Exchange 2013 部署权限参考
适用于:Exchange Server 2013
本主题介绍了安装 Microsoft Exchange Server 2013 组织所需的权限。 与管理角色组关联的通用安全组 (USG),以及其他 Windows 安全组和安全主体,均添加到了各种 Active Directory 对象的访问控制列表 (ACL) 中。 ACL 控制每个对象上可执行的操作。 通过了解授予给每个角色组、安全组或安全主体的权限,可以确定安装 Exchange 2013 所需的最低权限。
在某些情况下,ACL 不应用于常用的属性 ntSecurityDescriptor ,而是应用于其他属性,如 msExchMailboxSecurityDescriptor 。 目录服务不能强制实现 Windows 安全描述符中未指定的安全性。 大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。 不过,只有将这些 ACL 作为原始二进制数据查看的工具。
每个权限表的列包含以下信息:
- 帐户:已授予或拒绝权限的安全主体。
- ACE 类型:访问控制项 (ACE) 类型
- 允许 ACE:允许 ACE 允许与 ACE 关联的用户或组访问项。
- 拒绝 ACE:拒绝 ACE 阻止与 ACE 关联的用户或组访问项。
- 继承:用于子对象的继承类型。
- All indicates that the permissions apply to the object and all sub-objects.
- Desc indicates the permissions apply to the object class listed in the On Property/Applies To row.
- None indicates those permissions only apply the object.
- 权限:授予帐户的权限。
- 在 Property/Applys To:在某些情况下,权限仅适用于给定的属性、属性集或对象类。 此处指定了这些受限的权限。
- 注释:如果适用,此列说明为何需要权限或提供有关权限的其他信息。
权限通常由 Active Directory 服务接口 (ADSI) 编辑 (AdsiEdit.msc) Security 属性页中“查看/编辑”选项卡上的“高级”视图中的名称列出。ADSI“编辑安全性”属性页列出了更精简的权限视图。 LDP 工具 (Ldp.exe) 将访问掩码直接显示为数值。 设置代码通过预定义常量引用权限。
下表说明这些值之间的关系。
| ADSI Edit Summary 页 | ADSI Edit Advanced 视图,View/Edit 选项卡 | 应用于给定对象的 ACL 条目 | LDP) 中的二进制值 (访问掩码 |
|---|---|---|---|
| 完全控制 | 完全控制 | WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD |
0x000F01FF |
| 读取 | 列出内容 + 读取所有属性 + 读取权限 | ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL |
0x00020014 |
| 写 | 写入所有属性 + 所有验证写入 | ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF |
0x00000028 |
| 列出内容 | ACTRL_DS_LIST |
0x00000004 |
|
| 读取所有属性 | ACTRL_DS_READ_PROP |
0x00000010 |
|
| 写入所有属性 | ACTRL_DS_WRITE_PROP |
0x00000020 |
|
| 删除 | DELETE |
0x00010000 |
|
| 删除子树目录 | ACTRL_DS_DELETE_TREE |
0x00000040 |
|
| 读取权限 | READ_CONTROL |
0x00020000 |
|
| 修改权限 | WRITE_DAC |
0x00040000 |
|
| 修改所有者 | WRITE_OWNER |
0x00080000 |
|
| 所有验证写入 | ACTRL_DS_SELF |
0x00000008 |
|
| 所有扩展权限 | ACTRL_DS_CONTROL_ACCESS |
0x00000100 |
|
| 创建所有子对象 | 创建所有子对象 | ACTRL_DS_CREATE_CHILD |
0x00000001 |
| 删除所有子对象 | 删除所有子对象 | ACTRL_DS_DELETE_CHILD |
0x00000002 |
ACTRL_DS_LIST_OBJECT |
0x00000080 |
扩展权限是由各个应用程序指定的自定义权限。 这些权限在 ACL 中指定。 但是,它们对于 Active Directory 是无意义的。 特定的应用程序强制使用任何扩展权限。 "Create public folder"和"Create named properties in the information store"就是 Exchange 扩展权限的示例。
有关在安装 Microsoft Exchange Server 2010 期间设置的权限的信息,请参阅 Exchange 2010 部署权限参考。
准备 Active Directory 权限
本部分中的权限表显示执行命令时设置的权限 Setup /PrepareAD 。
注意
本节中描述的权限是当您使用共享权限模型部署 Exchange 2013 时配置的默认权限。 如果您已经使用 Active Directory 拆分权限模型部署了Exchange 2013,默认权限将有所不同。 有关使用 Active Directory 拆分权限以及共享和拆分权限模型时的默认权限更改的详细信息,请参阅了解拆分权限中的 Active Directory 拆分权限。 如果您在安装 Exchange 时不选择使用 Active Directory 拆分权限,Exchange 将使用共享权限。
Microsoft Exchange 容器权限
下表说明为配置分区中的 Microsoft Exchange 容器设置的权限。
对象的可分辨名称:CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| 安装 帐户 | 允许 ACE | 全部 | 完全控制 | 这是用于运行 /PrepareAD的帐户。 |
|
| 组织管理 | 允许 ACE | 全部 | 完全控制 | ||
| Exchange 受信任子系统 | 允许 ACE | 全部 | 完全控制 | ||
| Exchange Servers | 允许 ACE | 全部 | 阅读 | ||
| 经过身份验证的用户 | 允许 ACE | 无 | 读取属性 列出内容 |
||
| Exchange 受信任子系统 | 允许 ACE | 全部 | 修改权限 | msExchSmtpRceiveConnector |
|
| 公用文件夹管理 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| 委派安装 | 允许 ACE | 全部 | 阅读 列出对象 |
Microsoft Exchange 自动发现容器权限
下表说明了在配置分区中的 Microsoft Exchange 自动发现容器上设置的权限。
对象的可分辨名称:CN=Microsoft Exchange Autodiscover、CN=Services、CN=Configuration、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| Exchange Servers | 允许 ACE | 全部 | 读取 |
Microsoft Exchange 组织容器权限
本部分中的权限表显示对 Microsoft Exchange 组织和配置分区中的子容器设置的权限。
对象的可分辨名称:CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>
| 帐户 () | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| Enterprise Admins 根 Domain Admins 安装 帐户 组织管理 |
拒绝 ACE | 全部 | 代理发送 代理接收 |
不允许 Windows 管理员打开邮箱。 | |
| Enterprise Admins Schema Admins 根 Domain Admins 安装 帐户 组织管理 |
拒绝 ACE | 全部 | Exchange Web 服务模拟 Exchange Web 服务令牌序列化 |
扩展权限 | |
| Enterprise Admins Schema Admins 根 Domain Admins 安装 帐户 |
拒绝 ACE | 全部 | 存储传输访问 存储约束委派 存储读取访问 存储读写访问 |
||
| 本地系统 | 允许 | 全部 | 所有扩展权限 | ||
| 经过身份验证的用户 | 拒绝 ACE | 后代 | 读取属性 | msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace |
|
| 经过身份验证的用户 | 允许 | 无 | 阅读 | ||
| 组织管理 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| 公用文件夹管理 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| NT Authority\Network Service | 允许 ACE | 全部 | 阅读 | ||
| 托管可用性服务器 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| Exchange Servers | 允许 ACE | 全部 | 所有扩展权限 | ||
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | groupType |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchOwningServer |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMailboxSecurityDescriptor |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMServerWritableFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchDatabaseCreated |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUserCulture |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMobileMailboxFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | siteFolderGUID |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | siteFolderServer |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchEDBOffline |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | userCertificate |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMDtmfMap |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchBlockedSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | Personal Information |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | Public Information |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | Exchange Information |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchPatchMDB |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | publicDelegates |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMSpokenName |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMPinChecksum |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | legacyExchangeDN |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchSafeSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | thumbnailPhoto |
|
| 组织管理 | 允许 ACE | 全部 | 创建顶级公用文件夹 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 创建顶级公用文件夹 | ||
| 组织管理 | 允许 ACE | 全部 | 查看信息存储状态 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 查看信息存储状态 | ||
| 组织管理 | 允许 ACE | 全部 | 管理信息存储 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 管理信息存储 | ||
| 组织管理 | 允许 ACE | 全部 | 在信息存储中创建命名属性 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 在信息存储中创建命名属性 | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹 ACL | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹 ACL | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹配额 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹配额 | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹管理 ACL | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹管理 ACL | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹到期日期 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹到期日期 | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹副本列表 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹副本列表 | ||
| 组织管理 | 允许 ACE | 全部 | 修改公用文件夹已删除邮件的保留时间 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 修改公用文件夹已删除邮件的保留时间 | ||
| 组织管理 | 允许 ACE | 全部 | 创建公用文件夹 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 创建公用文件夹 | ||
| 公用文件夹管理 | 允许 ACE | 全部 | 已启用邮件的公用文件夹 | ||
| 每个人 NT Authority\Anonymous Logon |
允许 ACE | 全部 | 在信息存储中创建命名属性 | ||
| 每个人 NT Authority\Anonymous Logon |
允许 ACE | 全部 | 创建公用文件夹 | ||
| 每个人 NT Authority\Anonymous Logon |
允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ msExchPrivateMDB |
|
| 每个人 NT Authority\Anonymous Logon |
允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ msExchPublicMDB |
|
| Exchange Servers | 允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ siteAddressing |
对象的可分辨名称:CN=All Address Lists、CN=Address Lists Container、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | 列出内容 | |
| 组织管理 | 允许 ACE | 全部 | 写入属性 | msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
| 公用文件夹管理 | 允许 ACE | 全部 | 写入属性 | msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
对象的可分辨名称:CN=Offline Address Lists、CN=Address Lists Container、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | Download Offline Address Book |
对象的可分辨名称:CN=Addressing、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取 |
对象的可分辨名称:CN=Recipient Policies、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
| 公用文件夹管理 | 允许 ACE | 全部 | 写入属性 | msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
配置分区容器权限
本部分中的权限表显示命令在配置分区内的各个容器上设置 Setup /PrepareAD 的权限。
对象的可分辨名称:CN=Sites、CN=Configuration、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchVersion / site |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchVersion / site-link |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchPartnerId / site |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchMinorPartnerId / site |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchResponsibleforSites / site |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 写入属性 | msExchTransportSiteFlags / site |
|
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 全部 | 写入属性 | msExchCost / site-link |
| 组织管理 Exchange 受信任子系统 本地系统 Exchange Servers |
允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ msExchEdgeSyncEHFConnector |
| 组织管理 Exchange 受信任子系统 本地系统 Exchange Servers |
允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ msExchEdgeSyncMservConnector |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 子代 | 创建子项 删除子项 删除目录树 |
msExchEdgeSyncServiceConfig / site |
| 组织管理 Exchange 受信任子系统 本地系统 Exchange Servers |
允许 ACE | 后代 | 读取权限 列出内容 读取属性 列出对象 |
/ msExchEdgeSyncServiceConfig |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 子代 | 创建子项 删除子项 删除目录树 |
msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig |
| 组织管理 Exchange 受信任子系统 |
允许 ACE | 子代 | 创建子项 删除子项 删除目录树 |
msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig |
对象的可分辨名称:CN=Deleted Objects、CN=Configuration、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| Exchange Servers | 允许 ACE | 全部 | 列出内容 | ||
| 组织管理 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| 安装 帐户 | 允许 ACE | 全部 | 读取权限 写入权限 列出内容 读取属性 列出对象 |
这是用于运行 /PrepareAD的帐户。 |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| 网络服务 | 允许 ACE | 全部 | 列出内容 |
Exchange 管理组权限
该 Setup /PrepareAD 命令还会对组织中的管理组配置以下权限。
对象的可分辨名称:CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| 组织管理 | 允许 ACE | 后代 | 访问收件人更新服务 | msExchExchangeServer |
允许 Exchange 收件人管理员使用代理地址信息标记收件人。 |
| 本地系统 | 允许 ACE | 后代 | 访问收件人更新服务 | msExchExchangeServer |
允许服务器使用代理地址信息标记收件人。 |
| 公用文件夹管理 | 允许 ACE | 后代 | 访问收件人更新服务 | msExchExchangeServer |
允许 Exchange 公用文件夹管理员使用代理地址信息标记收件人。 |
对象的可分辨名称:CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 列出内容 |
对象的可分辨名称:CN=Encryption、CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 读取属性 |
对象的可分辨名称:CN=Arrays、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 列出内容 |
对象的可分辨名称:CN=Database Availability Groups、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 列出内容 |
对象的可分辨名称:CN=Databases、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 列出内容 |
对象的可分辨名称:CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| Exchange Servers | 拒绝 ACE | 全部 | 代理接收 | 不允许 Exchange Servers 打开邮箱。 | |
| 经过身份验证的用户 | 允许 ACE | 无 | 列出内容 |
Microsoft Exchange 安全组容器权限
本部分中的权限表显示在根域分区中的 Microsoft Exchange 安全组容器上设置的权限。
对象的可分辨名称:OU=Microsoft Exchange Security Groups、DC=<root domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 | |
| Exchange 受信任子系统 | 允许 ACE | 全部 | 创建子项 | / Group |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 删除 | / group |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 写入属性 | Member / group |
对象的可分辨名称:CN=Organization Management、OU=Microsoft Exchange Security Groups、DC=<root domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 |
对象的可分辨名称:CN=Public Folder Management、OU=Microsoft Exchange Security Groups、DC=<root domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 |
对象的可分辨名称:CN=ExchangeLegacyInterop、OU=Microsoft Exchange Security Groups、DC=<root domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 |
对象的可分辨名称:CN=Exchange Servers、OU=Microsoft Exchange Security Groups、DC=<root domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 | |
| Root Domain Administrators | 允许 ACE | 全部 | 读取成员 写入成员 |
|
| Child Domain Administrators | 允许 ACE | 全部 | 读取成员 写入成员 |
准备域
下表显示了执行 Setup /PrepareDomain 命令时设置的权限。
注意
本节中描述的权限是当您使用共享权限模型部署 Exchange 2013 时配置的默认权限。 如果您已经使用 Active Directory 拆分权限模型部署了Exchange 2013,默认权限将有所不同。 有关使用 Active Directory 拆分权限以及共享和拆分权限模型时的默认权限更改的详细信息,请参阅了解拆分权限中的 Active Directory 拆分权限。 如果您在安装 Exchange 时不选择使用 Active Directory 拆分权限,Exchange 将使用共享权限。
对象的可分辨名称:DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | Exchange Information |
|
| NT AUTHORITY\NETWORK | 允许 ACE | 全部 | 读取属性 | Exchange Personal Information |
向传输服务授予读取权限。 |
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | groupType |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMailboxSecurityDescriptor |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMServerWritableFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | Exchange Personal Information |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | Exchange Information |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUserCultulre |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | memberOf |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | garbageCollPeriod |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | userAccountControl |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | canonicalName |
|
| Exchange Servers | 允许 ACE | 全部 | 复制同步 | 扩展权限 | |
| Exchange Servers | 允许 ACE | 全部 | 创建子项 删除子项 列出子项 |
msExchActiveSyncDevices / User |
|
| Exchange Servers | 允许 ACE | 全部 | 创建子项 删除子项 列出子项 |
msExchActiveSyncDevices / inetOrgPerson |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchSafeSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMobileMailboxFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchSafeRecipientsHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | userCertificate |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMDtmfMap |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchBlockedSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMSpokenName |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMPinChecksum |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | thumbnailPhoto |
|
| 组织管理 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| 组织管理 | 允许 ACE | 全部 | 写入属性 | Exchange Information |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | garbageCollPeriod |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | legacyExchangeDN |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | textEncodedORAddress |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | proxyAddresses |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | mail |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | displayNamePrintable |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | showInAddressBook |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | Exchange Personal Information |
|
| 组织管理 | 允许 ACE | 全部 | 完全控制 | / msExchDynamicDistributionList |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | adminDisplayName |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | displayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | displayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Public Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | adminDisplayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 完全控制 | / msExchDynamicDistributionList |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Exchange Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Exchange Personal Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | garbageCollPeriod |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | textEncodedORAddress |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | showInAddressBook |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | legacyExchangeDN |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Personal Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | proxyAddresses |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | displayNamePrintable |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | mail |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | pwdLastSet |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | WriteDACL | / user |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | WriteDACL | / inetOrgPerson |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 删除目录树 | / user |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 删除目录树 | / inetOrgPerson |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | sAMAccountName |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除 |
/ contact |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除 |
/ inetOrgPerson |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除 |
/ user |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除 |
/ organizationUnit |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除 |
/ group |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 创建子项 删除子项 |
/ computer |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | Member |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | wwwHomePage |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | countryCode |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | userAccountControl |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | managedBy |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 在下一次登录时重置密码 | 扩展权限 | |
| Exchange Windows 权限 | 允许 ACE | 全部 | 更改密码 | / user |
扩展权限 |
| 委派安装 | 允许 ACE | 全部 | 读取属性 | User Account Restrictions |
对象的可分辨名称:CN=AdminSDHolder、CN=System、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | Exchange Information |
|
| NT AUTHORITY\NETWORK | 允许 ACE | 全部 | 读取属性 | Exchange Personal Information |
向传输服务授予读取权限。 |
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | groupType |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMailboxSecurityDescriptor |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMServerWritableFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | Exchange Personal Information |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | Exchange Information |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUserCultulre |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | memberOf |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | garbageCollPeriod |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | userAccountControl |
|
| Exchange Servers | 允许 ACE | 全部 | 读取属性 | canonicalName |
|
| Exchange Servers | 允许 ACE | 全部 | 复制同步 | 扩展权限 | |
| Exchange Servers | 允许 ACE | 全部 | 创建子项 删除子项 列出子项 |
msExchActiveSyncDevices / User |
|
| Exchange Servers | 允许 ACE | 全部 | 创建子项 删除子项 列出子项 |
msExchActiveSyncDevices / inetOrgPerson |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchSafeSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchMobileMailboxFlags |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchSafeRecipientsHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | userCertificate |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMDtmfMap |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchBlockedSendersHash |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMSpokenName |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | msExchUMPinChecksum |
|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | thumbnailPhoto |
|
| 组织管理 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| 组织管理 | 允许 ACE | 全部 | 写入属性 | Exchange Information |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | garbageCollPeriod |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | legacyExchangeDN |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | textEncodedORAddress |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | proxyAddresses |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | mail |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | displayNamePrintable |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | showInAddressBook |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | Exchange Personal Information |
|
| 组织管理 | 允许 ACE | 全部 | 完全控制 | / msExchDynamicDistributionList |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | adminDisplayName |
|
| 组织管理 | 允许 ACE | 全部 | 写入属性 | displayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 阅读 列出对象 |
||
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | displayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Public Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | msExchPublicDelegates |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | adminDisplayName |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 完全控制 | / msExchDynamicDistributionList |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Exchange Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Exchange Personal Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | garbageCollPeriod |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | textEncodedORAddress |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | showInAddressBook |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | legacyExchangeDN |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | Personal Information |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | proxyAddresses |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | displayNamePrintable |
|
| Exchange 受信任子系统 | 允许 ACE | 全部 | 写入属性 | mail |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | pwdLastSet |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | sAMAccountName |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | Member |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | wwwHomePage |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | countryCode |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | userAccountControl |
|
| Exchange Windows 权限 | 允许 ACE | 全部 | 写入属性 | managedBy |
|
| 委派安装 | 允许 ACE | 全部 | 读取属性 | User Account Restrictions |
对象的可分辨名称:CN=Deleted Objects、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| Exchange Servers | 允许 ACE | 全部 | 列出内容 |
对象的可分辨名称:CN=Microsoft Exchange System Objects、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| NT AUTHORITY\NETWORK | 允许 ACE | 全部 | 读取属性 列出内容 读取权限 |
|
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取权限 | |
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | garbageCollPeriod |
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | adminDisplayName |
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | modifyTimeStamp |
| Exchange Servers | 拒绝 ACE | 全部 | 删除目录树 | |
| Exchange Servers | 允许 ACE | 全部 | 读取权限 列出内容 读取属性删除树 |
|
| Exchange Servers | 允许 ACE | 全部 | 创建子项 | / msExchSystemMailbox |
| Exchange Servers | 允许 ACE | 全部 | 创建子项 删除子项 |
/ publicFolder |
| Exchange Servers | 允许 ACE | 全部 | 创建子项 | / user |
| Exchange Servers | 允许 ACE | 全部 | 删除子项 | / msExchSystemMailbox |
| Exchange Servers | 允许 ACE | 全部 | 删除子项 | / user |
| Exchange Servers | 允许 ACE | 后代 | 写入属性 | / publicFolder |
| Exchange Servers | 允许 ACE | 后代 | 写入属性 | / msExchSystemMailbox |
| Exchange Servers | 允许 ACE | 后代 | 写入属性 | / user |
| Exchange Servers | 允许 ACE | 后代 | 更改密码 在下一次登录时重置密码 |
/ user |
| 组织管理 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 |
|
| 组织管理 | 允许 ACE | 后代 | 写入属性 | / msExchSystemMailbox |
| 组织管理 | 允许 ACE | 全部 | 创建子项 删除子项 |
/ msExchSystemMailbox |
| 组织管理 | 允许 ACE | 后代 | 写入属性 | / user |
| 组织管理 | 允许 ACE | 全部 | 创建子项 删除子项 |
/ user |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
mail / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayNamePrintable / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayName / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
textEncodedORAddress / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
proxyAddresses / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
cn / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
showInAddressBook / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Information / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
LegacyExchangeDN / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Personal Information / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msDSPhoneticDisplayName / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPFContacts / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
garbageCollPeriod / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
name / publicFolder |
| 组织管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPublicDelegates / publicFolder |
| 公用文件夹管理 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 |
|
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
mail / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayNamePrintable / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayName / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
textEncodedORAddress / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
proxyAddresses / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
cn / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
showInAddressBook / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Information / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
legacyExchangeDN / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Personal Information / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msDSPhoneticDisplayName / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPFContacts / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
garbageCollPeriod / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
name / publicFolder |
| 公用文件夹管理 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPublicDelegates / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 |
|
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
mail / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayNamePrintable / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
displayName / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
textEncodedORAddress / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
proxyAddresses / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
cn / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
showInAddressBook / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Information / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
legacyExchangeDN / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
Exchange Personal Information / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
msDSPhoneticDisplayName / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPFContacts / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
garbageCollPeriod / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
name / publicFolder |
| Exchange 受信任子系统 | 允许 ACE | 后代 | 读取属性 写入属性 |
msExchPublicDelegates / publicFolder |
对象的可分辨名称:CN=Exchange Install Domain Servers、CN=Microsoft Exchange System Objects、DC=<domain>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 组织管理 | 允许 ACE | 全部 | 完全控制 |
服务器角色安装
在安装客户端访问服务器角色和邮箱服务器角色期间,安装程序会将 Organization Management USG 添加到本地计算机上的管理员安全组中,以便名为 Organization Management 的管理角色组的成员可以管理服务器。
下面的权限表说明了在安装客户端访问服务器角色或邮箱服务器角色时设置的权限。
对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| MACHINE$ | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| MACHINE$ | 允许 ACE | 无 | 写入属性 | msExchServerSite msExchEdgeSyncCredential |
|
| Exchange Servers | 允许 ACE | 全部 | 存储传输访问 存储约束委派 存储读取仅访问 存储读写访问权限 |
扩展权限 | |
| NT AUTHORITY\NETWORK | 允许 ACE | 全部 | Exchange Web 服务令牌序列化 | 扩展权限 仅对邮箱服务器角色对象授予。 |
|
| NT AUTHORITY\NETWORK | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| 本地系统 | 允许 ACE | 全部 | 读取权限 列出内容 读取属性 列出对象 |
||
| 委派安装 | 允许 ACE | 全部 | 完全控制 | ||
| 委派安装 | 拒绝 ACE | 全部 | 创建子项 删除子项 |
/ msExchPublicMDB |
|
| 经过身份验证的用户 | 允许 ACE | 全部 | 读取属性 | ||
| 委派安装 | 拒绝 ACE | 全部 | 代理接收 代理发送 |
扩展权限 |
数据库可用性组
本节中的权限表说明针对数据库可用性组及其成员设置的权限。
对象的可分辨名称:CN=<DAGName>、CN=Database Availability Groups、CN=<admin group>、CN=Administrative Groups、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 |
|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 无 | 读取属性 |
边缘传输
如果安装边缘传输服务器并与 Exchange 组织建立边缘订阅,在组织中实例化该边缘传输服务器时,将设置以下权限表中的权限。
边缘传输中对象的可分辨名称:CN=<server,CN=Servers,CN=<admin group>,CN=管理组,CN=<>organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| Exchange Servers | 允许 ACE | 全部 | 写入属性 | ||
| 经过身份验证的用户 | 允许 ACE | 无 | 读取属性 | ACE 是在类对象的defaultSecurityDescriptor架构msExchExchangeServer中定义的。 |
邮箱服务器安装
安装第一个邮箱服务器期间,会创建以下容器(如果不存在的话)。 以下权限表说明所应用的权限。
对象的可分辨名称:CN=Availability Configuration、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| Exchange Servers | 允许 ACE | 后代 | 读取属性 | msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects |
扩展权限 |
对象的可分辨名称:CN=Default <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| ExchangeLegacyInterop | 拒绝 ACE | 全部 | 接受林头 | ||
| ExchangeLegacyInterop | 拒绝 ACE | 全部 | 接受组织头 | ||
| Exchange Servers | 允许 ACE | 全部 | 接受任何发件人 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受任何发件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受任何发件人 | 这是邮箱服务器的已知安全标识符 (SID)。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受任何发件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受任何发件人 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 EXCH50 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受 EXCH50 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 EXCH50 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 EXCH50 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受 EXCH50 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XShadow | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 XShadow | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受路由头 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受路由头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受路由头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受路由头 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受路由头 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XSessionParams | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 XSessionParams | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 XSessionParams | 这是邮箱服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受林头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 xAttr | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 xAttr | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 xAttr | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XProxyFrom | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林 XProxyFrom | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林 XProxyFrom | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XSysProbe | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林 XSysProbe | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林 XSysProbe | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受身份验证标志 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受身份验证标志 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受身份验证标志 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受身份验证标志 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受身份验证标志 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 绕过邮件大小限制 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 绕过邮件大小限制 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受组织头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受组织头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受组织头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 将邮件提交到服务器 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 将邮件提交到服务器 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受权威域发件人 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受权威域发件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受权威域发件人 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受权威域发件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受权威域发件人 | 这是外部安全服务器的已知 SID。 | |
