Поделиться через


Разрешения Exchange Server 2007:  вопросы и ответы

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2008-01-24

В этом разделе приведены ответы на вопросы, относящиеся к разрешениям, полученные с момента выпуска Microsoft Exchange Server 2007.

Многие ответы относятся к конкретным изменениям в полномочиях, которые можно сделать, чтобы разрешить или запретить доступ. Если вы не знакомы со средствами, предназначенными для управления полномочиями, см. раздел Планирование и реализация модели разделения разрешений.

Вопросы и ответы поделены на два раздела:

  • Развертывание Exchange 2007

  • Управление Exchange 2007

Развертывание Exchange 2007

В: Какие полномочия необходимы для проведения действий по подготовке леса и доменов?

О: Требуются следующие полномочия:

  • Чтобы выполнить команду Setup /PrepareLegacyExchangePermissions, необходимо быть членом группы безопасности "Администраторы предприятия".

  • Чтобы выполнить команду Setup /PrepareSchema, необходимо быть членом групп безопасности "Администраторы схемы" и "Администраторы предприятия".

  • Чтобы выполнить команду Setup /PrepareAD, необходимо быть членом группы безопасности "Администраторы предприятия".

Чтобы выполнить команды Setup /PrepareDomain, setup /PrepareDomain:<полное доменное имя> или Setup /PrepareAllDomains необходимо быть членом группы "Администраторы предприятия" или группы "Администраторы домена" в выбранном для подготовки домене.

В: Что делает команда Exchange 2007 /PrepareLegacyExchangePermissions?

О: Подробные сведения приведены в разделе Подготовка устаревших разрешений Exchange.

В: Как Setup /PrepareLegacyExchangePermissions составляет список доменов, подлежащих обновлению?

О: Задача Setup /PrepareLegacyExchangePermissions извлекает список доменов в лесу из настройки леса. Затем задача подключается к серверу глобального каталога и выполняет поиск в разделе именования каждого домена. Затем задача определяет, был ли домен подготовлен для Microsoft, Exchange 2000 Server или Exchange Server 2003, путем попытки опознать идентификаторы безопасности (SID) серверов домена Exchange и групп безопасности серверов предприятия Exchange. После того, как задача выстроила список доменов, подготовленных ранее, она пытается установить сеанс настройки домена по протоколу LDAP с каждым из доменов. Если установить сеанс удается, для домена устанавливается старый набор полномочий. Если установка сеанса невозможна из-за проблем, относящихся к полномочиям, или невозможности связаться с доменом, домен будет причислен к списку недоступных доменов. Если в списке недоступных доменов есть хоть один домен, то после обработки доступных доменов происходит сбой задачи.

Если происходит сбой задачи, необходимо определить способ избежать его, например запуск задачи на контроллере домена в данном домене с использованием учетной записи с нужными учетными данными, чтобы удостовериться в том, что домен обновлен, прежде чем переходить к следующим этапам подготовки Exchange 2007.

В: Что делает команда Exchange 2007 Setup /PrepareSchema?

О: Подробные сведения приведены в разделе Инструкции по подготовке службы Active Directory и доменов.

В: Что делает команда Exchange 2007 Setup /PrepareAD?

О: Подробные сведения приведены в разделе Инструкции по подготовке службы Active Directory и доменов.

В: Что делает команда Exchange 2007 Setup /PrepareDomain?

О: Подробные сведения приведены в разделе Инструкции по подготовке службы Active Directory и доменов. Она создает контейнер системных объектов Microsoft Exchange в домене.

Этот контейнер используется для хранения объектов прокси общих папок и системных объектов, относящихся к Exchange, таких как почтовый ящик хранилища почтовых ящиков.

Команда Setup /PrepareDomain назначает этой папке особые полномочия. Дополнительные сведения о конкретных предоставляемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.

Команда Setup /PrepareDomain создает глобальную группу безопасности серверов доменов установки Exchange и помещает ее в контейнер системных объектов Microsoft Exchange.

Она добавляет глобальную группу безопасности "Серверы доменов установки Exchange" в универсальную группу безопасности серверов Exchange.

Она назначает полномочия уровня домена универсальной группе безопасности серверов Exchange. Дополнительные сведения о конкретных предоставляемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.

Она назначает полномочия уровня домена универсальной группе безопасности "Администраторы-получатели Exchange". Дополнительные сведения о конкретных предоставляемых полномочиях приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.

Она выделяет универсальной группе безопасности серверов Exchange полномочие "Управление аудитом и журналами безопасности", установленное в подразделении "Используемая по умолчанию политика контроллеров домена".

В: Когда необходимо применять Setup /PrepareDomain в Exchange 2007?

О: Команда Setup /PrepareDomain позволяет администраторам доменов Active Directory подготавливать их домены для пользователей и серверов Exchange 2007. Команду Setup /PrepareDomain следует применять в каждом домене, содержащем следующее:

  • Серверы Exchange 2000, Exchange 2003 или Exchange 2007

  • Объекты, поддерживающие почту

  • Серверы глобального каталога, которые могут быть использованы компонентами доступа к каталогу Exchange

В: Почему группа "Серверы Exchange" является членом группы авторизации доступа Windows в каждом домене, в котором есть серверы Exchange или пользователи с почтовыми ящиками Exchange?

О: Это изменение вызвано функцией PrepareDomain в Exchange Server 2007 с пакетом обновления 1 (SP1). Это изменение позволяет транспортной службе Microsoft Exchange использовать коллекцию расширений Service-for-User (S4U) Kerberos для проверки разрешений на компьютерах, которые не являются членами домена.

В: Было замечено, что Setup /PrepareDomain меняет политику контроллера домена. Универсальной группе безопасности серверов Exchange выдается полномочие на управление аудитом и журналами безопасности. Зачем это нужно?

О: Это полномочие необходимо, чтобы позволить процессу хранилища поддерживать аудит почтового ящика, поскольку оно позволяет серверу Exchange читать системные списки управления доступом (SACL) в данном домене. Если это полномочие удалить, базы данных серверов Exchange не будут подключаться. Это единственное изменение, вносимое командой Setup /PrepareDomain в политику контроллера домена. Данная политика воспроизводится на контроллерах других доменов через сочетание репликации Active Directory и службы репликации файлов (FRS).

noteПримечание.
Если в подразделениях контроллеров доменов применены другие политики, это полномочие должно быть добавлено в политику, имеющую наивысший приоритет.

К началу

В: Какие функции выполняет группа безопасности "Серверы доменов установки Exchange"?

О: При установке сервера Exchange 2007 учетная запись его компьютера добавляется к универсальной группе безопасности серверов Exchange. По умолчанию эта группа размещается в корневом домене леса. Если устанавливаемый сервер находится в другом домене, службы Exchange не смогут запуститься в ходе работы программы установки, поскольку репликация Active Directory не реплицировала членство в группе "Серверы Exchange" на серверы глобального каталога, расположенные в домене, где устанавливается Exchange 2007.

Задачей группы безопасности "Серверы доменов установки Exchange" является обеспечение нормального запуска служб в ходе установки, без необходимости ожидать репликации Active Directory. Программа установки Exchange добавляет учетную запись компьютера в глобальную группу безопасности "Серверы доменов установки Exchange" локального домена.

В: Можно ли переместить стандартные группы безопасности Exchange на другой компьютер или в другой домен в лесу?

О: Exchange 2007 использует новый набор групп безопасности для управления моделью полномочий и поддержки сосуществования. Эти группы таковы:

  • Серверы Exchange

  • Администраторы Exchange с правами на просмотр.

  • Администраторы общих папок Exchange (новая группа в Exchange 2007 с пакетом обновления 1 (SP1))

  • Администраторы получателей Exchange

  • Администраторы организации Exchange

  • ExchangeLegacyInterop

По умолчанию эти группы безопасности расположены в корневом домене подразделения "Группы безопасности Microsoft Exchange". Их можно переносить в другие подразделения, а также в другие домены леса. Перемещение групп в лесу поддерживается, поскольку у этих групп есть два уникальных свойства: хорошо известный GUID и различающееся имя, которое может меняться. Используя эти свойства и добавляя их к атрибуту леса otherWellKnownObjects в ходе выполнения задачи Setup /PrepareAD, Exchange может найти группу безопасности в любой точке леса. Служба каталога позаботится об обновлении различающегося имени (DN) объекта при его перемещении. Таким образом, Exchange не требует фиксированной позиции в каталоге.

К началу

В: Моя компания не допускает унаследованные полномочия с доменного уровня Active Directory в дочерние контейнеры и подразделения. Может ли это вызвать проблемы?

О: Команда Setup /PrepareDomain помещает записи управления доступом (ACE) для группы серверов Exchange и группы администраторов получателей Exchange лишь на доменный уровень. Следовательно, если наследование заблокировано, Microsoft Exchange не сможет обрабатывать объекты пользователей. Как следствие, администраторы получателей не смогут подготавливать получателей почты, и Exchange будет неспособен обновлять соответствующие атрибуты объектов.

После блокирования наследования можно выбрать, следует ли Удалить или Копировать полномочия на выбранном контейнере или подразделении. Если было решено Копировать полномочия, будут применены соответствующие элементы управления доступом (ACE). Если было решено Удалить полномочия, соответствующие элементы управления доступом не будут применены, и подготовка получателей не будет работать.

noteПримечание.
Структура полномочий может измениться в будущих версиях или пакетах обновления Microsoft Exchange. Поэтому мы настоятельно рекомендуем разрешать наследование или, как минимум, отслеживать изменения полномочий при развертывании новых версий Microsoft Exchange, чтобы контейнеры с заблокированным наследованием могли быть должным образом обновлены.

Если требуется установить полномочия вручную на подразделении, так чтобы Exchange 2007 и получатели могли получать доступ к объектам и обрабатывать их, необходимо назначить следующие полномочия:

  • Назначить объекту безопасности Прошедшие проверку пользователи следующие полномочия для всех типов объектов получателей в подразделении:

    • Доступ с правом на чтение к набору свойств "Сведения Exchange"
  • Назначить группе "Серверы Exchange" следующие полномочия для всех типов объектов получателей в подразделении:

    • Доступ с правом на запись для следующих атрибутов:

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • Доступ с правом на чтение для следующих атрибутов:

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • Доступ с правом на чтение к набору свойств "Личные сведения Exchange"

    • Доступ с правом на чтение к набору свойств "Сведения Exchange"

    • Полномочие на изменение пароля

    • Полномочие на запись полномочий для объектов группы

Если среда содержит серверы как Exchange 2000, так и Exchange 2003, необходимо также назначить группе безопасности "Серверы предприятия Exchange" следующие полномочия, чтобы служба обновления получателей Exchange 2003 могла бы обрабатывать объекты:

  • Список содержимого

  • Чтение всех свойств

  • Чтение полномочий

  • Запись общей информации

  • Запись личной информации

  • Запись информации Exchange

  • Запись displayName

  • Запись groupType

  • Полномочие на запись полномочий на объектах группы (это полномочие необходимо для поддержки скрытого членства в группе)

Чтобы убедиться, что все администраторы получателей Exchange могут управлять объектами получателей в подразделении, необходимо назначить группе "Администраторы получателей Exchange" следующие полномочия:

  • Доступ на запись к следующим наборам свойств:

    • Личные сведения Exchange

    • Сведения Exchange

  • Доступ на запись к следующим атрибутам:

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • полномочие на создание объектов msExchDynamicDistributionList;

  • полномочие на удаление объектов msExchDynamicDistributionList;

  • полный контроль над объектами msExchDynamicDistributionList;

  • Общее полномочие на чтение, включающее полномочие на чтение, а также полномочия «Список содержимого», «Список объектов» и «Чтение всех свойств».

Эти полномочия можно назначить с использованием оснастки интерфейсов службы Active Directory (ADSI), списков разграничительного контроля доступа (DACL) или командлета Add-ADPermission в командной консоли Exchange. Дополнительные сведения о установке полномочий на уровне подразделений приведены в разделе Планирование и реализация модели разделения разрешений

К началу

В: Какие полномочия необходимы для установки первого сервера Exchange?

О: Предполагая, что все действия по подготовке леса и домена выполнены, для установки первого сервера Exchange необходимо войти в Active Directory со следующими полномочиями:

  • роль администратора организации Exchange

  • членство в локальной группе администраторов на целевом сервере Exchange

noteПримечание.
Роль администратора организации Exchange требуется для установки первого сервера для каждой роли сервера Exchange 2007.

В: Какие полномочия необходимы для установки дополнительных серверов Exchange?

О: Предполагая, что все действия по подготовке выполнены, а первая роль сервера Exchange 2007 установлена, для установки дополнительных серверов Exchange с такой же ролью необходимо войти в Active Directory со следующими полномочиями:

  • Либо ролью администратора организации Exchange, либо делегированным полномочиями на установку сервера через процесс программы установки по подготовке сервера. Дополнительные сведения о подготовке объектов сервера приведены в разделе Подготовка сервера Exchange Server 2007 и делегирование установки.

  • Членство в локальной группе администраторов на целевом сервере Exchange

В: Как делегировать полномочия другим администраторам, чтобы они могли управлять различными службами Exchange 2007?

О: Чтобы делегировать полномочия другим пользователям, используйте следующее:

  • Мастер Добавление администратора Exchange в консоли управления Exchange

  • Командлет Add-ExchangeAdministrator в комадной консоли Exchange

Для делегирования дополнительных администраторов необходимо войти в систему как пользователь, которому назначена роль админстратора организации Exchange.

К началу

В: Если я перенесу учетные записи компьютеров Exchange в другое подразделение Active Directory, повлияет ли это на мои полномочия Exchange и их делегирование?

О: Нет, мастер Добавление администратора Exchange назначает полномочия в контексте именования конфигурации Active Directory, а не именования доменов, где находятся учетные записи компьютеров.. Однако службу системного помощника Microsoft Exchange на сервере Exchange необходимо перезапускать после каждого перемещения объекта учетной записи комаьютера. Дополнительные сведения о том, почему необходимо перезапускать сервер Exchange, приведены в статье базы знаний Microsoft, System Attendant generates Event ID 9186 and Event ID 9187 in Exchange 2000 and in Exchange 2003

В: В чем разница между ролью администратора организации Exchange и ролью администратора сервера Exchange?

О: Администратор организации Exchange может изменять параметры любого объекта Exchange в разделе конфигурации организации Exchange.

Администратор сервера Exchange может изменять только объект сервера Exchange и все, находящееся под ним, на что администратору было делегировано полномочие.

В: Если пользователю или группе были даны полномочия на организационном уровне Exchange, перетекают ли они вниз автоматически?

О: Да. Полномочия наследуются, так же как и в Exchange 2003.

В: Какие полномочия необходимы для учетной записи службы в конфигурации кластера Exchange 2007?

О: Учетная запись службы кластера не требует никаких полномочий организации Exchange.

В: Какие полномочия необходимы для установки Exchange 2007 в кластерной конфигурации?

О: Дополнительные сведения о выполнении делегированной установки кластерных серверов почтовых ящиков см. в разделеВыполнение делегированной установки кластерного сервера почтовых ящиков.

К началу

В: Приложение обмена сообщениями от стороннего производителя требует полного доступа к каждому почтовому ящику пользователя. При помощи Exchange Server 5.5 можно дать специальной учетной записи полномочие администратора учетных записей служб и затем указать приложению использовать эту запись. Как добиться подобного результата в Exchange 2007?

О: Безопасность Exchange 2007 работает не так, как в Exchange Server 5.5. На деле, Exchange 2007 не использует учетных записей службы сайта. Вместо этого все службы запускаются как учетная запись локального компьютера.

Если учетная запись для входа в систему является учетной записью администратора, членом группы администраторов корневого домена, членом группы администраторов предприятия или членом роли администраторов организации Exchange, ей специально запрещается доступ ко всем почтовым ящикам, кроме ее собственного, даже при наличии полных прав администрирования в системе Exchange. Все задачи администрирования Exchange 2007 можно выполнять без выдачи администратору прав на прочтение чужой почты.

Необходимые результаты могут быть достигнуты приведенными ниже способами, применять которые следует только в соответствии с политиками безопасности и конфиденциальности, принятыми в организации:

  • Чтобы разрешить доступ ко всем почтовым ящикам в определенном хранилище почтовых ящиков, используйте следующую команду в командной консоли Exchange:

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As
    
  • Чтобы разрешить доступ к конкретному почтовому ящику, используйте следующую команду в командной консоли Exchange:

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
    

К началу

В: Почему администраторы доменов могут подменять учетные записи пользователей с поддержкой почтовых ящиков в своих доменах?

О: Active Directory включает базовый набор полномочий, который можно прилагать к объектам в каталоге. В частности, Active Directory включает расширенное полномочие «Отправить как». По умолчанию, группа администраторов, группа администраторов домена, группа администраторов предприятия и группа операторов учетных записей обладают полномочием «Отправить как» для всех пользователей. Полномочия групп администраторов и администраторов предприятия наследуются с доменного уровня. Группа операторов учетных записей и группа администраторов домена получают дополнительные явные полномочия, основанные на определении объекта пользователя в схеме Active Directory.

Возможным решением является применение к администраторам элемент управления доступом "Запретить отправку как" по отношению к объектам пользователей в домене. Если решено применить к администраторам элемент управления доступом "Запретить отправку как" по отношению к объектам пользователей в домене, желательно учесть следующее:

  • Явный разрешающий элемент управления доступом перекрывает унаследованный запрещающий элемент управления доступом. Это означает, что явные элементы управления доступом применяются прежде унаследованных элементов.

  • Члены группы администраторов домена могут удалить запрещающий элемент управления доступом и добавить явный разрешающий элемент управления доступом.

  • Добавление запрещающего элемента управления доступом может вызвать дополнительные последствия в конкретной среде.

Если применение к администраторам элемента управления доступом "Запретить отправку как" по отношению к объектам пользователей в домене создает риск для среды обмена сообщениями, то следует применить одно или несколько из следующих решений:

  • Ограничить число администраторов домена путем делегирования конкретных задач. Дополнительные сведения приведены в статье Рекомендации по делегированию администрирования Active Directory (на английском языке).

  • Использовать аудит для отслеживания событий входа в систему для учетных записей, являющихся членами группы администраторов домена.

К началу

В: Почему члены группы администраторов корневого домена и группы администраторов предприятия обладают полным контролем над организацией Exchange?

О: В Exchange 2000 и более поздних версиях Exchange Server данные об организации Exchange не хранятся в отдельном каталоге. Exchange хранит данные организации в контексте именования конфигурации Active Directory. Администраторы леса, являющиеся членами группы администраторов корневого домена или группы администраторов предприятия, контролируют все аспекты этого каталога, включая хранящиеся в нем данные. Администраторы леса должны иметь контроль над каталогом, поскольку единственное изменение в конфигурации может негативно повлиять на весь лес. Контекст именования конфигурации и, по наследству, организация Exchange, хранящаяся в нем, имеют следующие полномочия:

  • Администраторы предприятия - полный контроль

  • Администраторы корневого домена - чтение, запись, создание всех дочерних объектов, специальные полномочия

В дополнение к наследуемым полномочиям, программа установки Exchange добавляет запрещающий элемент управления доступом для полномочий "Отправить как" и "Получить как", относящийся к корневой группе администраторов домена и группе администраторов предприятия. Это не дает данным администраторам получать доступ к и подменять почтовые ящики в лесу. Дополнительные сведения приведены в разделе Справка по разрешениям программы установки сервера Exchange 2007.

Наследование не может быть удалено с узла организации Exchange в контексте именования конфигурации. Если администраторы сообщений не доверяют администраторам леса, им стоит подумать об изоляции Exchange в специально созданном лесу. Дополнительные сведения о вариантах развертывания приведены в Руководстве по развертыванию Exchange Server 2007.

Если организацию Exchange нельзя изолировать в отдельном лесу, рекомендуется выполнить одну или более из числа следующих задач:

  • Ограничить число администраторов домена и администраторов предприятия путем делегирования конкретных задач. Дополнительные сведения приведены в статье Рекомендации по делегированию администрирования Active Directory (на английском языке).

  • Использовать аудит для отслеживания событий входа в систему для учетных записей, являющихся членами любой из привилегированных групп. В число последних входят группа администраторов корневого домена и группа администраторов предприятия.

  • Использовать аудит для отслеживания событий, происходящих в частях каталога CN=<ОрганизацияExchange>, CN=Microsoft Exchange, CN=Службы, CN=Конфигурация, DC=<корневой домен>.

К началу

В: Почему члены группы операторов учетных записей могут изменять группы безопасности серверов Exchange?

О: Привелигированная группа, такая как группа операторов учетных записей, получает специальные полномочия в Active Directory. В частности, группе операторов учетных записей явно дается полномочие "Полный контроль" для каждого объекта в разделе домена, чтобы группа имела возможность управлять объектами.

Возможным решением является является применение к операторам учетных записей запрещающего элемента управления доступом по отношению к данным группам безопасности. Если решено применить к администраторам запрещающий элемент управления доступом, желательно учесть следующее:

  • Полный контроль дается операторам учетных записей путем использования явных элементов управления доступом на объектах в каталоге. Это значит, что необходимо поместить явный запрещающий элемент управления доступом на каждую группу, доступ к которой следует ограничить. Необходимо иметь в виду, что явный разрешающий элемент управления доступом перекрывает унаследованный запрещающий элемент управления доступом.

  • Добавление запрещающего элемента управления доступом может вызвать дополнительные последствия в конкретной среде. Дополнительные сведения приведены в разделе Планирование и реализация модели разделения разрешений.

Если применение к операторам учетных записей или другим привилегированным группам запрещающего элемента управления доступом, относящегося к группам безопасности Exchange создает риск для среды обмена сообщениями, то следует применить одно или несколько из следующих решений:

  • Ограничить число операторов учетных записей путем делегирования конкретных задач. Дополнительные сведения приведены в статье Рекомендации по делегированию администрирования Active Directory (на английском языке).

  • Использовать аудит для отслеживания событий входа в систему для учетных записей, являющихся членами группы операторов учетных записей.

  • Использовать аудит для отслеживания изменений групп безопасности Exchange.

В: Почему в Exchange Server 5.5 имеется специальная учетная запись служб, если службы Exchange 2007 могут запускаться посредством LocalSystem (встроенной учетной записи компьютера)?

О: Exchange Server 5.5 требует специальной учетной записи для своих служб из-за ограничения, связанного с Microsoft Windows NT 4.0. Хотя у учетных записей локальных компьютеров в Windows NT 4.0 есть маркеры, у них нет учетных данных. Следовательно, одна учетная запись компьютера не может пройти проверку подлинности у другой. В Windows Server 2003 используется проверка подлинности Kerberos, а у учетных записей компьютеров есть и маркеры, и учетные данные.

Использование учетной записи локального компьютера более безопасно, чем учетной записи, указанной администратором, по следующим причинам:

  • Паролем локального компьютера является случайное шестнадцатеричное число, а не пригодный для чтения человеком набор символов.

  • Пароль локального компьютера автоматически меняется каждые семь дней.

  • Учетная запись служб Exchange Server 5.5 должна быть исключена из политик блокировки учетных записей, поскольку попытка выполнить вход напролом может привести к выходу из строя учетной записи и отключению служб Exchange.

К началу

Управление Exchange 2007

В: Какие полномочия необходимы для создания и удаления пользователей Exchange 2007?

О: Ответственность за управление как пользователями, так и почтовыми ящиками должна сопровождаться полномочиями на создание объектов получателей в Active Directory и управление ими. Например, полномочиями администратора домена или оператора учетных записей, либо делегированным доступом к конкретному подразделению. Следует учесть, что к членству в привелигированных учетных записях дочерних доменов должна прилагаться также роль администратора Exchange с правами на просмотр, чтобы сделать возможным управление параметрами, относящимися к почте, из консоли управления Exchange и командной консоли Exchange. При отсутствии полномочий более высокого уровня необходимо иметь следующие полномочия:

  • Роль администратора получателей Exchange или делегированные полномочия, соответствующие ей. Дополнительные сведения о делегировании администрирования получателей приведены в Планирование и реализация модели разделения разрешений и Вопросы, связанные с разрешениями.

    • Для перемещения почтового ящика между серверами администратор должен быть администратором организации Exchange или располагать делегированной ролью администратора сервера Exchange на обоих задействованных серверах.
  • Соответствующие полномочия в разделе домена на создание, удаление и управление объектами, о которых идет речь.

Кроме того, если есть необходимость управлять объектами общих папок, мы рекомендуем включение поддержки почты или поддержки почтового ящика для учетной записи администрирования, которая используется при операциях с объектами в консоли управления Exchange или командной консоли Exchange. В некоторых случаях можно столкнуться со странным поведение интерфейса пользователя полномочий и ошибках при разрешении отображаемого имени, если поддержка почты или почтового ящика не включена.

Дополнительные сведения приведены в подразделе "Прочие проблемы" раздела "Устранение проблем и исправление неполадок хранилища Exchange Server 2003" документа Работа с хранилищами Exchange Server 2003 (на английском языке).

К началу

В: Почему для выполнения некоторых операций с почтовыми ящиками, таких как изменение типа почтового ящика, необходимы дополнительные разрешения, отсутствующие у роли администратора получателей Exchange?

О: Для преобразования почтового ящика из одного типа в другой мы внесли в Active Directory изменения, которые могут потребовать расширенных привилегий, не предоставляемых ролью администратора получателей Exchange. Приведем для примера сценарий, в котором может потребоваться преобразование почтового ящика пользователя в почтовый ящик места. Почтовые ящики ресурсов представляют собой отключенные учетные записи пользователей с включенной поддержкой почты, тогда как почтовые ящики пользователей — это учетные записи пользователей с включенной поддержкой почты. Таким образом, для преобразования почтового ящика из типа UserMailbox в тип RoomMailbox необходимо отключить учетную запись пользователя. Для этого необходимо изменить значение атрибута userAccountControl пользователя с 512 (включен) на 514 (отключен). Кроме того, поскольку учетная запись теперь отключена, чтобы почтовый ящик можно было использовать далее, необходимо задать атрибут msExchMasterAccountSID и применить соответствующие разрешения. В данном случае мы не назначаем связанную учетную запись, а вместо этого назначаем привилегию NT AUTHORITY\SELF атрибуту msExchMasterAccountSID. Кроме того, необходимо гарантировать, что привилегия NT AUTHORITY\SELF имеет соответствующие разрешения, чтобы ничто не повлияло на поток почты и почтовый ящик. Для этого сначала привилегии NT AUTHORITY\SELF предоставляется полный доступ к почтовому ящику путем обновления дескриптора безопасности почтового ящика. Затем привилегии NT AUTHORITY\SELF предоставляется расширенное право "Отправить как" и доступ с правами на чтение и запись к набору свойств личных сведений (чтобы атрибутом publicDelegates и другими атрибутами можно было управлять с помощью привилегии NT AUTHORITY\SELF).

В: Какие полномочия необходимы для изменения полномочий объекта пользователя для почтового ящика?

О: Для правильного изменения полномочий для почтового ящика с помощью командной консоли Exchange, необходимо иметь следующие полномочия:

  • роль администратора сервера Exchange с правами только на просмотр.

  • Полномочие на администрирование банка сообщений, данное для хранилища, где находится почтовый ящик

  • Полномочие на запись, данное для хранилища, где находится почтовый ящик

В: Какие полномочия необходимы для перемещения почтового ящика Exchange между хранилищами?

О: Функция перемещения почтового ящика, доступ к которой можно получить из консоли управления Exchange или командной консоли Exchange, входит в исходный почтовый ящик и переносит папки и сообщения на почтовый ящик назначения. Перемещения почтового ящика возможны между хранилищами, находящимися в одной и той же группе хранения, между различными группами хранения на одном сервере и между серверами Exchange. Нужно иметь полномочия, относящиеся к объекту пользователя в Active Directory, чтобы изменять атрибуты его почтового ящика Exchange. Пользователь, являющийся оператором учетных записей, будет иметь эти полномочия. Необходимо также иметь следующие полномочия:

  • Роль администратора организации Exchange, или делегированную роль администратора сервера Exchange на исходном и целевом почтовых ящиках Exchange 2007.

    noteПримечание.
    При перемещении почтовых ящиков между административными группами в смешанной среде Exchange 2007–Exchange 2003 необходимо иметь делегированную роль администратора Exchange в исходной и целевой административных группах.
  • Членство в группе администраторов локальной рабочей станции или сервера для создания динамического профиля MAPI

К началу

В: Какие полномочия необходимы для создания нового почтового ящика, или хранилища общих папок, или группы хранения на сервере Exchange 2007?

О: Необходимо войти на сервер со следующими полномочиями:

  • Роль администратора организации Exchange или делегированную роль администратора сервера Exchange на сервере почтовых ящиков Exchange 2007.

    noteПримечание.
    Администраторы серверов Exchange не могут создавать базы данных общих папок.

В: Я заметил, что некоторые из идентификаторов безопасности (SID) для различных соединителей получения и отправления не разрешаются. Почему это происходит?

О: Некоторые логические группы, используемые для назначения полномочий для различных соединителей получения и отправления, представлены идентификаторами безопасности и не имеют отображаемого имени. В таких случаях командлет Get-ADPermission выдает только идентификатор безопасности. Следующие идентификаторы безопасности определены в транспорте Exchange 2007:

  • Транспортные серверы-концентраторы в одной организации Exchange: S-1-9-1419165041-1139599005-3936102811-1022490595-21

    noteПримечание.
    Для проверки подлинности и авторизации между двумя транспортными серверами-концентраторами в одном домене используется учетная запись компьютера, являющего членом группы безопасности серверов Exchange.
  • Пограничные транспортные серверы, с которыми установлены доверительные отношения: S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • Доверенные сторонние серверы, служащие тому же уполномоченному домену или доменам: S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • Серверы Exchange 2003 в одной организации: S-1-9-1419165041-1139599005-3936102811-1022490595-24

  • Транспортные серверы-партнеры: S-1-9-1419165041-1139599005-3936102811-1022490595-10

К началу

В: Какие полномочия необходимы для проведения поиска сообщения?

О: Для поиска по нескольким почтовым ящикам с помощью задачи Export-Mailbox администратору необходимо иметь следующие полномочия:

  • Роль администратора сервера Exchange или более высокая на исходном и целевом серверах почтовых ящиков

  • Членство в группе локальных администраторов на локальной рабочей станции или сервере, где выполняется задача

В: Какие полномочия необходимы для отслеживания сообщения?

О: Следующие полномочия необходимы для отслеживания сообщения:

  • Для окончательной первоначальной версии Exchange 2007     Роль администратора сервера Exchange или более высокая на серверах почтовых ящиков и транспортных серверах-концентраторах, которые могут быть запрошены задачей

  • Новое в Exchange 2007 с пакетом обновления 1 (SP1) Роль администратора Exchange с правами на просмотр или более высокая роль внутри организации

  • Локальноый администратор на пограничном транспортном сервере

  • Локальный администратор на рабочей станции, где выполняется задача

    noteПримечание.
    В окончательной первоначальной версии Exchange 2007 необходимо перезапустить службу поиска журналов транспорта Microsoft Exchange после выдачи роли администратора сервера Exchange администратору, чтобы он имел возможность отслеживать сообщения.

В: Какие полномочия необходимы для использования помощника по устранению неполадок Exchange?

О: Следующие полномочия необходимы для использовния анализатора потока почты Exchange:

  • Администратор домена или член группы BUILTIN\Administrators на сервере Active Directory для перечисления сведений Active Directory и вызова поставщиков инструментария управления Microsoft Windows (WMI) на контроллере домена и серверах глобального каталога

  • Членство в группе локальных администраторов на каждом из серверов Exchange для вызова поставщиков WMI и доступа к реестру, а также метабазе IIS

  • роль администратора Exchange с правами на просмотр или более высокую роль.

Для использования анализатора устранения неполадок Exchange необходимы следующие полномочия:

  • Полномочия пользователя домена или более высокие на сервере глобального каталога, указанном на этапе подключения

  • Членство в группе локальных администраторов на каждом сервере, на котором работает Microsoft Exchange и который подлежит анализу. Эти полномочия необходимы для доступа к WMI, реестру и данным о производительности.

Для использования анализатора аварийного восстановления Exchange необходимы следующие полномочия:

  • Членство в группе локальных администраторов на каждом сервере Exchange для вызова поставщиков WMI, доступа к реестру, метабазе IIS, базе данных, файлам журнала транзакций и механизму базы данных

  • Роль администратора сервера Exchange, или более высокая, на каждом сервере

К началу

В: Какие полномочия необходимы для использования анализатора соответствия рекомендациям Microsoft Exchange?

О: Для использования анализатора соответствия рекомендациям Exchange необходимы следующие полномочия:

  • роль администратора Exchange с правами на просмотр или более высокую роль

  • Полномочия администратора компьютера для перечисления сведений Active Directory и вызова поставщиков WMI на серверах DC или GC

  • Членство в группе локальных администраторов на каждом из серверов Exchange для вызова поставщиков WMI и доступа к реестру, а также метабазе IIS

В: Какие полномочия необходимы для управления очередями сообщений?

О: Для управления очередями сообщений необходимы следующие полномочия:

  • На пограничных транспортных серверах необходимо быть членом группы локальных администраторов.

  • Для окончательной первоначальной версии Exchange 2007   На транспортных сервера-концентраторах надо быть членом роли администратора сервера Exchange или более высокой.

  • Дополнительно в Exchange 2007 с пакетом обновления 1   На транспортных серверах-концентраторах надо быть членом роли администратора Exchange с правами на просмотр, или более высокой, для просмотра очередей. Для изменения очередей надо быть членом роли администратора сервера Exchange или более высокой.

К началу