Exchange 的可用权限
上一次修改主题: 2005-05-18
下面的部分列出了 Microsoft® Exchange 的不同可用权限。有关这些权限(如十六进制、访问掩码值)的详细信息,请参阅 Exchange Server 2003 TechCenter(英文)或 Microsoft Platform SDK(英文)中的 Microsoft Windows® 2000 或 Active Directory® 目录服务文档。
特殊权限
Exchange 在内部将这些特殊权限与所执行的初步检查结合使用,来控制对邮箱的访问。Exchange 不会将这些权限用于安全描述符。下表列出了这些特定于邮箱的权限。
特定于邮箱的权限
Exchange 权限 | 成员权限或 Windows 等效权限 |
---|---|
fsdpermUserDeleteMailbox |
DELETE |
fsdpermUserMailboxOwner |
|
fsdpermUserSendAs |
|
fsdpermUserPrimaryUser |
(与 Active Directory 中的主帐户 SID 结合使用) |
sdpermUserGenericRead |
STANDARD_RIGHTS_READ |
sdpermUserGenericExecute |
STANDARD_RIGHTS_EXECUTE |
sdpermUserGenericWrite |
STANDARD_RIGHTS_WRITE fsdpermUserDeleteMailbox |
sdpermUserGenericAll |
STANDARD_RIGHTS_ALL FsdpermUserMailboxOwner FsdpermUserSendAs fsdpermUserPrimaryUser |
用于 Windows NT 安全描述符的权限
下表列出了用于 Microsoft Windows NT® 安全描述符的权限。有关这些权限的详细信息,请参阅 Microsoft Exchange 软件工具开发包 (SDK) 中“关键任务”部分下的“安全”主题。
邮箱文件夹和公用文件夹的权限
无论文件夹驻留在邮箱里还是在公用文件夹层次结构中,该文件夹的 Windows NT 安全描述符中使用的权限都是相同的。下表列出了这些权限(“文件夹安全描述符中使用的标准 Windows 权限”表中列出的权限适用于整个 Windows 2000 中的对象)。
下表中的星号 (*) 表示 Exchange 特定的权限。
文件夹权限
显示名 | 权限 | 说明 |
---|---|---|
列出内容 |
fsdrightListContents |
与 FILE_LIST_DIRECTORY 相同。受信者可列出文件内容。 |
创建项目 |
fsdrightCreateItem |
与 FILE_ADD_FILE 相同。受信者可将文件添加到文件夹。 |
创建容器 |
fsdrightCreateContainer |
与 FILE_ADD_SUBDIRECTORY 相同。受信者可添加子文件夹。 |
读取属性 |
fsdrightReadProperty |
与 FILE_READ_EA 相同。 |
写入属性 |
fsdrightWriteProperty |
与 FILE_WRITE_EA 相同。 |
读取属性 |
fsdrightReadAttributes |
与 FILE_READ_ATTRIBUTES 相同。保留供将来使用。 |
写入属性 |
fsdrightWriteAttributes |
与 FILE_WRITE_ATTRIBUTES 相同。保留供将来使用。 |
写入自己的属性 |
fsdrightWriteOwnProperty * |
受信者可修改他或她自己的项目。 |
删除自己的项目 |
fsdrightDeleteOwnItem |
受信者可删除他或她自己的项目。 |
查看项目 |
fsdrightViewItem * |
受信者可查看项目。 |
所有者 |
fsdrightOwner * |
受信者是文件夹的所有者。此权限对应以前 Exchange 版本中的 frightsOwner 权限,为向后兼容而提供。 |
联系人 |
fsdrightContact * |
出于安全性而不使用。标识用户为该文件夹的联系人。此权限对应以前 Exchange 版本中的 frightsContact 权限,为向后兼容而提供。 |
- |
fsdrightReserved1 |
与 FILE_DELETE_CHILD 相同。当前未使用。 |
注意: |
---|
权限 fsdrightReadProperty 和 fsdrightReadAttributes 相关联,所以总是一并被授予或拒绝。同样,fsdrightWriteProperty 和 fsdrightWriteAttributes 也总是一并被授予或拒绝。 |
用于文件夹安全性描述符的标准 Windows 权限
显示名 | 权限 | 成员权限或 Windows 等效权限 |
---|---|---|
删除 |
fsdrightDelete |
DELETE |
读取权限 |
fsdrightReadControl |
READ_CONTROL |
更改权限 |
fsdrightWriteSD |
WRITE_DAC |
取得所有权 |
fsdrightWriteOwner |
WRITE_OWNER |
同步 |
fsdrightSynchronize |
SYNCHRONIZE |
- |
sdrightsFolderOwner |
fsdrightWriteProperty fsdrightOwner fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes |
邮件权限
这部分的表中列出了邮件权限。
邮件权限
显示名 | 权限 | 成员权限或 Windows 等效权限 |
---|---|---|
读取正文 |
fsdrightReadBody |
仅作用于邮件,与 FILE_READ_DATA 相同。 |
写入正文 |
fsdrightWriteBody |
仅作用于邮件,与 FILE_WRITE_DATA 相同。 |
附加邮件 |
fsdrightAppendMsg |
仅作用于邮件,与 FILE_WRITE_DATA 相同。受 IFS 约束。 |
读取属性 |
fsdrightReadProperty |
与 FILE_READ_EA 相同。 |
写入属性 |
fsdrightWriteProperty |
与 FILE_WRITE_EA 相同。 |
执行 |
fsdrightExecute |
与 FILE_EXECUTE/FILE_TRAVERSE 相同。受 IFS 约束。 |
读取属性 |
fsdrightReadAttributes |
与 FILE_READ_ATTRIBUTES 相同。当前未使用。 |
写入属性 |
fsdrightWriteAttributes |
与 FILE_WRITE_ATTRIBUTES 相同。当前未使用。 |
写入自己的属性 |
fsdrightWriteOwnProperty |
仅作用于邮件。 |
删除自己的项目 |
fsdrightDeleteOwnItem |
仅作用于邮件。 |
查看项目 |
fsdrightViewItem |
|
注意: |
---|
权限 fsdrightReadProperty、fsdrightReadAttributes 和 fsdrightReadBody 互相关联,所以总是一并被授予或拒绝。同样,fsdrightWriteProperty、fsdrightWriteAttributes 和 fsdrightWriteBody 也总是一并被授予或拒绝。 |
注意: |
---|
以下两个表中列出的权限不出现用户界面中。但是,它们可用于自定义应用程序。 |
用于邮件安全描述符的标准 Windows 权限
显示名 | 权限 | 成员权限或 Windows 等效权限 |
---|---|---|
删除 |
fsdrightDelete |
DELETE |
读取权限 |
fsdrightReadControl |
READ_CONTROL |
更改权限 |
fsdrightWriteSD |
WRITE_DAC |
取得所有权 |
fsdrightWriteOwner |
WRITE_OWNER |
同步 |
fsdrightSynchronize |
SYNCHRONIZE |
注意: |
---|
在下表中,Exchange 规范 ACL 的规定忽略了属于 sdrightsIgnored 权限的访问权限。因为 Exchange 存储忽略这些权限,所以它们存在与否不涉及 ACL 规范。 |
邮件权限组
权限 | 成员权限或 Windows 等效权限 |
---|---|
sdrightsNone |
|
sdrightsBestAccess |
MAXIMUM_ALLOWED |
sdrightsReadOnly |
GENERIC_READ |
sdrightsReadWrite |
GENERIC_READ GENERIC_WRITE |
sdrightsGenericRead |
fsdrightReadControl fsdrightReadBody fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize |
sdrightsGenericWrite |
fsdrightReadControl fsdrightWriteBody fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg fsdrightCreateItem fsdrightDelete fsdrightCreateContainer fsdrightOwner fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner |
sdrightsGenericExecute |
fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightViewItem fsdrightSynchronize |
sdrightsGenericAll |
fsdrightDelete fsdrightReadProperty fsdrightWriteProperty fsdrightCreateItem fsdrightCreateContainer fsdrightReadControl fsdrightWriteSD fsdrightWriteOwner fsdrightReadControl fsdrightViewItem fsdrightOwner fsdrightWriteOwnProperty fsdrightDeleteOwnItem fsdrightSynchronize fsdrightExecute fsdrightReserved1 fsdrightReadAttributes fsdrightWriteAttributes fsdrightReadBody fsdrightWriteBody fsdrightSynchronize fsdrightContact |
sdrightsIgnored |
fsdrightExecute fsdrightAppendMsg fsdrightContact fsdrightReserved1 |
向后兼容的邮件权限
权限 | 成员权限 |
---|---|
msgrightsGenericRead |
sdrightsGenericRead sdrightsItems |
msgrightsGenericWrite |
sdrightsGenericWrite sdrightsItems |
msgrightsGenericExecute |
sdrightsGenericExecute sdrightsItems |
msgrightsGenericAll |
sdrightsGenericAll sdrightsItems |
fldrightsGenericRead |
sdrightsGenericRead sdrightsFolders |
fldrightsGenericWrite |
sdrightsGenericWrite sdrightsFolders |
fldrightsGenericExecute |
sdrightsGenericExecute sdrightsFolders |
fldrightsGenericAll |
sdrightsGenericAll sdrightsFolders |
Exchange 提供附加控件值 EXCHANGE_RM_SET_EXPLICIT_SD,可以在安全描述符控制字段中设置该值。之后管理员可明确设置对象的安全描述符。有关设置 EXCHANGE_RM_SET_EXPLICIT_SD 的详细信息,请参阅 Windows XP API 文档。
用于管理安全描述符的权限
除了标准 Windows 2000 权限,Exchange 还定义了一组与 Exchange 功能密切相关的扩展权限。下表列出了这些权限。
注意: |
---|
信息存储中的“创建公用文件夹”、“创建顶级公用文件夹”以及“创建命名属性”权限适用于管理和非管理用户。 |
Exchange 定义和使用的扩展权限
显示名 | 公用名 (cn) |
---|---|
添加 PF 到管理组 |
ms-Exch-Add-PF-To-Admin-Group |
Exchange 管理员 |
ms-Exch-Admin-Role-Administrator |
Exchange 管理员(完全控制) |
ms-Exch-Admin-Role-Full-Administrator |
Exchange 公用文件夹只读管理员 |
ms-Exch-Admin-Role-Read-Only-Administrator |
Exchange 公用文件夹服务 |
ms-Exch-Admin-Role-Service |
创建公用文件夹 |
ms-Exch-Create-Public-Folder |
创建顶级公用文件夹 |
ms-Exch-Create-Top-Level-Public-Folder |
启用邮件的公用文件夹 |
ms-Exch-Mail-Enabled-Public-Folder |
修改公用文件夹 ACL |
ms-Exch-Modify-PF-ACL |
修改公用文件夹管理 ACL |
ms-Exch-Modify-PF-Admin-ACL |
修改公用文件夹删除项目保留 |
ms-Exch-Modify-Public-Folder-Deleted-Item-Retention |
修改公用文件夹过期 |
ms-Exch-Modify-Public-Folder-Expiry |
修改公用文件夹配额 |
ms-Exch-Modify-Public-Folder-Quotas |
修改公用文件夹副本列表 |
ms-Exch-Modify-Public-Folder-Replica-List |
打开邮件发送队列 |
ms-Exch-Open-Send-Queue |
读取元数据库属性 |
ms-Exch-Read-Metabase-Properties |
从管理组删除 PF |
ms-Exch-Remove-PF-From-Admin-Group |
管理信息存储 |
ms-Exch-Store-Admin |
在信息存储中创建命名属性 |
ms-Exch-Store-Create-Named-Properties |
查看信息存储状态 |
ms-Exch-Store-Visible |
代理发送 |
Send-As |
代理接收 |
Receive-As |