修改 Exchange 2000 和 Exchange 2003 中的存储权限

 

上一次修改主题: 2005-05-18

以下两种主要应用程序可提供对 Microsoft® Exchange 安全描述符信息的访问权限:

  • Microsoft Outlook®,用户可以通过它对邮箱文件夹设置权限并可创建新的公用文件夹
  • Exchange 系统管理器,管理员通过它可以对公用文件夹和公用文件夹树设置权限
    note注意:
    Exchange 系统管理器还提供对邮箱和公用文件夹数据库的安全描述符的访问权限。但是,Exchange 对数据库使用标准 Windows 2000 安全描述符,并且没有任何特殊格式要求。
    important重要提示:
    也可以使用 ADSI Edit MMC 控制台查看 Active Directory® 目录服务中 Exchange 相关对象上的安全描述符。但是,如果您使用 ADSI Edit 更改这些安全描述符中存储的权限,ADSI Edit 将使用 Windows 2000 ACL 格式而不是 Exchange 规范 ACL 格式来保存这些权限。若要确保权限保留为 Exchange 所需的格式,请尽可能使用 Outlook 或 Exchange 系统管理器编辑权限。

有关通过编程的方法使用权限的信息,请参阅 Microsoft Exchange 软件开发工具包 (SDK) 的“关键任务”部分中的“安全性”主题。可以从 Exchange 开发人员中心下载或联机查看 Exchange SDK

邮箱对象的安全描述符同时位于 Exchange 存储和 Active Directory 的用户对象中。在用户对象中,使用特殊属性存储邮箱安全描述符。此属性使邮箱安全描述符与用户对象中的安全描述符分开,后者是普通 Windows 安全描述符。

当创建新的已启用邮箱的用户时,该邮箱将从邮箱数据库继承安全描述符。此安全描述符存储在 Active Directory 中。只有在用户首次打开邮箱以后,Exchange 存储才能实际创建邮箱,此时 Exchange 将在存储中创建安全描述符。新邮箱中的默认文件夹将从邮箱继承安全描述符。

用户可以使用 Outlook 修改其邮箱中文件夹或邮件的权限。有关详细说明,请参阅如何查看邮箱文件夹的权限

与邮箱一样,公用文件夹的安全描述符信息也同时位于 Exchange 存储和 Active Directory 中。不过,Exchange 管理公用文件夹的安全描述符的方式复杂得多。

下表列出 Exchange 放置公用文件夹信息的不同位置。

公用文件夹安全信息的位置

数据 位置 安全信息

公用文件夹对象

(每个文件夹对应一个对象,包括层次结构的顶级文件夹)

Exchange 存储

(公用文件夹数据库)

安全描述符

(用于每个文件夹对象的 ntsecuritydescriptorAdmindescriptor

文件夹层次结构对象

(每个层次结构对应一个对象,用于层次结构范围内的属性,如层次结构类型)

Active Directory

配置容器)

安全描述符

(用于每个层次结构对象的 ntsecuritydescriptorAdmindescriptor

其他安全属性

(尽管 Active Directory 不将其用作安全描述符,但这些属性具有在存储中创建新顶级文件夹对象的默认安全描述符所需的信息。)

公用文件夹代理对象

(每个已启用邮件的公用文件夹对应一个对象,用于保存公用文件夹的邮件属性)

Active Directory

容器)

安全描述符

(用于每个代理对象的 ntsecuritydescriptorAdmindescriptor

当在现有层次结构中创建新顶级公用文件夹时,Exchange 通过将文件夹层次结构对象的安全描述符与存储权限信息合并,创建文件夹的安全描述符。

作为 Exchange 管理员,您已熟悉由 Exchange 系统管理器提供的 Exchange 存储中的对象视图。这是通常用于修改存储中的对象权限的界面。有关详细说明,请参阅如何查看用于控制对公用文件夹进行客户端访问的权限

411b2e79-7731-4114-bc46-e7ff790bc8b7

在单击“客户端权限”之后,将出现两个不同对话框之一,这取决于正在使用的公用文件夹层次结构的类型。如果正在使用默认“公用文件夹”层次结构中的文件夹,则将看到包含 MAPI 权限和角色的对话框,如下图所示。

d095e2ac-8b32-4b05-9453-d007f8072ea8

如果正在使用应用程序公用文件夹层次结构中的文件夹,则将看到包含 Windows 2000 权限、用户和组的对话框,如下图所示。

9c19d56c-1cb2-4b91-bff4-73500aea42e6

还可以使用 Exchange 系统管理器查看默认“公用文件夹”层次结构中文件夹的 Windows 2000 版本的权限。有关详细说明,请参阅如何查看 Windows 2000 版本的 MAPI 权限

Caution警告:
虽然可以查看 Windows 2000 版本的默认“公用文件夹”层次结构权限,但请不要尝试在此视图中编辑权限。用于显示权限的 Windows 用户界面所采用的 ACL 格式使 Exchange 不能再将权限转换为 MAPI 格式。如果发生这种情况,则无法再使用 Outlook 或常规“Exchange 系统管理器”对话框来编辑权限。

当用户打开一个邮件时,该邮件将从文件夹安全描述符中动态继承邮件 ACE。如果文件夹安全描述符发生更改,则文件夹中新打开的所有邮件将立即继承安全描述符的更改,而已打开的邮件在保存之前则将保留其原来的安全描述符。已打开的邮件在保存之前仍保留其原始安全描述符。

Exchange 将附件(或嵌入邮件)的安全描述符存储在数据库中,但并不使用它。相反,Exchange 存储将对所有附加邮件使用最外部邮件的安全描述符。存储将保留附件的安全性,使得客户端能够向其他用户发送消息供调试之用。此外,如果用户将附加邮件复制到顶层文件夹,其安全描述符将立即生效。

通常,管理安全描述符遵循 Windows 2000 的格式和继承规则。

note注意:
数据库级管理任务,如移动用户、连接邮箱存储或公用文件夹存储以及断开邮箱存储或公用文件夹存储的连接,是由各自的数据库安全描述符即普通的 Windows 2000 安全描述符控制的。

Exchange 系统管理器不提供对用户邮箱的管理访问权限。使用 Active Directory 用户和计算机,可以对用户对象的 Exchange 相关属性执行管理任务。

公用文件夹的管理权限同时存储在 Exchange 存储(在每个对象的 admindescriptor 属性中)和 Active Directory 中。这些权限是 Active Directory 权限;将不涉及 MAPI 转换。

无论是修改默认层次结构中的公用文件夹的管理权限,还是修改应用程序层次结构中的公用文件夹的管理权限,您将使用普通用户界面 (UI) — Windows UI — 和一组普通权限,如下图所示。

4f696b75-b69f-4449-b82b-05c352b95511 9def3306-691c-4af5-9adc-fee7401d0e30

为了存储控制层次结构中所有文件夹的属性,在 Active Directory 中每个公用文件夹层次结构都具有“文件夹层次结构”对象。此对象存储的属性包括层次结构所在的 Exchange 存储的可分辨名称,以及层次结构的层次结构类型(MAPI 或应用程序)。

important重要提示:
文件夹层次结构对象的安全描述符包括的权限有创建公用文件夹权限,它可能会覆盖对层次结构中单个公用文件夹设置的权限。

Exchange 系统管理器通过显示每个公用文件夹层次结构的树对象,提供对一些此类信息的访问权限。还可以使用 ADSI Edit 查看 Active Directory 中的文件夹层次结构对象,如下图所示。

b0715730-d2f2-4e9d-b0d3-f9e802de9cab

在层次结构中新建一个顶级文件夹时,Exchange 存储从 Active Directory 中的文件夹层次结构对象复制管理安全描述符,并将其用作父管理安全描述符。对于其他所有文件夹,Exchange 存储从父文件夹复制管理安全描述符,并将其用作父管理安全描述符。

note注意:
当 Exchange 检查管理安全描述符时,将首先更新安全描述符中的已继承 ACE。Exchange 检索层次结构对象的当前管理安全描述符,并使用该信息来替换正在检查的管理安全描述符中的已继承信息。为涉及的文件夹显式设置的 ACE 将不受影响。
note注意:
如果部署包括 Exchange 2003 和 Exchange 5.5 两种服务器,并且涉及的文件夹位于 Exchange 5.5 服务器,则该文件夹将没有管理安全描述符。在这种情况下,如果文件夹未标记为“确保连接至站点”,或者如果文件夹的站点与当前站点相同,则存储将 Active Directory 中文件夹层次结构对象上的常规安全描述符用作管理安全描述符。

已启用邮件的公用文件夹使用特殊 Active Directory 对象来存储其邮箱属性,例如,自动生成的代理地址。每个已启用邮件的文件夹具有一个此类对象,并且对象名称与文件夹名称相同。下图显示了这些对象在 Active Directory 中的位置,可以使用 ADSI Edit 进行查看。

051786c0-8a21-4274-a57a-1ccf87d484bc

与公用文件夹树对象相同,无论此公用文件夹是属于 MAPI 树,还是属于应用程序树,公用文件夹代理对象的权限是相同的。此用户界面是标准 Windows UI。

有关详细说明,请参阅如何查看用于控制对已启用邮件的文件夹属性进行访问的权限

有关已启用邮件的公用文件夹的详细信息,请参阅 Exchange Server 2003 帮助或 Exchange Server 2003 Administration Guide(英文)。

 
显示: