Riferimenti per le autorizzazioni di distribuzione di Exchange 2010

Articolo
05/20/2011

Ultima modifica dell'argomento: 2010-02-02

In questo argomento vengono descritte le autorizzazioni necessarie per configurare un'organizzazione di Microsoft Exchange Server 2010. I gruppi di protezione universali (USG) associati ai gruppi del ruolo di gestione e altre entità di sicurezza e gruppi di protezione di Windows vengono aggiunti agli elenchi di controllo degli accessi (ACL) di diversi oggetti Active Directory. Gli ACL controllano le operazioni che possono essere eseguite su ciascun oggetto. Venendo a conoscenza delle autorizzazioni concesse a ogni gruppo di ruoli, gruppo di protezione o entità di sicurezza, è possibile determinare le autorizzazioni minime necessarie per installare Exchange 2010.

In alcuni casi, l'elenco di controllo degli accessi non viene applicato alla proprietà standard, ntSecurityDescriptor, ma a un'altra proprietà, ad esempio msExchMailboxSecurityDescriptor. Il servizio directory non è in grado di applicare una protezione non specificata nel descrittore di protezione di Windows. Nella maggior parte dei casi, gli elenchi di controllo degli accessi vengono replicati per essere archiviati in oggetti appropriati dal servizio Archivio informazioni. Sfortunatamente, non esiste alcuno strumento per visualizzare gli elenchi di controllo degli accessi in modo diverso da dati binari non elaborati.

Le colonne di ciascuna tabella delle autorizzazioni includono le seguenti informazioni:

Account L'entità di sicurezza a cui sono concesse o negate le autorizzazioni.
Tipo ACE Tipo di voce di controllo di accesso (ACE)
- ACE consentita Consente all'utente o al gruppo associato all'ACE di accedere a un elemento.
- ACE negata Impedisce all'utente o al gruppo associato all'ACE di accedere a un elemento.
Ereditarietà Tipo di ereditarietà utilizzata per oggetti figlio.
- Tutte indica che le autorizzazioni si applicano all'oggetto e ai sottoggetti.
- Desc indica le autorizzazioni che si applicano alla classe di oggetti elencata nella riga Sulla proprietà/Si applica a .
- Nessuna indica le autorizzazioni da applicare all'oggetto.
Autorizzazioni Le autorizzazioni concesse all'account.
Sulla proprietà/Si applica a In alcuni casi, le autorizzazioni si applicano solo a una proprietà specificata, a un insieme di proprietà o a una classe di oggetti. Queste autorizzazioni limitate sono specificate di seguito.
Commenti Nei casi in cui è possibile, questa colonna spiega perché le autorizzazioni sono necessarie oppure fornisce altre informazioni sulle autorizzazioni.

Le autorizzazioni in genere vengono elencate nella tabella in base ai nomi utilizzati nella scheda Visualizza/Modifica della finestra Avanzate della pagina delle proprietà Sicurezza di Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc). La pagina delle proprietà di ADSI Edit Sicurezza riporta una visualizzazione molto più ridotta delle autorizzazioni. Lo strumento LDP (Ldp.exe) visualizza la maschera di accesso direttamente come valore numerico. Il codice di installazione si riferisce alle autorizzazioni mediante costanti predefinite.

La seguente tabella mostra il rapporto tra tali valori.

Pagina di riepilogo di ADSI Edit	Finestra Avanzate di ADSI Edit, scheda Visualizza/Modifica	Voci di elenco di controllo di accesso applicate a un oggetto specificato	Valore binario (maschera di accesso in LDP)
controllo completo	controllo completo	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
Lettura	Visualizzazione contenuto + Lettura di tutte le proprietà + Autorizzazioni di lettura	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
Scrittura	Scrivi tutte le proprietà + Tutte le scritture convalidate	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	Visualizzazione contenuto	`ACTRL_DS_LIST`	`0x00000004`
	Lettura di tutte le proprietà	`ACTRL_DS_READ_PROP`	`0x00000010`
	Scrivi tutte le proprietà	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	Elimina	`DELETE`	`0x00010000`
	Elimina sottoalbero	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	Autorizzazioni di lettura	`READ_CONTROL`	`0x00020000`
	Autorizzazioni di modifica	`WRITE_DAC`	`0x00040000`
	Modifica proprietario	`WRITE_OWNER`	`0x00080000`
	Tutte le scritture convalidate	`ACTRL_DS_SELF`	`0x00000008`
	Tutti i diritti estesi	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
Crea tutti gli oggetti figlio	Crea tutti gli oggetti figlio	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
Elimina tutti gli oggetti figlio	Elimina tutti gli oggetti figlio	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

I diritti estesi sono diritti personalizzati specificati da singole applicazioni, nell'elenco di controllo degli accessi. Tuttavia, non sono utilizzati in Active Directory. L'applicazione specifica applica qualsiasi diritto esteso. Esempi di diritti estesi di Exchange sono "Crea cartella pubblica" o "Crea proprietà con nome nell'archivio informazioni".

Nota

Per ulteriori informazioni sulle autorizzazioni impostate durante l'installazione di Microsoft Exchange Server 2003, vedere Utilizzo delle autorizzazioni di Active Directory in Exchange 2003. Per ulteriori informazioni sulle autorizzazioni impostate durante l'installazione di Microsoft Exchange Server 2007, vedere Riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Preparazione delle autorizzazioni delle versioni legacy dei sistemi di Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate quando si esegue il comando setup /PrepareLegacyExchangePermissions.

Nome distinto dell'oggetto: DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Exchange Enterprise Servers	ACE consentita	Tutte	Proprietà di scrittura	Informazioni di Exchange
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	Informazioni di Exchange

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Exchange Enterprise Servers	ACE consentita	Tutte	Proprietà di lettura Proprietà di scrittura	Informazioni di Exchange

Exchange Enterprise Servers

ACE consentita

Tutte

Proprietà di lettura

Proprietà di scrittura

Informazioni di Exchange

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Exchange Domain Servers	ACE consentita	Tutte	Proprietà di scrittura	Informazioni di Exchange

Preparazione delle autorizzazioni di Active Directory

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate quando si esegue il comando Setup /PrepareAD.

Autorizzazioni del contenitore di Microsoft Exchange

Nella seguente tabella vengono riportate le autorizzazioni impostate nel contenitore di Microsoft Exchange nella partizione di configurazione.

Nome distinto dell'oggetto: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
Account di installazione	ACE consentita	Tutte	controllo completo	Si tratta dell'account utilizzato per eseguire `/PrepareAD`.
Gestione dell'organizzazione	ACE consentita	Tutte	controllo completo
Exchange Trusted Subsystem	ACE consentita	Tutte	controllo completo
Server Exchange	ACE consentita	Tutte	Lettura
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura Visualizzazione contenuto
Gestione cartelle pubbliche	ACE consentita	Tutte	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti
Configurazione delegata	ACE consentita	Tutte	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti

Autorizzazioni del contenitore di individuazione automatica di Microsoft Exchange

Nella seguente tabella vengono riportate le autorizzazioni impostate nel contenitore di individuazione automatica di Microsoft Exchange nella partizione di configurazione.

Nome distinto dell'oggetto: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Server Exchange	ACE consentita	Tutte	Lettura

Autorizzazioni del contenitore dell'organizzazione di Microsoft Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate nell'organizzazione di Microsoft Exchange e nei sottocontenitori all'interno della partizione di configurazione.

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Enterprise Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione	ACE negata	Tutte	Invia come Ricevi come		Gli amministratori di Windows non possono aprire le cassette postali.
Enterprise Admins Schema Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione	ACE negata	Tutte	Rappresentazione dei servizi Web di Exchange Serializzazione dei token dei servizi Web di Exchange		Diritto esteso
Enterprise Admins Schema Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione Server Exchange	ACE negata	Tutte	Accesso al trasporto dell'archivio Delega vincolata dell'archivio Accesso in lettura all'archivio Accesso in lettura e scrittura all'archivio
Utenti autenticati	ACE negata	Desc	Proprietà di lettura	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Server Exchange	ACE consentita	Tutte	Controllo accesso
Gestione dell'organizzazione	ACE consentita	Tutte	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti
Gestione cartelle pubbliche	ACE consentita	Tutte	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti
NT Authority\servizio di rete	ACE consentita	Tutte	Lettura
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchOwningServer`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchDatabaseCreated`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCulture`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`siteFolderGUID`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`siteFolderServer`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchEDBOffline`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPatchMDB`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`publicDelegates`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Gestione dell'organizzazione	ACE consentita	Tutte	Crea cartella pubblica principale
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea cartella pubblica principale
Gestione dell'organizzazione	ACE consentita	Tutte	Visualizza stato dell'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Visualizza stato dell'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Amministra l'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Amministra l'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco di controllo degli accessi delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco di controllo degli accessi delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica le quote delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica le quote delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco di controllo di accesso amministrativo delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco di controllo di accesso amministrativo delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica la scadenza delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica la scadenza delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco delle repliche della cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco delle repliche della cartella pubblica
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica il mantenimento degli elementi eliminati di una cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica il mantenimento degli elementi eliminati di una cartella pubblica
Gestione dell'organizzazione	ACE consentita	Tutte	Crea cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea cartella pubblica
Tutti NT Authority\accesso anonimo	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Tutti NT Authority\accesso anonimo	ACE consentita	Tutte	Crea cartella pubblica
Tutti NT Authority\accesso anonimo	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ msExchPrivateMDB`
Tutti NT Authority\accesso anonimo	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ msExchPublicMDB`
Server Exchange	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ siteAddressing`

