准备旧版 Exchange 权限

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-11-21

从 Microsoft Exchange Server 2003 或 Exchange 2000 Server 转换为 Exchange Server 2007 时，必须先在每个已运行 Exchange 2003 或 Exchange 2000 DomainPrep 的域中授予特定的 Exchange 权限。为此，请运行 setup /PrepareLegacyExchangePermissions 命令。建议在 Active Directory 林的根域中运行 setup /PrepareLegacyExchangePermissions 命令。该命令可以在需要的 Exchange 2007 服务器或 Exchange 2007 管理工作站上运行。无论在哪里运行 setup /PrepareLegacyExchangePermissions 命令，安装程序必须可以与运行 Windows Server 2003 Service Pack 1 或更高版本的 Active Directory 目录服务器进行通信。

授予这些权限是准备 Active Directory 目录服务和 Exchange 2007 安装域时的一部分内容。有关详细说明，请参阅如何准备 Active Directory 和域。

本主题说明必须运行 setup /PrepareLegacyExchangePermissions 命令的原因、运行该命令的时间以及通过该命令在 Exchange 2007 组织中设置的权限。

运行 Setup /PrepareLegacyExchangePermissions 的原因

实际上，必须运行 setup /PrepareLegacyExchangePermissions 命令，这样在更新 Exchange 2007 的 Active Directory 架构之后，Exchange 2003 或 Exchange 2000 收件人更新服务才能正常运行。此部分介绍主要问题以及如何运行该命令解决此问题。

问题

在 Exchange Server 2003 和 Exchange 2000 Server 中，收件人更新服务会更新启用邮件的用户对象上的一些邮箱属性，如代理地址。因为运行收件人更新服务的服务器的计算机帐户（名为 <服务器名称>）位于 Exchange Enterprise Servers (EES) 组中，所以收件人更新服务具有修改这些属性的权限。运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 时会创建 EES 组。不必为收件人更新服务必须修改的每一个邮箱属性授予 EES 组权限，邮箱属性已按属性集组合在一起。运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 后，Exchange 会为 EES 组提供通过 Exchange 为 Active Directory 中的域容器设置的访问控制条目 (ACE) 来修改属性集的权限。

Exchange 2007 拥有新的预定义 Exchange 管理员角色，称为 Exchange 收件人管理员。此角色拥有管理所有用户电子邮件属性的权限。如果 Exchange 管理员是 Exchange 收件人管理员角色中的成员，则只能管理用户的电子邮件属性。若要启用此功能，Exchange 2007 必须将用户的一些电子邮件属性移动到称为“Exchange-Information 属性集”的属性集中。Exchange 在导入新 Exchange 2007 架构时，通过重新定义 Active Directory 中的属性架构来完成此移动。但是，旧版 EES 组没有对 Exchange-Information 属性集的权限。因此，在导入新 Exchange 2007 架构后，收件人更新服务将不再具有对用户电子邮件属性的权限，并且将正常停止运行。（例如，将不能为新建的 Exchange Server 2003 用户设置代理地址）。

解决方法

运行 setup /PrepareLegacyExchangePermissions 命令将使旧版收件人更新服务可以正常运行。在导入新 Exchange 2007 架构之前，Exchange 2007 必须在每个已运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 的域中授予新权限。setup /PrepareLegacyExchangePermissions 命令会授予这些新权限。在运行 setup /PrepareSchema 之前，必须运行 setup /PrepareLegacyExchangePermissions 并允许在 Exchange 组织中复制权限。运行 setup /PrepareLegacyExchangePermissions 的服务器会与本地全局编录服务器联系，通过查看 EES 和 Exchange Domain Servers (EDS) 组来查找已运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 的域。该服务器必须能够与运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 的林中的每个域通信。此外，用于运行 setup /PrepareLegacyExchangePermissions 的帐户必须具有分配给 Enterprise Admins 通用安全组 (USG) 的权限，这样才可以在每个域及 Exchange 组织中设置该帐户。

Setup /PrepareLegacyExchangePermissions 设置的权限

运行 setup /PrepareLegacyExchangePermissions 时会在林中查找包含 EES 组和 Exchange Domain Servers (EDS) 组的每一个域。对于包含这些组的每一个域，setup /PrepareLegacyExchangePermissions 会执行下列操作：

• 向域根目录访问控制列表 (ACL) 添加 ACE，以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。

• 向域根目录 ACL 添加 ACE，以便为通过身份验证的用户提供对 Exchange-Information 属性集的 READ_PROP 权限。

• 向域的 AdminSDHolder 容器添加 ACE，以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 和 READ_PROP 权限。

• 在 Exchange 组织容器 ACL 中添加 ACE，以便为 EDS 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。

再次运行 Setup /PrepareLegacyExchangePermissions

某些情况下，需要再次运行 setup /PrepareLegacyExchangePermissions：

• 有包含 Exchange Server 2003 或 Exchange 2000 Server 服务器的域，但尚未运行 DomainPrep

• 在林中添加了新域，并且要在此域中安装 Exchange Server 2003 或 Exchange 2000 Server

• 在新域或现有域中，启用邮箱的用户将登录到未运行 DomainPrep 的域中 Exchange Server 2003 或 Exchange 2000 Server 服务器上的邮箱。

在这些情况下，必须在运行 Exchange Server 2003 或 Exchange 2000 Server DomainPrep 后再次运行 setup /PrepareLegacyExchangePermissions。这样，Exchange Server 2003 或 Exchange 2000 Server 收件人更新服务可以在此域中正常运行。