Exchange 2007 Server 安裝程式權限參考
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
上次修改主題的時間: 2009-12-08
本主題說明設定 Microsoft Exchange Server 2007 組織所需的權限。
某些情況下,存取控制清單 (ACL) 並不會套用至慣用的 ntSecurityDescriptor 內容,而是套用至其他內容,例如 msExchMailboxSecurityDescriptor。目錄服務無法強制未在 Microsoft Windows 安全性描述元中指定的安全性。大多數情況下,儲存區服務會複寫 ACL,將這些 ACL 儲存到適當的物件。可惜的是,沒有工具可以使用原始二進位資料格式以外的格式檢視這些 ACL。
每個權限表的欄位包含下列資訊:
- 帳戶 授與或拒絕權限的安全性主體。
- ACE 類型 存取控制項目 (ACE) 類型
- 允許 ACE
- 拒絕 ACE
- 繼承 用於子物件的繼承類型。
- 全部表示權限套用至物件和所有的子物件。
- 描述表示權限套用至 [開啟內容/套用至] 資料列中所列的物件類別。
- 無表示權限只套用至物件。
- 權限 授與帳戶的權限。
- 開啟內容/套用至 某些情況下,權限只套用至指定的內容、內容設定或物件類別。這些限制的權限在此指定。
- 「斜體」的名稱表示套用讀取內容或寫入內容的一個或多個屬性。
- 純文字的名稱表示繼承 ACE 的一個或多個物件類別。
- 「粗體」名稱表示套用建立子項或刪除子項權限的類別名稱。
- 註解 此欄位會適當地說明為何需要權限,或者提供權限的其他相關資訊。
權限通常是依照 Active Directory 服務介面 (ADSI) 編輯器 (AdsiEdit.msc),[檢視/編輯] 索引標籤上 [進階] 檢視中的 [安全性] 內容頁所使用的名稱,在表格中列出。ADSI 編輯器 [安全性] 內容頁列出權限的更簡要檢視。LDP 工具 (Ldp.exe) 會直接將存取遮罩顯示為數值。安裝代碼依預先定義的常數參考權限。
下表顯示這些值之間的關係。
| ADSI 編輯器摘要頁面 | ADSI 編輯器進階檢視,檢視/編輯索引標籤 | 套用至指定物件的 ACL 項目 | 二進位值 (LDP 中的存取遮罩) |
|---|---|---|---|
完全控制 |
完全控制 |
WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD |
0x000F01FF |
讀取 |
列出內容 + 列出物件 + 讀取所有內容 + 讀取權限 |
ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL |
0x00020014 |
寫入 |
寫入所有內容 + 所有已驗證的寫入 |
ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF |
0x00000028 |
|
列出內容 |
ACTRL_DS_LIST |
0x00000004 |
|
讀取所有內容 |
ACTRL_DS_READ_PROP |
0x00000010 |
|
寫入所有內容 |
ACTRL_DS_WRITE_PROP |
0x00000020 |
|
刪除 |
DELETE |
0x00010000 |
|
刪除樹狀子目錄 |
ACTRL_DS_DELETE_TREE |
0x00000040 |
|
讀取權限 |
READ_CONTROL |
0x00020000 |
|
修改權限 |
WRITE_DAC |
0x00040000 |
|
修改擁有者 |
WRITE_OWNER |
0x00080000 |
|
所有已驗證的寫入 |
ACTRL_DS_SELF |
0x00000008 |
|
所有延伸權利 |
ACTRL_DS_CONTROL_ACCESS |
0x00000100 |
建立所有子物件 |
建立所有子物件 |
ACTRL_DS_CREATE_CHILD |
0x00000001 |
刪除所有子物件 |
刪除所有子物件 |
ACTRL_DS_DELETE_CHILD |
0x00000002 |
|
|
ACTRL_DS_LIST_OBJECT |
0x00000080 |
延伸權利是個別應用程式指定的自訂權利。這些權利是在 ACL 中指定。但是,它們對 Active Directory 目錄服務是沒有意義的。特定的應用程式會強制任何延伸權利。「建立公用資料夾」或「在資訊儲存庫中建立具名內容」都是 Exchange 延伸權利的例子。
.gif "note") 附註: |
|---|
| 如需在 Microsoft Exchange Server 2003 安裝過程中建立之權限的相關資訊,請參閱在 Exchange Server 2003 中使用 Active Directory 權限 (英文)。 |
準備傳統 Exchange 權限
本節中的權限表顯示在您執行 setup /PrepareLegacyExchangePermissions 命令時設定的權限。
物件的辨別名稱:DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Enterprise Servers |
允許 ACE |
全部 |
寫入內容 |
Exchange 資訊 |
|
Authenticated Users |
允許 ACE |
全部 |
讀取內容 |
Exchange 資訊 |
|
物件的辨別名稱:CN=AdminSDHolder,CN=System,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Enterprise Servers |
允許 ACE |
全部 |
讀取內容 寫入內容 |
Exchange 資訊 |
|
物件的辨別名稱:CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Domain Servers |
允許 ACE |
全部 |
寫入內容 |
Exchange 資訊 |
|
準備 Active Directory 權限
本節中的權限表顯示在您執行 Setup /PrepareAD 命令時設定的權限。
Microsoft Exchange 容器權限
下表顯示在組態磁碟分割中之 Microsoft Exchange 容器上設定的權限。
物件的辨別名稱:CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Installation Account |
允許 ACE |
全部 |
完全控制 |
|
這是用於執行 /PrepareAD 的帳戶 |
Exchange Server |
允許 ACE |
全部 |
讀取 |
|
|
Authenticated Users |
允許 ACE |
無 |
讀取內容 列出內容 |
|
|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
Microsoft Exchange 組織容器權限
本節中的權限表顯示在組態磁碟分割中之 Microsoft Exchange 組織和子容器上設定的權限。
物件的辨別名稱:CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Enterprise Administrator Root Domain Administrator Installation Account |
拒絕 ACE |
全部 |
以下列傳送 以下列接收 |
|
Windows 系統管理員不可以開啟信箱。 |
Enterprise Administrator Root Domain Administrator Installation Account |
拒絕 ACE |
全部 |
儲存傳輸存取 儲存限制的委派 儲存讀取權限 儲存讀取寫入權限 Exchange Web 服務模擬 Exchange Web 服務 Token 序列化 |
|
延伸權利 |
Exchange Server |
拒絕 ACE |
全部 |
儲存傳輸存取 儲存限制的委派 儲存唯讀權限 儲存讀取和寫入權限 |
|
延伸權利 |
Authenticated Users |
拒絕 ACE |
描述 |
讀取內容 |
msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace |
|
Authenticated Users |
允許 ACE |
無 |
讀取內容 列出物件 |
|
|
Everyone 與 Anonymous |
允許 ACE |
全部 |
建立公用資料夾 |
|
延伸權利 |
Everyone 與 Anonymous |
允許 ACE |
全部 |
在資訊儲存庫中建立具名內容 |
|
延伸權利 |
Everyone 與 Anonymous |
允許 ACE |
全部 |
讀取 |
msExchPrivateMDB |
|
Everyone 與 Anonymous |
允許 ACE |
全部 |
讀取 |
msExchPublicMDB |
|
Exchange Server |
允許 ACE |
全部 |
所有延伸權利 |
|
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
groupT |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchMailboxSecurityDescriptor |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUMServerWritableFlags |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchDatabaseCreated |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
Public Information |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUserCulture |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
siteFolderGUID |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchMobileMailboxFlags |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
siteFolderServer |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchEDBOffline |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
userCertificate |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
Exchange Personal Information |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
Exchange Information |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchPatchMDB |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
publicDelegates |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUMSpokenName |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUMPinChecksum |
|
Exchange Server |
允許 ACE |
描述 |
讀取 |
siteAddressing |
|
Schema Administrators |
拒絕 ACE |
全部 |
Exchange Web 服務模擬 Exchange Web 服務 Token 序列化 |
|
延伸權利 |
Exchange Organization Administrators |
拒絕 ACE |
全部 |
以下列傳送 以下列接收 |
|
Exchange 系統管理員不可以開啟信箱。 |
Exchange Organization Administrators |
拒絕 ACE |
全部 |
Exchange Web 服務模擬 Exchange Web 服務 Token 序列化 |
|
延伸權利 |
Exchange View-Only Administrators |
允許 ACE |
全部 |
檢視資訊儲存庫狀態 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
讀取 |
|
|
Exchange Public Folder Administrators |
允許 ACE |
全部 |
建立最上層公用資料夾 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
檢視資訊儲存庫狀態 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
管理資訊儲存庫 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
在資訊儲存庫中建立具名內容 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾 ACL |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾配額 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾管理 ACL |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾到期 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾複本清單 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
修改公用資料夾刪除項目保留期間 |
|
延伸權利 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
建立公用資料夾 |
|
延伸權利 |
物件的辨別名稱:CN=Address Lists Container,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
列出內容 |
|
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
|
Exchange Public Folder Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
物件的辨別名稱:CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
下載離線通訊錄 |
|
|
物件的辨別名稱:CN=Recipient Update Services,CN=Address Lists Container, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=Addressing,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated users |
允許 ACE |
全部 |
讀取 |
|
|
物件的辨別名稱:CN=Recipient Policies,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
|
Exchange Public Folder Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchLastAppliedRecipientFilter msExchRecipientFilterFlags |
物件的辨別名稱:CN=Message Classifications,CN=Transport Settings, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
列出內容 |
|
|
物件的辨別名稱:CN=ExACPrivileged,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
讀取 |
|
|
物件的辨別名稱:CN=ExCompanyConfidential,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
讀取 |
|
|
物件的辨別名稱:CN=ExCompanyInternal,CN=<language>,CN=Message Classifications,CN=Transport Settings, CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
讀取 |
|
|
組態磁碟分割容器權限
本節中的權限表顯示 Setup /PrepareAD 命令在組態磁碟分割中各容器上設定的權限。
物件的辨別名稱:CN=Sites,CN=Configuration,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchTransportSiteFlags / site |
|
Exchange Organization Administrators |
允許 ACE |
全部 |
寫入內容 |
msExchCost / siteLink |
|
物件的辨別名稱:CN=Deleted Objects,CN=Configuration,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
全部 |
列出內容 |
|
|
Exchange Organization Administrators |
允許 ACE |
全部 |
讀取 寫入權限 |
|
|
Exchange 系統管理群組權限
Setup /PrepareAD 命令也會在組織中的系統管理群組上設定下列權限。
物件的辨別名稱:CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Recipient Administrators |
允許 ACE |
描述 |
存取收件者更新服務 |
msExchExchangeServer |
允許 Exchange Recipient Administrators 利用 Proxy 位址資訊為收件者加上戳記。 |
SYSTEM |
允許 ACE |
描述 |
存取收件者更新服務 |
msExchExchangeServer |
允許伺服器利用 Proxy 位址資訊為收件者加上戳記。 |
Exchange Public Folder Administrators |
允許 ACE |
描述 |
存取收件者更新服務 |
msExchExchangeServer |
允許 Exchange 公用資料夾利用 Proxy 位址資訊為收件者加上戳記。 |
物件的辨別名稱:CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
拒絕 ACE |
全部 |
以下列接收 |
|
Exchange 伺服器不可以開啟信箱。 |
Authenticated Users |
允許 ACE |
無 |
列出內容 |
|
|
物件的辨別名稱:CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
無 |
列出內容 |
|
|
物件的辨別名稱:CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
無 |
讀取內容 |
|
|
Microsoft Exchange 安全性群組容器權限
本節中的權限表顯示在根網域磁碟分割中的 Microsoft Exchange 安全性群組上設定的權限。
物件的辨別名稱:OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Trusted Subsystem |
允許 ACE |
全部 |
完全控制 |
Exchange 2007 SP2 安裝程式會建立此群組,並將它新增到本機 Administrators 群組中。Exchange 信任子系統是一項高權限的萬用安全性群組,可以讀取及寫入組織中每一個 Exchange 相關的物件。如需相關資訊,請參閱如何安裝 Exchange 2007 的最新 Service Pack 或更新彙總套件。 |
|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=Exchange Organization Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=Exchange Recipient Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=Exchange View-Only Administrators,OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
物件的辨別名稱:CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Organization Administrators |
允許 ACE |
全部 |
完全控制 |
|
|
Root Domain Administrators |
允許 ACE |
全部 |
讀取成員 寫入成員 |
|
|
Child Domain Administrators |
允許 ACE |
全部 |
讀取成員 寫入成員 |
|
|
準備網域
下表顯示在您執行 Setup /PrepareDomain 命令時設定的權限。
物件的辨別名稱:DC=<domain> 與 CN=AdminSDHolder,CN=System,CN=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
讀取內容 |
Exchange Information |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
Exchange Personal Information |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
Exchange Information |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
groupType |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
publicDelegates |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
userCertificate |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUMPinChecksum |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchMobileMailboxFlags |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchMailboxSecurityDescriptor |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUserCulture |
|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
msExchUMServerWriteableFlags |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
garbageCollPeriod |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
userAccountControl |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
canonicalName |
|
Exchange Server |
允許 ACE |
全部 |
讀取內容 |
memberOf |
|
Exchange Server |
允許 ACE |
描述 |
修改權限 |
group |
Microsoft Exchange Server 2007 SP1 Setup /PrepareDomain 中已移除此權限。如果您已安裝 Microsoft Exchange Server 2007,則即便是在部署 Exchange 2007 SP1 後,您仍將會擁有此權限。 |
Exchange Server |
允許 ACE |
全部 |
變更密碼 |
|
延伸權利 |
Exchange Recipient Administrators |
允許 ACE |
全部 |
讀取 |
|
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
Exchange Information |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
Exchange Personal Information |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
legacyExchangeDN |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
displayName |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
adminDisplayName |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
displayNamePrintable |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
publicDelegates |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
garbageCollPeriod |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
textEncodedORAddress |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
showInAddressBook |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
proxyAddresses |
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
寫入內容 |
|
|
Exchange Recipient Administrators |
允許 ACE |
全部 |
建立子項 刪除子項 |
msExchDynamicDistributionList |
|
Exchange Recipient Administrators |
允許 ACE |
描述 |
完全控制 |
msExchDynamicDistributionList |
|
物件的辨別名稱:CN=Microsoft Exchange System Objects,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
全部 |
讀取 刪除樹狀目錄 |
|
|
Exchange Server |
拒絕 ACE |
全部 |
刪除樹狀目錄 |
|
Exchange 2003 RUS 會從 Microsoft Exchange 系統物件 (MESO) 容器移除讀取存取控制項目 |
Exchange Server |
允許 ACE |
全部 |
建立子項 刪除子項 |
publicFolder |
|
Exchange Server |
允許 ACE |
描述 |
寫入內容 |
publicFolder |
|
Exchange Server |
允許 ACE |
全部 |
建立子項 |
msExchSystemMailbox |
|
Exchange Server |
允許 ACE |
描述 |
寫入內容 |
msExchSystemMailbox |
|
Exchange Organization Administrators |
允許 ACE |
全部 |
刪除子項 |
msExchSystemMailbox |
|
Authenticated Users |
允許 ACE |
全部 |
讀取權限 |
|
|
Authenticated Users |
允許 ACE |
全部 |
讀取 |
|
|
Authenticated Users |
允許 ACE |
全部 |
讀取內容 |
garbageCollPeriod adminDisplayName modifyTimeStamp |
|
Exchange Public Folder Administrators |
允許 ACE |
全部 |
讀取內容 寫入內容 |
Exchange-Information / publicFolder Exchange-Personal-Information / publicFolder legacyExchangeDN / publicFolder displayName / publicFolder displayNamePrintable / publicFolder publicDelegates / publicFolder garbageCollPeriod / publicFolder textEncodedORAddress / publicFolder showInAddressBook / publicFolder proxyAddresses / publicFolder mail / publicFolder pFContacts / publicFolder msDS-PhoneticDisplayName / publicFolder cn / publicFolder name / publicFolder |
允許 Exchange Public Folder Administrators 角色管理擁有郵件功能之公用資料夾 Proxy 物件的郵件相關內容。 |
Exchange Public Folder Administrators |
允許 ACE |
全部 |
讀取內容 |
伺服器安裝
在安裝 Hub Transport、Unified Messaging、Mailbox 及 Client Access server role 的過程中,安裝程式會將 Exchange Organization Administrators 安全性群組加入本機電腦上的系統管理員安全性群組,讓名為 Exchange Organization Administrators 的 Administrator 角色群組的成員可以管理伺服器。
以下權限表格顯示您在非叢集電腦上安裝 Hub Transport、Unified Messaging、Mailbox 或 Client Access server role 時,所設定的權限。
物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
MACHINE$ |
允許 ACE |
全部 |
讀取 |
|
|
MACHINE$ |
允許 ACE |
無 |
寫入內容 |
msExchServerSite msExchEdgeSyncCredential |
|
Exchange Server |
允許 ACE |
全部 |
儲存傳輸存取 儲存限制的委派 儲存唯讀權限 儲存讀取和寫入權限 |
|
延伸權利 |
Authenticated Users |
允許 ACE |
無 |
讀取內容 |
|
ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義 |
叢集信箱伺服器安裝
如果您安裝叢集信箱伺服器,會改設定以下權限表中列出的權限。
物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
CLUSTEREDNODE$ |
允許 ACE |
全部 |
讀取 |
|
安裝的第一個節點擁有此一權限。 |
CLUSTEREDNODE$ |
允許 ACE |
全部 |
完全控制 |
|
之後在 Exchange 叢集中安裝的所有節點擁有此一權限。 |
CLUSTEREDNODE$ |
允許 ACE |
無 |
寫入內容 |
msExchServerSite msExchEdgeSyncCredential |
|
Exchange Server |
允許 ACE |
全部 |
儲存傳輸存取 儲存限制的委派 儲存唯讀權限 儲存讀取和寫入權限 |
|
延伸權利 |
Authenticated Users |
允許 ACE |
無 |
讀取內容 |
|
ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義 |
叢集信箱伺服器電腦帳戶
如果您安裝叢集信箱伺服器,會在網域磁碟分割中的叢集信箱伺服器電腦帳戶上設定以下權限表中的權限。
物件的辨別名稱:CN=<server>,CN=Computers,DC=<domain> 或 CN=<server>,OU=<organizational unit>,DC=<domain>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Cluster Service Account |
允許 ACE |
無 |
讀取 控制存取 |
|
|
Cluster Service Account |
允許 ACE |
無 |
寫入內容 |
Logon Information |
|
Cluster Service Account |
允許 ACE |
無 |
寫入內容 |
Description |
|
Cluster Service Account |
允許 ACE |
無 |
寫入內容 |
sAMAccountName |
|
Cluster Service Account |
允許 ACE |
無 |
寫入內容 |
Account Restrictions |
|
Cluster Service Account |
允許 ACE |
無 |
已驗證的寫入 DNS 主機名稱 |
|
|
Cluster Service Account |
允許 ACE |
無 |
已驗證的寫入服務主要名稱 |
|
|
邊際傳輸
如果您安裝 Edge Transport Server,並建立 Exchange 組織的 Edge 訂閱,會在 Edge Transport Server 安裝到組織中時,設定以下權限表中的權限。
物件的辨別名稱:CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
全部 |
寫入內容 |
|
|
Authenticated Users |
允許 ACE |
無 |
讀取內容 |
|
ACE 在 msExchExchangeServer 類別物件 defaultSecurityDescriptor 的架構中定義 |
Client Access Server 安裝
在安裝第一個 Client Access Server 的過程中,會建立以下容器。以下權限表格顯示所套用的權限。
物件的辨別名稱:CN=Availability Configuration,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
描述 |
讀取內容 |
msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects |
延伸權利 |
Hub Transport Server 安裝
在安裝每一個 Hub Transport Server 的過程中,會設定下列權限。
物件的辨別名稱:CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
ExchangeLegacyInterop |
拒絕 ACE |
全部 |
接受樹系標頭 |
|
|
ExchangeLegacyInterop |
拒絕 ACE |
全部 |
接受組織標頭 |
|
|
Exchange Server |
允許 ACE |
全部 |
接受任何寄件者 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
接受任何寄件者 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受任何寄件者 |
|
這是 Hub Transport Server 的已知安全性識別碼 (SID)。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受任何寄件者 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
接受任何寄件者 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受 EXCH50 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
接受 EXCH50 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受 EXCH50 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受 EXCH50 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
接受 EXCH50 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受路由標頭 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
接受路由標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受路由標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受路由標頭 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
接受路由標頭 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受樹系標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受樹系標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受樹系標頭 |
|
這是 Edge Transport Server 的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受驗證標幟 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
接受驗證標幟 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受驗證標幟 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受驗證標幟 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
接受驗證標幟 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
略過郵件大小限制 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
略過郵件大小限制 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
略過郵件大小限制 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
略過郵件大小限制 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
略過郵件大小限制 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受組織標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受組織標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受組織標頭 |
這是 Edge Transport Server 的已知 SID。 |
|
Exchange Server |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
這是外部安全伺服器的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
接受授權網域寄件者 |
|
|
ExchangeLegacyInterop |
允許 ACE |
全部 |
接受授權網域寄件者 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
接受授權網域寄件者 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
接受授權網域寄件者 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
接受授權網域寄件者 |
|
這是外部安全伺服器的已知 SID。 |
Authenticated Users |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
|
Authenticated Users |
允許 ACE |
全部 |
接受路由標頭 |
|
|
Authenticated Users |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
|
Authenticated Users |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
|
物件的辨別名稱:CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Authenticated Users |
允許 ACE |
全部 |
提交郵件到任何收件者 |
|
|
Authenticated Users |
允許 ACE |
全部 |
接受路由標頭 |
|
|
Authenticated Users |
允許 ACE |
全部 |
略過反垃圾郵件 |
|
|
Authenticated Users |
允許 ACE |
全部 |
提交郵件到伺服器 |
|
|
建立 SMTP 傳送連接器
下表顯示在您建立傳送連接器時設定的權限。
物件的辨別名稱:CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>
| 帳戶 | ACE 類型 | 繼承 | 權限 | 開啟內容/套用至 | 註解 |
|---|---|---|---|---|---|
Exchange Server |
允許 ACE |
全部 |
傳送組織標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
傳送組織標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
傳送組織標頭 |
|
這是 Edge Transport Server 的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
傳送樹系標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
傳送樹系標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
傳送樹系標頭 |
|
這是 Edge Transport Server 的已知 SID。 |
Exchange Server |
允許 ACE |
全部 |
傳送路由標頭 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-10 |
允許 ACE |
全部 |
傳送路由標頭 |
|
這是協力程式伺服器的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
傳送路由標頭 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
傳送路由標頭 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
傳送路由標頭 |
|
這是外部安全伺服器的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-24 |
允許 ACE |
全部 |
傳送路由標頭 |
|
這是傳統 Exchange 伺服器的已知 SID。 |
ANONYMOUS LOGON |
允許 ACE |
全部 |
傳送路由標頭 |
|
|
Exchange Server |
允許 ACE |
全部 |
傳送 Exch50 |
|
|
S-1-9-1419165041-1139599005-3936102811-1022490595-21 |
允許 ACE |
全部 |
傳送 Exch50 |
|
這是 Hub Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-22 |
允許 ACE |
全部 |
傳送 Exch50 |
|
這是 Edge Transport Server 的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-23 |
允許 ACE |
全部 |
傳送 Exch50 |
|
這是外部安全伺服器的已知 SID。 |
S-1-9-1419165041-1139599005-3936102811-1022490595-24 |
允許 ACE |
全部 |
傳送 Exch50 |
|
這是傳統 Exchange 伺服器的已知 SID。 |
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.