管理 Active Directory 中的配置信息

 

上一次修改主题: 2005-05-23

将“Exchange 系统”管理单元添加到自定义控制台中时,会出现“更改域控制器”对话框。从该对话框中,可以从 Exchange Server 2003 组织目录林域中选择域控制器,也可以接受默认配置以便可以连接到任何可写入的域控制器。必须要有 Active Directory 访问权,才能获得 Exchange Server 2003 组织的配置信息,这些信息驻留在配置目录分区中,Exchange Server 2003 与 Active Directory 对此进行了解释。

note注意:
用来管理 Exchange Server 2003 组织的计算机所在的域必须是 Exchange Server 2003 服务器所在目录林中的域控制器所信任的域。

Exchange 系统管理器使用 Active Directory 服务接口 (ADSI) 来与 Active Directory 通信。ADSI 依赖轻型目录访问协议 (LDAP)。如果在“更改域控制器”对话框中指定特定的域控制器,则当打开 Exchange 系统管理器时,将建立与该域控制器的直接 LDAP 连接。或者,如果接受默认配置(未指定域控制器),ADSI 将执行与域控制器的无服务器绑定。

无服务器绑定是一个进程,在该进程中,ADS 使用 Netlogon 服务实现的定位程序服务来找到最适于使用的域控制器。该域控制器始终位于与连接到 Active Directory 的用户的当前安全上下文关联的域中。每个域控制器中都使用特定于传输的机制(如 Windows Internet 名称服务 (WINS))在域名系统 (DNS) 及其 NetBIOS 名称中注册它的主机名。定位程序服务查找该名称,然后向注册了该名称的域控制器发送数据报。对于 NetBIOS 域名而言,该数据报是一个邮筒消息。邮筒是操作系统为一对一或一对多进程间通信 (IPC) 提供的一种机制。对于 DNS 域名而言,该数据报是一个 LDAP 用户数据报协议 (UDP) 搜索。每个响应的域控制器都指示它当前正在工作。

note注意:
NetBIOS 对于 Exchange Server 2003 仍然是必需的。因此,不能取消网络中安装的 WINS 服务器。例如,如果在 RPC 协议绑定命令中定义了 NetBIOS,Exchange 系统管理器可能对基于远程过程调用 (RPC) 的 Exchange 服务器通信选择 NetBIOS。RPC 协议绑定命令在名为 Rpc_Binding_Order 的 REG_STRING 注册表参数中定义,该注册表参数位于以下注册表项的下面:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Exchange Provider。默认值包含 NetBIOS:ncalrpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp。但是,与域控制器的通信基于 LDAP,因此 NetBIOS 或 WINS 不是必需的。

如下图所示,定位程序服务首选本地 Active Directory 站点中的域控制器,并连接到第一个响应的域控制器。当定位程序服务向域控制器发送数据报时,域控制器在 Active Directory 的“配置/站点/子网”容器中查找客户端的 Internet 协议 (IP) 地址,以找到与客户端的 IP 地址区域对应的子网对象。子网对象的 siteObject 属性揭示包含该客户端的站点的可分辨名称,例如:CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=fabrikam,DC=com。域控制器使用该客户端所在站点的可分辨名称来响应数据报,并提供一个指出该站点是否在该域控制器作用域内的指示符。如果该站点不在域控制器的作用域内,并且定位程序服务尚未尝试在客户端站点中查找域控制器,那么定位程序服务将再次尝试在本地站点中查找域控制器。找到域控制器后,将建立与 Active Directory 的 LDAP 连接,并缓存连接信息,这样从同一个应用程序建立的后续连接将不需要重复执行无服务器绑定算法。绑定缓存除了包含连接特征(如加密和身份验证信息)以外,还包含相应服务器的连接句柄。

fc335feb-4f06-4c4c-91f0-7de47aea4518
note注意:
无服务器绑定是首选的连接方法,因为它在多个域控制器之间平衡从多个客户端发出的请求,并且还能够在域控制器不可用时自动切换到另一台域控制器。

可以使用 Exchange 系统管理器管理的大多数配置设置都存储在 Active Directory 配置目录分区中的目录对象中。出现在 Exchange 系统管理器控制台树中的配置对象层次结构与配置目录分区中的目录对象层次结构严格匹配。两者之间只有细微的差别。例如,在只有一个管理组和一个路由组的组织中,可以显示包含管理组和路由组的配置对象层次结构,也可以显示不包含管理组和路由组的配置对象层次结构。为此,可以在 Exchange 组织对象(即 Exchange 系统管理器控制台树中的根对象)属性的“常规”选项卡上选中或清除“显示路由组”和“显示管理组”复选框。但是,管理组容器和路由组容器始终存在于配置目录分区中。

下图对比显示了配置目录分区中的目录对象层次结构(在“Active Directory 站点和服务”中显示)与 Exchange 系统管理器中的配置对象层次结构(启用了管理组和路由组)。

99bbd8ea-eeb3-4558-a862-f373d4c1631d

Exchange 系统管理器按照下列常规类别在控制台树中排列配置目录分区中的配置对象:

  • 全局 Exchange 对象 全局 Exchange 对象是定义 Internet 邮件格式以及可影响整个 Exchange 组织的其他设置的对象。例如,“移动服务”对象定义了 Exchange ActiveSync 和 Microsoft Office Outlook Mobile Access 的适用于 Exchange 组织中所有收件人的设置。对应于这些配置对象的目录对象驻留在配置目录分区中的 Exchange 组织容器下的“全局设置”容器中。
  • 收件人对象 收件人对象定义必要的规则,这些规则决定了收件人更新服务分配给已启用邮箱的收件人对象和已启用邮件的收件人对象的电子邮件地址。收件人对象还决定了如何生成基于服务器的地址列表。使用 Exchange 系统管理器“收件人”容器中的配置对象,可以自定义详细信息和地址模板,以更改 Outlook 中的通讯簿用户界面。
    Exchange 系统管理器中的“收件人”容器合并配置目录分区的许多容器中的目录对象。地址列表定义对象和收件人更新服务对象位于“地址列表”容器中,详细信息和地址模板对象位于“寻址”容器中,而为已启用邮箱的收件人和已启用邮件的收件人指定电子邮件地址的策略对象位于 Active Directory 中的 Exchange 组织对象下的“收件人策略”容器中。
  • 管理组对象和路由组对象 无法通过管理组对象和路由组对象访问 Exchange 系统管理器中的任何配置参数。这些对象用于定义 Exchange 组织的管理拓扑和邮件路由拓扑。例如,使用管理组可以实现 Exchange 服务器和资源的分开管理。使用路由组,可以简化不同的站点和位置之间的邮件传输。有关管理组和路由组的详细规划信息,请参阅Planning an Exchange Server 2003 Messaging System
  • 服务器对象 服务器对象中包含适用于邮件组织的各个 Exchange 服务器的设置。服务器对象还存放存储组和邮件协议的其他配置对象。当显示服务器对象的属性时,Exchange 系统管理器会合并各个属性选项卡上的多个信息源中的信息。服务器配置对象对应于配置目录分区中驻留在管理组下的“服务器”容器中的服务器目录对象。
  • 系统策略对象 使用系统策略对象可以通过一个配置对象来配置多个 Exchange 服务器的参数(如邮箱存储、公用文件夹存储或服务器的设置),从而简化了系统管理。但是,默认情况下,系统策略对象不存在。要创建系统策略,必须首先将特定的“系统策略”容器添加到管理组中。为此,请用鼠标右键单击管理组,指向“新建”,然后选择“系统策略容器”。然后,为了创建“邮箱存储策略”、“公用存储策略”或“服务器策略”,请用鼠标右键单击“系统策略”容器并配置相应的策略。有关配置邮箱存储、公用文件夹存储或服务器属性的详细信息,请参阅 Exchange Server 2003 Administration Guide
  • 文件夹层次结构文件夹层次结构对象可以在管理组下面的“文件夹”容器中找到。此容器中的每个层次结构对象都指向 Exchange 存储中的特定公用文件夹树。公用文件夹树可以在多个 Exchange 服务器上的公用存储之间复制。但是,层次结构对象驻留在配置目录分区中的管理组下面的“文件夹层次结构”容器中。
note注意:
Exchange 系统管理器中的“工具”节点在配置目录分区中没有对应的目录对象。通过“工具”节点可以访问扩展管理单元(如邮件跟踪中心),而通过后者可能能够访问 Active Directory 中的对象,从而使配置信息具有持久性。

Exchange Server 2003 的权限模型完全依赖于 Microsoft Windows 安全模型。权限模型是在配置目录分区中的 Exchange 组织对象和管理组上构造的。当用鼠标右键单击 Exchange 系统管理器控制台树中的组织对象或管理组时,可以选择“委派控制”命令以启动管理委派向导。使用管理委派向导,可以为 Exchange 管理员指定下面三个角色之一:

  • Exchange 管理员(完全控制) 该角色授予管理员对 Exchange 组织的完全控制权限。但是,Receive As 和 Send As 权限被明确拒绝。因此,Exchange 完全控制管理员不能冒充 Exchange 组织中的其他用户。例如,没有 Send As 权限的管理员不能代表其他用户发送电子邮件。
  • Exchange 管理员 该角色授予管理员与 Exchange 完全控制管理员类似的权限,但是拒绝“修改所有者”和“修改权限”权限。因此,Exchange 管理员能够管理 Exchange 组织的所有设置,但是不能更改安全设置。
  • Exchange 管理员(仅查看) 该角色授予管理员“读取全部属性”、“列出内容”、“读取权限”以及“查看信息存储状态”等权限。例如,对于必须对用户帐户启用邮箱功能或邮件功能、但不负责 Exchange 服务器管理的邮箱管理员而言,Exchange 管理员(仅查看)权限是必需的。

下表列出了各个 Exchange 管理员角色之间的主要区别。

Exchange 管理员角色之间的主要不同

管理员角色 修改安全设置 管理 Exchange 配置设置 查看 Exchange 配置设置

Exchange 管理员(完全控制)

Exchange 管理员

Exchange 管理员(仅查看)

管理委派向导用于在组织级或管理组级为各个 Exchange 管理员或组授予相应的角色。但是,管理委派向导不显示所有安全设置,有时甚至可能显示不完整的管理员列表。这是因为管理委派向导在 Active Directory 中的 Exchange 组织对象的属性中记录被授予了 Exchange 管理员角色的管理员。该属性名为 msExchAdmins。但是,管理委派向导不记录从配置目录分区中的高级容器继承权限的管理员。例如,默认情况下,Enterprise Administrators 在整个配置目录分区中都拥有完全权限。这是因为完全权限设置是从根“配置”容器传递到所有子容器的。但是,管理委派向导不将这些管理员作为“Exchange 管理员(完全控制)”列出,因为他们未在 msExchAdmins 属性中列出。权限继承将在本主题后面的“权限继承和 Exchange 系统管理器”一节中进行说明。

而且,如果在组织级为某个安全组指定了 Exchange 管理员(完全控制)角色,之后您将无法使用管理委派向导将该组的成员降级为特定管理组的 Exchange 管理员(仅查看)角色。这是因为管理委派向导不拒绝从父容器那里继承的安全设置所授予的权限。如果使用管理委派向导为个别成员指定了某个管理组的 Exchange 管理员(仅查看)角色,管理委派向导会将这些帐户作为 Exchange 管理员(仅查看)帐户列出。但是,这些帐户保留其 Exchange 管理员(完全控制)角色,该角色是通过组成员身份从组织级别继承的。要检查实际的安全设置,必须在 Exchange 系统管理器中为组织和管理组对象启用“安全”选项卡。为此,应设置如表 4.4 所示的 ShowSecurityPage 注册表参数。

ShowSecurityPage 注册表参数

HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

值名称

ShowSecurityPage

数据类型

REG_DWORD

1

描述

该设置仅影响当前登录的用户。如果 ShowSecurityPage 值不存在或者被设置为 0,则“安全”选项卡将仅仅出现在下列对象的属性对话框上:

  • 地址列表
  • 全局地址列表
  • 邮箱存储
  • 公用文件夹存储
  • 顶级公用文件夹层次结构

如果将 ShowSecurityPage 值设置为 1,则“安全”选项卡将出现在 Exchange 系统管理器中所有对象的属性对话框上。更改将立即生效,而不必等到 Exchange 系统管理器重新启动。

Caution警告:
错误地编辑注册表可能导致严重问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。

µ±在 Exchange 系统管理器的“安全”选项卡上检查 Exchange 组织的安全设置时,您会注意到安全设置除了被分配给您已明确指定的具有 Exchange 管理员角色的那些帐户以外,还被分配给几个系统帐户和组。下表列出了这些默认帐户及其权限。

Exchange 组织中具有权限的默认帐户

帐户 允许的权限 拒绝

ANONYMOUS LOGON

  • 在信息存储中创建命名属性
  • 创建公用文件夹
  • 执行
  • 列出内容
  • 列出对象
  • 读取
  • 读取权限
  • 读取属性

Authenticated users

  • 读取属性
  • 列出对象

Domain Admins(根域)

  • 读取
  • 写入
  • 执行
  • 删除
  • 读取权限
  • 更改权限
  • 取得所有权
  • 创建子项
  • 列出内容
  • 自行添加/删除
  • 读取属性
  • 写入属性
  • 列出对象
  • 创建公用文件夹
  • 创建顶级公用文件夹
  • 修改公用文件夹 Admin ACL
  • 修改公用文件夹副本列表
  • 打开邮件发送队列
  • 读取元数据库属性
  • 管理信息存储
  • 在信息存储中创建命名属性
  • 查看信息存储状态
  • 代理接收
  • 代理发送
  • 代理接收
  • 代理发送

Enterprise Admins

  • 完全控制
  • 代理接收
  • 代理发送

Everyone

  • 在信息存储中创建命名属性
  • 创建公用文件夹
  • 执行
  • 列出内容
  • 列出对象
  • 读取
  • 读取权限
  • 读取属性

Exchange Domain Servers

  • 完全控制

大多数权限设置都是 Exchange 组织对象从配置目录分区层次结构中的父容器那里继承的。例如,Enterprise Administrators 在配置目录分区的根容器被授予了完全控制权限。由于权限默认情况下由配置目录分区中的所有子对象(包括 Exchange 组织容器)继承,因此 Enterprise Administrators 也是 Exchange 管理员(完全控制)。

不能使用 Exchange 系统管理器来检查配置目录分区中的父容器的安全设置,但是可以使用 ADSI 编辑工具来检查实际设置。图 4.4 显示了 Enterprise Admins 组在配置容器这一级的安全设置。下图还显示出这些设置被应用于配置容器及所有子对象,其中包括 Exchange 组织。

8a102c76-058e-416c-9a0d-9e15f46682ed

权限继承是一项有助于在 Active Directory 的配置目录分区中分配权限的功能。例如,在 Exchange 系统管理器中,管理委派向导依赖权限继承机制在组织级和管理组级为帐户和组分配 Exchange 管理员角色。当在组织级为某个管理员帐户指定 Exchange 管理员(完全控制)角色时,管理委派向导为该帐户授予对 Microsoft Exchange 父容器的完全控制权限(图 4.4)。因此,完全控制权限同时应用于名为“Active Directory 连接”的子容器和 Exchange 组织。但是,在管理组级被指定了管理权限的帐户也在组织级被授予了读取权限,因此这些管理员可以在 Exchange 系统管理器中查看配置信息。有关 Exchange 组织中的管理委派向导和权限分配的详细信息,请参阅 Exchange Server 2003 Security Hardening Guide

 
显示: