本主题介绍了安装 Microsoft Exchange Server 2010 组织所需的权限。与管理角色组关联的通用安全组 (USG),以及其他 Windows 安全组和安全主体,均添加到了各种 Active Directory 对象的访问控制列表 (ACL) 中。ACL 控制每个对象上可执行的操作。通过了解授予给每个角色组、安全组或安全主体的权限,可以确定安装 Exchange 2010 所需的最低权限。在某些情况下,ACL 不应用于常用的属性 ntSecurityDescriptor,而是应用于其他属性,如 msExchMailboxSecurityDescriptor。目录服务不能强制实现 Windows 安全描述符中未指定的安全性。大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。不过,只有将这些 ACL 作为原始二进制数据查看的工具。每个权限表的列包含以下信息:
帐户:允许或拒绝权限的安全主体。
ACE 类型:访问控制条目 (ACE) 类型。
允许 ACE:“允许 ACE”允许与 ACE 关联的用户或组访问邮件。
拒绝 ACE:“拒绝 ACE”阻止与 ACE 关联的用户或组访问邮件。
继承:用于子对象的继承类型。
“所有”指示权限应用于该对象及其所有子对象。
“后代”指示权限应用于“针对属性/应用于”行中列出的对象类。
“无”指示这些权限只应用于该对象。
权限:为帐户授予的权限。
针对属性/应用于:在某些情况下,权限只应用于给定的属性、属性集或对象类。此处指定了这些受限的权限。
注释:如果适用,此列说明需要这些权限的原因并提供有关权限的其他信息。
权限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上(在 View/Edit 选项卡上 Advanced 视图中的 Security 属性页)使用的名称在表中列出。ADSI Edit Security 属性页上列出很简洁的权限视图。LDP 工具 (Ldp.exe) 直接使用数字值显示访问掩码。安装代码通过预定义的常量引用权限。下表说明了这些值之间的关系。 扩展权限是由各个应用程序指定的自定义权限。这些权限是在 ACL 中指定的。但是,它们对于 Active Directory 是无意义的。特定的应用程序强制使用任何扩展权限。“创建公用文件夹”和“在信息存储中创建命名属性”就是 Exchange 扩展权限的示例。
