Exchange 2007 權限:常見問題集
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2008-01-24
本主題回答自從 Microsoft Exchange Server 2007 發行之後接到的權限相關問題。
許多回答都說明您在權限上可作的特定變更,以允許或禁止存取。如果您不熟悉可用來管理權限的工具,請參閱規劃及實作分割權限模型。
問題與回答編排為兩節:
Exchange 2007 部署
Exchange 2007 管理
Exchange 2007 部署
問題:執行樹系和網域準備步驟需要什麼權限?
回答: 需要下列權限:
若要執行 Setup /PrepareLegacyExchangePermissions 命令,您必須是 Enterprise Admins 安全性群組的成員。
若要執行 Setup /PrepareSchema 命令,您必須是 Schema Admins 和 Enterprise Admins 安全性群組的成員。
若要執行 Setup /PrepareAD 命令,您必須是 Enterprise Admins 安全性群組的成員。
若要執行 Setup /PrepareDomain, setup /PrepareDomain:<FQDN> 命令或 Setup /PrepareAllDomains 命令,您必須是 Enterprise Admins 群組的成員,或在您將準備的任何網域中必須是 Domain Admins 群組的成員。
問題:Exchange 2007 的 /PrepareLegacyExchangePermissions 有何用途?
回答: 如需詳細資料,請參閱準備傳統 Exchange 權限。
問題:Setup /PrepareLegacyExchangePermissions 如何決定要更新的網域清單?
回答:Setup /PrepareLegacyExchangePermissions 作業會從樹系組態中擷取樹系的網域清單。然後,此作業會連接至通用類別目錄伺服器,並且在每一個網域的命名磁碟分割執行查閱。接著,此作業會嘗試解析 Exchange 網域伺服器和 Exchange 企業伺服器安全性群組的安全性識別碼 (SID),判斷是否已備妥 Microsoft Exchange 2000 Server 或 Exchange Server 2003 的網域。當此作業建置先前準備的網域清單之後,將會嘗試對每一個網域建立網域組態輕量型目錄存取通訊協定 (LDAP) 工作階段。如果此作業可以建立工作階段,則會設定網域的傳統權限。如果此作業因為權限問題或因為網域無法使用而無法建立工作階段,則會將該網域新增至無法存取網域的清單中。如果無法存取網域的清單包含任何網域,則此作業在處理可連線清單之後會失敗。
如果作業失敗,您必須決定修正策略,例如在該網域的網域控制站上使用具有適當認證的帳戶來執行作業,確定網域更新之後,然後再繼續執行其餘的 Exchange 2007 準備步驟。
問題:Exchange 2007 的 Setup /PrepareSchema 有何用途?
回答: 如需詳細資料,請參閱如何準備 Active Directory 及網域。
問題:Exchange 2007 的 Setup /PrepareAD 有何用途?
回答: 如需詳細資料,請參閱如何準備 Active Directory 及網域。
問題:Exchange 2007 的 Setup /PrepareDomain 有何用途?
回答: 如需詳細資料,請參閱如何準備 Active Directory 及網域。此命令可在網域中建立 Microsoft Exchange 系統物件容器。
此容器用來儲存公用資料夾 Proxy 物件和 Exchange 相關的系統物件,例如信箱儲存區的信箱。
Setup /PrepareDomain 命令可在此資料夾上指派特定權限。如需授與的特定權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考。
Setup /PrepareDomain 命令可建立 Exchange Install Domain Servers 全域安全性群組,並將此群組置於 Microsoft Exchange 系統物件容器中。
此命令會將 Exchange Install Domain Servers 全域安全性群組新增至 Exchange Servers 萬用安全性群組。
此命令可在網域層級上指派 Exchange Servers 萬用安全性群組的權限。如需授與的特定權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考。
此命令可在網域層級上指派 Exchange Recipient Administrators 萬用安全性群組的權限。如需授與的特定權限的相關資訊,請參閱 Exchange 2007 Server 安裝程式權限參考。
此命令可將「預設網域控制站原則」組織單位上設定的「管理稽核與安全性記錄檔」權限指派給 Exchange Servers 萬用安全性群組。
問題:何時需要執行 Exchange 2007 的 Setup /PrepareDomain?
回答: Setup /PrepareDomain 命令可讓 Active Directory 網域系統管理員準備 Exchange 2007 使用者和伺服器的網域。您應該在將會包含下列項目的每一個網域中執行 Setup /PrepareDomain 命令:
Exchange 2000、Exchange 2003 或 Exchange 2007 伺服器。
擁有郵件功能的物件
Exchange 目錄存取元件可能使用的通用類別目錄伺服器
問題:在具有 Exchange 伺服器或擁有 Exchange 信箱之使用者的每個網域中,Exchange Servers 群組為何是 Windows Authorization Access 群組的成員?
回答: Exchange 2007 Service Pack 1 中的 PrepareDomain 功能引進了這項變更。這項變更可讓 Microsoft Exchange Transport 服務使用 Service-for-User (S4U) Kerberos 擴充集,對不屬於網域控制站的電腦執行權限檢查。
問題:我發現 Setup /PrepareDomain 會變更網域控制站原則。Exchange Servers 萬用安全性群組被授與權限來管理稽核與安全性記錄檔。為何需要如此?
回答: 為了讓儲存區處理程序支援信箱稽核,需要此權限,因為此權限可讓 Exchange 伺服器讀取網域中的系統存取控制清單 (SACL)。如果移除此權限,Exchange 伺服器資料庫將不會裝載。Setup /PrepareDomain 命令對網域控制站原則只作這項調整。此原則會透過 Active Directory 複寫與檔案複寫服務 (FRS) 的組合,複寫到其他網域控制站。
.gif "note") 附註: |
|---|
| 如果您已在網域控制站組織單位中執行其他原則,您必須將此權限新增至最高的適用原則。 |
回到頁首
問題:Exchange Install Domain Servers 安全性群組執行什麼功能?
回答: 安裝 Exchange 2007 伺服器時,其電腦帳戶會新增至 Exchange Servers 萬用安全性群組。依預設,此群組由樹系的根網域託管。如果您要安裝的伺服器位於不同的網域,則安裝期間可能不會啟動 Exchange 服務,因為 Active Directory 複寫尚未將 Exchange Servers 成員資格複寫到您要安裝 Exchange 2007 的網域中的通用類別目錄伺服器。
Exchange Install Domain Servers 安全性群組的用途是確保在安裝期間可以正常啟動服務,而不需要等待 Active Directory 複寫。Exchange 安裝程式會將電腦帳戶新增至本機網域的 Exchange Install Domain Servers 全域安全性群組。
問題:我可以將預設的 Exchange 安全性群組移至樹系中的另一個容器或網域嗎?
回答: Exchange 2007 使用一組新的安全性群組來管理權限模型和維護共存性。這些群組如下:
Exchange Server
Exchange 僅檢視管理
Exchange 公用資料夾系統管理員 (Exchange 2007 Service Pack 1 的新功能)
Exchange 收件者系統管理員
Exchange 組織系統管理員
ExchangeLegacyInterop
依預設,這些安全性群組位於 Microsoft Exchange 安全性群組組織單位中的根網域。可以移至不同的組織單位,也可以移至樹系中的其他網域。您可以在樹系中移動群組,因為這些群組有兩個獨特內容:已知的 GUID 和可變更的辨別名稱。在 Setup /PrepareAD 作業期間,只要將這兩個內容新增至樹系的 otherWellKnownObjects 屬性,Exchange 就能在樹系中的任何地方找到安全性群組。當物件移動時,目錄服務會負責更新物件的辨別名稱 (DN)。因此,Exchange 不需要目錄中的固定位置。
回到頁首
問題:我的公司不允許子系容器和組織單位繼承 Active Directory 網域層級的權限。這樣會有問題嗎?
