Exchange 配置目录树中的对象的权限
上一次修改主题: 2006-03-29
Microsoft Exchange 容器
cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在 ForestPrep 阶段 |
||||||
Authenticated Users |
X |
列出内容 读取所有属性 |
不适用 |
允许 DomainPrep 读取 Full Org Admins |
||
指定的管理帐户 |
X |
X |
完全控制 |
不适用 |
允许 Full Org Admin 管理组织 |
|
在服务器安装期间 |
||||||
Exchange Domain Servers |
X |
X |
读取权限 读取所有属性 列出内容 |
不适用 |
允许 Exchange 服务器读取配置信息 |
|
在 ADC 安装期间 |
||||||
Exchange 服务 |
X |
X |
完全控制 |
不适用 |
允许 ADC 服务器创建/删除对象,使 Exchange 配置保持最新。 |
ADC 连接协议容器
cn=Active Directory Connections,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Exchange Domain Servers |
X |
X |
完全控制 |
不适用 |
无 |
组织容器
cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在 ForestPrep 阶段 |
||||||
Authenticated Users |
X |
读取所有属性 ACTRL_DS_LIST_OBJECT |
不适用 |
允许 DomainPrep 读取 Full Org Admins。 |
||
指定的管理帐户 |
X |
X |
代理发送 |
不适用 |
不允许 Exchange 管理员打开邮箱。 |
|
指定的管理帐户 |
X |
X |
代理接收 |
不适用 |
不允许 Exchange 管理员打开邮箱。 |
|
在服务器安装期间 |
||||||
Enterprise Admins |
X |
X |
代理发送 |
不适用 |
不允许 Windows NT 管理员打开邮箱。 |
|
Enterprise Admins |
X |
X |
代理接收 |
不适用 |
不允许 Windows NT 管理员打开邮箱。 |
|
根域的 Domain Admins |
X |
X |
代理发送 |
不适用 |
不允许 Windows NT 管理员打开邮箱。 |
|
根域的 Domain Admins |
X |
X |
代理接收 |
不适用 |
不允许 Windows NT 管理员打开邮箱。 |
|
Everyone |
X |
X |
创建顶级公用文件夹 |
不适用 |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 |
|
Everyone |
X |
X |
创建公用文件夹 |
不适用 |
无 |
|
Everyone |
X |
X |
在信息存储中创建命名属性 |
不适用 |
无 |
|
Everyone |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:msExchPrivateMDB |
无 |
|
Everyone |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:msExchPublicMDB |
无 |
|
Everyone* |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:mTA |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 |
|
Anonymous Logon |
X |
X |
创建顶级公用文件夹 |
不适用 |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 |
|
Anonymous Logon |
X |
X |
创建公用文件夹 |
不适用 |
在 Microsoft Windows Server 2003™ 中,“Everyone”不再包括“Anonymous Logon”,所以需要显式授予这些权利。 |
|
Anonymous Logon |
X |
X |
在信息存储中创建命名属性 |
不适用 |
无 |
|
Anonymous Logon |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:msExchPrivateMDB |
无 |
|
Anonymous Logon |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:msExchPublicMDB |
无 |
|
Anonymous Logon |
X |
X |
读取权限 读取所有属性 列出内容 ACTRL_DS_LIST_OBJECT |
应用于对象类:mTA |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 |
|
Exchange Domain Servers |
X |
X |
所有扩展权利 |
不适用 |
无 |
|
Exchange Domain Servers |
X |
X |
创建所有子对象 |
不适用 |
无 |
|
Exchange Domain Servers |
X |
X |
写入属性 |
属性集:公用信息 |
维护已启用邮件的配置对象(例如,MAD)。 |
|
Exchange Domain Servers |
X |
X |
写入属性 |
属性集:个人信息 |
维护已启用邮件的配置对象(例如,MAD)。 |
|
Exchange Domain Servers |
X |
X |
完全控制 |
应用于对象类:siteAddressing |
无 |
|
启用站点复制服务时(禁用 SRS 时将删除 ACE) |
||||||
MACHINE$ |
X |
X |
创建所有子对象 删除所有子对象 ACTRL_DS_LIST_OBJECT |
不适用 |
SRS 必须能够创建/删除 admin 组。 |
地址列表容器
cn=Address Lists Container,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Authenticated Users |
X |
X |
列出内容 |
不适用 |
无 |
寻址容器
cn=Addressing,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Authenticated Users |
X |
X |
列出内容 读取所有属性 读取权限 |
不适用 |
无 |
收件人更新服务容器
cn=Recipient Update Services,cn=Address Lists Container,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Exchange Domain Servers |
X |
X |
完全控制 |
不适用 |
无 |
管理组
cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services,cn=Configuration,dc=<domain>
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间(设置在属性 msExchPFDefaultAdminACL 上) |
||||||
Authenticated Users |
X |
X |
创建公用文件夹 |
不适用 |
无 |
默认顶级层次结构
cn=Public Folders,cn=All Folder Hierarchies,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间(设置在属性 msExchPFDefaultAdminACL 上) |
||||||
Authenticated Users |
X |
X |
创建公用文件夹 |
不适用 |
无 |
连接容器
cn=Connections,cn=<routing group>,cn=Routing Groups,cn=<admin group>,cn=Administrative Groups,cn=<org>...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Exchange Domain Servers |
X |
X |
完全控制 |
不适用 |
无 |
服务器容器
cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间,或在 Exchange ForestPrep 期间 |
||||||
Exchange Domain Servers |
X |
X |
代理接收 |
不适用 |
没有服务器需要读取邮件(除了在它自己的 MDB 上以外)。 |
|
在服务器安装期间(在架构 defaultSecurityDescriptor 中定义的 ACE) |
||||||
Authenticated Users |
X |
列出内容 |
不适用 |
无 |
服务器对象
cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange,cn=Services...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间(如果服务器不是群集虚拟机) |
||||||
MACHINE$ |
X |
X |
完全控制 |
不适用 |
服务器必须能够维护它的配置。 |
|
在服务器安装期间(如果服务器是群集虚拟机) |
||||||
NODE1$ NODE2$ 等... |
X |
X |
完全控制 |
不适用 |
拥有虚拟机 (VM) 的群集中的每个节点都必须能够维护 VM 配置。 |
|
Exchange Domain Servers |
X |
X |
完全控制 |
不适用 |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 VM 必须能够维护它自己的配置,但安装程序无法辨别要向哪个特定服务器授予控制权。 |
|
在服务器安装期间(在架构 defaultSecurityDescriptor 中定义的 ACE) |
||||||
Authenticated Users |
X |
读取属性 |
不适用 |
无 |
||
运行 EDSLOCK 脚本时;Exchange ForestPrep 将删除 ACE |
||||||
Exchange Domain Servers |
X |
X |
代理接收 |
不适用 |
Exchange Server 2003 安装程序已经删除此权限。此权限是在 Exchange 2000 Server 中设置的,但不推荐在以后的安全模型中使用它。 没有服务器需要读取邮件(除了在它自己的 MDB 上以外)。 |
协议容器
cn=Protocols,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>,cn=Microsoft Exchange...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间 |
||||||
Everyone |
X |
X |
列出内容 |
不适用 |
无 |
|
Everyone |
X |
X |
读取元数据库属性 |
不适用 |
无 |
系统助理对象
cn=Microsoft System Attendant,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间(设置在属性 msExchMailboxSecurityDescriptor 上) |
||||||
LocalSystem |
X |
X |
读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner |
不适用 |
无 |
|
Exchange Domain Servers |
X |
X |
读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner |
不适用 |
无 |
|
5.5 服务帐户(如果提供) |
X |
X |
读取权限 fsdspermUserSendAs fsdspermUserMailboxOwner |
不适用 |
无 |
MTA 对象
cn=Microsoft MTA,cn=<server>,cn=Servers,cn=<admin group>,cn=Administrative Groups,cn=<org>...
| 帐户 | A | D | I | 权利 | 对属性/应用于 | 注释 |
|---|---|---|---|---|---|---|
在服务器安装期间或启用 SRS 时 |
||||||
5.5 服务帐户(如果提供) |
X |
X |
代理发送 |
不适用 |
从运行 Exchange Server 5.5 的服务器发送/接收邮件时必需。 |
|
5.5 服务帐户(如果提供) |
X |
X |
代理接收 |
不适用 |
从运行 Exchange Server 5.5 的服务器发送/接收邮件时必需。 |