Preparar Permissões Herdadas do Exchange 2003
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-25
Ao atualizar do Exchange Server 2003 para o Exchange Server 2010, você deve primeiro conceder permissões específicas do Exchange em cada domínio em que você tenha executado o Exchange 2003 DomainPrep. Para fazer isso, execute o comando setup /PrepareLegacyExchangePermissions
. A concessão dessas permissões é parte da preparação do Active Directory e seus domínios para a instalação do Exchange Server 2010. Para instruções detalhadas, consulte Preparar o Active Directory e domínios.
Este tópico explica porque você deve executar o comando setup
/PrepareLegacyExchangePermissions
, quando executá-lo e quais são as permissões definidas pelo comando na organização do Exchange Server 2010.
Por que executar Setup /PrepareLegacyExchangePermissions
Essencialmente, você deve executar o comando setup /PrepareLegacyExchangePermissions
para que o Serviço de Atualização de Destinatário do Exchange 2003 funcione corretamente depois da atualização do esquema do Active Directory para o Exchange Server 2010. Esta seção explica o problema principal e como a execução do comando o resolve.
Problema
No Exchange Server 2003, o Serviço de Atualização de Destinatário atualiza alguns atributos de caixa de correio, como o endereço de proxy, em objetos de usuário habilitados para email. O Serviço de Atualização de Destinatário tem permissão para modificar esses atributos porque a conta do computador (denominada <NomeDoServidor>) do servidor em que o Serviço de Atualização de Destinatário é executado está no grupo EES (Exchange Enterprise Servers). O grupo EES é criado quando você executa o Exchange Server 2003 DomainPrep. Em vez de conceder ao grupo EES permissões para cada atributo de caixa de correio individual que o Serviço de Atualização de Destinatário precise modificar, os atributos de caixa de correio são agrupados em conjuntos de propriedades. Ao executar o Exchange Server 2003 DomainPrep, o Exchange fornece permissões ao grupo EES para modificar os conjuntos de propriedades através de entradas de controle de acesso (ACEs) que o Exchange define no contêiner de domínio no Active Directory.
O Exchange Server 2010 tem uma função de gerenciamento chamada Gerenciamento de Destinatário. Essa função contém permissões para gerenciar os atributos de email de todos os usuários. Os administradores do Exchange que sejam membros da função Administradores de Destinatários do Exchange podem gerenciar somente propriedades de email dos usuários.
Para habilitar essa funcionalidade, o Exchange Server 2010 precisa mover alguns atributos de email de usuários para um conjunto de propriedades chamado "conjunto de propriedades de informações do Exchange". O Exchange faz isso redefinindo os esquemas de atributos no Active Directory ao importar o novo esquema do Exchange Server 2010. Entretanto, o grupo EES herdado não tem permissões para o Conjunto de Propriedades de Informações do Exchange. Portanto, quando você importar o novo esquema do Exchange Server 2010, o Serviço de Atualização de Destinatário não terá mais permissões para os atributos de email dos usuários e não funcionará corretamente. (Por exemplo, não será capaz de definir endereços de proxy para usuários recém-criados do Exchange Server 2003.)
Resolução
A execução do comando setup
/PrepareLegacyExchangePermissions
permite que o Serviço de Atualização de Destinatário herdado funcione corretamente. Antes de importar o novo esquema do Exchange Server 2010, o Exchange Server 2010 deve conceder novas permissões em cada domínio em que você executou o Exchange Server 2003 DomainPrep. O comando setup /PrepareLegacyExchangePermissions
concede essas novas permissões. Antes de executar o setup /PrepareSchema
, você deve executar o setup /PrepareLegacyExchangePermissions
e permitir que as permissões sejam replicadas por toda a organização do Exchange.
O servidor em que você executa setup /PrepareLegacyExchangePermissions
entra em contato com o catálogo global local para localizar os domínios no qual você executou o Exchange Server 2003 DomainPrep, verificando se há grupos de EES e EDS (Servidores de Domínio do Exchange). O servidor deve poder se comunicar com todos os domínios da floresta em que você executou o Exchange Server 2003 DomainPrep. Além disso, a conta que você usar para executar setup /PrepareLegacyExchangePermissions
deve ter as permissões atribuídas ao USG (grupo de segurança universal) dos Administradores da Empresa para que ele possa definir as ACEs de cada domínio e na organização do Exchange.
Permissões definidas por Setup /PrepareLegacyExchangePermissions
A execução de setup /PrepareLegacyExchangePermissions
localiza cada domínio na floresta que tenha o grupo EES e o grupo de EDS (Servidores de Domínio do Exchange). Para cada domínio que tenha esses grupos, o setup /PrepareLegacyExchangePermissions
faz o seguinte:
- Adiciona uma ACE à ACL (lista de controle de acesso) raiz do domínio para fornecer ao grupo EES permissões WRITE_PROP para o conjunto de propriedades de informações do Exchange.
- Adiciona uma ACE à ACL raiz do domínio para fornecer usuários autenticados com permissões READ_PROP no conjunto de propriedades de informações do Exchange.
- Adiciona uma ACE ao contêiner AdminSDHolder do domínio para fornecer ao grupo EES permissões WRITE_PROP e READ_PROP no conjunto de propriedades de informações do Exchange.
- Adiciona uma ACE à ACL do contêiner da organização do Exchange para fornecer ao grupo EDS permissões WRITE_PROP no conjunto de propriedades de informações do Exchange.
Executando Setup /PrepareLegacyExchangePermissions novamente
Há alguns casos em que você precisará executar setup /PrepareLegacyExchangePermissions
novamente:
- Você tem um domínio que contém servidores do Exchange Server 2003 e não executou o DomainPrep.
- Em um domínio já existente, você tem usuários habilitados para caixa de correio que farão logon em caixas de correio nos servidores Exchange Server 2003 em domínios em que você não executou o DomainPrep.
Nesses casos, você deve executar o setup /PrepareLegacyExchangePermissions
novamente depois de executar o Exchange Server 2003 DomainPrep. Isso permite que o Serviço de Atualização do Destinatário do Exchange Server 2003 funcione corretamente nesse domínio.
Referência de permissões de implantação do Exchange 2010
O Exchange 2010 precisa de permissões para ser implantado e funcionar adequadamente na sua organização. Essas permissões são marcadas nas listas de controle de acesso (ACL) dos objetos usados pelo Exchange 2010 durante a configuração. Para mais informações, consulte Referência de permissões de implantação do Exchange 2010.