Nome distinto dell'oggetto: CN=All Address Lists,CN=Address Lists Container,CN=<organization>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Visualizzazione contenuto
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestione cartelle pubbliche	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Utenti autenticati

ACE consentita

Tutte

Visualizzazione contenuto

Gestione dell'organizzazione

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestione cartelle pubbliche

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nome distinto dell'oggetto: CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Download della Rubrica offline

Nome distinto dell'oggetto: CN=Addressing,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Lettura

Nome distinto dell'oggetto: CN=Recipient Policies,CN=<organization>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestione cartelle pubbliche	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Gestione dell'organizzazione

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestione cartelle pubbliche

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Autorizzazioni del contenitore nella partizione di configurazione

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate dal comando Setup /PrepareAD in diversi contenitori all'interno della partizione di configurazione.

Nome distinto dell'oggetto: CN=Sites,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchVersion / site`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchVersion / site-link`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchPartnerId / site`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita		Proprietà di scrittura	`msExchTransportSiteFlags / site`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchCost / site-link`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncEHFConnector`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncMservConnector`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncServiceConfig / site`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Desc	Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncServiceConfig`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
Gestione dell'organizzazione Exchange Trusted Subsystem	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

Nome distinto dell'oggetto: CN=Deleted Objects,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
Server Exchange	ACE consentita	Tutte	Visualizzazione contenuto
Amministrazione dell'organizzazione	ACE consentita	Tutte	Autorizzazione di lettura Autorizzazione di scrittura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti
Account di installazione	ACE consentita	Tutte	Autorizzazione di lettura Autorizzazione di scrittura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti	Si tratta dell'account utilizzato per eseguire `/PrepareAD`.
Exchange Trusted Subsystem	ACE consentita	Tutte	Autorizzazione di lettura Visualizzazione contenuto Proprietà di lettura Elencazione oggetti

Autorizzazioni del gruppo amministrativo di Exchange

Il comando Setup /PrepareAD configura anche le seguenti autorizzazioni nei gruppi amministrativi all'interno dell'organizzazione.

Nome distinto dell'oggetto: CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Gestione dell'organizzazione	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente agli amministratori destinatari di Exchange di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.
NT AUTHORITY\SYSTEM	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente ai server di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.
Gestione cartelle pubbliche	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente agli amministratori delle cartelle pubbliche di Exchange di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.

Nome distinto dell'oggetto: CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Visualizzazione contenuto

Nome distinto dell'oggetto: CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura

Nome distinto dell'oggetto: CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Visualizzazione contenuto

Nome distinto dell'oggetto: CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Visualizzazione contenuto

Nome distinto dell'oggetto: CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Visualizzazione contenuto

Nome distinto dell'oggetto: CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Server Exchange	ACE negata	Tutte	Ricevi come		I server Exchange non possono aprire le cassette postali.
Utenti autenticati	ACE consentita	Nessuna	Visualizzazione contenuto

Autorizzazioni del contenitore dei gruppi di protezione di Microsoft Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate nel contenitore dei gruppi di protezione di Microsoft Exchange nella partizione del dominio radice.

Nome distinto dell'oggetto: OU=Microsoft Exchange Security Groups,DC=<root domain>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Gestione dell'organizzazione

ACE consentita

Tutte

controllo completo

Exchange Trusted Subsystem

ACE consentita

Tutte

Crea elemento figlio

Elimina elemento figlio

/ Group

Exchange Trusted Subsystem

ACE consentita

Desc

Proprietà di scrittura

Member / group

Nome distinto dell'oggetto: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<root domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	controllo completo

Nome distinto dell'oggetto: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	controllo completo

Nome distinto dell'oggetto: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

Gestione dell'organizzazione

ACE consentita

Tutte

controllo completo

Amministratori del dominio radice

ACE consentita

Tutte

Lettura membri

Scrittura membri

Amministratori del dominio figlio

ACE consentita

Tutte

Lettura membri

Scrittura membri

Preparazione di un dominio

Nella seguente tabella vengono riportate le autorizzazioni impostate quando si esegue il comando Setup /PrepareDomain.

Nome distinto dell'oggetto: DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Proprietà di lettura	`Exchange Personal Information`	Concede le autorizzazioni di lettura per il servizio di trasporto.
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`userAccountControl`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`canonicalName`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Exchange Personal Information`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCultulre`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`memberOf`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Server Exchange	ACE consentita	Tutte	Sincronizzazione replica		Diritto esteso
Server Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio Elenco elementi figlio	`msExchActiveSyncDevices / User`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeRecipientsHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Gestione dell'organizzazione	ACE consentita	Tutte	Lettura
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Personal Information`
Gestione dell'organizzazione	ACE consentita	Tutte	controllo completo	`/ msExchDynamicDistributionList`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Lettura
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	controllo completo	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`pwdLastSet`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Elimina albero WriteDACL	`/ user`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Elimina albero WriteDACL	`/ inetOrgPerson`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`sAMAccountName`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ contact`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ user`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ organizationUnit`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ group`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ computer`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Member`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`wwwHomePage`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`countryCode`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userAccountControl`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`managedBy`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Reimpostazione della password		Diritto esteso
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Cambia password		Diritto esteso

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`userAccountControl`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`canonicalName`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Exchange Personal Information`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCultulre`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`memberOf`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Server Exchange	ACE consentita	Tutte	Sincronizzazione replica		Diritto esteso
Server Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio Elenco elementi figlio	`msExchActiveSyncDevices / User`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeRecipientsHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Gestione dell'organizzazione	ACE consentita	Tutte	Lettura
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Personal Information`
Gestione dell'organizzazione	ACE consentita	Tutte	controllo completo	`/ msExchDynamicDistributionList`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Lettura
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	controllo completo	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`mail`

Nome distinto dell'oggetto: CN=Microsoft Exchange System Objects,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Proprietà di lettura	`Exchange Personal Information`
Utenti autenticati	ACE consentita	Tutte	Autorizzazioni di lettura
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	`adminDisplayName`
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	`modifyTimeStamp`
Server Exchange	ACE negata	Tutte	Elimina albero
Server Exchange	ACE consentita	Tutte	Lettura Elimina albero
Server Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchSystemMailbox`
Server Exchange	ACE consentita	Tutte		`/ publicFolder`
Server Exchange	ACE consentita	Desc	Proprietà di scrittura	`/ publicFolder`
Server Exchange	ACE consentita	Desc	Proprietà di scrittura	`/ msExchSystemMailbox`
Gestione dell'organizzazione	ACE consentita	Tutte	Lettura
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di scrittura	`/ msExchSystemMailbox`
Gestione dell'organizzazione	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchSystemMailbox`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Gestione dell'organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Tutte	Lettura
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Gestione cartelle pubbliche	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Tutte	Lettura
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`

Installazione del ruolo del server

Durante l'installazione dei ruoli del server Cassette postali, Messaggistica unificata, Trasporto Hub e Accesso client, il programma di installazione aggiunge il gruppo di protezione universale Gestione dell'organizzazione al gruppo di protezione Administrators sul computer locale in modo che i membri del gruppo del ruolo di gestione denominato Gestione dell'organizzazione possa gestire il server.

Nella tabella delle autorizzazioni seguente vengono riportate le autorizzazioni impostate quando si installano i ruoli del server Cassette postali, Messaggistica unificata, Trasporto Hub o Accesso client.

Nome distinto dell'oggetto: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
MACHINE$	ACE consentita	Tutte	Lettura
MACHINE$	ACE consentita	Nessuna	Proprietà di scrittura	`msExchServerSite` `msExchEdgeSyncCredential`
Server Exchange	ACE consentita	Tutte	Accesso al trasporto dell'archivio Delega vincolata dell'archivio Accesso in lettura all'archivio Accesso in lettura e scrittura all'archivio		Diritti estesi
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Serializzazione dei token dei Servizi Web Exchange		Diritto esteso Concesso solo sugli oggetti del ruolo server Accesso client.
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Lettura		Concesso solo sugli oggetti del ruolo server Trasporto Hub.
Configurazione delegata	ACE consentita	Tutte	controllo completo
Configurazione delegata	ACE consentita	Tutte	Lettura
Configurazione delegata	ACE negata	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchPublicMDB`
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura
Configurazione delegata	ACE negata	Tutte	Ricevi come Invia come		Diritto esteso

Gruppi di disponibilità del database

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate in relazione ai gruppi di disponibilità del database e ai relativi membri.

Nome distinto dell'oggetto: CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura

Nome distinto dell'oggetto: CN=<DAGName>,CN=Computers,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Elimina Autorizzazioni di lettura Visualizzazione contenuto Proprietà di lettura Elimina albero Elencazione oggetti
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`Logon Information`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`description`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`displayName`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`sAMAccountName`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`Account Restrictions`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`Validated write to DNS host name`
Account di un computer con il server Cassette postali	ACE consentita	Nessuna	Proprietà di scrittura	`Validated write to service principal name`

Trasporto Edge

Se si installa un server Trasporto Edge e si stabilisce una sottoscrizione Edge con l'organizzazione di Exchange, le autorizzazioni riportate nella seguente tabella delle autorizzazioni vengono impostate quando il server Trasporto Edge crea un'istanza nell'organizzazione.

Nome distinto dell'oggetto: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura		ACE viene definita nello schema per gli oggetti `msExchExchangeServer class` `defaultSecurityDescriptor.`

Installazione di un server Accesso client

Durante l'installazione del primo server Accesso client, viene creato il seguente contenitore. Nella seguente tabella delle autorizzazioni vengono riportate le autorizzazioni applicate.

Nome distinto dell'oggetto: CN=Availability Configuration,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Server Exchange	ACE consentita	Desc	Proprietà di lettura	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	Diritto esteso

Installazione del server Trasporto Hub

Durante l'installazione di ciascun server Trasporto Hub, vengono impostate le seguenti autorizzazioni.

Nome distinto dell'oggetto: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
ExchangeLegacyInterop	ACE negata	Tutte	Accetta le intestazioni della foresta
ExchangeLegacyInterop	ACE negata	Tutte	Accetta le intestazioni dell'organizzazione
Server Exchange	ACE consentita	Tutte	Accetta qualsiasi mittente
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta qualsiasi mittente
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta qualsiasi mittente	Si tratta dell'ID di sicurezza (SID) conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta qualsiasi mittente	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accetta qualsiasi mittente	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Accetta EXCH50
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta EXCH50
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta EXCH50	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta EXCH50	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accetta EXCH50	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario
ExchangeLegacyInterop	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Accetta XShadow
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta XShadow	Si tratta del SID conosciuto per i server Trasporto Edge.
Server Exchange	ACE consentita	Tutte	Accetta intestazioni di routing
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta intestazioni di routing
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta intestazioni di routing	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta intestazioni di routing	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accetta intestazioni di routing	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Accetta le intestazioni della foresta
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta le intestazioni della foresta	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta le intestazioni della foresta	Si tratta del SID conosciuto per i server Trasporto Edge.
Server Exchange	ACE consentita	Tutte	Accetta contrassegno di autenticazione
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta contrassegno di autenticazione
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta contrassegno di autenticazione	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta contrassegno di autenticazione	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accetta contrassegno di autenticazione	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Ignora la protezione da posta indesiderata
ExchangeLegacyInterop	ACE consentita	Tutte	Ignora la protezione da posta indesiderata
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Ignora la protezione da posta indesiderata	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Ignora la protezione da posta indesiderata	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Ignora la protezione da posta indesiderata	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Ignora limite dimensione dei messaggi
ExchangeLegacyInterop	ACE consentita	Tutte	Ignora limite dimensione dei messaggi
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Ignora limite dimensione dei messaggi	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Ignora limite dimensione dei messaggi	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Ignora limite dimensione dei messaggi	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Accetta le intestazioni dell'organizzazione
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta le intestazioni dell'organizzazione	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta le intestazioni dell'organizzazione	Si tratta del SID conosciuto per i server Trasporto Edge.
Server Exchange	ACE consentita	Tutte	Inoltra i messaggi al server
ExchangeLegacyInterop	ACE consentita	Tutte	Inoltra i messaggi al server
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Inoltra i messaggi al server	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Inoltra i messaggi al server	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Inoltra i messaggi al server	Si tratta del SID conosciuto per i server protetti esternamente.
Server Exchange	ACE consentita	Tutte	Accetta il mittente del dominio autorevole
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta il mittente del dominio autorevole
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta il mittente del dominio autorevole	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accetta il mittente del dominio autorevole	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accetta il mittente del dominio autorevole	Si tratta del SID conosciuto per i server protetti esternamente.
Utenti autenticati	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario
Utenti autenticati	ACE consentita	Tutte	Accetta intestazioni di routing
Utenti autenticati	ACE consentita	Tutte	Ignora la protezione da posta indesiderata
Utenti autenticati	ACE consentita	Tutte	Inoltra i messaggi al server

Nome distinto dell'oggetto: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni
Utenti autenticati	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario
Utenti autenticati	ACE consentita	Tutte	Accetta intestazioni di routing
Utenti autenticati	ACE consentita	Tutte	Ignora la protezione da posta indesiderata
Utenti autenticati	ACE consentita	Tutte	Inoltra i messaggi al server

Creazione di connettori di invio SMTP

Nella seguente tabella vengono riportate le autorizzazioni impostate quando si creano i connettori di invio.

Nome distinto dell'oggetto: CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia le intestazioni dell'organizzazione	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Invia le intestazioni dell'organizzazione	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia le intestazioni della foresta	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Invia le intestazioni della foresta	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia XShadow	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Invia XShadow	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-10	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server partner.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server protetti esternamente.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server legacy di Exchange.
NT AUTHORITY\ACCESSO ANONIMO	ACE consentita	Tutte	Invia le intestazioni di routing
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia Exch50	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Invia Exch50	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Invia Exch50	Si tratta del SID conosciuto per i server protetti esternamente.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE consentita	Tutte	Invia Exch50	Si tratta del SID conosciuto per i server legacy di Exchange.

Condividi tramite

Riferimenti per le autorizzazioni di distribuzione di Exchange 2010

Preparazione delle autorizzazioni delle versioni legacy dei sistemi di Exchange

Nome distinto dell'oggetto: DC=<domain>

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Preparazione delle autorizzazioni di Active Directory

Autorizzazioni del contenitore di Microsoft Exchange

Nome distinto dell'oggetto: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Autorizzazioni del contenitore di individuazione automatica di Microsoft Exchange

Nome distinto dell'oggetto: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

Autorizzazioni del contenitore dell'organizzazione di Microsoft Exchange

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Nome distinto dell'oggetto: CN=All Address Lists,CN=Address Lists Container,CN=<organization>

Nome distinto dell'oggetto: CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

Nome distinto dell'oggetto: CN=Addressing,CN=<organization>

Nome distinto dell'oggetto: CN=Recipient Policies,CN=<organization>

Autorizzazioni del contenitore nella partizione di configurazione

Nome distinto dell'oggetto: CN=Sites,CN=Configuration,DC=<domain>

Nome distinto dell'oggetto: CN=Deleted Objects,CN=Configuration,DC=<domain>

Autorizzazioni del gruppo amministrativo di Exchange

Nome distinto dell'oggetto: CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Autorizzazioni del contenitore dei gruppi di protezione di Microsoft Exchange

Nome distinto dell'oggetto: OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

Preparazione di un dominio

Nome distinto dell'oggetto: DC=<domain>

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Nome distinto dell'oggetto: CN=Microsoft Exchange System Objects,DC=<domain>

Installazione del ruolo del server

Nome distinto dell'oggetto: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Gruppi di disponibilità del database

Nome distinto dell'oggetto: CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=<DAGName>,CN=Computers,DC=<domain>

Trasporto Edge

Nome distinto dell'oggetto: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Installazione di un server Accesso client

Nome distinto dell'oggetto: CN=Availability Configuration,CN=<organization>

Installazione del server Trasporto Hub

Nome distinto dell'oggetto: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Nome distinto dell'oggetto: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Creazione di connettori di invio SMTP

Nome distinto dell'oggetto: CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

Risorse aggiuntive