与环境中的任何应用程序一样,当指定对 Exchange 的权限时,应考虑 Exchange 管理员的角色,并仅为其分配必要的权限。为了简化此过程,Exchange 2003 使用管理角色。管理角色是用于管理和委派权限的 Exchange 2003 对象的集合。管理角色可以包含策略、路由组、公用文件夹层次结构以及服务器。
例如,如果组织中有两组管理员管理两组 Exchange 2003 服务器,则可以创建包含这两组服务器的两个管理组。可以根据需要并基于管理模型来制定管理计划。
要更轻松地为管理组(以及 Exchange 组织)分配角色权限,可以使用 Exchange 管理委派向导。要使用该向导,必须以对 Exchange 组织拥有完全控制权限的用户身份登录。要启动 Exchange 管理委派向导,请在 Exchange 系统管理器中,用鼠标右键单击组织或管理组,然后单击“委派控制”。
表 A.1 列出了 Exchange 2003 中的管理角色。
表 A.1 Exchange Server 2003 中的管理角色
角色
描述
Exchange 仅查看
授予列出并阅读该容器下面的所有对象属性的权限。除非管理员需要修改对象属性,否则应始终分配此角色。
Exchange 管理员
授予除拥有所有权、更改权限或打开用户邮箱权限以外的所有权限。如果管理员需要添加对象或修改对象属性,但不需要在对象上委派权限,则应分配此角色。
Exchange 管理员(完全控制)
授予对该容器下的所有对象的所有权限,但打开用户邮箱、模拟用户邮箱以及更改权限的权限除外。应只对需要委派对象权限的管理员分配此角色。安装 Exchange 2003 需要 Exchange 管理员(完全控制)权限。任何域中的第一台服务器(包括目录林中的第一台服务器)都要求在组织级别拥有 Exchange 管理员(完全控制)特权。在同一个域中的其他服务器上还可以安装在管理组级别拥有 Exchange 管理员(完全控制)特权的帐户。
在某些情况下,使用 Exchange 管理委派向导无法精细地分配安全权限。因此,对于 Exchange 内的各个对象,可以在“安全”选项卡上修改设置。但是,默认情况下,“安全”选项卡仅显示在下列对象中:
· 地址列表
· 全局地址列表
· 数据库(邮箱存储和公用文件夹存储)
· 顶级公用文件夹层次结构
通常,没必要修改其他 Exchange 对象的安全选项;但是,可以使“安全”选项卡显示在所有 Exchange 对象中。下面的过程说明了如何使“安全”选项卡显示在所有 Exchange 对象中。
注意 更改 Exchange 对象上的权限时应小心。如果错误地分配“拒绝”权限,可能将无法在 Exchange 系统管理器中查看某些对象。
警告 注册表编辑不当可能导致严重的问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能没有办法解决。在编辑注册表之前,请备份所有重要数据。
在所有 Exchange 对象上显示“安全”选项卡
1. 启动注册表编辑器 (regedit)。
导航到下列项:
HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin
在“编辑”菜单上,单击“添加值”,然后添加下列注册表值:
值名称:ShowSecurityPage
数据类型:REG_DWORD
值:1
关闭注册表编辑器。
此更改立即生效;不需要重新启动 Exchange 系统管理器。
注意 由于修改的是 HKEY_CURRENT_USER 内部的项,因此更改只会影响登录到您所使用的计算机上的用户。