回答: Setup /PrepareDomain 命令只會將 Exchange Servers 群組和 Exchange Recipient Administrators 群組的存取控制項目 (ACE) 放在網域層級上。因此,如果您封鎖繼承,Microsoft Exchange 將無法處理使用者物件。結果會造成收件者系統管理員無法提供郵件收件者,且 Exchange 也無法在物件上更新適當的屬性。
由於封鎖繼承,您可以選擇在選取的容器或組織單位上移除或複製權限。如果決定複製權限,將會套用適當的 ACE。如果決定移除權限,則不會套用適當的 ACE,也無法使用收件者提供功能。
| 附註: |
|---|
| Microsoft Exchange 的未來版本或 Service Pack 中可能會變更權限結構。因此,建議您允許繼承,或至少在部署新版的 Microsoft Exchange 時要監視權限變更,讓遭到封鎖繼承的容器能夠適當更新。 |
如果您要在組織單位上手動設定權限,讓 Exchange 2007 和收件者可以處理或存取物件,您必須指派下列權限:
將下列對於組織單位中所有收件者物件類型的權限,指派給 Authenticated Users 安全性物件:
- Exchange 資訊內容集的讀取權限
將下列對於組織單位中所有收件者物件類型的權限,指派給 Exchange Servers 群組:
下列屬性的寫入權限:
groupType
msExchUMPinChecksum
msExchMailboxSecurityDescriptor
publicDelegates
msExchUMSpokenName
msExchUserCulture
userCertificate
msExchMobileMailboxFlags
msExchUMServerWriteableFlags
下列屬性的讀取權限:
garbageCollPeriod
canonicalName
userAccountControl
memberOf
Exchange 個人資訊內容集的讀取權限
Exchange 資訊內容集的讀取權限
「變更密碼」權限
群組物件的「寫入權限」權限
如果您操作的環境包含 Exchange 2000 或 Exchange 2003 伺服器,您也必須指派下列權限給 Exchange Enterprise Servers 安全性群組,Exchange 2003 收件者更新服務才能處理物件:
列出內容
讀取所有內容
讀取權限
寫入公用資訊
寫入個人資訊
寫入 Exchange 資訊
寫入 displayName
寫入 groupType
群組物件上的「寫入權限」權限 (需要此權限來支援隱藏的群組成員資格)
為了確保 Exchange 收件者系統管理員可以管理組織單位中的收件者物件,您必須指派下列權限給 Exchange Recipient Administrators 安全性群組:
存取下列內容集的寫入權限:
Exchange 個人資訊
Exchange 資訊
存取下列屬性的寫入權限:
legacyExchangeDN
publicDelegates
showInAddressBook
displayName
garbageCollPeriod
proxyAddresses
adminDisplayName
textEncodedORAddress
mail
displayNamePrintable
建立 msExchDynamicDistributionList 物件權限
刪除 msExchDynamicDistributionList 物件使用者權限
msExchDynamicDistributionList 物件的完全控制
一般讀取權限,包括讀取、清單內容、清單物件及讀取全部內容
Active Directory 服務介面 (ADSI) 嵌入式管理單元、判別存取控制清單 (DACL) 或 Exchange 管理命令介面的 Add-ADPermission 指令程式,都可以用來設定這些權限。如需如何在組織單位層級上設定權限的相關資訊,請參閱規劃及實作分割權限模型。
回到頁首
問題:安裝第一部 Exchange 伺服器需要什麼權限?
回答: 假設您已執行所有的樹系和網域準備步驟,若要安裝第一部 Exchange 伺服器,您必須使用下列權限登入 Active Directory:
Exchange 組織系統管理員角色
目標 Exchange 伺服器上的本機 Administrators 群組的成員
| 附註: |
|---|
| 安裝每一個 Exchange 2007 伺服器角色的第一部伺服器需要 Exchange 組織系統管理員角色。 |
問題:安裝額外的 Exchange 伺服器需要什麼權限?
回答: 假設您已執行所有準備步驟,也已安裝第一個 Exchange 2007 伺服器角色,若要為相同角色安裝額外的 Exchange 伺服器,您必須使用下列權限登入 Active Directory:
Exchange 組織系統管理員角色,或已被委派權限可透過安裝程式的伺服器供應程序來安裝伺服器。如需如何提供伺服器物件的相關資訊,請參閱 如何提供 Exchange 2007 Server 並委派設定。
目標 Exchange 伺服器上的本機 Administrators 群組的成員
問題:如何委派權限給其他系統管理員,讓他們也可以管理各種 Exchange 2007 服務?
回答: 若要委派權限給其他使用者,請使用下列工具:
Exchange 管理主控台中的 [新增 Exchange 系統管理員] 精靈
Exchange 管理命令介面中的 Add-ExchangeAdministrator 指令程式
若要委派其他系統管理員,您必須以獲委派 Exchange 組織系統管理員角色的使用者來登入。
回到頁首
問題:如果我將 Exchange 電腦帳戶移至 Active Directory 中的另一個組織單位,這樣會影響我的 Exchange 權限和委派嗎?
回答: 不會,[新增 Exchange 系統管理員] 精靈會在 Active Directory 的組態命名內容中指派權限,而不是在電腦帳戶所在的網域命名內容中。不過,移動電腦帳戶物件之後,您必須重新啟動 Exchange 伺服器上的 Microsoft Exchange System Attendant 服務。如需為何需要重新啟動 Exchange 伺服器的相關資訊,請參閱 Microsoft 知識庫文章在 Exchange 2000 和 Exchange 2003 中,System Attendant 產生事件識別碼 9186 和事件識別碼 9187。
問題:Exchange 組織系統管理員角色與 Exchange Server 系統管理員角色有何不同?
回答: Exchange 組織系統管理員可以在 Exchange 組織的組態磁碟分割中,操作和變更任何 Exchange 物件的設定。
Exchange Server 系統管理員只能操作已獲委派權限的 Exchange 伺服器物件及其底下的一切物件。
問題:如果我在 Exchange 組織層級上授與使用者或群組的權限,這些權限會自動往下繼承嗎?
回答: 是。就像在 Exchange 2003 中一樣,會繼承權限。
問題:對於 Exchange 2007 叢集組態中的服務帳戶,我需要什麼權限?
回答: 叢集服務帳戶不需要任何 Exchange 組織權限。
問題:在叢集組態中安裝 Exchange 2007 需要什麼權限?
**回答:**如需如何執行叢集信箱伺服器之委派安裝的相關資訊,請參閱如何執行叢集信箱伺服器的委派安裝。
回到頁首
問題:我有一個協力廠商郵件應用程式,此程式對於每一位使用者的信箱,需要完整存取權。在 Exchange Server 5.5 中,我們是將服務帳戶管理權限授與一個特殊帳戶,然後再指示應用程式使用此帳戶。在 Exchange 2007 中如何達成類似的功能?
回答: Exchange 2007 與 Exchange Server 5.5 的安全性以不同方式運作。事實上,Exchange 2007 不使用站台服務帳戶。相反地,所有服務都以本機電腦帳戶來啟動。
如果您的登入帳戶是 Administrator 帳戶、根 Domain Administrators 的成員、Enterprise Administrators 群組的成員或 Exchange 組織系統管理員角色的成員,即使您具有 Exchange 系統的完整管理權限,一樣會明確地拒絕您存取自己信箱以外的其他所有信箱。不需要將足夠的權限授與系統管理員來讀取其他人的郵件,就可以執行所有 Exchange 2007 系統管理工作。
下列方法可以達成您要的結果,但必須遵守組織的安全性和隱私權原則:
在 Exchange 管理命令介面中,使用下列命令來允許存取特定信箱儲存區的所有信箱:
Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As在 Exchange 管理命令介面中,使用下列命令來允許存取個別信箱:
Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
回到頁首
問題:網域系統管理員在其網域中為什麼可以冒用擁有信箱功能的使用者帳戶?
回答: Active Directory 包含一組基本權限,可以套用至目錄中的物件。尤其,Active Directory 包含「以下列傳送」延伸權限。依預設,Administrators 群組、Domain Admins 群組、Enterprise Admins 群組及 Account Operators 群組擁有所有使用者的「以下列傳送」權限。Administrators 群組權限和 Enterprise Admins 群組權限繼承自網域層級。Account Operators 群組和 Domain Admins 群組會接收明確權限,這些權限根據 Active Directory 架構中的使用者物件的定義。
您可能想要對網域中的使用者物件執行「拒絕以下列傳送」ACE 來提防系統管理員。如果決定對網域中的使用者物件執行「拒絕以下列傳送」ACE 來提防系統管理員,請注意下列事項:
明確的「允許」ACE 會覆寫繼承的「拒絕」ACE。這表示明確的 ACE 會在繼承的 ACE 之前套用。
Domain Admins 群組的成員可以移除「拒絕」ACE 和新增明確的「允許」ACE。
新增「拒絕」ACE 可能會在環境中衍生額外的效果。
為網域中的使用者物件執行「拒絕以下列傳送」ACE 來提防系統管理員時,如果會讓郵件環境陷於危險,您應該採取下列一或多項動作:
透過委派特定的作業,限制網域中的網域系統管理員數量。如需相關資訊,請參閱委派 Active Directory 管理的最佳作法 (英文)。
對 Domain Admins 群組中的帳戶,使用稽核來監視帳戶登入事件。
回到頁首
問題:Enterprise Admins 群組和根 Domain Admins 群組的成員在 Exchange 組織中為何具有完整控制權?
回答: 在 Exchange 2000 及更新版本的 Exchange Server 中,Exchange 組織的相關資料不是儲存在分開的目錄中。Exchange 會將 Active Directory 的組織資料儲存在組態命名內容中。樹系系統管理員 (Enterprise Admins 群組或根 Domain Admins 群組的成員) 可完全控制目錄的一切,也可以控制目錄中儲存的資料。因為單一組態變更可能會危害整個樹系,所以樹系系統管理員必須控制目錄。組態命名內容及透過繼承儲存在組態命名內容中的 Exchange 組織具有下列權限:
Enterprise Admins – 完全控制
根 Domain Admins – 讀取、寫入、建立所有子物件、特殊權限
除了繼承的權限之外,Exchange 安裝程式還會為 Admins 群組和根 Domain Admins 群組新增「以下列傳送」和「以下列接收」的「拒絕」ACE。這樣可防止這些系統管理員在樹系中存取並冒用信箱。如需相關資訊,請參閱Exchange 2007 Server 安裝程式權限參考。
您無法在組態命名內容中從 Exchange 組織節點移除繼承。如果郵件系統管理員不信任樹系系統管理員,郵件系統管理員應該考慮將 Exchange 隔離在自己的樹系中。如需部署選項的相關資訊,請參閱 Exchange Server 2007 部署 (英文)。
如果無法將 Exchange 組織隔離在獨立的樹系中,建議您執行下列一或多項作業:
透過委派特定的作業,限制根網域中的企業系統管理員和網域系統管理員的數量。如需相關資訊,請參閱委派 Active Directory 管理的最佳作法 (英文)。
對任何權限群組的成員,使用稽核來監視其帳戶登入事件。這些群組包括 Enterprise Admins 群組和根 Domain Admins 群組。
對目錄的 CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain> 部分,使用稽核來監視變更情形。
回到頁首
問題:Account Operators 群組的成員為何可以修改 Exchange 伺服器安全性群組?
回答: Active Directory 中會授權特定權限給權限群組,例如 Account Operators 安全性群組。尤其會將網域磁碟分割中每一個物件的明確「完全控制」權限授與 Account Operators 安全性群組,讓群組可以管理這些物件。
您可能想要為這些安全性群組執行「拒絕」存取控制項目 (ACE) 來提防帳戶操作員。如果決定執行「拒絕」ACE,請注意下列事項:
在目錄中的物件上使用明確 ACE 將完整控制權授與帳戶操作員。這表示您必須在想要限制的每一個群組上設定明確的「拒絕」ACE。請注意,明確的「允許」ACE 會覆寫繼承的「拒絕」ACE。
新增「拒絕」ACE 可能會在環境中衍生額外的效果。如需相關資訊,請參閱規劃及實作分割權限模型。
對 Account Operators 或 Exchange 安全性群組的其他權限群組執行「拒絕」ACE 時,如果會讓郵件環境陷於危險,您應該採取下列一或多項動作:
透過委派特定的作業,限制網域中的帳戶操作員數量。如需相關資訊,請參閱委派 Active Directory 管理的最佳作法 (英文)。
對 Account Operators 安全性群組中的成員,使用稽核來監視其帳戶登入事件。
使用稽核來監視 Exchange 安全性群組的變更。
問題:為何 Exchange Server 5.5 中有一個特殊的服務帳戶,但 Exchange 2007 服務卻可以使用 LocalSystem (內建電腦帳戶) 啟動?
回答: 由於 Microsoft Windows NT 4.0 的限制,Exchange Server 5.5 在其服務上需要使用特殊的登入帳戶。雖然 Windows NT 4.0 中的本機電腦帳戶有 Token,但並沒有認證。因此,電腦帳戶無法彼此驗證。Windows Server 2003 採用 Kerberos 驗證,且電腦帳戶具有 Token 與認證。
使用本機電腦帳戶比系統管理員指定的帳戶更安全,原因如下:
本機電腦密碼是隨機產生的十六進位數字,而非可理解的字串。
本機電腦密碼每隔七天會自動變更一次。
因為嘗試以暴力破解登入時會停用帳戶和關閉 Exchange 服務,所以鎖定原則中必須排除 Exchange Server 5.5 服務帳戶。
回到頁首
Exchange 2007 管理
問題:建立和刪除 Exchange 2007 使用者需要什麼權限?
回答: 如果您負責管理使用者和信箱,您必須有權限在 Active Directory 中建立和管理收件者物件。例如,您可能是網域系統管理員或帳戶操作員,也可能已被委派特定組織單位的存取權。請注意,子網域權限帳戶的成員也必須具有 Exchange 僅檢視管理角色,才能從 Exchange 管理主控台和 Exchange 管理命令介面中管理郵件相關內容。如果您沒有較高權限,則必須有下列權限:
Exchange 收件者系統管理員角色,或已被委派適當的權限。如需如何委派收件者管理的相關資訊,請參閱規劃及實作分割權限模型和權限考量。
- 若要在伺服器之間移動信箱,系統管理員必須是 Exchange 組織系統管理員,或在來源和目的伺服器上必須已被委派 Exchange Server 系統管理員角色。
在網域磁碟分割中有適當權限可建立、刪除及管理所需的物件。
此外,如果您管理公用資料夾物件,對於在 Exchange 管理主控台或 Exchange 管理命令介面中操作物件時用來登入的管理帳戶,建議啟用管理帳戶的郵件或信箱功能。如果用來管理公用資料夾物件的帳戶未啟用郵件或信箱功能,在某些情況下,權限使用者介面會出現怪異現象,或在解析顯示名稱時發生錯誤。
如需相關資訊,請參閱使用 Exchange Server 2003 儲存區 (英文) 中的「疑難排解與修復 Exchange Server 2003 儲存區問題」一節的「其他問題」主題。
回到頁首
問題:我為什麼需要 Exchange 收件者系統管理員角色沒有提供的其他權限,才能對信箱執行特定作業,例如變更信箱類型?
