制器组织单位上实现了其他策略,则必须将这些权利添加到最高的可适用策略中。

是否可以在安装之后再更改 ADC 服务帐户的密码?

可以。若要更改密码,请参阅“如何更改 Active Directory 连接器服务帐户的密码”中文(简体)。

我需要什么权限才能创建连接协议?

您需要下列权限:

  • 对“CN=Microsoft Exchange,CN=Services,CN=Configuration, DC=your-domain-here”对象的读取权限
  • 对“CN=Active Directory Connections,CN=Microsoft Exchange,CN=Services,CN=Configuration, DC=your-domain-here”对象的完全控制权
  • 在要执行连接协议的 ADC 服务器上的本地 Administrators 组的成员身份。您需要该权限才能将密码安全地传输到 ADC 服务器。

通过使用 ADSI Edit (AdsiEdit.msc) MMC 管理单元,可以手动授予上述权限。如果不想手动授予权限,可以用下列用户角色来管理 ADC:

  • ADC 服务帐户
  • 在组织级别的 Exchange 管理员(完全控制)

我在 Active Directory 连接器中创建连接协议时,需要指定访问 Active Directory 和 Exchange Server 5.5 目录服务的凭据。该帐户需要什么权限?

您需要的权限是:

  • Exchange Server 5.5
    • Exchange Server 5.5 站点命名上下文的管理角色
    • Exchange Server 5.5 组织命名上下文的管理角色
  • Active Directory
    • (本地域的)Domain Admins
    • Exchange 2000 Server 组织的“Exchange 管理员(仅查看)”角色(以便能够正确展开 homeMDB 和 homeMTA 属性)
    • 如果有具有隐藏成员身份的任何 Exchange Server 5.5 通讯组列表,则必须是(本地域的)Account Operator。有关隐藏成员身份的详细信息,请参阅 Microsoft 知识库文章 321205“XADM: Hidden Group Membership Does Not Replicate to Exchange Server 5.5”(英文)。