Exchange 配置目录树中的对象的权限

 

上一次修改主题: 2006-03-29

cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在 ForestPrep 阶段

Authenticated Users

X

列出内容 读取所有属性

不适用

允许 DomainPrep 读取 Full Org Admins

指定的管理帐户

X

X

完全控制

不适用

允许 Full Org Admin 管理组织

在服务器安装期间

Exchange Domain Servers

X

X

读取权限 读取所有属性 列出内容

不适用

允许 Exchange 服务器读取配置信息

在 ADC 安装期间

Exchange 服务

X

X

完全控制

不适用

允许 ADC 服务器创建/删除对象,使 Exchange 配置保持最新。

cn=Active Directory Connections,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Exchange Domain Servers

X

X

完全控制

不适用

cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在 ForestPrep 阶段

Authenticated Users

X

读取所有属性 ACTRL_DS_LIST_OBJECT

不适用

允许 DomainPrep 读取 Full Org Admins。

指定的管理帐户

X

X

代理发送

不适用

不允许 Exchange 管理员打开邮箱。

指定的管理帐户

X

X

代理接收

不适用

不允许 Exchange 管理员打开邮箱。

在服务器安装期间

Enterprise Admins

X

X

代理发送

不适用

不允许 Windows NT 管理员打开邮箱。

Enterprise Admins

X

X

代理接收

不适用

不允许 Windows NT 管理员打开邮箱。

根域的 Domain Admins

X

X

代理发送

不适用

不允许 Windows NT 管理员打开邮箱。

根域的 Domain Admins

X

X

代理接收

不适用

不允许 Windows NT 管理员打开邮箱。

Everyone

X

X

创建顶级公用文件夹

不适用

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

Everyone

X

X

创建公用文件夹

不适用

Everyone

X

X

在信息存储中创建命名属性

不适用

Everyone

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:msExchPrivateMDB

Everyone

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:msExchPublicMDB

Everyone*

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:mTA

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

Anonymous Logon

X

X

创建顶级公用文件夹

不适用

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

Anonymous Logon

X

X

创建公用文件夹

不适用

在 Microsoft Windows Server 2003™ 中,“Everyone”不再包括“Anonymous Logon”,所以需要显式授予这些权利。

Anonymous Logon

X

X

在信息存储中创建命名属性

不适用

Anonymous Logon

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:msExchPrivateMDB

Anonymous Logon

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:msExchPublicMDB

Anonymous Logon

X

X

读取权限

读取所有属性

列出内容 ACTRL_DS_LIST_OBJECT

应用于对象类:mTA

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

Exchange Domain Servers

X

X

所有扩展权利

不适用

Exchange Domain Servers

X

X

创建所有子对象

不适用

Exchange Domain Servers

X

X

写入属性

属性集:公用信息

维护已启用邮件的配置对象(例如,MAD)。

Exchange Domain Servers

X

X

写入属性

属性集:个人信息

维护已启用邮件的配置对象(例如,MAD)。

Exchange Domain Servers

X

X

完全控制

应用于对象类:siteAddressing

启用站点复制服务时(禁用 SRS 时将删除 ACE)

MACHINE$

X

X

创建所有子对象 删除所有子对象 ACTRL_DS_LIST_OBJECT

不适用

SRS 必须能够创建/删除 admin 组。

cn=Address Lists Container,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Authenticated Users

X

X

列出内容

不适用

cn=Addressing,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Authenticated Users

X

X

列出内容 读取所有属性 读取权限

不适用

cn=Recipient Update Services,cn=Address Lists Container,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Exchange Domain Servers

X

X

完全控制

不适用

cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间(设置在属性 msExchPFDefaultAdminACL 上)

Authenticated Users

X

X

创建公用文件夹

不适用

cn=Public Folders,cn=All Folder Hierarchies,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间(设置在属性 msExchPFDefaultAdminACL 上)

Authenticated Users

X

X

创建公用文件夹

不适用

cn=Connections,cn=<routing group>,cn=Routing Groups,cn=<admin group>,cn=Administrative Groups,cn=<org>...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Exchange Domain Servers

X

X

完全控制

不适用

cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间,或在 Exchange ForestPrep 期间

Exchange Domain Servers

X

X

代理接收

不适用

没有服务器需要读取邮件(除了在它自己的 MDB 上以外)。

在服务器安装期间(在架构 defaultSecurityDescriptor 中定义的 ACE)

Authenticated Users

X

列出内容

不适用

cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间(如果服务器不是群集虚拟机)

MACHINE$

X

X

完全控制

不适用

服务器必须能够维护它的配置。

在服务器安装期间(如果服务器是群集虚拟机)

NODE1$ NODE2$ 等...

X

X

完全控制

不适用

拥有虚拟机 (VM) 的群集中的每个节点都必须能够维护 VM 配置。

Exchange Domain Servers

X

X

完全控制

不适用

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

VM 必须能够维护它自己的配置,但安装程序无法辨别要向哪个特定服务器授予控制权。

在服务器安装期间(在架构 defaultSecurityDescriptor 中定义的 ACE)

Authenticated Users

X

读取属性

不适用

运行 EDSLOCK 脚本时;Exchange ForestPrep 将删除 ACE

Exchange Domain Servers

X

X

代理接收

不适用

Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。

没有服务器需要读取邮件(除了在它自己的 MDB 上以外)。

cn=Protocols,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间

Everyone

X

X

列出内容

不适用

Everyone

X

X

读取元数据库属性

不适用

cn=Microsoft System Attendant,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间(设置在属性 msExchMailboxSecurityDescriptor 上)

LocalSystem

X

X

读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner

不适用

Exchange Domain Servers

X

X

读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner

不适用

5.5 服务帐户(如果提供)

X

X

读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner

不适用

cn=Microsoft MTA,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>...

 

帐户 A D I 权利 对属性/应用于 注释

在服务器安装期间或启用 SRS 时

5.5 服务帐户(如果提供)

X

X

代理发送

不适用

从运行 Exchange Server 5.5 的服务器发送/接收邮件时必需。

5.5 服务帐户(如果提供)

X

X

代理接收

不适用

从运行 Exchange Server 5.5 的服务器发送/接收邮件时必需。

 
显示: