Exchange 2007 Server 安裝程式權限參考

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上次修改主題的時間: 2009-12-08

本主題說明設定 Microsoft Exchange Server 2007 組織所需的權限。

某些情況下,存取控制清單 (ACL) 並不會套用至慣用的 ntSecurityDescriptor 內容,而是套用至其他內容,例如 msExchMailboxSecurityDescriptor。目錄服務無法強制未在 Microsoft Windows 安全性描述元中指定的安全性。大多數情況下,儲存區服務會複寫 ACL,將這些 ACL 儲存到適當的物件。可惜的是,沒有工具可以使用原始二進位資料格式以外的格式檢視這些 ACL。

每個權限表的欄位包含下列資訊:

  • 帳戶   授與或拒絕權限的安全性主體。
  • ACE 類型   存取控制項目 (ACE) 類型
    • 允許 ACE
    • 拒絕 ACE
  • 繼承   用於子物件的繼承類型。
    • 全部表示權限套用至物件和所有的子物件。
    • 描述表示權限套用至 [開啟內容/套用至] 資料列中所列的物件類別。
    • 表示權限只套用至物件。
  • 權限   授與帳戶的權限。
  • 開啟內容/套用至   某些情況下,權限只套用至指定的內容、內容設定或物件類別。這些限制的權限在此指定。
    • 「斜體」的名稱表示套用讀取內容或寫入內容的一個或多個屬性。
    • 純文字的名稱表示繼承 ACE 的一個或多個物件類別。
    • 「粗體」名稱表示套用建立子項或刪除子項權限的類別名稱。
  • 註解   此欄位會適當地說明為何需要權限,或者提供權限的其他相關資訊。

權限通常是依照 Active Directory 服務介面 (ADSI) 編輯器 (AdsiEdit.msc),[檢視/編輯] 索引標籤上 [進階] 檢視中的 [安全性] 內容頁所使用的名稱,在表格中列出。ADSI 編輯器 [安全性] 內容頁列出權限的更簡要檢視。LDP 工具 (Ldp.exe) 會直接將存取遮罩顯示為數值。安裝代碼依預先定義的常數參考權限。

下表顯示這些值之間的關係。

 

ADSI 編輯器摘要頁面 ADSI 編輯器進階檢視,檢視/編輯索引標籤 套用至指定物件的 ACL 項目 二進位值 (LDP 中的存取遮罩)

完全控制

完全控制

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

讀取

列出內容 + 列出物件 + 讀取所有內容 + 讀取權限

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

寫入

寫入所有內容 + 所有已驗證的寫入

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

 

列出內容

ACTRL_DS_LIST

0x00000004

 

讀取所有內容

ACTRL_DS_READ_PROP

0x00000010

 

寫入所有內容

ACTRL_DS_WRITE_PROP

0x00000020

 

刪除

DELETE

0x00010000

 

刪除樹狀子目錄

ACTRL_DS_DELETE_TREE

0x00000040

 

讀取權限

READ_CONTROL

0x00020000

 

修改權限

WRITE_DAC

0x00040000

 

修改擁有者

WRITE_OWNER

0x00080000

 

所有已驗證的寫入

ACTRL_DS_SELF

0x00000008

 

所有延伸權利

ACTRL_DS_CONTROL_ACCESS

0x00000100

建立所有子物件

建立所有子物件

ACTRL_DS_CREATE_CHILD

0x00000001

刪除所有子物件

刪除所有子物件

ACTRL_DS_DELETE_CHILD

0x00000002

 

 

ACTRL_DS_LIST_OBJECT

0x00000080

延伸權利是個別應用程式指定的自訂權利。這些權利是在 ACL 中指定。但是,它們對 Active Directory 目錄服務是沒有意義的。特定的應用程式會強制任何延伸權利。「建立公用資料夾」或「在資訊儲存庫中建立具名內容」都是 Exchange 延伸權利的例子。

note附註:
如需在 Microsoft Exchange Server 2003 安裝過程中建立之權限的相關資訊,請參閱在 Exchange Server 2003 中使用 Active Directory 權限 (英文)。

本節中的權限表顯示在您執行 setup /PrepareLegacyExchangePermissions 命令時設定的權限。

物件的辨別名稱:DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Enterprise Servers

允許 ACE

全部

寫入內容

Exchange 資訊

 

Authenticated Users

允許 ACE

全部

讀取內容

Exchange 資訊

 

物件的辨別名稱:CN=AdminSDHolder,CN=System,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Enterprise Servers

允許 ACE

全部

讀取內容

寫入內容

Exchange 資訊

 

物件的辨別名稱:CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Domain Servers

允許 ACE

全部

寫入內容

Exchange 資訊

 

本節中的權限表顯示在您執行 Setup /PrepareAD 命令時設定的權限。

下表顯示在組態磁碟分割中之 Microsoft Exchange 容器上設定的權限。

物件的辨別名稱:CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Installation Account

允許 ACE

全部

完全控制

 

這是用於執行 /PrepareAD 的帳戶

Exchange Server

允許 ACE

全部

讀取

 

 

Authenticated Users

允許 ACE

讀取內容

列出內容

 

 

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

本節中的權限表顯示在組態磁碟分割中之 Microsoft Exchange 組織和子容器上設定的權限。

物件的辨別名稱:CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Enterprise Administrator

Root Domain Administrator

Installation Account

拒絕 ACE

全部

以下列傳送

以下列接收

 

Windows 系統管理員不可以開啟信箱。

Enterprise Administrator

Root Domain Administrator

Installation Account

拒絕 ACE

全部

儲存傳輸存取

儲存限制的委派

儲存讀取權限

儲存讀取寫入權限

Exchange Web 服務模擬

Exchange Web 服務 Token 序列化

 

延伸權利

Exchange Server

拒絕 ACE

全部

儲存傳輸存取

儲存限制的委派

儲存唯讀權限

儲存讀取和寫入權限

 

延伸權利

Authenticated Users

拒絕 ACE

描述

讀取內容

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace

 

Authenticated Users

允許 ACE

讀取內容

列出物件

 

 

Everyone 與 Anonymous

允許 ACE

全部

建立公用資料夾

 

延伸權利

Everyone 與 Anonymous

允許 ACE

全部

在資訊儲存庫中建立具名內容

 

延伸權利

Everyone 與 Anonymous

允許 ACE

全部

讀取

msExchPrivateMDB

 

Everyone 與 Anonymous

允許 ACE

全部

讀取

msExchPublicMDB

 

Exchange Server

允許 ACE

全部

所有延伸權利

 

 

Exchange Server

允許 ACE

全部

寫入內容

groupT

 

Exchange Server

允許 ACE

全部

寫入內容

msExchMailboxSecurityDescriptor

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUMServerWritableFlags

 

Exchange Server

允許 ACE

全部

寫入內容

msExchDatabaseCreated

 

Exchange Server

允許 ACE

全部

寫入內容

Public Information

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUserCulture

 

Exchange Server

允許 ACE

全部

寫入內容

siteFolderGUID

 

Exchange Server

允許 ACE

全部

寫入內容

msExchMobileMailboxFlags

 

Exchange Server

允許 ACE

全部

寫入內容

siteFolderServer

 

Exchange Server

允許 ACE

全部

寫入內容

msExchEDBOffline

 

Exchange Server

允許 ACE

全部

寫入內容

userCertificate

 

Exchange Server

允許 ACE

全部

寫入內容

Exchange Personal Information

 

Exchange Server

允許 ACE

全部

寫入內容

Exchange Information

 

Exchange Server

允許 ACE

全部

寫入內容

msExchPatchMDB

 

Exchange Server

允許 ACE

全部

寫入內容

publicDelegates

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUMSpokenName

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUMPinChecksum

 

Exchange Server

允許 ACE

描述

讀取

siteAddressing

 

Schema Administrators

拒絕 ACE

全部

Exchange Web 服務模擬

Exchange Web 服務 Token 序列化

 

延伸權利

Exchange Organization Administrators

拒絕 ACE

全部

以下列傳送

以下列接收

 

Exchange 系統管理員不可以開啟信箱。

Exchange Organization Administrators

拒絕 ACE

全部

Exchange Web 服務模擬

Exchange Web 服務 Token 序列化

 

延伸權利

Exchange View-Only Administrators

允許 ACE

全部

檢視資訊儲存庫狀態

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

讀取

 

 

Exchange Public Folder Administrators

允許 ACE

全部

建立最上層公用資料夾

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

檢視資訊儲存庫狀態

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

管理資訊儲存庫

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

在資訊儲存庫中建立具名內容

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾 ACL

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾配額

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾管理 ACL

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾到期

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾複本清單

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

修改公用資料夾刪除項目保留期間

 

延伸權利

Exchange Public Folder Administrators

允許 ACE

全部

建立公用資料夾

 

延伸權利

物件的辨別名稱:CN=Address Lists Container,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

列出內容

 

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Exchange Public Folder Administrators

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

物件的辨別名稱:CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

下載離線通訊錄

 

 

物件的辨別名稱:CN=Recipient Update Services,CN=Address Lists Container, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=Addressing,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated users

允許 ACE

全部

讀取

 

 

物件的辨別名稱:CN=Recipient Policies,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

 

Exchange Public Folder Administrators

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

物件的辨別名稱:CN=Message Classifications,CN=Transport Settings, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

列出內容

 

 

物件的辨別名稱:CN=ExACPrivileged,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

讀取

 

 

物件的辨別名稱:CN=ExCompanyConfidential,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

讀取

 

 

物件的辨別名稱:CN=ExCompanyInternal,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

讀取

 

 

本節中的權限表顯示 Setup /PrepareAD 命令在組態磁碟分割中各容器上設定的權限。

物件的辨別名稱:CN=Sites,CN=Configuration,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

寫入內容

msExchTransportSiteFlags / site

 

Exchange Organization Administrators

允許 ACE

全部

寫入內容

msExchCost / siteLink

 

物件的辨別名稱:CN=Deleted Objects,CN=Configuration,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

全部

列出內容

 

 

Exchange Organization Administrators

允許 ACE

全部

讀取

寫入權限

 

 

Setup /PrepareAD 命令也會在組織中的系統管理群組上設定下列權限。

物件的辨別名稱:CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Recipient Administrators

允許 ACE

描述

存取收件者更新服務

msExchExchangeServer

允許 Exchange Recipient Administrators 利用 Proxy 位址資訊為收件者加上戳記。

SYSTEM

允許 ACE

描述

存取收件者更新服務

msExchExchangeServer

允許伺服器利用 Proxy 位址資訊為收件者加上戳記。

Exchange Public Folder Administrators

允許 ACE

描述

存取收件者更新服務

msExchExchangeServer

允許 Exchange 公用資料夾利用 Proxy 位址資訊為收件者加上戳記。

物件的辨別名稱:CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

拒絕 ACE

全部

以下列接收

 

Exchange 伺服器不可以開啟信箱。

Authenticated Users

允許 ACE

列出內容

 

 

物件的辨別名稱:CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

列出內容

 

 

物件的辨別名稱:CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

讀取內容

 

 

本節中的權限表顯示在根網域磁碟分割中的 Microsoft Exchange 安全性群組上設定的權限。

物件的辨別名稱:OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Trusted Subsystem

允許 ACE

全部

完全控制

Exchange 2007 SP2 安裝程式會建立此群組,並將它新增到本機 Administrators 群組中。Exchange 信任子系統是一項高權限的萬用安全性群組,可以讀取及寫入組織中每一個 Exchange 相關的物件。如需相關資訊,請參閱如何安裝 Exchange 2007 的最新 Service Pack 或更新彙總套件

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=Exchange Organization Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=Exchange Recipient Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=Exchange View-Only Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

物件的辨別名稱:CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Organization Administrators

允許 ACE

全部

完全控制

 

 

Root Domain Administrators

允許 ACE

全部

讀取成員

寫入成員

 

 

Child Domain Administrators

允許 ACE

全部

讀取成員

寫入成員

 

 

下表顯示在您執行 Setup /PrepareDomain 命令時設定的權限。

物件的辨別名稱:DC=<domain> 與 CN=AdminSDHolder,CN=System,CN=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

讀取內容

Exchange Information

 

Exchange Server

允許 ACE

全部

讀取內容

Exchange Personal Information

 

Exchange Server

允許 ACE

全部

讀取內容

Exchange Information

 

Exchange Server

允許 ACE

全部

寫入內容

groupType

 

Exchange Server

允許 ACE

全部

寫入內容

publicDelegates

 

Exchange Server

允許 ACE

全部

寫入內容

userCertificate

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUMPinChecksum

 

Exchange Server

允許 ACE

全部

寫入內容

msExchMobileMailboxFlags

 

Exchange Server

允許 ACE

全部

寫入內容

msExchMailboxSecurityDescriptor

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUserCulture

 

Exchange Server

允許 ACE

全部

寫入內容

msExchUMServerWriteableFlags

 

Exchange Server

允許 ACE

全部

讀取內容

garbageCollPeriod

 

Exchange Server

允許 ACE

全部

讀取內容

userAccountControl

 

Exchange Server

允許 ACE

全部

讀取內容

canonicalName

 

Exchange Server

允許 ACE

全部

讀取內容

memberOf

 

Exchange Server

允許 ACE

描述

修改權限

group

Microsoft Exchange Server 2007 SP1 Setup /PrepareDomain 中已移除此權限。如果您已安裝 Microsoft Exchange Server 2007,則即便是在部署 Exchange 2007 SP1 後,您仍將會擁有此權限。

Exchange Server

允許 ACE

全部

變更密碼

 

延伸權利

Exchange Recipient Administrators

允許 ACE

全部

讀取

 

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

Exchange Information

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

Exchange Personal Information

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

legacyExchangeDN

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

displayName

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

adminDisplayName

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

displayNamePrintable

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

publicDelegates

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

garbageCollPeriod

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

textEncodedORAddress

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

showInAddressBook

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

proxyAddresses

 

Exchange Recipient Administrators

允許 ACE

全部

寫入內容

mail

 

Exchange Recipient Administrators

允許 ACE

全部

建立子項

刪除子項

msExchDynamicDistributionList

 

Exchange Recipient Administrators

允許 ACE

描述

完全控制

msExchDynamicDistributionList

 

物件的辨別名稱:CN=Microsoft Exchange System Objects,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

全部

讀取

刪除樹狀目錄

 

 

Exchange Server

拒絕 ACE

全部

刪除樹狀目錄

 

Exchange 2003 RUS 會從 Microsoft Exchange 系統物件 (MESO) 容器移除讀取存取控制項目

Exchange Server

允許 ACE

全部

建立子項

刪除子項

publicFolder

 

Exchange Server

允許 ACE

描述

寫入內容

publicFolder

 

Exchange Server

允許 ACE

全部

建立子項

msExchSystemMailbox

 

Exchange Server

允許 ACE

描述

寫入內容

msExchSystemMailbox

 

Exchange Organization Administrators

允許 ACE

全部

刪除子項

msExchSystemMailbox

 

Authenticated Users

允許 ACE

全部

讀取權限

 

 

Authenticated Users

允許 ACE

全部

讀取

 

 

Authenticated Users

允許 ACE

全部

讀取內容

garbageCollPeriod

adminDisplayName

modifyTimeStamp

 

Exchange Public Folder Administrators

允許 ACE

全部

讀取內容

寫入內容

Exchange-Information / publicFolder

Exchange-Personal-Information / publicFolder

legacyExchangeDN / publicFolder

displayName / publicFolder

displayNamePrintable / publicFolder

publicDelegates / publicFolder

garbageCollPeriod / publicFolder

textEncodedORAddress / publicFolder

showInAddressBook / publicFolder

proxyAddresses / publicFolder

mail / publicFolder

pFContacts / publicFolder

msDS-PhoneticDisplayName / publicFolder

cn / publicFolder

name / publicFolder

允許 Exchange Public Folder Administrators 角色管理擁有郵件功能之公用資料夾 Proxy 物件的郵件相關內容。

Exchange Public Folder Administrators

允許 ACE

全部

讀取內容

在安裝 Hub Transport、Unified Messaging、Mailbox 及 Client Access server role 的過程中,安裝程式會將 Exchange Organization Administrators 安全性群組加入本機電腦上的系統管理員安全性群組,讓名為 Exchange Organization Administrators 的 Administrator 角色群組的成員可以管理伺服器。

以下權限表格顯示您在非叢集電腦上安裝 Hub Transport、Unified Messaging、Mailbox 或 Client Access server role 時,所設定的權限。

物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

MACHINE$

允許 ACE

全部

讀取

 

  

MACHINE$

允許 ACE

寫入內容

msExchServerSite

msExchEdgeSyncCredential

 

Exchange Server

允許 ACE

全部

儲存傳輸存取

儲存限制的委派

儲存唯讀權限

儲存讀取和寫入權限

 

延伸權利

Authenticated Users

允許 ACE

讀取內容

 

ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義

如果您安裝叢集信箱伺服器,會改設定以下權限表中列出的權限。

物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

CLUSTEREDNODE$

允許 ACE

全部

讀取

 

安裝的第一個節點擁有此一權限。

CLUSTEREDNODE$

允許 ACE

全部

完全控制

 

之後在 Exchange 叢集中安裝的所有節點擁有此一權限。

CLUSTEREDNODE$

允許 ACE

寫入內容

msExchServerSite

msExchEdgeSyncCredential

 

Exchange Server

允許 ACE

全部

儲存傳輸存取

儲存限制的委派

儲存唯讀權限

儲存讀取和寫入權限

 

延伸權利

Authenticated Users

允許 ACE

讀取內容

 

ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義

如果您安裝叢集信箱伺服器,會在網域磁碟分割中的叢集信箱伺服器電腦帳戶上設定以下權限表中的權限。

物件的辨別名稱:CN=<server>,CN=Computers,DC=<domain> 或 CN=<server>,OU=<organizational unit>,DC=<domain>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Cluster Service Account

允許 ACE

讀取

控制存取

 

 

Cluster Service Account

允許 ACE

寫入內容

Logon Information

 

Cluster Service Account

允許 ACE

寫入內容

Description

 

Cluster Service Account

允許 ACE

寫入內容

sAMAccountName

 

Cluster Service Account

允許 ACE

寫入內容

Account Restrictions

 

Cluster Service Account

允許 ACE

已驗證的寫入 DNS 主機名稱

 

 

Cluster Service Account

允許 ACE

已驗證的寫入服務主要名稱

 

 

如果您安裝 Edge Transport Server,並建立 Exchange 組織的 Edge 訂閱,會在 Edge Transport Server 安裝到組織中時,設定以下權限表中的權限。

物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

全部

寫入內容

 

 

Authenticated Users

允許 ACE

讀取內容

 

ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義

在安裝第一個 Client Access Server 的過程中,會建立以下容器。以下權限表格顯示所套用的權限。

物件的辨別名稱:CN=Availability Configuration,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

描述

讀取內容

msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects

延伸權利

在安裝每一個 Hub Transport Server 的過程中,會設定下列權限。

物件的辨別名稱:CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

ExchangeLegacyInterop

拒絕 ACE

全部

接受樹系標頭

 

 

ExchangeLegacyInterop

拒絕 ACE

全部

接受組織標頭

 

 

Exchange Server

允許 ACE

全部

接受任何寄件者

 

 

ExchangeLegacyInterop

允許 ACE

全部

接受任何寄件者

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受任何寄件者

 

這是 Hub Transport Server 的已知安全性識別碼 (SID)。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受任何寄件者

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

接受任何寄件者

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

接受 EXCH50

 

 

ExchangeLegacyInterop

允許 ACE

全部

接受 EXCH50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受 EXCH50

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受 EXCH50

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

接受 EXCH50

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

提交郵件到任何收件者

 

 

ExchangeLegacyInterop

允許 ACE

全部

提交郵件到任何收件者

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

提交郵件到任何收件者

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

提交郵件到任何收件者

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

提交郵件到任何收件者

  

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

接受路由標頭

 

 

ExchangeLegacyInterop

允許 ACE

全部

接受路由標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受路由標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受路由標頭

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

接受路由標頭

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

接受樹系標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受樹系標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受樹系標頭

  

這是 Edge Transport Server 的已知 SID。

Exchange Server

允許 ACE

全部

接受驗證標幟

 

 

ExchangeLegacyInterop

允許 ACE

全部

接受驗證標幟

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受驗證標幟

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受驗證標幟

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

接受驗證標幟

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

略過反垃圾郵件

 

 

ExchangeLegacyInterop

允許 ACE

全部

略過反垃圾郵件

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

略過反垃圾郵件

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

略過反垃圾郵件

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

略過反垃圾郵件

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

略過郵件大小限制

 

 

ExchangeLegacyInterop

允許 ACE

全部

略過郵件大小限制

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

略過郵件大小限制

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

略過郵件大小限制

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

略過郵件大小限制

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

接受組織標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受組織標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受組織標頭

這是 Edge Transport Server 的已知 SID。

Exchange Server

允許 ACE

全部

提交郵件到伺服器

 

 

ExchangeLegacyInterop

允許 ACE

全部

提交郵件到伺服器

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

提交郵件到伺服器

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

提交郵件到伺服器

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

提交郵件到伺服器

 

這是外部安全伺服器的已知 SID。

Exchange Server

允許 ACE

全部

接受授權網域寄件者

 

 

ExchangeLegacyInterop

允許 ACE

全部

接受授權網域寄件者

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

接受授權網域寄件者

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

接受授權網域寄件者

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

接受授權網域寄件者

 

這是外部安全伺服器的已知 SID。

Authenticated Users

允許 ACE

全部

提交郵件到任何收件者

 

 

Authenticated Users

允許 ACE

全部

接受路由標頭

 

 

Authenticated Users

允許 ACE

全部

略過反垃圾郵件

 

 

Authenticated Users

允許 ACE

全部

提交郵件到伺服器

 

 

物件的辨別名稱:CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Authenticated Users

允許 ACE

全部

提交郵件到任何收件者

 

 

Authenticated Users

允許 ACE

全部

接受路由標頭

 

 

Authenticated Users

允許 ACE

全部

略過反垃圾郵件

 

 

Authenticated Users

允許 ACE

全部

提交郵件到伺服器

 

 

下表顯示在您建立傳送連接器時設定的權限。

物件的辨別名稱:CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

帳戶 ACE 類型 繼承 權限 開啟內容/套用至 註解

Exchange Server

允許 ACE

全部

傳送組織標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

傳送組織標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

傳送組織標頭

 

這是 Edge Transport Server 的已知 SID。

Exchange Server

允許 ACE

全部

傳送樹系標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

傳送樹系標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

傳送樹系標頭

 

這是 Edge Transport Server 的已知 SID。

Exchange Server

允許 ACE

全部

傳送路由標頭

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-10

允許 ACE

全部

傳送路由標頭

 

這是協力程式伺服器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

傳送路由標頭

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

傳送路由標頭

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

傳送路由標頭

 

這是外部安全伺服器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-24

允許 ACE

全部

傳送路由標頭

 

這是傳統 Exchange 伺服器的已知 SID。

ANONYMOUS LOGON

允許 ACE

全部

傳送路由標頭

 

 

Exchange Server

允許 ACE

全部

傳送 Exch50

 

 

S-1-9-1419165041-1139599005-3936102811-1022490595-21

允許 ACE

全部

傳送 Exch50

 

這是 Hub Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-22

允許 ACE

全部

傳送 Exch50

 

這是 Edge Transport Server 的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-23

允許 ACE

全部

傳送 Exch50

 

這是外部安全伺服器的已知 SID。

S-1-9-1419165041-1139599005-3936102811-1022490595-24

允許 ACE

全部

傳送 Exch50

 

這是傳統 Exchange 伺服器的已知 SID。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: