Exchange 2013 部署权限参考

 

适用于:Exchange Server 2013

上一次修改主题:2016-12-09

本主题介绍了安装 Microsoft Exchange Server 2013 组织所需的权限。与管理角色组关联的通用安全组 (USG),以及其他 Windows 安全组和安全主体,均添加到了各种 Active Directory 对象的访问控制列表 (ACL) 中。ACL 控制每个对象上可执行的操作。通过了解授予给每个角色组、安全组或安全主体的权限,可以确定安装 Exchange 2013 所需的最低权限。

在某些情况下,ACL 不应用于常用的属性 ntSecurityDescriptor,而是应用于其他属性,如 msExchMailboxSecurityDescriptor。目录服务不能强制实现 Windows 安全描述符中未指定的安全性。大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。不过,只有将这些 ACL 作为原始二进制数据查看的工具。

每个权限表的列包含以下信息:

  • 帐户:允许或拒绝权限的安全主体。

  • ACE 类型:访问控制条目 (ACE) 类型。

    • 允许 ACE:“允许 ACE”允许与 ACE 关联的用户或组访问邮件。

    • 拒绝 ACE:“拒绝 ACE”阻止与 ACE 关联的用户或组访问邮件。

  • 继承:用于子对象的继承类型。

    • “所有”指示权限应用于该对象及其所有子对象。

    • “后代”指示权限应用于“针对属性/应用于”行中列出的对象类。

    • “无”指示这些权限只应用于该对象。

  • 权限:为帐户授予的权限。

  • 针对属性/应用于:在某些情况下,权限只应用于给定的属性、属性集或对象类。此处指定了这些受限的权限。

  • 注释:如果适用,此列说明需要这些权限的原因并提供有关权限的其他信息。

权限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上(在 View/Edit 选项卡上 Advanced 视图中的 Security 属性页)使用的名称在表中列出。ADSI Edit Security 属性页上列出很简洁的权限视图。LDP 工具 (Ldp.exe) 直接使用数字值显示访问掩码。安装代码通过预定义的常量引用权限。

下表说明这些值之间的关系。

 

ADSI Edit Summary 页 ADSI Edit Advanced 视图,View/Edit 选项卡 应用于给定对象的 ACL 条目 二进制值 (LDP 中的访问掩码)

完全控制

完全控制

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

读取

列出内容 + 读取所有属性 + 读取权限

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

写入所有属性 + 所有验证写入

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

列出内容

ACTRL_DS_LIST

0x00000004

读取所有属性

ACTRL_DS_READ_PROP

0x00000010

写入所有属性

ACTRL_DS_WRITE_PROP

0x00000020

删除

DELETE

0x00010000

删除子树目录

ACTRL_DS_DELETE_TREE

0x00000040

读取权限

READ_CONTROL

0x00020000

修改权限

WRITE_DAC

0x00040000

修改所有者

WRITE_OWNER

0x00080000

所有验证写入

ACTRL_DS_SELF

0x00000008

所有扩展权限

ACTRL_DS_CONTROL_ACCESS

0x00000100

创建所有子对象

创建所有子对象

ACTRL_DS_CREATE_CHILD

0x00000001

删除所有子对象

删除所有子对象

ACTRL_DS_DELETE_CHILD

0x00000002

ACTRL_DS_LIST_OBJECT

0x00000080

扩展权限是由各个应用程序指定的自定义权限。这些权限在 ACL 中指定。但是,它们对于 Active Directory 是无意义的。特定的应用程序强制使用任何扩展权限。“Create public folder”和“Create named properties in the information store”就是 Exchange 扩展权限的示例。

有关在安装 Microsoft Exchange Server 2010 期间设置的权限的信息,请参阅 Exchange 2010 部署权限参考

本节中的权限表说明在执行 Setup /PrepareAD 命令时设置的权限。

注意注意:
本节中描述的权限是当您使用共享权限模型部署 Exchange 2013 时配置的默认权限。如果您已经使用 Active Directory 拆分权限模型部署了Exchange 2013,默认权限将有所不同。有关使用 Active Directory 拆分权限以及共享和拆分权限模型时的默认权限更改的详细信息,请参阅了解拆分权限中的 Active Directory split permissions。如果您在安装 Exchange 时不选择使用 Active Directory 拆分权限,Exchange 将使用共享权限。

下表说明为配置分区中的 Microsoft Exchange 容器设置的权限。

对象的可分辨名称:CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

安装 帐户

允许 ACE

全部

完全控制

此帐户用于运行 /PrepareAD

组织管理

允许 ACE

全部

完全控制

Exchange 受信任子系统

允许 ACE

全部

完全控制

Exchange Servers

允许 ACE

全部

阅读

经过身份验证的用户

允许 ACE

读取属性

列出内容

Exchange 受信任子系统

允许 ACE

全部

修改权限

msExchSmtpRceiveConnector

公用文件夹管理

允许 ACE

全部

阅读

列出对象

委派安装

允许 ACE

全部

阅读

列出对象

下表说明了在配置分区中的 Microsoft Exchange 自动发现容器上设置的权限。

对象的可分辨名称:CN=Microsoft Exchange Autodiscover、CN=Services、CN=Configuration、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

Exchange Servers

允许 ACE

全部

阅读

本节中的权限表说明了在配置分区中的 Microsoft Exchange 组织及子容器上设置的权限。

对象的可分辨名称:CN=<organization>、CN=Microsoft Exchange、CN=Services、CN=Configuration、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

Enterprise Admins

根 Domain Admins

安装 帐户

组织管理

拒绝 ACE

全部

代理发送

代理接收

不允许 Windows 管理员打开邮箱。

Enterprise Admins

Schema Admins

根 Domain Admins

安装 帐户

组织管理

拒绝 ACE

全部

Exchange Web 服务模拟

Exchange Web 服务令牌序列化

扩展权限

Enterprise Admins

Schema Admins

根 Domain Admins

安装 帐户

拒绝 ACE

全部

存储传输访问

存储约束委派

存储读取访问

存储读写访问

本地系统

允许

全部

所有扩展权限

经过身份验证的用户

拒绝 ACE

后代

读取属性

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace

经过身份验证的用户

允许

阅读

组织管理

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

公用文件夹管理

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

NT Authority\Network Service

允许 ACE

全部

阅读

托管可用性服务器

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

Exchange Servers

允许 ACE

全部

所有扩展权限

Exchange Servers

允许 ACE

全部

写入属性

groupType

Exchange Servers

允许 ACE

全部

写入属性

msExchOwningServer

Exchange Servers

允许 ACE

全部

写入属性

msExchMailboxSecurityDescriptor

Exchange Servers

允许 ACE

全部

写入属性

msExchUMServerWritableFlags

Exchange Servers

允许 ACE

全部

写入属性

msExchDatabaseCreated

Exchange Servers

允许 ACE

全部

写入属性

msExchUserCulture

Exchange Servers

允许 ACE

全部

写入属性

msExchMobileMailboxFlags

Exchange Servers

允许 ACE

全部

写入属性

siteFolderGUID

Exchange Servers

允许 ACE

全部

写入属性

siteFolderServer

Exchange Servers

允许 ACE

全部

写入属性

msExchEDBOffline

Exchange Servers

允许 ACE

全部

写入属性

userCertificate

Exchange Servers

允许 ACE

全部

写入属性

msExchUMDtmfMap

Exchange Servers

允许 ACE

全部

写入属性

msExchBlockedSendersHash

Exchange Servers

允许 ACE

全部

写入属性

Personal Information

Exchange Servers

允许 ACE

全部

写入属性

Public Information

Exchange Servers

允许 ACE

全部

写入属性

Exchange Information

Exchange Servers

允许 ACE

全部

写入属性

msExchPatchMDB

Exchange Servers

允许 ACE

全部

写入属性

publicDelegates

Exchange Servers

允许 ACE

全部

写入属性

msExchUMSpokenName

Exchange Servers

允许 ACE

全部

写入属性

msExchUMPinChecksum

Exchange Servers

允许 ACE

全部

写入属性

legacyExchangeDN

Exchange Servers

允许 ACE

全部

写入属性

msExchSafeSendersHash

Exchange Servers

允许 ACE

全部

写入属性

thumbnailPhoto

组织管理

允许 ACE

全部

创建顶级公用文件夹

公用文件夹管理

允许 ACE

全部

创建顶级公用文件夹

组织管理

允许 ACE

全部

查看信息存储状态

公用文件夹管理

允许 ACE

全部

查看信息存储状态

组织管理

允许 ACE

全部

管理信息存储

公用文件夹管理

允许 ACE

全部

管理信息存储

组织管理

允许 ACE

全部

在信息存储中创建命名属性

公用文件夹管理

允许 ACE

全部

在信息存储中创建命名属性

组织管理

允许 ACE

全部

修改公用文件夹 ACL

公用文件夹管理

允许 ACE

全部

修改公用文件夹 ACL

组织管理

允许 ACE

全部

修改公用文件夹配额

公用文件夹管理

允许 ACE

全部

修改公用文件夹配额

组织管理

允许 ACE

全部

修改公用文件夹管理 ACL

公用文件夹管理

允许 ACE

全部

修改公用文件夹管理 ACL

组织管理

允许 ACE

全部

修改公用文件夹到期日期

公用文件夹管理

允许 ACE

全部

修改公用文件夹到期日期

组织管理

允许 ACE

全部

修改公用文件夹副本列表

公用文件夹管理

允许 ACE

全部

修改公用文件夹副本列表

组织管理

允许 ACE

全部

修改公用文件夹已删除邮件的保留时间

公用文件夹管理

允许 ACE

全部

修改公用文件夹已删除邮件的保留时间

组织管理

允许 ACE

全部

创建公用文件夹

公用文件夹管理

允许 ACE

全部

创建公用文件夹

公用文件夹管理

允许 ACE

全部

已启用邮件的公用文件夹

每个人

NT Authority\Anonymous Logon

允许 ACE

全部

在信息存储中创建命名属性

每个人

NT Authority\Anonymous Logon

允许 ACE

全部

创建公用文件夹

每个人

NT Authority\Anonymous Logon

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ msExchPrivateMDB

每个人

NT Authority\Anonymous Logon

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ msExchPublicMDB

Exchange Servers

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ siteAddressing

对象的可分辨名称:CN=All Address Lists、CN=Address Lists Container、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

全部

列出内容

组织管理

允许 ACE

全部

写入属性

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

公用文件夹管理

允许 ACE

全部

写入属性

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

对象的可分辨名称:CN=Offline Address Lists、CN=Address Lists Container、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

全部

Download Offline Address Book

对象的可分辨名称:CN=Addressing、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

全部

阅读

对象的可分辨名称:CN=Recipient Policies、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

写入属性

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

公用文件夹管理

允许 ACE

全部

写入属性

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

本节中的权限表说明通过 Setup /PrepareAD 命令为配置分区中的各个容器设置的权限。

对象的可分辨名称:CN=Sites、CN=Configuration、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchVersion / site

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchVersion / site-link

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchPartnerId / site

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchMinorPartnerId / site

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchResponsibleforSites / site

组织管理

Exchange 受信任子系统

允许 ACE

写入属性

msExchTransportSiteFlags / site

组织管理

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchCost / site-link

组织管理

Exchange 受信任子系统

本地系统

Exchange Servers

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ msExchEdgeSyncEHFConnector

组织管理

Exchange 受信任子系统

本地系统

Exchange Servers

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ msExchEdgeSyncMservConnector

组织管理

Exchange 受信任子系统

允许 ACE

子代

创建子项

删除子项

删除目录树

msExchEdgeSyncServiceConfig / site

组织管理

Exchange 受信任子系统

本地系统

Exchange Servers

允许 ACE

后代

读取权限

列出内容

读取属性

列出对象

/ msExchEdgeSyncServiceConfig

组织管理

Exchange 受信任子系统

允许 ACE

子代

创建子项

删除子项

删除目录树

msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig

组织管理

Exchange 受信任子系统

允许 ACE

子代

创建子项

删除子项

删除目录树

msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig

对象的可分辨名称:CN=Deleted Objects、CN=Configuration、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

Exchange Servers

允许 ACE

全部

列出内容

组织管理

允许 ACE

全部

阅读

列出对象

安装 帐户

允许 ACE

全部

读取权限

写入权限

列出内容

读取属性

列出对象

这是用于运行 /PrepareAD 的帐户。

Exchange 受信任子系统

允许 ACE

全部

阅读

列出对象

网络服务

允许 ACE

全部

列出内容

Setup /PrepareAD 命令还为组织中的管理组配置下列权限。

对象的可分辨名称:CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

组织管理

允许 ACE

后代

访问收件人更新服务

msExchExchangeServer

允许 Exchange 收件人管理员使用代理地址信息标记收件人。

本地系统

允许 ACE

后代

访问收件人更新服务

msExchExchangeServer

允许服务器使用代理地址信息标记收件人。

公用文件夹管理

允许 ACE

后代

访问收件人更新服务

msExchExchangeServer

允许 Exchange 公用文件夹管理员使用代理地址信息标记收件人。

对象的可分辨名称:CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

列出内容

对象的可分辨名称:CN=Encryption、CN=Advanced Security Settings、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

读取属性

对象的可分辨名称:CN=Arrays、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

列出内容

对象的可分辨名称:CN=Database Availability Groups、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

列出内容

对象的可分辨名称:CN=Databases、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

列出内容

对象的可分辨名称:CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

Exchange Servers

拒绝 ACE

全部

代理接收

不允许 Exchange Servers 打开邮箱。

经过身份验证的用户

允许 ACE

列出内容

本节中的权限表说明了为在根域分区中的 Microsoft Exchange 安全组容器上设置的权限。

对象的可分辨名称:OU=Microsoft Exchange Security Groups、DC=<root domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

Exchange 受信任子系统

允许 ACE

全部

创建子项

/ Group

Exchange 受信任子系统

允许 ACE

后代

删除

/ group

Exchange 受信任子系统

允许 ACE

后代

写入属性

Member / group

对象的可分辨名称:CN=Organization Management、OU=Microsoft Exchange Security Groups、DC=<root domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

对象的可分辨名称:CN=Public Folder Management、OU=Microsoft Exchange Security Groups、DC=<root domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

对象的可分辨名称:CN=ExchangeLegacyInterop、OU=Microsoft Exchange Security Groups、DC=<root domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

对象的可分辨名称:CN=Exchange Servers、OU=Microsoft Exchange Security Groups、DC=<root domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

Root Domain Administrators

允许 ACE

全部

读取成员

写入成员

Child Domain Administrators

允许 ACE

全部

读取成员

写入成员

下列各表说明在执行 Setup /PrepareDomain 命令时设置的权限。

注意注意:
本节中描述的权限是当您使用共享权限模型部署 Exchange 2013 时配置的默认权限。如果您已经使用 Active Directory 拆分权限模型部署了Exchange 2013,默认权限将有所不同。有关使用 Active Directory 拆分权限以及共享和拆分权限模型时的默认权限更改的详细信息,请参阅了解拆分权限中的 Active Directory split permissions。如果您在安装 Exchange 时不选择使用 Active Directory 拆分权限,Exchange 将使用共享权限。

对象的可分辨名称:DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

经过身份验证的用户

允许 ACE

全部

读取属性

Exchange Information

NT AUTHORITY\NETWORK

允许 ACE

全部

读取属性

Exchange Personal Information

向传输服务授予读取权限。

Exchange Servers

允许 ACE

全部

写入属性

groupType

Exchange Servers

允许 ACE

全部

写入属性

msExchMailboxSecurityDescriptor

Exchange Servers

允许 ACE

全部

写入属性

msExchUMServerWritableFlags

Exchange Servers

允许 ACE

全部

读取属性

Exchange Personal Information

Exchange Servers

允许 ACE

全部

读取属性

Exchange Information

Exchange Servers

允许 ACE

全部

写入属性

msExchUserCultulre

Exchange Servers

允许 ACE

全部

读取属性

memberOf

Exchange Servers

允许 ACE

全部

读取属性

garbageCollPeriod

Exchange Servers

允许 ACE

全部

读取属性

userAccountControl

Exchange Servers

允许 ACE

全部

读取属性

canonicalName

Exchange Servers

允许 ACE

全部

复制同步

扩展权限

Exchange Servers

允许 ACE

全部

创建子项

删除子项

列出子项

msExchActiveSyncDevices / User

Exchange Servers

允许 ACE

全部

创建子项

删除子项

列出子项

msExchActiveSyncDevices / inetOrgPerson

Exchange Servers

允许 ACE

全部

写入属性

msExchSafeSendersHash

Exchange Servers

允许 ACE

全部

写入属性

msExchPublicDelegates

Exchange Servers

允许 ACE

全部

写入属性

msExchMobileMailboxFlags

Exchange Servers

允许 ACE

全部

写入属性

msExchSafeRecipientsHash

Exchange Servers

允许 ACE

全部

写入属性

userCertificate

Exchange Servers

允许 ACE

全部

写入属性

msExchUMDtmfMap

Exchange Servers

允许 ACE

全部

写入属性

msExchBlockedSendersHash

Exchange Servers

允许 ACE

全部

写入属性

msExchUMSpokenName

Exchange Servers

允许 ACE

全部

写入属性

msExchUMPinChecksum

Exchange Servers

允许 ACE

全部

写入属性

thumbnailPhoto

组织管理

允许 ACE

全部

阅读

列出对象

组织管理

允许 ACE

全部

写入属性

Exchange Information

组织管理

允许 ACE

全部

写入属性

garbageCollPeriod

组织管理

允许 ACE

全部

写入属性

legacyExchangeDN

组织管理

允许 ACE

全部

写入属性

msExchPublicDelegates

组织管理

允许 ACE

全部

写入属性

textEncodedORAddress

组织管理

允许 ACE

全部

写入属性

proxyAddresses

组织管理

允许 ACE

全部

写入属性

mail

组织管理

允许 ACE

全部

写入属性

displayNamePrintable

组织管理

允许 ACE

全部

写入属性

showInAddressBook

组织管理

允许 ACE

全部

写入属性

Exchange Personal Information

组织管理

允许 ACE

全部

完全控制

/ msExchDynamicDistributionList

组织管理

允许 ACE

全部

写入属性

adminDisplayName

组织管理

允许 ACE

全部

写入属性

displayName

Exchange 受信任子系统

允许 ACE

全部

阅读

列出对象

Exchange 受信任子系统

允许 ACE

全部

写入属性

displayName

Exchange 受信任子系统

允许 ACE

全部

写入属性

Public Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchPublicDelegates

Exchange 受信任子系统

允许 ACE

全部

写入属性

adminDisplayName

Exchange 受信任子系统

允许 ACE

全部

完全控制

/ msExchDynamicDistributionList

Exchange 受信任子系统

允许 ACE

全部

写入属性

Exchange Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

Exchange Personal Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

garbageCollPeriod

Exchange 受信任子系统

允许 ACE

全部

写入属性

textEncodedORAddress

Exchange 受信任子系统

允许 ACE

全部

写入属性

showInAddressBook

Exchange 受信任子系统

允许 ACE

全部

写入属性

legacyExchangeDN

Exchange 受信任子系统

允许 ACE

全部

写入属性

Personal Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

proxyAddresses

Exchange 受信任子系统

允许 ACE

全部

写入属性

displayNamePrintable

Exchange 受信任子系统

允许 ACE

全部

写入属性

mail

Exchange Windows 权限

允许 ACE

全部

写入属性

pwdLastSet

Exchange Windows 权限

允许 ACE

全部

写入 DACL

/ user

Exchange Windows 权限

允许 ACE

全部

写入 DACL

/ inetOrgPerson

Exchange Windows 权限

允许 ACE

全部

删除目录树

/ user

Exchange Windows 权限

允许 ACE

全部

删除目录树

/ inetOrgPerson

Exchange Windows 权限

允许 ACE

全部

写入属性

sAMAccountName

Exchange Windows 权限

允许 ACE

全部

创建子项

删除

/ contact

Exchange Windows 权限

允许 ACE

全部

创建子项

删除

/ inetOrgPerson

Exchange Windows 权限

允许 ACE

全部

创建子项

删除

/ user

Exchange Windows 权限

允许 ACE

全部

创建子项

删除

/ organizationUnit

Exchange Windows 权限

允许 ACE

全部

创建子项

删除

/ group

Exchange Windows 权限

允许 ACE

全部

创建子项

删除子项

/ computer

Exchange Windows 权限

允许 ACE

全部

写入属性

Member

Exchange Windows 权限

允许 ACE

全部

写入属性

wwwHomePage

Exchange Windows 权限

允许 ACE

全部

写入属性

countryCode

Exchange Windows 权限

允许 ACE

全部

写入属性

userAccountControl

Exchange Windows 权限

允许 ACE

全部

写入属性

managedBy

Exchange Windows 权限

允许 ACE

全部

在下一次登录时重置密码

扩展权限

Exchange Windows 权限

允许 ACE

全部

更改密码

 / user

扩展权限

委派安装

允许 ACE

全部

读取属性

User Account Restrictions

对象的可分辨名称:CN=AdminSDHolder、CN=System、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

经过身份验证的用户

允许 ACE

全部

读取属性

Exchange Information

NT AUTHORITY\NETWORK

允许 ACE

全部

读取属性

Exchange Personal Information

向传输服务授予读取权限。

Exchange Servers

允许 ACE

全部

写入属性

groupType

Exchange Servers

允许 ACE

全部

写入属性

msExchMailboxSecurityDescriptor

Exchange Servers

允许 ACE

全部

写入属性

msExchUMServerWritableFlags

Exchange Servers

允许 ACE

全部

读取属性

Exchange Personal Information

Exchange Servers

允许 ACE

全部

读取属性

Exchange Information

Exchange Servers

允许 ACE

全部

写入属性

msExchUserCultulre

Exchange Servers

允许 ACE

全部

读取属性

memberOf

Exchange Servers

允许 ACE

全部

读取属性

garbageCollPeriod

Exchange Servers

允许 ACE

全部

读取属性

userAccountControl

Exchange Servers

允许 ACE

全部

读取属性

canonicalName

Exchange Servers

允许 ACE

全部

复制同步

扩展权限

Exchange Servers

允许 ACE

全部

创建子项

删除子项

列出子项

msExchActiveSyncDevices / User

Exchange Servers

允许 ACE

全部

创建子项

删除子项

列出子项

msExchActiveSyncDevices / inetOrgPerson

Exchange Servers

允许 ACE

全部

写入属性

msExchSafeSendersHash

Exchange Servers

允许 ACE

全部

写入属性

msExchPublicDelegates

Exchange Servers

允许 ACE

全部

写入属性

msExchMobileMailboxFlags

Exchange Servers

允许 ACE

全部

写入属性

msExchSafeRecipientsHash

Exchange Servers

允许 ACE

全部

写入属性

userCertificate

Exchange Servers

允许 ACE

全部

写入属性

msExchUMDtmfMap

Exchange Servers

允许 ACE

全部

写入属性

msExchBlockedSendersHash

Exchange Servers

允许 ACE

全部

写入属性

msExchUMSpokenName

Exchange Servers

允许 ACE

全部

写入属性

msExchUMPinChecksum

Exchange Servers

允许 ACE

全部

写入属性

thumbnailPhoto

组织管理

允许 ACE

全部

阅读

列出对象

组织管理

允许 ACE

全部

写入属性

Exchange Information

组织管理

允许 ACE

全部

写入属性

garbageCollPeriod

组织管理

允许 ACE

全部

写入属性

legacyExchangeDN

组织管理

允许 ACE

全部

写入属性

msExchPublicDelegates

组织管理

允许 ACE

全部

写入属性

textEncodedORAddress

组织管理

允许 ACE

全部

写入属性

proxyAddresses

组织管理

允许 ACE

全部

写入属性

mail

组织管理

允许 ACE

全部

写入属性

displayNamePrintable

组织管理

允许 ACE

全部

写入属性

showInAddressBook

组织管理

允许 ACE

全部

写入属性

Exchange Personal Information

组织管理

允许 ACE

全部

完全控制

/ msExchDynamicDistributionList

组织管理

允许 ACE

全部

写入属性

adminDisplayName

组织管理

允许 ACE

全部

写入属性

displayName

Exchange 受信任子系统

允许 ACE

全部

阅读

列出对象

Exchange 受信任子系统

允许 ACE

全部

写入属性

displayName

Exchange 受信任子系统

允许 ACE

全部

写入属性

Public Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

msExchPublicDelegates

Exchange 受信任子系统

允许 ACE

全部

写入属性

adminDisplayName

Exchange 受信任子系统

允许 ACE

全部

完全控制

/ msExchDynamicDistributionList

Exchange 受信任子系统

允许 ACE

全部

写入属性

Exchange Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

Exchange Personal Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

garbageCollPeriod

Exchange 受信任子系统

允许 ACE

全部

写入属性

textEncodedORAddress

Exchange 受信任子系统

允许 ACE

全部

写入属性

showInAddressBook

Exchange 受信任子系统

允许 ACE

全部

写入属性

legacyExchangeDN

Exchange 受信任子系统

允许 ACE

全部

写入属性

Personal Information

Exchange 受信任子系统

允许 ACE

全部

写入属性

proxyAddresses

Exchange 受信任子系统

允许 ACE

全部

写入属性

displayNamePrintable

Exchange 受信任子系统

允许 ACE

全部

写入属性

mail

Exchange Windows 权限

允许 ACE

全部

写入属性

pwdLastSet

Exchange Windows 权限

允许 ACE

全部

写入属性

sAMAccountName

Exchange Windows 权限

允许 ACE

全部

写入属性

Member

Exchange Windows 权限

允许 ACE

全部

写入属性

wwwHomePage

Exchange Windows 权限

允许 ACE

全部

写入属性

countryCode

Exchange Windows 权限

允许 ACE

全部

写入属性

userAccountControl

Exchange Windows 权限

允许 ACE

全部

写入属性

managedBy

委派安装

允许 ACE

全部

读取属性

User Account Restrictions

对象的可分辨名称:CN=Deleted Objects、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

Exchange Servers

允许 ACE

全部

列出内容

对象的可分辨名称:CN=Microsoft Exchange System Objects、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

NT AUTHORITY\NETWORK

允许 ACE

全部

读取属性

列出内容

读取权限

经过身份验证的用户

允许 ACE

全部

读取权限

经过身份验证的用户

允许 ACE

全部

读取属性

garbageCollPeriod

经过身份验证的用户

允许 ACE

全部

读取属性

adminDisplayName

经过身份验证的用户

允许 ACE

全部

读取属性

modifyTimeStamp

Exchange Servers

拒绝 ACE

全部

删除目录树

Exchange Servers

允许 ACE

全部

读取权限

列出内容

读取属性删除树

Exchange Servers

允许 ACE

全部

创建子项

/ msExchSystemMailbox

Exchange Servers

允许 ACE

全部

创建子项

删除子项

/ publicFolder

Exchange Servers

允许 ACE

全部

创建子项

/ user

Exchange Servers

允许 ACE

全部

删除子项

/ msExchSystemMailbox

Exchange Servers

允许 ACE

全部

删除子项

/ user

Exchange Servers

允许 ACE

后代

写入属性

/ publicFolder

Exchange Servers

允许 ACE

后代

写入属性

/ msExchSystemMailbox

Exchange Servers

允许 ACE

后代

写入属性

/ user

Exchange Servers

允许 ACE

后代

更改密码

在下一次登录时重置密码

/ user

组织管理

允许 ACE

全部

读取权限

列出内容

读取属性

组织管理

允许 ACE

后代

写入属性

/ msExchSystemMailbox

组织管理

允许 ACE

全部

创建子项

删除子项

/ msExchSystemMailbox

组织管理

允许 ACE

后代

写入属性

/ user

组织管理

允许 ACE

全部

创建子项

删除子项

/ user

组织管理

允许 ACE

后代

读取属性

写入属性

mail / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

displayNamePrintable / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

displayName / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

textEncodedORAddress / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

proxyAddresses / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

cn / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

showInAddressBook / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

Exchange Information / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

LegacyExchangeDN / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

Exchange Personal Information / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

msDSPhoneticDisplayName / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

msExchPFContacts / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

garbageCollPeriod / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

name / publicFolder

组织管理

允许 ACE

后代

读取属性

写入属性

msExchPublicDelegates / publicFolder

公用文件夹管理

允许 ACE

全部

读取权限

列出内容

读取属性

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

mail / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

displayNamePrintable / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

displayName / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

textEncodedORAddress / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

proxyAddresses / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

cn / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

showInAddressBook / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

Exchange Information / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

legacyExchangeDN / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

Exchange Personal Information / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

msDSPhoneticDisplayName / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

msExchPFContacts / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

garbageCollPeriod / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

name / publicFolder

公用文件夹管理

允许 ACE

后代

读取属性

写入属性

msExchPublicDelegates / publicFolder

Exchange 受信任子系统

允许 ACE

全部

读取权限

列出内容

读取属性

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

mail / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

displayNamePrintable / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

displayName / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

textEncodedORAddress / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

proxyAddresses / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

cn / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

showInAddressBook / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

Exchange Information / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

legacyExchangeDN / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

Exchange Personal Information / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

msDSPhoneticDisplayName / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

msExchPFContacts / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

garbageCollPeriod / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

name / publicFolder

Exchange 受信任子系统

允许 ACE

后代

读取属性

写入属性

msExchPublicDelegates / publicFolder

对象的可分辨名称:CN=Exchange Install Domain Servers、CN=Microsoft Exchange System Objects、DC=<domain>

帐户 ACE 类型 继承 权限 针对属性/应用于

组织管理

允许 ACE

全部

完全控制

在安装客户端访问服务器角色和邮箱服务器角色期间,安装程序会将 Organization Management USG 添加到本地计算机上的管理员安全组中,以便名为 Organization Management 的管理角色组的成员可以管理服务器。

下面的权限表说明了在安装客户端访问服务器角色或邮箱服务器角色时设置的权限。

对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

MACHINE$

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

MACHINE$

允许 ACE

写入属性

msExchServerSite

msExchEdgeSyncCredential

Exchange Servers

允许 ACE

全部

存储传输访问

存储约束委派

存储读取仅访问

存储读写访问权限

扩展权限

NT AUTHORITY\NETWORK

允许 ACE

全部

Exchange Web 服务令牌序列化

扩展权限

仅对邮箱服务器角色对象授予。

NT AUTHORITY\NETWORK

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

本地系统

允许 ACE

全部

读取权限

列出内容

读取属性

列出对象

委派安装

允许 ACE

全部

完全控制

委派安装

拒绝 ACE

全部

创建子项

删除子项

/ msExchPublicMDB

经过身份验证的用户

允许 ACE

全部

读取属性

委派安装

拒绝 ACE

全部

代理接收

代理发送

扩展权限

本节中的权限表说明针对数据库可用性组及其成员设置的权限。

对象的可分辨名称:CN=<DAGName>、CN=Database Availability Groups、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于

经过身份验证的用户

允许 ACE

读取属性

如果安装边缘传输服务器并与 Exchange 组织建立边缘订阅,在组织中实例化该边缘传输服务器时,将设置以下权限表中的权限。

对象的可分辨名称:CN=<server>、CN=Servers、CN=<admin group>、CN=Administrative Groups、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

Exchange Servers

允许 ACE

全部

写入属性

经过身份验证的用户

允许 ACE

读取属性

ACE 是在 msExchExchangeServer 类对象 defaultSecurityDescriptor 的架构中定义的

安装第一个邮箱服务器期间,会创建以下容器(如果不存在的话)。以下权限表说明所应用的权限。

对象的可分辨名称:CN=Availability Configuration、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

Exchange Servers

允许 ACE

后代

读取属性

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects

扩展权限

对象的可分辨名称:CN=Default <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

ExchangeLegacyInterop

拒绝 ACE

全部

接受林头

ExchangeLegacyInterop

拒绝 ACE

全部

接受组织头

Exchange Servers

允许 ACE

全部

接受任何发件人

ExchangeLegacyInterop

允许 ACE

全部

接受任何发件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受任何发件人

这是邮箱服务器的已知安全标识符 (SID)。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受任何发件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受任何发件人

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 EXCH50

ExchangeLegacyInterop

允许 ACE

全部

接受 EXCH50

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 EXCH50

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 EXCH50

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受 EXCH50

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

将邮件提交到任何收件人

ExchangeLegacyInterop

允许 ACE

全部

将邮件提交到任何收件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

将邮件提交到任何收件人

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

将邮件提交到任何收件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

将邮件提交到任何收件人

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XShadow

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 XShadow

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受路由头

ExchangeLegacyInterop

允许 ACE

全部

接受路由头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受路由头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受路由头

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受路由头

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XSessionParams

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 XSessionParams

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 XSessionParams

这是邮箱服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受林头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 xAttr

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 xAttr

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 xAttr

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XProxyFrom

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林 XProxyFrom

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林 XProxyFrom

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XSysProbe

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林 XSysProbe

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林 XSysProbe

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext 扩展属性

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext 扩展属性

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext 扩展属性

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext 快速索引

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext 快速索引

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext 快速索引

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受身份验证标志

ExchangeLegacyInterop

允许 ACE

全部

接受身份验证标志

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受身份验证标志

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受身份验证标志

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受身份验证标志

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

绕过反垃圾邮件检查

ExchangeLegacyInterop

允许 ACE

全部

绕过反垃圾邮件检查

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

绕过反垃圾邮件检查

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

绕过反垃圾邮件检查

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

绕过反垃圾邮件检查

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

绕过邮件大小限制

ExchangeLegacyInterop

允许 ACE

全部

绕过邮件大小限制

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

绕过邮件大小限制

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

绕过邮件大小限制

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

绕过邮件大小限制

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受组织头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受组织头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受组织头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