回答: 為了將信箱轉換成另一種類型,您必須在 Active Directory 中進行幾項變更,這可能需要 Exchange 收件者系統管理員角色沒有提供的較高權限。例如,要將使用者信箱轉換成會議室信箱的案例如下:經過設計的資源信箱已停用擁有信箱功能的使用者帳戶,而使用者信箱為擁有信箱功能的使用者帳戶。因此,為了將信箱的類型從 UserMailbox 轉換成 RoomMailbox,就必須停用使用者帳戶。這需要將使用者的屬性 userAccountControl 從值512 (啟用) 變更為 514 (停用)。此外,由於目前已停用該帳戶,為了讓信箱可以繼續使用,必須設定 msExchMasterAccountSID 屬性並套用適當的權限。在此情況下,我們沒有指派連結帳戶,而是將 NT AUTHORITY\SELF 權限指派給 msExchMasterAccountSID 屬性。此外,必須確保 NT AUTHORITY\SELF 權限具有不會影響郵件流程與信箱的適當權限。我們用兩種方式來執行此動作。首先藉由更新信箱安全性描述元,將 NT AUTHORITY\SELF 權限完整存取授與信箱。然後將 NT AUTHORITY\SELF 權限 Send-As 延伸權利和讀取及寫入存取授與個人資訊內容集 (讓 NT AUTHORITY\SELF 可管理 publicDelegates 及其他屬性)。
問題:修改使用者物件的信箱權限需要什麼權限?
回答: 若要透過 Exchange 管理命令介面來正確修改信箱權限,您必須有下列權限:
Exchange 僅檢視管理角色
在信箱所在的信箱儲存區上獲授與「管理資訊儲存區」權限
在信箱所在的信箱儲存區上獲授與寫入權限
問題:在 Exchange 信箱儲存區之間移動信箱需要什麼權限?
回答: 從 Exchange 管理主控台和 Exchange 管理命令介面中可存取的「移動信箱」功能,可以登入來源信箱,並且將資料夾和郵件移至目的信箱。您可以在相同儲存群組中的信箱儲存區之間移動信箱、在相同伺服器上跨越不同儲存群組來移動信箱,以及在 Exchange 伺服器之間移動信箱。在 Active Directory 中的使用者物件上,您必須有權限修改其 Exchange 信箱屬性。擔任帳戶操作員的使用者具有這些權限。您也必須具有下列權限:
Exchange 組織系統管理員角色,或在來源和目標 Exchange 2007 信箱伺服器上被委派 Exchange Server 系統管理員角色。
附註:如果您在 Exchange 2007–Exchange 2003 混合環境中的系統管理群組之間移動信箱,則在來源和目標系統管理群組上,您必須被委派 Exchange 系統管理員角色。 在本機工作站或伺服器上是 Administrators 群組的成員,以建立動態 MAPI 設定檔
回到頁首
問題:在 Exchange 2007 伺服器上建立新的信箱或公用資料夾儲存區或儲存群組需要什麼權限?
回答: 您必須使用下列權限登入:
Exchange 組織系統管理員角色,或在 Exchange 2007 信箱伺服器上被委派 Exchange Server 系統管理員角色。
附註:Exchange Server 系統管理員無法建立公用資料夾資料庫。
問題:我發現各種接收連接器和傳送連接器有多個安全性識別碼 (SID) 未解析。這是為什麼?
回答: 某些用來指派權限給各種接收連接器和傳送連接器的邏輯群組會以 SID 表示,不具有顯示名稱。在這種情況下,Get-ADPermission 指令程式只會輸出 SID。Exchange 2007 Transport 中已定義下列 SID:
相同組織中的 Hub Transport Server:S-1-9-1419165041-1139599005-3936102811-1022490595-21
附註:對於相同網域中的兩個 Hub Transport Server 之間的驗證和授權,使用的電腦帳戶是 Exchange Servers 安全性群組的成員。 信任的 Edge Transport Server:S-1-9-1419165041-1139599005-3936102811-1022490595-22
信任的協力廠商伺服器,負責處理相同的授權網域:S-1-9-1419165041-1139599005-3936102811-1022490595-23
相同組織中的 Exchange 2003 伺服器:S-1-9-1419165041-1139599005-3936102811-1022490595-24
協力傳輸伺服器:S-1-9-1419165041-1139599005-3936102811-1022490595-10
回到頁首
問題:搜尋郵件需要什麼權限?
