共存的Exchange 2003 服务器和 Exchange 5.5 服务器的特殊注意事项

  • 项目

 

上一次修改主题: 2005-04-25

如果部署同时包括 Exchange 2003 服务器和 Exchange 5.5 服务器,则在管理权限(尤其是公用文件夹权限)时,其复杂性将增加一个级别。虽然后面的信息是技术性的,但您必须了解这些详细信息,才能确保混合模式的部署顺利进行。有关 Exchange 如何在 Exchange 2003 服务器和 Exchange 5.5 服务器之间传递访问控制信息的详细说明,请参阅 Public Folder Permissions in a Mixed-Mode Microsoft Exchange Organization(英文)。

本文中与管理公用文件夹权限有关的要点如下:

  • 在 Exchange 5.5 服务器上具有邮箱的任何用户或组必须先在 Active Directory 中拥有帐户,才能在 Exchange 2003 服务器和 Exchange 5.5 服务器之间复制任何数据。

    • 如果用户帐户或组帐户只有 Active Directory 帐户(而不是 Microsoft Windows NT® 4.0 帐户),则该 Active Directory 帐户是“已启用的帐户”。
    • 如果用户或组具有 Windows NT 4.0 帐户,则 Active Directory 帐户是“已禁用的帐户”。此禁用帐户是使用 Active Directory 迁移工具创建的,它是使 Active Directory 安全标识符 (SID) 与现有的 Windows NT 4.0 帐户相关联的占位符。
      important重要提示:
      如果计划保留 Windows NT 4.0 中的用户帐户一段时间,然后将这些帐户完全迁移到 Active Directory,则必须创建具有 SID 历史记录的禁用帐户。Active Directory 迁移工具可以将 Windows NT 4.0 SID 迁移到 Active Directory 中新禁用的帐户的“sidHistory”属性中。如果日后启用这些帐户,则 Exchange 可以使用 SID 历史记录来判断新启用的帐户已在访问控制条目 (ACE) 中的什么位置替换了 Windows NT 4.0 帐户。有关此过程的详细信息,请参阅 Microsoft 知识库中编号为 316047 的文章:“XADM: Addressing Problems That Are Created When You Enable ADC-Generated Accounts”。

  • Exchange 5.5 使用基于 MAPI 的权限,并通过 Exchange 目录中用户和组的可分辨名称来标识这些用户和组,它还使用名为“ptagACLData”的属性来存储访问控制信息。Exchange 2003 使用两个其他属性“ptagNTSD”和“ptagAdminNTSD”来存储访问控制信息。
    Exchange 2003 将访问控制信息复制到 Exchange 5.5 服务器时,将执行下列操作:

    1. 将用户和组的 Active Directory 安全标识符 (SID) 转换为 Exchange 目录中的可分辨名称。
    2. 将 Windows 2000 权限转换为 MAPI 权限。
    3. 将已转换的访问控制信息存储在“ptagACLData”中。
    4. 将“ptagNTSD”、“ptagAdminNTSD”和“ptagACLData”复制到 Exchange 5.5 服务器。
      当 Exchange 2003 服务器收到由 Exchange 5.5 服务器复制的数据时,将执行下列操作:
    5. 丢弃“ptagNTSD”和“ptagAdminNTSD”的传入值。此步骤可保护这些属性,避免接收它们在受 Exchange 5.5 控制时可能已发生的任何更改。
    6. 从“ptagACLData”中提取用户和组的可分辨名称,并将其转换为 Active Directory SID。
    7. 从“ptagACLData”中提取权限,并将其转换为 Windows 2000 权限。
    8. 将已转换的访问控制信息存储在“ptagNTSD”中。(“ptagAdminNTSD”的原始值保持不变。)
    9. 除非在步骤 b 或步骤 c 的转换过程中出现了问题,否则将丢弃“ptagACLData”的值。如果出现转换问题,则 Exchange 2003 会保留“ptagACLData”的值。

  • Exchange 5.5 将权限应用于文件夹。不能像在 Exchange 2003 中那样将权限(项目级权限)显式地指定给各个邮件。如果正在将文件夹及其内容从 Exchange 5.5 复制到 Exchange 2003,则不要尝试设置邮件的显式权限。Exchange 2003 管理权限是为了确保邮件的安全,但是,如果在此情况下尝试更改邮件权限,这些更改将在下一个复制循环中丢失。