| 经过身份验证的用户 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 接受路由头 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 将邮件提交到服务器 |
对象的可分辨名称:CN=Client <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| 经过身份验证的用户 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 接受路由头 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | ||
| 经过身份验证的用户 | 允许 ACE | 全部 | 将邮件提交到服务器 | ||
| Exchange Servers | 允许 ACE | 全部 | 接受 XSessionParams | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 XSessionParams | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 XSessionParams | 这是邮箱服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受任何发件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受任何发件人 | 这是邮箱服务器的已知安全标识符 (SID)。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受任何发件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受任何发件人 | 这是外部安全服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 Exch50 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 Exch50 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受 Exch50 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 Exch50 | ||
| Exchange Servers | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 将邮件提交到任何收件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 将邮件提交到任何收件人 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XShadow | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 XShadow | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受路由头 | ||
| ExchangeLegacyInterop | 允许 ACE | 全部 | 接受路由头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受路由头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受路由头 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受路由头 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受林头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 xAttr | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受 xAttr | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受 xAttr | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XProxyFrom | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林 XProxyFrom | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林 XProxyFrom | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受身份验证标志 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受身份验证标志 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受身份验证标志 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受身份验证标志 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受 XSysProbe | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受林 XSysProbe | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受林 XSysProbe | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受身份验证标志 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 绕过反垃圾邮件检查 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext 扩展属性 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext 快速索引 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 绕过邮件大小限制 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 绕过邮件大小限制 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受组织头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受组织头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受组织头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XMessageContext AD 收件人缓存 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 将邮件提交到服务器 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 将邮件提交到服务器 | 这是外部安全服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 接受权威域发件人 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 接受权威域发件人 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 接受权威域发件人 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 接受权威域发件人 | 这是外部安全服务器的已知 SID。 |
创建 SMTP 发送连接器
下表说明在创建发送连接器时设置的权限。
对象的可分辨名称:CN=<Connector Name>、CN=Connections、CN=<routing group>、CN=Routing Groups、CN=<admin group>、CN=<organization>
| 帐户 | ACE 类型 | 继承 | 权限 | 针对属性/应用于 | Comments |
|---|---|---|---|---|---|
| NT AUTHORITY\ANONYMOUS LOGON | 允许 ACE | 全部 | 发送路由头 | ||
| Exchange Servers | 允许 ACE | 全部 | 发送组织头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送组织头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送组织头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送林头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送林头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送林头 | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 XShadow | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 XShadow | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 XShadow | 这是边缘传输服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送路由头 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-10 | 允许 ACE | 全部 | 发送路由头 | 这是伙伴服务器已知的 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送路由头 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送路由头 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 发送路由头 | 这是外部安全服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-24 | 允许 ACE | 全部 | 发送路由头 | 这是旧版 Exchange 服务器的已知 SID。 | |
| Exchange Servers | 允许 ACE | 全部 | 发送 Exch50 | ||
| S-1-9-1419165041-1139599005-3936102811-1022490595-21 | 允许 ACE | 全部 | 发送 Exch50 | 这是邮箱服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-22 | 允许 ACE | 全部 | 发送 Exch50 | 这是边缘传输服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-23 | 允许 ACE | 全部 | 发送 Exch50 | 这是外部安全服务器的已知 SID。 | |
| S-1-9-1419165041-1139599005-3936102811-1022490595-24 | 允许 ACE | 全部 | 发送 Exch50 | 这是旧版 Exchange 服务器的已知 SID。 |