Exchange 的可用权限

 

上一次修改主题: 2005-05-18

下面的部分列出了 Microsoft® Exchange 的不同可用权限。有关这些权限(如十六进制、访问掩码值)的详细信息,请参阅 Exchange Server 2003 TechCenter(英文)Microsoft Platform SDK(英文)中的 Microsoft Windows® 2000 或 Active Directory® 目录服务文档。

Exchange 在内部将这些特殊权限与所执行的初步检查结合使用,来控制对邮箱的访问。Exchange 不会将这些权限用于安全描述符。下表列出了这些特定于邮箱的权限。

特定于邮箱的权限

Exchange 权限 成员权限或 Windows 等效权限

fsdpermUserDeleteMailbox

DELETE

fsdpermUserMailboxOwner

 

fsdpermUserSendAs

 

fsdpermUserPrimaryUser

(与 Active Directory 中的主帐户 SID 结合使用)

sdpermUserGenericRead

STANDARD_RIGHTS_READ

sdpermUserGenericExecute

STANDARD_RIGHTS_EXECUTE

sdpermUserGenericWrite

STANDARD_RIGHTS_WRITE

fsdpermUserDeleteMailbox

sdpermUserGenericAll

STANDARD_RIGHTS_ALL

FsdpermUserMailboxOwner

FsdpermUserSendAs

fsdpermUserPrimaryUser

下表列出了用于 Microsoft Windows NT® 安全描述符的权限。有关这些权限的详细信息,请参阅 Microsoft Exchange 软件工具开发包 (SDK) 中“关键任务”部分下的“安全”主题。

无论文件夹驻留在邮箱里还是在公用文件夹层次结构中,该文件夹的 Windows NT 安全描述符中使用的权限都是相同的。下表列出了这些权限(“文件夹安全描述符中使用的标准 Windows 权限”表中列出的权限适用于整个 Windows 2000 中的对象)。

下表中的星号 (*) 表示 Exchange 特定的权限。

文件夹权限

显示名 权限 说明

列出内容

fsdrightListContents

与 FILE_LIST_DIRECTORY 相同。受信者可列出文件内容。

创建项目

fsdrightCreateItem

与 FILE_ADD_FILE 相同。受信者可将文件添加到文件夹。

创建容器

fsdrightCreateContainer

与 FILE_ADD_SUBDIRECTORY 相同。受信者可添加子文件夹。

读取属性

fsdrightReadProperty

与 FILE_READ_EA 相同。

写入属性

fsdrightWriteProperty

与 FILE_WRITE_EA 相同。

读取属性

fsdrightReadAttributes

与 FILE_READ_ATTRIBUTES 相同。保留供将来使用。

写入属性

fsdrightWriteAttributes

与 FILE_WRITE_ATTRIBUTES 相同。保留供将来使用。

写入自己的属性

fsdrightWriteOwnProperty *

受信者可修改他或她自己的项目。

删除自己的项目

fsdrightDeleteOwnItem

受信者可删除他或她自己的项目。

查看项目

fsdrightViewItem *

受信者可查看项目。

所有者

fsdrightOwner *

受信者是文件夹的所有者。此权限对应以前 Exchange 版本中的 frightsOwner 权限,为向后兼容而提供。

联系人

fsdrightContact *

出于安全性而不使用。标识用户为该文件夹的联系人。此权限对应以前 Exchange 版本中的 frightsContact 权限,为向后兼容而提供。

-

fsdrightReserved1

与 FILE_DELETE_CHILD 相同。当前未使用。

note注意:
权限 fsdrightReadProperty 和 fsdrightReadAttributes 相关联,所以总是一并被授予或拒绝。同样,fsdrightWriteProperty 和 fsdrightWriteAttributes 也总是一并被授予或拒绝。

用于文件夹安全性描述符的标准 Windows 权限

显示名 权限 成员权限或 Windows 等效权限

删除

fsdrightDelete

DELETE

读取权限

fsdrightReadControl

READ_CONTROL

更改权限

fsdrightWriteSD

WRITE_DAC

取得所有权

fsdrightWriteOwner

WRITE_OWNER

同步

fsdrightSynchronize

SYNCHRONIZE

-

sdrightsFolderOwner

fsdrightWriteProperty

fsdrightOwner

fsdrightWriteSD

fsdrightDelete

fsdrightWriteOwner

fsdrightWriteAttributes

这部分的表中列出了邮件权限。

邮件权限

显示名 权限 成员权限或 Windows 等效权限

读取正文

fsdrightReadBody

仅作用于邮件,与 FILE_READ_DATA 相同。

写入正文

fsdrightWriteBody

仅作用于邮件,与 FILE_WRITE_DATA 相同。

附加邮件

fsdrightAppendMsg

仅作用于邮件,与 FILE_WRITE_DATA 相同。受 IFS 约束。

读取属性

fsdrightReadProperty

与 FILE_READ_EA 相同。

写入属性

fsdrightWriteProperty

与 FILE_WRITE_EA 相同。

执行

fsdrightExecute

与 FILE_EXECUTE/FILE_TRAVERSE 相同。受 IFS 约束。

读取属性

fsdrightReadAttributes

与 FILE_READ_ATTRIBUTES 相同。当前未使用。

写入属性

fsdrightWriteAttributes

与 FILE_WRITE_ATTRIBUTES 相同。当前未使用。

写入自己的属性

fsdrightWriteOwnProperty

仅作用于邮件。

删除自己的项目

fsdrightDeleteOwnItem

仅作用于邮件。

查看项目

fsdrightViewItem

 

note注意:
权限 fsdrightReadProperty、fsdrightReadAttributes 和 fsdrightReadBody 互相关联,所以总是一并被授予或拒绝。同样,fsdrightWriteProperty、fsdrightWriteAttributes 和 fsdrightWriteBody 也总是一并被授予或拒绝。
note注意:
以下两个表中列出的权限不出现用户界面中。但是,它们可用于自定义应用程序。

用于邮件安全描述符的标准 Windows 权限

显示名 权限 成员权限或 Windows 等效权限

删除

fsdrightDelete

DELETE

读取权限

fsdrightReadControl

READ_CONTROL

更改权限

fsdrightWriteSD

WRITE_DAC

取得所有权

fsdrightWriteOwner

WRITE_OWNER

同步

fsdrightSynchronize

SYNCHRONIZE

note注意:
在下表中,Exchange 规范 ACL 的规定忽略了属于 sdrightsIgnored 权限的访问权限。因为 Exchange 存储忽略这些权限,所以它们存在与否不涉及 ACL 规范。

邮件权限组

权限 成员权限或 Windows 等效权限

sdrightsNone

 

sdrightsBestAccess

MAXIMUM_ALLOWED

sdrightsReadOnly

GENERIC_READ

sdrightsReadWrite

GENERIC_READ

GENERIC_WRITE

sdrightsGenericRead

fsdrightReadControl

fsdrightReadBody

fsdrightReadAttributes

fsdrightReadProperty

fsdrightViewItem

fsdrightSynchronize

sdrightsGenericWrite

fsdrightReadControl

fsdrightWriteBody

fsdrightWriteAttributes

fsdrightWriteProperty

fsdrightAppendMsg

fsdrightCreateItem

fsdrightDelete

fsdrightCreateContainer

fsdrightOwner

fsdrightSynchronize

fsdrightWriteSD

fsdrightWriteOwner

sdrightsGenericExecute

fsdrightReadControl

fsdrightReadAttributes

fsdrightExecute

fsdrightViewItem

fsdrightSynchronize

sdrightsGenericAll

fsdrightDelete

fsdrightReadProperty

fsdrightWriteProperty

fsdrightCreateItem

fsdrightCreateContainer

fsdrightReadControl

fsdrightWriteSD

fsdrightWriteOwner

fsdrightReadControl

fsdrightViewItem

fsdrightOwner

fsdrightWriteOwnProperty

fsdrightDeleteOwnItem

fsdrightSynchronize

fsdrightExecute

fsdrightReserved1

fsdrightReadAttributes

fsdrightWriteAttributes

fsdrightReadBody

fsdrightWriteBody

fsdrightSynchronize

fsdrightContact

sdrightsIgnored

fsdrightExecute

fsdrightAppendMsg

fsdrightContact

fsdrightReserved1

向后兼容的邮件权限

权限 成员权限

msgrightsGenericRead

sdrightsGenericRead

sdrightsItems

msgrightsGenericWrite

sdrightsGenericWrite

sdrightsItems

msgrightsGenericExecute

sdrightsGenericExecute

sdrightsItems

msgrightsGenericAll

sdrightsGenericAll

sdrightsItems

fldrightsGenericRead

sdrightsGenericRead

sdrightsFolders

fldrightsGenericWrite

sdrightsGenericWrite

sdrightsFolders

fldrightsGenericExecute

sdrightsGenericExecute

sdrightsFolders

fldrightsGenericAll

sdrightsGenericAll

sdrightsFolders

Exchange 提供附加控件值 EXCHANGE_RM_SET_EXPLICIT_SD,可以在安全描述符控制字段中设置该值。之后管理员可明确设置对象的安全描述符。有关设置 EXCHANGE_RM_SET_EXPLICIT_SD 的详细信息,请参阅 Windows XP API 文档。

除了标准 Windows 2000 权限,Exchange 还定义了一组与 Exchange 功能密切相关的扩展权限。下表列出了这些权限。

note注意:
信息存储中的“创建公用文件夹”、“创建顶级公用文件夹”以及“创建命名属性”权限适用于管理和非管理用户。

Exchange 定义和使用的扩展权限

显示名 公用名 (cn)

添加 PF 到管理组

ms-Exch-Add-PF-To-Admin-Group

Exchange 管理员

ms-Exch-Admin-Role-Administrator

Exchange 管理员(完全控制)

ms-Exch-Admin-Role-Full-Administrator

Exchange 公用文件夹只读管理员

ms-Exch-Admin-Role-Read-Only-Administrator

Exchange 公用文件夹服务

ms-Exch-Admin-Role-Service

创建公用文件夹

ms-Exch-Create-Public-Folder

创建顶级公用文件夹

ms-Exch-Create-Top-Level-Public-Folder

启用邮件的公用文件夹

ms-Exch-Mail-Enabled-Public-Folder

修改公用文件夹 ACL

ms-Exch-Modify-PF-ACL

修改公用文件夹管理 ACL

ms-Exch-Modify-PF-Admin-ACL

修改公用文件夹删除项目保留

ms-Exch-Modify-Public-Folder-Deleted-Item-Retention

修改公用文件夹过期

ms-Exch-Modify-Public-Folder-Expiry

修改公用文件夹配额

ms-Exch-Modify-Public-Folder-Quotas

修改公用文件夹副本列表

ms-Exch-Modify-Public-Folder-Replica-List

打开邮件发送队列

ms-Exch-Open-Send-Queue

读取元数据库属性

ms-Exch-Read-Metabase-Properties

从管理组删除 PF

ms-Exch-Remove-PF-From-Admin-Group

管理信息存储

ms-Exch-Store-Admin

在信息存储中创建命名属性

ms-Exch-Store-Create-Named-Properties

查看信息存储状态

ms-Exch-Store-Visible

代理发送

Send-As

代理接收

Receive-As

 
显示: