Предыдущие версии Microsoft Exchange Server
практически не использовали наборы свойств для применения
разрешений в разделе домена. Это не имело особого значения при
типичном развертывании, однако стало проблемой для распределенных
сред, в которых делегированы все задачи. Администраторы в таких
средах вынуждены были назначать разрешения множеству атрибутов для
получателей почты, чтобы можно было делегировать соответствующие
задачи в модели с наименьшими привилегиями доступа. В
зависимости от версии серверов службы каталогов
Active Directory это могло привести к чрезмерному разрастанию
списков управления доступом (ACL) и увеличению размера файла
Ntds.dit.
Сервер Exchange Server 2007 облегчает делегирование
административных полномочий благодаря использованию наборов свойств
для большинства атрибутов получателей почты.
Что такое наборы свойств?
Набор свойств — это объединение атрибутов
Active Directory. Доступом к этому объединению атрибутов
Active Directory можно управлять посредством установки одной
записи управления доступом (элемент управления доступом, ACE)
вместо установки записи управления доступом для каждого свойства.
Кроме того, атрибут может входить только в один набор свойств.
Например, набор свойств Personal-Information включает
такие свойства, как улица, дом и номер телефона. Эти свойства
являются свойствами объектов пользователя.
Наборы свойств в Exchange Server
2003
В Exchange Server 2003 процесс расширения
схемы Exchange добавил множество связанных с Exchange атрибутов
получателя почты к встроенным наборам свойств Active Directory
Personal Information (личные данные) и Public Information (открытые
данные). Локальным группам безопасности домена серверов предприятия
Exchange был разрешен доступ к данным наборам свойств на разделах
домена на этапе подготовки домена, чтобы служба обновления
получателей могла обновить объекты. В приведенных ниже таблицах
перечислены атрибуты, входящие в наборы свойств Personal
Information (личные данные) и Public Information (открытые
данные).
Набор свойств Public Information
(открытые данные)
|
allowedAttributes
|
|
allowedAttributesEffective
|
|
allowedChildClasses
|
|
allowedChildClassesEffective
|
|
altRecipient
|
|
altRecipientBL
|
|
altSecurityIdentities
|
|
attributeCertificate
|
|
authOrig
|
|
authOrigBL
|
|
autoReply
|
|
autoReplyMessage
|
|
cn
|
|
co
|
|
company
|
|
deletedItemFlags
|
|
delivContLength
|
|
deliverAndRedirect
|
|
deliveryMechanism
|
|
delivExtContTypes
|
|
department
|
|
description
|
|
directReports
|
|
displayNamePrintable
|
|
distinguishedName
|
|
division
|
|
dLMemberRule
|
|
dLMemDefault
|
|
dLMemRejectPerms
|
|
dLMemRejectPermsBL
|
|
dLMemSubmitPerms
|
|
dLMemSubmitPermsBL
|
|
dnQualifier
|
|
enabledProtocols
|
|
expirationTime
|
|
extensionAttribute1
|
|
extensionAttribute10
|
|
extensionAttribute11
|
|
extensionAttribute12
|
|
extensionAttribute13
|
|
extensionAttribute14
|
|
extensionAttribute15
|
|
extensionAttribute2
|
|
extensionAttribute3
|
|
extensionAttribute4
|
|
extensionAttribute5
|
|
extensionAttribute6
|
|
extensionAttribute7
|
|
extensionAttribute8
|
|
extensionAttribute9
|
|
extensionData
|
|
folderPathname
|
|
|
formData
|
|
forwardingAddress
|
|
givenName
|
|
heuristics
|
|
hideDLMembership
|
|
homeMDB
|
|
homeMTA
|
|
importedFrom
|
|
initials
|
|
internetEncoding
|
|
kMServer
|
|
language
|
|
languageCode
|
|
legacyExchangeDN
|
|
mail
|
|
mailNickname
|
|
manager
|
|
mAPIRecipient
|
|
mDBOverHardQuotaLimit
|
|
mDBOverQuotaLimit
|
|
mDBStorageQuota
|
|
mDBUseDefaults
|
|
msDS-AllowedToDelegateTo
|
|
msDS-Approx-Immed-Subordinates
|
|
msDS-Auxiliary-Classes
|
|
msExchADCGlobalNames
|
|
msExchALObjectVersion
|
|
msExchAssistantName
|
|
msExchConferenceMailboxBL
|
|
msExchControllingZone
|
|
msExchCustomProxyAddresses
|
|
msExchExpansionServerName
|
|
msExchFBURL
|
|
msExchHideFromAddressLists
|
|
msExchHomeServerName
|
|
msExchIMACL
|
|
msExchIMAddress
|
|
msExchIMAPOWAURLPrefixOverride
|
|
msExchIMMetaPhysicalURL
|
|
msExchIMPhysicalURL
|
|
msExchIMVirtualServer
|
|
msExchInconsistentState
|
|
msExchLabeledURI
|
|
msExchMailboxFolderSet
|
|
msExchMailboxGuid
|
|
msExchMailboxSecurityDescriptor
|
|
msExchMailboxUrl
|
|
msExchMasterAccountSid
|
|
msExchOmaAdminExtendedSettings
|
|
msExchOmaAdminWirelessEnable
|
|
msExchOriginatingForest
|
|
msExchPfRootUrl
|
|
|
msExchPFTreeType
|
|
msExchPoliciesExcluded
|
|
msExchPoliciesIncluded
|
|
msExchPolicyEnabled
|
|
msExchPolicyOptionList
|
|
msExchPreviousAccountSid
|
|
msExchProxyCustomProxy
|
|
msExchQueryBaseDN
|
|
msExchRecipLimit
|
|
msExchRequireAuthToSendTo
|
|
msExchResourceGUID
|
|
msExchResourceProperties
|
|
msExchTUIPassword
|
|
msExchTUISpeed
|
|
msExchTUIVolume
|
|
msExchUnmergedAttsPt
|
|
msExchUseOAB
|
|
msExchUserAccountControl
|
|
msExchVoiceMailboxID
|
|
name
|
|
notes
|
|
o
|
|
objectCategory
|
|
objectClass
|
|
objectGUID
|
|
oOFReplyToOriginator
|
|
otherMailbox
|
|
ou
|
|
pOPCharacterSet
|
|
pOPContentFormat
|
|
protocolSettings
|
|
proxyAddresses
|
|
publicDelegatesBL
|
|
replicatedObjectVersion
|
|
replicationSensitivity
|
|
replicationSignature
|
|
reportToOriginator
|
|
reportToOwner
|
|
securityProtocol
|
|
servicePrincipalName
|
|
showInAddressBook
|
|
sn
|
|
submissionContLength
|
|
supportedAlgorithms
|
|
systemFlags
|
|
targetAddress
|
|
telephoneAssistant
|
|
textEncodedORAddress
|
|
title
|
|
unauthOrig
|
|
unauthOrigBL
|
|
unmergedAtts
|
|
userPrincipalName
|
|
Набор свойств Personal Information
(личные данные)
|
assistant
|
|
c
|
|
facsimileTelephoneNumber
|
|
homePhone
|
|
homePostalAddress
|
|
info
|
|
internationalISDNNumber
|
|
ipPhone
|
|
l
|
|
mobile
|
|
mSMQDigests
|
|
mSMQSignCertificates
|
|
otherFacsimileTelephoneNumber
|
|
otherHomePhone
|
|
|
otherIpPhone
|
|
otherMobile
|
|
otherPager
|
|
otherTelephone
|
|
pager
|
|
personalTitle
|
|
physicalDeliveryOfficeName
|
|
postalAddress
|
|
postalCode
|
|
postOfficeBox
|
|
preferredDeliveryMethod
|
|
primaryInternationalISDNNumber
|
|
primaryTelexNumber
|
|
publicDelegates
|
|
|
registeredAddress
|
|
st
|
|
street
|
|
streetAddress
|
|
telephoneNumber
|
|
teletexTerminalIdentifier
|
|
telexNumber
|
|
thumbnailPhoto
|
|
userCert
|
|
userCertificate
|
|
userSharedFolder
|
|
userSharedFolderOther
|
|
userSMIMECertificate
|
|
x121Address
|
|
Однако когда дело доходило до делегирования разрешений
на управление получателями почты, многие администраторы
Active Directory не назначали разрешений администраторам
Exchange с помощью данных наборов свойств, поскольку они
обеспечивали доступ ко многим дополнительным атрибутам, не
связанным с сервером Exchange.
Наборы свойств в сервере
Exchange Server 2007
Сервер Exchange 2007 использует наборы свойств
путем создания двух новых наборов свойств, относящихся
исключительно к серверу Exchange Server, вместо использования
предопределенных наборов свойств Active Directory. Ниже
перечислены некоторые усовершенствования, появившиеся в сервере
Exchange 2007.
- Отсутствие зависимости от используемых по умолчанию наборов
свойств Active Directory. Специфические для сервера Exchange
наборы свойств позволяют устранить неопределенность, которая может
возникнуть при возможном изменении наборов свойств в будущих
версиях Active Directory.
- Атрибуты, созданные при расширении схемы Exchange, входят
только в специфические для Exchange наборы свойств.
- Специфические для сервера Exchange наборы свойств позволяют
создать и развернуть модель разрешений с делегированной
безопасностью, которая характерна для управления данными
получателей почты Exchange.
На этапе расширения схемы Exchange 2007 выполняет
ряд действий. Эти действия перечислены ниже.
- Расширение схемы новыми классами и атрибутами.
- Создание наборов свойств Exchange Information и Exchange
Personal Information.
- Добавление в наборы свойств Exchange Information и Exchange
Personal Information соответствующих атрибутов.
Атрибуты Exchange 2003, ранее добавленные в наборы
свойств Personal Information и Public Information, перемещаются
соответствующим образом в специфические для Exchange наборы
свойств.
Поскольку атрибуты перемещаются между наборами свойств,
необходимо обновить структуру разрешений получателей
Exchange 2003 при внедрении сервера Exchange 2007 в
устаревшей среде. Это можно сделать, выполнив
команду setup /PrepareLegacyExchangePermissions или
setup /PrepareSchema. Дополнительные сведения о команде
setup /PrepareLegacyExchangePermissions см. в разделе
Подготовка
устаревших разрешений Exchange.
Набор свойств Exchange Information включает атрибуты,
перечисленные в приведенной ниже таблице. Кроме того, пользователи,
прошедшие проверку, имеют доступ на чтение данного набора свойств,
что позволяет им просматривать определенные данные о получателях
почты, например, с помощью адресной книги Microsoft
Office Outlook.
Набор свойств Exchange Information
(данные Exchange)
|
altRecipient
|
|
altRecipientBL
|
|
attributeCertificate
|
|
authOrig
|
|
authOrigBL
|
|
autoReply
|
|
autoReplyMessage
|
|
deletedItemFlags
|
|
delivContLength
|
|
deliverAndRedirect
|
|
deliveryMechanism
|
|
delivExtContTypes
|
|
dLMemberRule
|
|
dLMemDefault
|
|
dLMemRejectPerms
|
|
dLMemRejectPermsBL
|
|
dLMemSubmitPerms
|
|
dLMemSubmitPermsBL
|
|
dnQualifier
|
|
enabledProtocols
|
|
expirationTime
|
|
extensionAttribute1
|
|
extensionAttribute10
|
|
extensionAttribute11
|
|
extensionAttribute12
|
|
extensionAttribute13
|
|
extensionAttribute14
|
|
extensionAttribute15
|
|
extensionAttribute2
|
|
extensionAttribute3
|
|
extensionAttribute4
|
|
extensionAttribute5
|
|
extensionAttribute6
|
|
extensionAttribute7
|
|
extensionAttribute8
|
|
extensionAttribute9
|
|
extensionData
|
|
folderPathname
|
|
formData
|
|
forwardingAddress
|
|
heuristics
|
|
hideDLMembership
|
|
homeMDB
|
|
homeMTA
|
|
importedFrom
|
|
internetEncoding
|
|
kMServer
|
|
language
|
|
languageCode
|
|
mailNickname
|
|
mAPIRecipient
|
|
mDBOverHardQuotaLimit
|
|
mDBOverQuotaLimit
|
|
|
mDBStorageQuota
|
|
mDBUseDefaults
|
|
msExchADCGlobalNames
|
|
msExchALObjectVersion
|
|
msExchAssistantName
|
|
msExchConferenceMailboxBL
|
|
msExchControllingZone
|
|
msExchCustomProxyAddresses
|
|
msExchELCExpirySuspensionEnd
|
|
msExchELCExpirySuspensionStart
|
|
msExchELCMailboxFlags
|
|
msExchExpansionServerName
|
|
msExchExternalOOFOptions
|
|
msExchFBURL
|
|
msExchHideFromAddressLists
|
|
msExchHomeServerName
|
|
msExchIMACL
|
|
msExchIMAddress
|
|
msExchIMAPOWAURLPrefixOverride
|
|
msExchIMMetaPhysicalURL
|
|
msExchIMPhysicalURL
|
|
msExchIMVirtualServer
|
|
msExchInconsistentState
|
|
msExchLabeledURI
|
|
msExchMailboxFolderSet
|
|
msExchMailboxGuid
|
|
msExchMailboxOABVirtualDirectoriesLink
|
|
msExchMailboxSecurityDescriptor
|
|
msExchMailboxTemplateLink
|
|
msExchMailboxUrl
|
|
msExchMasterAccountHistory
|
|
msExchMasterAccountSid
|
|
msExchMaxBlockedSenders
|
|
msExchMaxSafeSenders
|
|
msExchMDBRulesQuota
|
|
msExchMessageHygieneSCLJunkThreshold
|
|
msExchMobileAllowedDeviceIDs
|
|
msExchMobileDebugLogging
|
|
msExchMobileMailboxFlags
|
|
msExchMobileMailboxPolicyLink
|
|
msExchOmaAdminExtendedSettings
|
|
msExchOmaAdminWirelessEnable
|
|
msExchOriginatingForest
|
|
msExchPfRootUrl
|
|
msExchPFTreeType
|
|
msExchPoliciesExcluded
|
|
msExchPoliciesIncluded
|
|
msExchPolicyEnabled
|
|
msExchPolicyOptionList
|
|
msExchPreviousAccountSid
|
|
msExchProxyCustomProxy
|
|
msExchPurportedSearchUI
|
|
|
msExchQueryBaseDN
|
|
msExchQueryFilterMetadata
|
|
msExchRecipientDisplayType
|
|
msExchRecipientTypeDetails
|
|
msExchRecipLimit
|
|
msExchRequireAuthToSendTo
|
|
msExchResourceCapacity
|
|
msExchResourceDisplay
|
|
msExchResourceGUID
|
|
msExchResourceMetaData
|
|
msExchResourceProperties
|
|
msExchResourceSearchProperties
|
|
msExchServerAdminDelegationBL
|
|
msExchTUIPassword
|
|
msExchTUISpeed
|
|
msExchTUIVolume
|
|
msExchUMAudioCodec
|
|
msExchUMDtmfMap
|
|
msExchUMEnabledFlags
|
|
msExchUMFaxId
|
|
msExchUMListInDirectorySearch
|
|
msExchUMMaxGreetingDuration
|
|
msExchUMOperatorNumber
|
|
msExchUMPinPolicyAccountLockoutFailures
|
|
msExchUMPinPolicyDisallowCommonPatterns
|
|
msExchUMPinPolicyExpiryDays
|
|
msExchUMPinPolicyMinPasswordLength
|
|
msExchUMRecipientDialPlanLink
|
|
msExchUMServerWritableFlags
|
|
msExchUMSpokenName
|
|
msExchUMTemplateLink
|
|
msExchUnmergedAttsPt
|
|
msExchUseOAB
|
|
msExchUserAccountControl
|
|
msExchUserCulture
|
|
msExchVersion
|
|
msExchVoiceMailboxID
|
|
oOFReplyToOriginator
|
|
pOPCharacterSet
|
|
pOPContentFormat
|
|
protocolSettings
|
|
publicDelegatesBL
|
|
replicatedObjectVersion
|
|
replicationSensitivity
|
|
replicationSignature
|
|
reportToOriginator
|
|
reportToOwner
|
|
securityProtocol
|
|
submissionContLength
|
|
supportedAlgorithms
|
|
targetAddress
|
|
telephoneAssistant
|
|
unauthOrig
|
|
unauthOrigBL
|
|
unmergedAtts
|
|
Набор свойств Exchange Personal Information включает
атрибуты, перечисленные в приведенной ниже таблице. Чтобы обычные
пользователи могли загрузить данные, хранящиеся в этих атрибутах,
атрибуты помещены в отдельный набор свойств, к которому прошедшие
проверку подлинности пользователи не имеют доступа на чтение.
Набор свойств Exchange Personal
Information (личные данные Exchange)
|
msExchMessageHygieneFlags
|
|
msExchMessageHygieneSCLDeleteThreshold
|
|
msExchMessageHygieneSCLQuarantineThreshold
|
|
msExchMessageHygieneSCLRejectThreshold
|
|
msExchSafeRecipientsHash
|
|
msExchSafeSendersHash
|
|
msExchUMPinChecksum
|
|
Дополнительные сведения
Дополнительные сведения см. в следующих разделах:
