在 Exchange 安装期间授予的权限
上一次修改主题: 2005-04-20
每个权限表均以应用它的对象的可分辨名称开头。然后,该表将列出何时应用该权利:例如,在安装服务器过程中的 ForestPrep 阶段。
在某些情况下,访问控制列表 (ACL) 不会应用于常见属性 (ntSecurityDescriptor),但会应用于其他某些属性,例如“msExchMailboxSecurityDescriptor”。目录服务无法强制执行未在 Microsoft® Windows NT 安全描述符中指定的安全性;大多数情况下,系统将复制这些 ACL,以便由存储服务在合适的对象上存储 ACL。遗憾的是,没有合适的工具可用来将这些 ACL 作为原始二进制数据以外的其他任何内容进行查看。
权限表的列如下所示:
- 帐户 被授予或拒绝权限的安全主体。
- A 如果这是允许访问控制条目 (ACE) 则选中它。
- D 如果这是拒绝 ACE 则选中它。允许和拒绝是互斥的。
- I 如果该 ACE 继承到子对象则选中它。
- 权利 如果该 ACE 继承到子对象则选中它
- 对属性/应用于 在某些情况下,权限只应用于给定的属性、属性集或对象类。如果这样,则在这里指定。
- 注释 需要此权限的原因,或有关权限的其他信息。
Microsoft Exchange Server 2003 安装程序所删除的权限将以双删除线字体(例如,双删除线)来表示。它们是在 Exchange 2000 Server 中设置的权限,但此后的安全模型已经不再推荐使用它们。
这些权限通常按特定名称在表中列出,在“查看/编辑”选项卡上的“高级”视图中的“ADSIEdit 安全性”属性页上会使用这些名称。“ADSIEdit 安全性”属性页会列出更多精简权利视图。LDP 工具 (Ldp.exe) 可以直接以数字值的形式显示访问权掩码。安装程序代码将按预定义的常量引用这些权利。
下表总结了这些值之间的关系。
值之间的关系
“ADSIEdit 摘要”页 | “ADSIEdit 高级”页, “查看/编辑”选项卡 | #define | 二进制值 (LDP 中的“掩码”) |
---|---|---|---|
完全控制 |
完全控制 |
WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD |
0x000F01FF |
读取 |
列出内容 + 读取所有属性 + 读取权限 |
ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL |
0x00020014 |
写入 |
写入所有属性 + 所有验证写入 |
ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF |
0x00000028 |
列出内容 |
ACTRL_DS_LIST |
0x00000004 |
|
读取所有属性 |
ACTRL_DS_READ_PROP |
0x00000010 |
|
写入所有属性 |
ACTRL_DS_WRITE_PROP |
0x00000020 |
|
删除 |
DELETE |
0x00010000 |
|
删除子目录树 |
ACTRL_DS_DELETE_TREE |
0x00000040 |
|
读取权限 |
READ_CONTROL |
0x00020000 |
|
修改权限 |
WRITE_DAC |
0x00040000 |
|
修改所有者 |
WRITE_OWNER |
0x00080000 |
|
所有验证写入 |
ACTRL_DS_SELF |
0x00000008 |
|
所有扩展权利 |
ACTRL_DS_CONTROL_ACCESS |
0x00000100 |
|
创建所有子对象 |
创建所有子对象 |
ACTRL_DS_CREATE_CHILD |
0x00000001 |
删除所有子对象 |
删除所有子对象 |
ACTRL_DS_DELETE_CHILD |
0x00000002 |
ACTRL_DS_LIST_OBJECT |
0x00000080 |
扩展权利是由各个应用程序指定的自定义权利。它们是在 ACL 中指定的,但它们对目录服务无意义;特定的应用程序会强制执行任何扩展权利。Exchange 扩展权利的示例是“创建公用文件夹”或“创建名为属性信息存储”。