| YOYO |
2015-06-27 21:03 |
关于 Exchange 2010 部署权限的相关参考
本主题介绍了安装 Microsoft Exchange Server 2010 组织所需的权限。与管理角色组关联的通用安全组 (USG),以及其他 Windows 安全组和安全主体,均添加到了各种 Active Directory 对象的访问控制列表 (ACL) 中。ACL 控制每个对象上可执行的操作。通过了解授予给每个角色组、安全组或安全主体的权限,可以确定安装 Exchange 2010 所需的最低权限。
在某些情况下,ACL 不应用于常用的属性 ntSecurityDescriptor,而是应用于其他属性,如 msExchMailboxSecurityDescriptor。目录服务不能强制实现 Windows 安全描述符中未指定的安全性。大多数情况下,将复制这些 ACL,通过存储服务将 ACL 存储在相应的对象上。不过,只有将这些 ACL 作为原始二进制数据查看的工具。
每个权限表的列包含以下信息:
帐户:允许或拒绝权限的安全主体。
ACE 类型:访问控制条目 (ACE) 类型。
允许 ACE:“允许 ACE”允许与 ACE 关联的用户或组访问邮件。
拒绝 ACE:“拒绝 ACE”阻止与 ACE 关联的用户或组访问邮件。
继承:用于子对象的继承类型。
“所有”指示权限应用于该对象及其所有子对象。
“后代”指示权限应用于“针对属性/应用于”行中列出的对象类。
“无”指示这些权限只应用于该对象。
权限:为帐户授予的权限。
针对属性/应用于:在某些情况下,权限只应用于给定的属性、属性集或对象类。此处指定了这些受限的权限。
注释:如果适用,此列说明需要这些权限的原因并提供有关权限的其他信息。权限通常按在 Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc) 上(在 View/Edit 选项卡上 Advanced 视图中的 Security 属性页)使用的名称在表中列出。ADSI Edit Security 属性页上列出很简洁的权限视图。LDP 工具 (Ldp.exe) 直接使用数字值显示访问掩码。安装代码通过预定义的常量引用权限。
下表说明了这些值之间的关系。
扩展权限是由各个应用程序指定的自定义权限。这些权限是在 ACL 中指定的。但是,它们对于 Active Directory 是无意义的。特定的应用程序强制使用任何扩展权限。“创建公用文件夹”和“在信息存储中创建命名属性”就是 Exchange 扩展权限的示例。
|
|