常规问题

 

上一次修改主题: 2005-05-11

Exchange 2000 Server 中有没有应当加强安全性的区域?

如果某些 Exchange 管理员不可信赖,并且他们能够直接登录到 Exchange 服务器控制台,则应当实现 EDSLock 脚本,关于该脚本的讨论,请参阅 Microsoft 知识库文章 313807“XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group”(英文)。此操作将防止这些管理员提高他们的权限并登录到非本地邮箱。

在运行 Active Directory® 目录服务的服务器上部署 Exchange 2000 Server 时请小心。可以通过控制台来访问域控制器的管理员能够提高他们在 Active Directory 中的权限。由于这个原因和其他原因,建议您在成员服务器上部署 Exchange 2000 Server。有关限制权限的详细信息,请参阅 Design Considerations for Delegation of Administration in Active Directory(英文)。

您应当知道:在 Exchange 2000 Server 的 Service Pack 2 (SP2) 之前,在运行 Exchange 2000 Server 的服务器上属于本地“Administrators”组的帐户自动拥有代表组织中任何用户发送邮件的权限。

需要什么权限才能将运行 Exchange Server 5.5 的服务器升级到 Exchange 2000 Server?

运行 Exchange Server 5.5 的服务器必须安装在 Active Directory 域中运行 Microsoft Windows 2000 Server 的计算机上。您需要作为拥有下列权限的用户登录到 Active Directory:

  • Exchange Server 5.5
    • 在 Exchange Server 5.5 组织命名上下文中拥有 Admins 角色
    • 在 Exchange Server 5.5 站点命名上下文中拥有 Admins 角色
    • 在 Exchange Server 5.5 配置命名上下文中拥有 Admins 角色
  • Active Directory
    • 或者是 Exchange 管理员(完全控制)(在 ForestPrep 期间定义),或者是组织级别的委派 Exchange 管理员(完全控制)角色
    • 在目标升级服务器上本地 Administrators 组的成员

如果在 ForestPrep 期间选择加入现有 Exchange Server 5.5 组织,那么需要什么权限才能加入 Exchange Server 5.5 组织?

需要下列权限:

  • 在要加入的站点的 Exchange Server 5.5 站点命名上下文中拥有 Admins 角色
  • 在要加入的站点的 Exchange Server 5.5 配置命名上下文中拥有 Admins 角色

另外,您需要知道与您指定的服务器相关的站点的服务帐户名称和密码。如果 Exchange Server 5.5 服务帐户属于 Windows NT 4.0 域,则必须在目录林根域和包含 Exchange Server 5.5 服务帐户的域之间创建双向信任。

需要什么权限才能安装 Exchange 2000 Server 的 Service Pack?

在安装 Exchange 2000 Server 之后需要安装 Exchange 的 Service Pack。不存在包括 Service Pack 的集成 Exchange 安装程序。需要拥有下列权限才能应用 Service Pack:

  • 运行 Exchange 2000 Server 的服务器所在的管理组的 Exchange 管理员角色
  • 运行 Exchange 2000 Server 的目标服务器上的本地 Administrators 组的成员

有两个例外。第一,将 Exchange 2000 Server 群集或密钥管理服务升级到 Service Pack 2 时,需要有下列权限:

  • Exchange 管理员(完全控制)(在 ForestPrep 期间定义),或组织级别的委派的 Exchange 管理员(完全控制)角色
  • 目标服务器上的本地 Administrators 组的成员

第二个例外是如果要安装 Exchange 2000 Server 的 Service Pack 3 (SP3)。由于 Exchange 2000 Server 安装程序的 SP3 会修改 Exchange 配置容器中的协议对象的权利,因此您需要下列权限之一:

  • 组织级别的 Exchange 管理员(完全控制)角色,或
  • 运行 Exchange 2000 Server 的服务器所在的管理组的 Exchange 管理员(完全控制)角色

有关部署 Exchange 2000 Server 的 SP3 的详细信息,请参阅 Microsoft 知识库文章 326293“White Paper: Microsoft Exchange 2000 Server Service Pack 3 Deployment Guide”(英文)。

如果将我自己的用户帐户添加到“Exchange Domain Servers”组,将发生什么情况?

如果在同一个域中至少安装了一个运行 Exchange 2000 Server 的计算机,那么您将对组织和所有邮箱拥有巨大的权限。事实上,您可以使用您的帐户登录到组织中的任何邮箱。有趣的是,如果您的帐户还是 Domain Admin 或 Enterprise Admin,那么,默认情况下系统将拒绝您访问其他用户邮箱,因为每个 Exchange 数据库上都针对这些组中的用户设置了显式的拒绝访问控制条目。

如果您的域已经简单地进行了准备(通过 DomainPrep),并且该域中尚未安装运行 Exchange 2003 Server 的服务器,那么您不会获得打开其他用户邮箱的权限,并且您不会获得 Exchange 组织的任何权限。

若要增加组织的安全性,请考虑下列方法之一:

  • 使用 EDSlock 脚本防止来自任何域的“Exchange Domain Servers”组的成员访问非本地资源。有关此方法的详细信息,请参阅 Microsoft 知识库文章 313807“XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group”(英文)。
  • 将所有运行 Exchange 2000 Server 的服务器安装在目录林内单独的域中,让用户帐户和正常的域管理员无法访问。

另外,可能需要在两个特殊的组上设置“拒绝”访问控制条目 (ACE),以便让其他管理员无法更改其成员身份。

如果将我自己的用户帐户添加到“Exchange Enterprise Servers”组,将发生什么情况?

如果已在同一个域中至少安装了一个运行 Exchange 2000 Server 的计算机,那么您将对组织和所有邮箱拥有巨大的权限。的确,有了 Exchange 2000 Server,您可以使用您的帐户登录到组织中的任何邮箱。有趣的是,如果您的帐户还是 Domain Admin 或 Enterprise Admin,那么,系统将拒绝您访问(默认情况下)其他用户邮箱,因为每个 Exchange 数据库上都放置了针对这些组中的用户的显式拒绝访问控制条目。

如果您的域已经简单执行了准备工作(通过 DomainPrep),并且该域中尚未安装运行 Exchange 2000 Server 的服务器,那么您不会获得打开其他用户邮箱的权限,并且您不会获得 Exchange 组织的任何权限。

无论如何,Exchange 服务都将在下一次重新启动时从“Exchange Enterprise Servers”组中自动删除您的帐户。

 
显示: