Exchange 2000 和 Exchange 2003 中的存储权限的使用方法简介
上一次修改主题: 2005-05-26
本指南说明 Microsoft® Exchange Server 2003 和 Microsoft Exchange 2000 Server 使用权限对访问 Exchange 存储(公用文件夹数据库和邮箱数据库)中的对象进行控制的过程。
.gif "note") 注意: |
|---|
| 为避免重复说明 Exchange Server 2003 和 Exchange 2000 Server,本指南中的文本具体说明 Exchange 2003。虽然本文没有专门说明 Exchange 2003 和 Exchange 2000 两个版本,但所有信息对这两个版本均适用。 |
您将从本指南中学到哪些知识?
本指南提供关于下列问题的详细回答:
- 打开文件夹或邮件时,Exchange 通过检查哪些内容来确定我是否拥有访问权?此信息来自何处?
- Exchange 存储权限与 Microsoft Active Directory® 目录服务中的权限,以及 Microsoft Windows®
- Exchange 使用多少组权限,每组权限的功能是什么?
- 在这些权限组中,哪些权限组相互关联,Exchange 如何将信息从一种形式转换为另一种形式?
- 为什么 Exchange 提供若干种不同的用户界面来查看权限,各个界面为什么不同?
- 应使用哪个界面设置特定类型的权限?永远也不要使用哪些界面?
- 如果要更改权限,应保留哪些设置,Exchange 才能正常工作?
本指南面向的读者
本指南面向高级 Exchange 管理员。本指南深入说明 Exchange 用来控制对 Exchange 存储中的对象进行访问的过程。
本指南中使用了哪些术语?
要理解本指南,请确保已熟悉“Windows 2000 资源工具包”的 Distributed Systems Guide(英文)卷中的下列术语。
- 访问控制条目 (ACE)
访问控制列表 (ACL) 中的一个条目,包含用户或组的安全 ID (SID) 和访问掩码(用于指定允许、拒绝或审核该用户或组所执行的操作)。
- 访问控制列表 (ACL)
应用于整个对象、一组对象属性或对象个别属性的安全保护列表。访问控制列表有两类:随机访问控制列表和系统访问控制列表。
- 访问令牌
一种包含特定安全信息的数据结构,这些安全信息用于标识运行 Windows 2000 或 Windows NT 的计算机上的安全子系统的用户。访问令牌包含用户的安全 ID、用户所属组的安全 ID 以及本地计算机上的用户特权列表。
- 随机访问控制列表 (DACL)
对象的安全描述符的一部分,用于授予或拒绝特定用户和组对此对象的访问权限。只有对象的所有者可以更改在 DACL 中授予或拒绝的权限;因此对该对象的访问权由所有者决定。
- 权限
与对象关联并且规定可访问该对象的用户及访问方式的规则。权限由对象的所有者授予或拒绝。
- 安全描述符
包含与受保护对象关联的安全信息的数据结构。安全描述符包括有关对象所有者、可访问该对象的用户及访问方式以及要审核的访问类型的信息。
- 安全 ID (SID)
唯一地标识企业内部用户、组、服务和计算机帐户的数据结构,其长度不确定。在第一次创建帐户时为此帐户颁发一个 SID。Windows 2000 中的访问控制机制通过 SID 而不是名称来标识安全主体。
- 安全主体
帐户的持有者,例如用户、计算机或服务。通过唯一的安全 ID (SID) 标识 Windows 2000 域中的各个安全主体。当安全主体登录到运行 Windows 2000 的计算机时,本地安全机构 (LSA) 将验证安全主体的帐户名和密码。如果登录成功,系统将创建访问令牌。对此安全主体执行的每个进程都将拥有其访问令牌的副本。
- 系统访问控制列表 (SACL)
对象的安全描述符的一部分,指定对于每用户或组要审核的事件。审核事件的示例包括文件访问、登录尝试和系统关闭。
有关 Microsoft Windows 2000 安全概念的详细信息,请参阅“Microsoft Windows 2000 资源工具包”的 Distributed Systems Guide(英文)卷第 12 章中的“Access Control”。
背景
由于可围绕 Exchange 部署分发 Exchange 数据,并且为了与 Exchange 早期版本保持向后兼容性,Exchange Server 2003 中的访问控制并不简单。
分布式数据的效果
通过使用 Exchange Server 2003 的体系结构,可以在不同服务器上设置多个邮箱数据库和公用文件夹数据库。Exchange 2003 还将存储有关 Active Directory 中用户的一些信息(而不是像 Exchange 5.5 一样使用自己的目录)。例如,请参见下图中 Exchange 2003 的部署示例。此部署包括一个域控制器、一个邮箱服务器和两个公用文件夹服务器。此图指出各服务器上将存储的数据。控制对 Exchange 用户信息、邮箱、文件夹和邮件的访问通常涉及控制对几种不同服务器上数据的访问。
| 注意: |
|---|
| 由于 Exchange 前端服务器不存储用户、邮箱、文件夹或邮件的数据,因此图中没有显示。 |
.gif "f776b2b2-d018-4b38-acf5-312a9ab6550a")
向后兼容的效果
Exchange 2003 使用 Windows 2000 安全模型。所有对象(不管处于 Windows 文件系统还是 Active Directory 中)都具有访问控制列表 (ACL),在这些 ACL 中,Active Directory 中的用户和组用作安全主体。Exchange 将此模型扩展到 Exchange 存储:Exchange 存储中的每个对象所使用的 ACL 的安全主体为 Active Directory 中的用户和组。这与 Exchange 5.5 有所不同,在 Exchange 5.5 中,Exchange 使用自己的轻型目录访问协议 (LDAP) 目录作为 Exchange 对象所使用的安全主体。
Exchange 存储中对象的 ACL 使用 Windows 2000 权限来控制访问(包含特定于 Exchange 的几种附加权限)。这是与 Exchange 5.5 的另一个不同之处,在 Exchange 5.5 中,ACL 使用邮件应用编程接口 (MAPI) 权限。但是,下列情况下 Exchange 2003 将用 MAPI 权限代替 Windows 2000 权限:
- 与基于 MAPI 的客户端应用程序(如 Outlook)通信时。
- 在同时包含运行 Exchange 5.5 和运行 Exchange 2003 的服务器的部署中向 Exchange 5.5 服务器复制数据时。
| 注意: |
|---|
| 这两种情况都适用于邮箱,也都适用于默认“公用文件夹”层次结构中的公用文件夹(以及该层次结构中包含的所有文件夹和邮件)。应用程序公用文件夹层次结构中的文件夹和邮件不能被基于 MAPI 的客户端访问,并且不能被复制到 Exchange 5.5 服务器。因此,Exchange 始终将 Windows 2000 权限用于这些文件夹和邮件。 |
Exchange 自动处理 Windows 2000 权限和 MAPI 权限之间的所有转换。但是,作为管理员,您应该知道在使用 Exchange 系统管理器设置权限时,可能需要使用 Windows 2000 权限或 MAPI 权限,这取决于您所保护对象的类型。
本指南包括有关此访问控制过程的工作方式的详细信息,包括有关 Exchange 对 Windows 2000 安全模型所做的修改(目的是将此模型应用于 Exchange 存储中的对象)的信息。本指南还介绍了 Exchange 何时以及如何将 Windows 2000 权限转换为 MAPI 权限(或将 MAPI 权限转换回 Windows 2000 权限)。