回答: 若要使用 Export-Mailbox 作業來搜尋多個信箱,系統管理員必須有下列權限:
在來源和目標 Mailbox Server 上具有 Exchange Server 系統管理員角色或更高權限
在執行作業的本機工作站或伺服器上是 Local Administrators 群組的成員
問題:追蹤郵件需要什麼權限?
回答: 追蹤郵件需要下列權限:
Exchange 2007 量產發行 (RTM) 版本 在作業可能查詢的 Mailbox 和 Hub Transport Server 上具有 Exchange Server 系統管理員角色或更高權限
Exchange 2007 Service Pack 1 中的新功能 在組織內具有 Exchange 僅檢視管理角色或更高權限
Edge Transport Server 上的本機系統管理員
在執行作業的工作站上是本機系統管理員
附註:在 Exchange 2007 RTM 中,將 Exchange Server 系統管理員角色授與系統管理員之後,您必須重新啟動 Microsoft Exchange Transport Log Search 服務,系統管理員才能追蹤郵件。
問題:執行 Exchange 疑難排解助理員需要什麼權限?
回答: 執行 Exchange Mail Flow Analyzer 需要下列權限:
網域系統管理員或在 Active Directory 伺服器上必須是 BUILTIN\Administrators 群組的成員,才能在網域控制站和通用類別目錄伺服器上列舉 Active Directory 資訊和呼叫 Microsoft Windows Management Instrumentation (WMI) 提供者。
在每一台 Exchange 伺服器上必須是 Local Administrators 群組的成員,才能呼叫 WMI 提供者及存取登錄和 IIS Metabase
Exchange 僅檢視管理角色或更高權限
執行 Exchange Performance Troubleshooting Analyzer 所需的權限如下:
在連線步驟所指定的通用類別目錄伺服器上是網域使用者或具有更高權限
在執行 Microsoft Exchange 且要分析的每一台伺服器上是本機 Administrator 群組的成員。需要這些權限才能存取 WMI、登錄及效能資料。
執行 Exchange Disaster Recovery Analyzer 所需的權限如下:
在每一台 Exchange 伺服器上必須是 Local Administrators 群組的成員,才能呼叫 WMI 提供者、存取登錄和 IIS Metabase,以及存取資料庫和交易記錄檔及資料庫引擎。
在每一台伺服器上具有 Exchange Server 系統管理員角色或更高權限
回到頁首
問題:執行 Microsoft Exchange Best Practices Analyzer 需要什麼權限?
回答: 若要執行 Exchange Best Practices Analyzer,您必須有下列權限:
Exchange 僅檢視管理角色或更高權限
電腦系統管理員權限,才能在 DC 或 GC 伺服器上列舉 Active Directory 資訊和呼叫 WMI 提供者
在每一台 Exchange 伺服器上必須是 Local Administrators 群組的成員,才能呼叫 WMI 提供者及存取登錄和 IIS Metabase
問題:管理郵件佇列需要什麼權限?
回答: 若要管理郵件佇列,您必須有下列權限:
在 Edge Transport Server 上,您必須是本機系統管理員群組的成員。
Exchange 2007 RTM 在 Hub Transport Server 上,您必須是 Exchange Server 系統管理員角色的成員或具有更高權限。
Exchange 2007 Service Pack 1 的新功能 在 Hub Transport Server 上,您必須是 Exchange 僅檢視管理角色的成員或具有更高權限,才能檢視佇列。如果您要操作佇列,您必須是 Exchange Server 系統管理員角色的成員或具有更高權限。
回到頁首