了解 Exchange 2007 中的代理发送行为
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
上一次修改主题: 2009-01-05
本主题介绍代理发送权限如何在 Microsoft Exchange Server 2007 中工作。
代理发送权限允许用户(用户 A)可以作为邮箱所有者(用户 B)发送邮件。在这种情况下,即使用户 A 发送邮件,但该邮件仍将显示为来自用户 B,并从用户 B 的邮箱中发出。此行为与用户(用户 C)具有典型的委派访问权限时发生的行为不同。在该种情况下,用户 C 已分配具有邮箱所有者的代表发送权限。如果用户 C 为邮箱所有者发送邮件,则邮件的“发件人”字段中将出现以下信息:
<DelegateName> 代表 <MailboxOwnerName> |
在 Exchange 的早期版本中,在授予用户对邮箱的完全控制访问权限的同时,也会授予该用户作为邮箱所有者发送邮件的权限。这意味着拥有完全邮箱访问权限的用户可发送显示为邮箱所有者发送的电子邮件。
在 Exchange 2007 中,已授予完全邮箱访问权限的用户没有代理发送权限。相反,该用户拥有邮箱所有者的代表发送权限。在这种情况下,该用户必须被明确授予代理发送权限,才能作为邮箱所有者发送电子邮件。以下列表列出本规则的三种例外:
邮箱所有者
对于自己的邮箱,邮箱所有者无需代理发送权限。
关联的外部帐户
邮箱关联的外部帐户无需代理发送权限,即可作为邮箱所有者发送邮件。
拥有完全邮箱访问权限的委派帐户
如果委派帐户也拥有完全邮箱访问权限,则该委派用户无需指定代理发送权限,即可作为邮箱所有者发送邮件。默认情况下,委派帐户对邮箱没有完全控制访问权限。
要作为邮箱所有者发送邮件,则其他已授予对邮箱拥有部分或完全控制访问权限的用户必须被明确授予拥有邮箱所有者帐户的代理发送权限。这包括执行各种功能(例如,为移动设备用户发送电子邮件)的应用程序服务帐户。
.gif "note") 注意: |
|---|
| 如果邮箱所有者、关联的外部帐户或委派帐户拥有完全邮箱访问权限,则他们无需明确的代理发送权限,即可作为邮箱所有者发送邮件。默认情况下,邮箱所有者和关联的外部帐户都拥有完全邮箱访问权限。但是,委派帐户则没有该权限。 |
必须对每个拥有邮箱的用户对象的服务帐户授予代理发送权限。您无法对 Exchange 服务器或数据库对象授予代理发送权限,以达到为该服务器或数据库中承载的所有邮箱授予代理发送权限的效果。
发生此行为的原因在于:代理发送权限是一种 Active Directory 目录服务权限,仅适用于已设置该权限的 Active Directory 对象。对 Exchange 数据库对象授予代理发送权限,这会向数据库本身授予代理发送权限。但是,此操作无法向那些在该数据库中拥有邮箱的用户授予代理发送权限。
| 注意: |
|---|
| 对 Exchange 数据库授予代理接收权限,这在功能上等同于向数据库中的所有邮箱授予完全邮箱访问权限。这与授予代理发送权限不同。代理发送权限仅适用于数据库对象本身。它不适用于数据库中的邮箱。但是,数据库中的所有邮箱则都将继承代理接收权限。 |
要更好地了解代理接收权限与代理发送权限的差异,将数据库中所有的邮箱视为单个邮箱文件夹(“数据库”文件夹)中的子文件夹可能会有所帮助。如果您对数据库拥有完全控制访问权限,则您将拥有继承权限,可以访问数据库中的所有内容。其中包括所有邮箱。
但是,代理发送权限仅适用于 Active Directory 用户对象的标识,而不适用于数据库中的邮箱内容。电子邮件发送时,它们并非发自特定邮箱或特定数据库。相反,它们发自特定用户。该用户既可以是邮箱所有者,也可以是分配具有代理发送权限的任何其他帐户。
Exchange 邮箱和文件夹访问权限可拆分为 Active Directory 权限和 Exchange 数据库权限。不同的权限类型存储在两个单独的位置中。
外部帐户权限是设置 Active Directory msExchMasterAccountSID 属性的一种方式。msExchMasterAccountSID 属性不是一种权限。但是,它控制着其他权限的工作方式。
| 注意: |
|---|
| Active Directory msExchMailboxSecurityDescriptor 属性是有效邮箱权限子集的备份副本。它由 Exchange 出于多种目的在内部使用。此外,如果管理员使用支持的接口分配权限,则更新 msExchMailboxSecurityDescriptor 属性将会更新,以便与当前的有效权限匹配。 |
完全邮箱访问权限属于 Exchange 数据库存储权限。代理发送权限属于 Active Directory 权限。在 Exchange 的早期版本中,在对 Exchange Store.exe 文件进行更改之前,如果发件人已拥有完全邮箱访问权限,则 Exchange 不会检查代理发送权限的设置。
| 注意: |
|---|
| 您无需授予完全邮箱访问权限,即可授予代理发送权限。 |
代理发送权限包含完全控制访问邮箱权限,这将为服务器中的任何邮箱授予 Exchange 管理员有效的代理发送权限。这是因为 Exchange 管理员可以完全有效地控制 Exchange 数据库。通过将代理发送权限和完全邮箱访问权限分开,Active Directory 管理员可防止 Exchange 管理员拥有帐户的代理发送权限。这是因为代理发送权限属于 Active Directory 权限,而不是 Exchange 存储权限。
详细信息
有关如何为 Exchange 2007 中的邮箱授予代理发送权限的详细信息,请参阅如何授予邮箱的代理发送权限。
有关如何允许访问 Exchange 2007 中的邮箱的详细信息,请参阅如何允许邮箱访问。
有关邮箱权限的详细信息,请参阅了解邮箱权限。