将邮件提交到服务器

ExchangeLegacyInterop

允许 ACE

全部

将邮件提交到服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

将邮件提交到服务器

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

将邮件提交到服务器

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

将邮件提交到服务器

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受权威域发件人

ExchangeLegacyInterop

允许 ACE

全部

接受权威域发件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受权威域发件人

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受权威域发件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受权威域发件人

这是外部安全服务器的已知 SID。

经过身份验证的用户

允许 ACE

全部

将邮件提交到任何收件人

经过身份验证的用户

允许 ACE

全部

接受路由头

经过身份验证的用户

允许 ACE

全部

绕过反垃圾邮件检查

经过身份验证的用户

允许 ACE

全部

将邮件提交到服务器

对象的可分辨名称:CN=Client <Server>、CN=SMTP Receive Connectors、CN=Protocols、CN=<Server>、CN=Servers、CN=<admin group>、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

经过身份验证的用户

允许 ACE

全部

将邮件提交到任何收件人

经过身份验证的用户

允许 ACE

全部

接受路由头

经过身份验证的用户

允许 ACE

全部

绕过反垃圾邮件检查

经过身份验证的用户

允许 ACE

全部

将邮件提交到服务器

Exchange Servers

允许 ACE

全部

接受 XSessionParams

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 XSessionParams

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 XSessionParams

这是邮箱服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受任何发件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受任何发件人

这是邮箱服务器的已知安全标识符 (SID)。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受任何发件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受任何发件人

这是外部安全服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 Exch50

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 Exch50

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受 Exch50

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 Exch50

Exchange Servers

允许 ACE

全部

将邮件提交到任何收件人

ExchangeLegacyInterop

允许 ACE

全部

将邮件提交到任何收件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

将邮件提交到任何收件人

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

将邮件提交到任何收件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

将邮件提交到任何收件人

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XShadow

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 XShadow

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受路由头

ExchangeLegacyInterop

允许 ACE

全部

接受路由头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受路由头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受路由头

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受路由头

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受林头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 xAttr

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受 xAttr

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受 xAttr

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XProxyFrom

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林 XProxyFrom

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林 XProxyFrom

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受身份验证标志

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受身份验证标志

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受身份验证标志

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受身份验证标志

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受 XSysProbe

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受林 XSysProbe

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受林 XSysProbe

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受身份验证标志

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

绕过反垃圾邮件检查

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

绕过反垃圾邮件检查

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

绕过反垃圾邮件检查

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

绕过反垃圾邮件检查

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext 扩展属性

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext 扩展属性

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext 扩展属性

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext 快速索引

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext 快速索引

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext 快速索引

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

绕过邮件大小限制

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

绕过邮件大小限制

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

绕过邮件大小限制

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

绕过邮件大小限制

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受组织头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受组织头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受组织头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XMessageContext AD 收件人缓存

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

将邮件提交到服务器

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

将邮件提交到服务器

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

将邮件提交到服务器

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

将邮件提交到服务器

这是外部安全服务器的已知 SID。

Exchange Servers

允许 ACE

全部

接受权威域发件人

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

接受权威域发件人

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

接受权威域发件人

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

接受权威域发件人

这是外部安全服务器的已知 SID。

下表说明在创建发送连接器时设置的权限。

对象的可分辨名称:CN=<Connector Name>、CN=Connections、CN=<routing group>、CN=Routing Groups、CN=<admin group>、CN=<organization>

帐户 ACE 类型 继承 权限 针对属性/应用于 注释

NT AUTHORITY\ANONYMOUS LOGON

允许 ACE

全部

发送路由头

Exchange Servers

允许 ACE

全部

发送组织头

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送组织头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送组织头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送林头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送林头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送林头

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 XShadow

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 XShadow

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 XShadow

这是边缘传输服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送路由头

S-1-9-1419165041-1139599005-3936102811-1022490595-10

允许 ACE

全部

发送路由头

这是伙伴服务器已知的 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送路由头

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送路由头

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

发送路由头

这是外部安全服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-24

允许 ACE

全部

发送路由头

这是旧版 Exchange 服务器的已知 SID。

Exchange Servers

允许 ACE

全部

发送 Exch50

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允许 ACE

全部

发送 Exch50

这是邮箱服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允许 ACE

全部

发送 Exch50

这是边缘传输服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允许 ACE

全部

发送 Exch50

这是外部安全服务器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-24

允许 ACE

全部

发送 Exch50

这是旧版 Exchange 服务器的已知 SID。

 
显示: