在 Exchange 安装期间授予的权限

 

上一次修改主题: 2005-04-20

每个权限表均以应用它的对象的可分辨名称开头。然后,该表将列出何时应用该权利:例如,在安装服务器过程中的 ForestPrep 阶段。

在某些情况下,访问控制列表 (ACL) 不会应用于常见属性 (ntSecurityDescriptor),但会应用于其他某些属性,例如“msExchMailboxSecurityDescriptor”。目录服务无法强制执行未在 Microsoft® Windows NT 安全描述符中指定的安全性;大多数情况下,系统将复制这些 ACL,以便由存储服务在合适的对象上存储 ACL。遗憾的是,没有合适的工具可用来将这些 ACL 作为原始二进制数据以外的其他任何内容进行查看。

权限表的列如下所示:

  • 帐户 被授予或拒绝权限的安全主体。
  • A 如果这是允许访问控制条目 (ACE) 则选中它。
  • D 如果这是拒绝 ACE 则选中它。允许和拒绝是互斥的。
  • I 如果该 ACE 继承到子对象则选中它。
  • 权利 如果该 ACE 继承到子对象则选中它
  • 对属性/应用于 在某些情况下,权限只应用于给定的属性、属性集或对象类。如果这样,则在这里指定。
  • 注释 需要此权限的原因,或有关权限的其他信息。

Microsoft Exchange Server 2003 安装程序所删除的权限将以双删除线字体(例如,双删除线)来表示。它们是在 Exchange 2000 Server 中设置的权限,但此后的安全模型已经不再推荐使用它们。

这些权限通常按特定名称在表中列出,在“查看/编辑”选项卡上的“高级”视图中的“ADSIEdit 安全性”属性页上会使用这些名称。“ADSIEdit 安全性”属性页会列出更多精简权利视图。LDP 工具 (Ldp.exe) 可以直接以数字值的形式显示访问权掩码。安装程序代码将按预定义的常量引用这些权利。

下表总结了这些值之间的关系。

值之间的关系

“ADSIEdit 摘要”页 “ADSIEdit 高级”页, “查看/编辑”选项卡 #define 二进制值 (LDP 中的“掩码”)

完全控制

完全控制

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

读取

列出内容 + 读取所有属性 + 读取权限

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

写入

写入所有属性 + 所有验证写入

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

列出内容

ACTRL_DS_LIST

0x00000004

读取所有属性

ACTRL_DS_READ_PROP

0x00000010

写入所有属性

ACTRL_DS_WRITE_PROP

0x00000020

删除

DELETE

0x00010000

删除子目录树

ACTRL_DS_DELETE_TREE

0x00000040

读取权限

READ_CONTROL

0x00020000

修改权限

WRITE_DAC

0x00040000

修改所有者

WRITE_OWNER

0x00080000

所有验证写入

ACTRL_DS_SELF

0x00000008

所有扩展权利

ACTRL_DS_CONTROL_ACCESS

0x00000100

创建所有子对象

创建所有子对象

ACTRL_DS_CREATE_CHILD

0x00000001

删除所有子对象

删除所有子对象

ACTRL_DS_DELETE_CHILD

0x00000002

ACTRL_DS_LIST_OBJECT

0x00000080

扩展权利是由各个应用程序指定的自定义权利。它们是在 ACL 中指定的,但它们对目录服务无意义;特定的应用程序会强制执行任何扩展权利。Exchange 扩展权利的示例是“创建公用文件夹”或“创建名为属性信息存储”。

 
显示: