切换到宽版
  • 4664阅读
  • 0回复

[分享]关于 Exchange 2010 部署权限的相关参考 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2015-06-27
本主题介绍了安装 Microsoft Exchange Server 2010 组织所需的权限。与管理角色组关联的通用安全组 (USG),以及其他 Windows 安全组和安全主体,均添加到了各种 Active Directory 对象的访问控制列表 (ACL) 中。ACL 控制每个对象上可执行的操作。通过了解授予给每个角色组、安全组或安全主体的权限,可以确定安装 Exchange 2010 所需的最低权限。
在某些情况下,ACL 不应用于常用的属性 ntSecurityDescriptor,而是应用于其他属性,如 msExchMailboxSecurityDescriptor。目录服务不能强制实现 Windows 安全描述符中未指定的安全性。大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。不过,只有将这些 ACL 作为原始二进制数据查看的工具。
每个权限表的列包含以下信息:

  • 帐户:允许或拒绝权限的安全主体。

  • ACE 类型:访问控制条目 (ACE) 类型。
    允许 ACE:“允许 ACE”允许与 ACE 关联的用户或组访问邮件。

  • 拒绝 ACE:“拒绝 ACE”阻止与 ACE 关联的用户或组访问邮件。

继承:用于子对象的继承类型。

  • “所有”指示权限应用于该对象及其所有子对象。

  • “后代”指示权限应用于“针对属性/应用于”行中列出的对象类。

  • “无”指示这些权限只应用于该对象。

权限:为帐户授予的权限。
针对属性/应用于:在某些情况下,权限只应用于给定的属性、属性集或对象类。此处指定了这些受限的权限。
注释:如果适用,此列说明需要这些权限的原因并提供有关权限的其他信息。权限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上(在 View/Edit 选项卡上 Advanced 视图中的 Security 属性页)使用的名称在表中列出。ADSI Edit Security 属性页上列出很简洁的权限视图。LDP 工具 (Ldp.exe) 直接使用数字值显示访问掩码。安装代码通过预定义的常量引用权限。
下表说明了这些值之间的关系。




ADSI Edit Summary 页ADSI Edit Advanced 视图,View/Edit 选项卡应用于给定对象的 ACL 条目二进制值 (LDP 中的访问掩码)

完全控制

完全控制

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

读取

列出内容 + 读取所有属性 + 读取权限

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

写入

写入所有属性 + 所有验证的写入

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028


列出内容

ACTRL_DS_LIST

0x00000004


读取所有属性

ACTRL_DS_READ_PROP

0x00000010


写入所有属性

ACTRL_DS_WRITE_PROP

0x00000020


删除

DELETE

0x00010000


删除子树目录

ACTRL_DS_DELETE_TREE

0x00000040


读取权限

READ_CONTROL

0x00020000


修改权限

WRITE_DAC

0x00040000


修改所有者

WRITE_OWNER

0x00080000


所有验证的写入

ACTRL_DS_SELF

0x00000008


所有扩展权限

ACTRL_DS_CONTROL_ACCESS

0x00000100

创建所有子对象

创建所有子对象

ACTRL_DS_CREATE_CHILD

0x00000001

删除所有子对象

删除所有子对象

ACTRL_DS_DELETE_CHILD

0x00000002



ACTRL_DS_LIST_OBJECT

0x00000080
扩展权限是由各个应用程序指定的自定义权限。这些权限是在 ACL 中指定的。但是,它们对于 Active Directory 是无意义的。特定的应用程序强制使用任何扩展权限。“创建公用文件夹”和“在信息存储中创建命名属性”就是 Exchange 扩展权限的示例。
分享到
快速回复
限60 字节
 
上一个 下一个