Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-03-19
Предыдущие версии Microsoft Exchange Server практически не использовали наборы свойств для применения разрешений в разделе домена. Это не имело особого значения при типичном развертывании, однако стало проблемой для распределенных сред, в которых делегированы все задачи. Администраторы в таких средах вынуждены были назначать разрешения множеству атрибутов для получателей почты, чтобы можно было делегировать соответствующие задачи в модели с наименьшими привилегиями доступа. В зависимости от версии серверов службы каталогов Active Directory это могло привести к чрезмерному разрастанию списков управления доступом (ACL) и увеличению размера файла Ntds.dit.
Сервер Exchange Server 2007 облегчает делегирование административных полномочий благодаря использованию наборов свойств для большинства атрибутов получателей почты.
Что такое наборы свойств?
Набор свойств — это объединение атрибутов Active Directory. Доступом к этому объединению атрибутов Active Directory можно управлять посредством установки одной записи управления доступом (элемент управления доступом, ACE) вместо установки записи управления доступом для каждого свойства. Кроме того, атрибут может входить только в один набор свойств.
Например, набор свойств Personal-Information включает такие свойства, как улица, дом и номер телефона. Эти свойства являются свойствами объектов пользователя.
Наборы свойств в Exchange Server 2003
В Exchange Server 2003 процесс расширения схемы Exchange добавил множество связанных с Exchange атрибутов получателя почты к встроенным наборам свойств Active Directory Personal Information (личные данные) и Public Information (открытые данные). Локальным группам безопасности домена серверов предприятия Exchange был разрешен доступ к данным наборам свойств на разделах домена на этапе подготовки домена, чтобы служба обновления получателей могла обновить объекты. В приведенных ниже таблицах перечислены атрибуты, входящие в наборы свойств Personal Information (личные данные) и Public Information (открытые данные).
Набор свойств Public Information (открытые данные)
allowedAttributes
allowedAttributesEffective
allowedChildClasses
allowedChildClassesEffective
altRecipient
altRecipientBL
altSecurityIdentities
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
cn
co
company
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
department
description
directReports
displayNamePrintable
distinguishedName
division
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
givenName
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
initials
internetEncoding
kMServer
language
languageCode
legacyExchangeDN
mail
mailNickname
manager
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msDS-AllowedToDelegateTo
msDS-Approx-Immed-Subordinates
msDS-Auxiliary-Classes
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchExpansionServerName
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxSecurityDescriptor
msExchMailboxUrl
msExchMasterAccountSid
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchQueryBaseDN
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceGUID
msExchResourceProperties
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchVoiceMailboxID
name
notes
o
objectCategory
objectClass
objectGUID
oOFReplyToOriginator
otherMailbox
ou
pOPCharacterSet
pOPContentFormat
protocolSettings
proxyAddresses
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
servicePrincipalName
showInAddressBook
sn
submissionContLength
supportedAlgorithms
systemFlags
targetAddress
telephoneAssistant
textEncodedORAddress
title
unauthOrig
unauthOrigBL
unmergedAtts
userPrincipalName
Набор свойств Personal Information (личные данные)
assistant
c
facsimileTelephoneNumber
homePhone
homePostalAddress
info
internationalISDNNumber
ipPhone
l
mobile
mSMQDigests
mSMQSignCertificates
otherFacsimileTelephoneNumber
otherHomePhone
otherIpPhone
otherMobile
otherPager
otherTelephone
pager
personalTitle
physicalDeliveryOfficeName
postalAddress
postalCode
postOfficeBox
preferredDeliveryMethod
primaryInternationalISDNNumber
primaryTelexNumber
publicDelegates
registeredAddress
st
street
streetAddress
telephoneNumber
teletexTerminalIdentifier
telexNumber
thumbnailPhoto
userCert
userCertificate
userSharedFolder
userSharedFolderOther
userSMIMECertificate
x121Address
Однако когда дело доходило до делегирования разрешений на управление получателями почты, многие администраторы Active Directory не назначали разрешений администраторам Exchange с помощью данных наборов свойств, поскольку они обеспечивали доступ ко многим дополнительным атрибутам, не связанным с сервером Exchange.
Наборы свойств в сервере Exchange Server 2007
Сервер Exchange 2007 использует наборы свойств путем создания двух новых наборов свойств, относящихся исключительно к серверу Exchange Server, вместо использования предопределенных наборов свойств Active Directory. Ниже перечислены некоторые усовершенствования, появившиеся в сервере Exchange 2007.
Отсутствие зависимости от используемых по умолчанию наборов свойств Active Directory. Специфические для сервера Exchange наборы свойств позволяют устранить неопределенность, которая может возникнуть при возможном изменении наборов свойств в будущих версиях Active Directory.
Атрибуты, созданные при расширении схемы Exchange, входят только в специфические для Exchange наборы свойств.
Специфические для сервера Exchange наборы свойств позволяют создать и развернуть модель разрешений с делегированной безопасностью, которая характерна для управления данными получателей почты Exchange.
На этапе расширения схемы Exchange 2007 выполняет ряд действий. Эти действия перечислены ниже.
Расширение схемы новыми классами и атрибутами.
Создание наборов свойств Exchange Information и Exchange Personal Information.
Добавление в наборы свойств Exchange Information и Exchange Personal Information соответствующих атрибутов.
Атрибуты Exchange 2003, ранее добавленные в наборы свойств Personal Information и Public Information, перемещаются соответствующим образом в специфические для Exchange наборы свойств.
Поскольку атрибуты перемещаются между наборами свойств, необходимо обновить структуру разрешений получателей Exchange 2003 при внедрении сервера Exchange 2007 в устаревшей среде. Это можно сделать, выполнив команду setup /PrepareLegacyExchangePermissions или setup /PrepareSchema. Дополнительные сведения о команде setup /PrepareLegacyExchangePermissions см. в разделе Подготовка устаревших разрешений Exchange.
Набор свойств Exchange Information включает атрибуты, перечисленные в приведенной ниже таблице. Кроме того, пользователи, прошедшие проверку, имеют доступ на чтение данного набора свойств, что позволяет им просматривать определенные данные о получателях почты, например, с помощью адресной книги Microsoft Office Outlook.
Набор свойств Exchange Information (данные Exchange)
altRecipient
altRecipientBL
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
internetEncoding
kMServer
language
languageCode
mailNickname
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchELCExpirySuspensionEnd
msExchELCExpirySuspensionStart
msExchELCMailboxFlags
msExchExpansionServerName
msExchExternalOOFOptions
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxOABVirtualDirectoriesLink
msExchMailboxSecurityDescriptor
msExchMailboxTemplateLink
msExchMailboxUrl
msExchMasterAccountHistory
msExchMasterAccountSid
msExchMaxBlockedSenders
msExchMaxSafeSenders
msExchMDBRulesQuota
msExchMessageHygieneSCLJunkThreshold
msExchMobileAllowedDeviceIDs
msExchMobileDebugLogging
msExchMobileMailboxFlags
msExchMobileMailboxPolicyLink
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchPurportedSearchUI
msExchQueryBaseDN
msExchQueryFilterMetadata
msExchRecipientDisplayType
msExchRecipientTypeDetails
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceCapacity
msExchResourceDisplay
msExchResourceGUID
msExchResourceMetaData
msExchResourceProperties
msExchResourceSearchProperties
msExchServerAdminDelegationBL
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUMAudioCodec
msExchUMDtmfMap
msExchUMEnabledFlags
msExchUMFaxId
msExchUMListInDirectorySearch
msExchUMMaxGreetingDuration
msExchUMOperatorNumber
msExchUMPinPolicyAccountLockoutFailures
msExchUMPinPolicyDisallowCommonPatterns
msExchUMPinPolicyExpiryDays
msExchUMPinPolicyMinPasswordLength
msExchUMRecipientDialPlanLink
msExchUMServerWritableFlags
msExchUMSpokenName
msExchUMTemplateLink
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchUserCulture
msExchVersion
msExchVoiceMailboxID
oOFReplyToOriginator
pOPCharacterSet
pOPContentFormat
protocolSettings
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
submissionContLength
supportedAlgorithms
targetAddress
telephoneAssistant
unauthOrig
unauthOrigBL
unmergedAtts
Набор свойств Exchange Personal Information включает атрибуты, перечисленные в приведенной ниже таблице. Чтобы обычные пользователи могли загрузить данные, хранящиеся в этих атрибутах, атрибуты помещены в отдельный набор свойств, к которому прошедшие проверку подлинности пользователи не имеют доступа на чтение.
Набор свойств Exchange Personal Information (личные данные Exchange)