在 Exchange Server 2003 中使用 Active Directory 权限的简介

 

上一次修改主题: 2005-05-11

使用与 Microsoft® Exchange 相关的 Active Directory® 目录服务权限可能是一项复杂的任务。编写本文档是为了帮助 Exchange 体系结构设计师了解 Exchange 如何在权限的上下文中使用 Active Directory。此外,此文档还是实现拆分权限模型的管理员的参考指南。

在很多组织中,Exchange 和 Active Directory 各有不同的管理员,这意味着有必要委派管理功能,以便保持明确的管理权利边界。这称为拆分权限模型。在此类型的模型中,操作是分散式的,因为有两个或更多个操作团队负责管理 Exchange 和 Active Directory 的不同方面。例如,一个操作团队可能管理域和目录林功能(创建 DNS 区域、建立新域和创建用户帐户),同时,另一个操作团队则管理与 Exchange 相关的功能(安装 Exchange 服务器、邮箱管理和电子邮件路由)。在这些情况中,必须将某些权利委派给所有各方,以便他们可以在不越过操作和安全边界的情况下完成为其规定的作业功能。

实现拆分权限模型的组织通常需要在尽可能大的范围内限制被授予管理人员的权限,从而确保责任并提高安全性。

本指南的大部分内容集中介绍如何理解和配置拆分权限模型,另外它还讨论了其他几个与权限相关的主题,包括:

  • 解释架构、域和配置 Active Directory 命名上下文。
  • 围绕 Active Directory 连接器、Exchange Server 2003 部署和 Exchange Server 2003 管理而提出的权限的“如何”和“为什么”的常见问题 (FAQ)。
  • Exchange 管理委派向导所授予的特定权利;在 Exchange ForestPrep 期间所授予的特定权利。
  • 如何在域和组织单位级别在 Active Directory 对象和类上设置权限。

本指南将回答下列问题:

  • Active Directory 如何存储和管理 Exchange 用户和配置数据的权限?
  • Exchange 管理委派向导设置了什么权限,什么是“有效的”权利或权限?
  • 在 Exchange 安装期间设置了什么权限?
  • 需要什么权限才能执行各种 Exchange 和 Exchange 服务安装?
  • 需要什么权限才能管理各种 Exchange 功能?
  • 怎样才能在 Active Directory 中自定义与 Exchange 相关的权限,以适应组织的管理模型?
  • 什么工具可以用来修改 Active Directory 中的 Exchange 权限,如何使用它们?

本指南是为 Exchange 体系结构设计师和 Active Directory 部署规划人员编写的。本指南的目标是要让这些管理员知道,他们需要了解在安装和管理 Exchange 时所需要的权限级别。此外,体系结构设计师和规划人员可以使用拆分权限信息来提供与其组织的管理模型相适应的详细权限策略。然后,通过使用在规划拆分权限模型中讨论的 DSACLS 片段,可以实现权限策略。

因为所有组织都各不相同,并且确定 Active Directory 权限是如此灵活,所以不可能推荐一个对所有组织都合适的权限策略。因此,本指南不是规定性的;它不会围绕权限模型来提供建议。通过使用本指南所提供的信息,可以实现对组织合适的权限模型。

 
显示: