В классическом случае администрирования между лесами сервер Exchange установлен как в лесу А, так и в лесу Б. Если необходимо, чтобы пользователь в лесу А, который будет администрировать Exchange в лесу Б, не являлся администратором в лесу А, необходимо переименовать, переместить в другое подразделение либо в другой домен следующее подразделение и группы в лесу А:

• Группы безопасности Microsoft Exchange
  
  
• Администраторы организации Exchange
  
  
• Администраторы общих папок Exchange
  
  
• Администраторы получателей Exchange
  
  
• Администраторы Exchange с правами на просмотр
  
  

После переименования или перемещения этих групп они сохранят членство и разрешения, а серверы Exchange в лесу А можно будет администрировать с помощью учетных записей, входящих в эти группы.

Если, как в классическом случае, сервер Exchange установлен как в лесу А, так и в лесу Б, и требуется, чтобы пользователь в лесу А администрировал Exchange в обоих лесах, перейдите к действию 9.

В случае использования леса ресурсов перейдите к действию 2.

В корневом домене леса А создайте новое подразделение с именем Группы безопасности Microsoft Exchange. Дополнительные сведения о создании подразделений см. в статье Создание подразделения (на английском языке).

В подразделении Группы безопасности Microsoft Exchange в лесу А создайте следующие универсальные группы безопасности:

• роль администратора организации Exchange.
  
  
• Администраторы общих папок Exchange
  
  
• Администраторы получателей Exchange
  
  
• Администраторы просмотра Exchange
  
  

Дополнительные сведения см. в статье Создание группы (на английском языке).

Примечание.
Убедитесь в том, что для области действия группы выбрано значение Универсальная, а для типа группы — значение Безопасность.

В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы получателей Exchange.

1. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов получателей Exchange нажмите кнопку ОК.
   
   

Выполните в лесу А указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы общих папок Exchange.

1. Щелкните правой кнопкой мыши группу Администраторы общих папок Exchange и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов общих папок Exchange нажмите кнопку ОК.
   
   

В лесу А выполните перечисленные ниже действия, чтобы добавить группу Администраторы получателей Exchange в группу Администраторы Exchange с правами на просмотр.

1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы получателей Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.
   
   

В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы общих папок Exchange в группу Администраторы Exchange с правами на просмотр.

1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы общих папок Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.
   
   

В оснастке «Пользователи и компьютеры Active Directory» в лесу А в меню Вид выберите пункт Дополнительные параметры и выполните действия, перечисленные ниже.

1. Щелкните правой кнопкой мыши подразделение Группы безопасности Microsoft Exchange и выберите пункт Свойства.
   
   
2. На вкладке Безопасность нажмите кнопку Дополнительно.
   
   
3. На вкладке Разрешения в списке Элементы разрешений выберите пункт Администраторы организации Exchange и нажмите кнопку Изменить.
   
   
4. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.
   
   
5. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.
   
   
6. Нажмите кнопку ОК.
   
   
7. На вкладке Разрешения выберите пункт Администраторы получателей Exchange и нажмите кнопку Изменить.
   
   
8. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.
   
   
9. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.
   
   
10. Нажмите кнопку ОК.
    
    
11. На вкладке Разрешения выберите пункт Администраторы общих папок Exchange и нажмите кнопку Изменить.
    
    
12. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.
    
    
13. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.
    
    
14. Нажмите кнопку ОК.
    
    
15. На вкладке Разрешения выберите пункт Администраторы Exchange с правами только на просмотр и нажмите кнопку Изменить.
    
    
16. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.
    
    
17. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.
    
    
18. Дважды нажмите кнопку ОК.
    
    

Войдите в лес Б с учетной записью, которая является членом группы администраторов предприятия в лесу Б, и выполните в окне командной строки следующую команду:

	Копировать код
Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

Эта команда проверит, что в лесу А были созданы универсальные группы безопасности Exchange, а разрешения были установлены правильно. В лесу Б команда настроит записи управления доступом в Active Directory для объектов конфигурации Exchange таким образом, что вновь созданные в лесу А универсальные группы безопасности Exchange получили права на настройку Exchange в лесу Б. При выполнении команды Setup /PrepareAD без параметра ForeignForestFQDN эта команда создаст универсальные группы безопасности Exchange в локальном лесу и установит разрешения для этих групп. Параметр ForeignForestFQDN используется для указания того, что универсальным группам безопасности Exchange во внешнем лесу необходимо предоставить разрешение на настройку Exchange в том лесу, в котором выполняется команда.

Чтобы проверить, что программа установки успешно завершила работу, выполните перечисленные ниже действия.

1. В лесу Б щелкните правой кнопкой мыши универсальную группу безопасности Серверы Exchange Server и выберите пункт Свойства.
   
   
2. На вкладке Безопасность в списке Группы или пользователи выберите пункт Администраторы организации Exchange (<домен леса А\Администраторы организации Exchange>).
   
   
3. Убедитесь в том, что для разрешения Полный доступ установлено значение Разрешить.
   
   

Примечание.
Если программе установки не удается выполнить задачу из-за недостаточных прав доступа, убедитесь в том, что в лесу А правильно созданы универсальные группы безопасности, что эти группы правильно вложены, а группа администраторов организации Exchange имеет полный доступ к новому подразделению и всем трем новым универсальным группам безопасности, а затем выполните действие 9 еще раз.

Чтобы администрировать Exchange в лесу Б с помощью учетной записи леса А, добавьте учетную запись в лесу А в одну или несколько универсальных групп безопасности Exchange, созданных в лесу А.

Измените доверие между лесами с двусторонего на одностороннее (необязательно). Для этого удалите существующее двустороннее входящее доверие с лесом А. Дополнительные сведения см. в статье Удаление созданного вручную доверия (на английском языке).

Примечание.
Установите флажок Да, удалить отношение доверия в локальном и другом доменах..

Примечание.
Необходимо сохранить исходящее доверие.

В оснастке «Пользователи и компьютеры Active Directory» для леса Б в меню Вид выберите пункт Дополнительные параметры.

Если необходимо, чтобы администраторы получателей в лесу А администрировали пользователей в лесу Б, необходимо вручную назначить им разрешения (необязательно). Выполните перечисленные ниже действия.

1. В оснастке «Пользователи и компьютеры Active Directory» в лесу Б щелкните правой кнопкой мыши контейнер Пользователи и выберите пункт Свойства. 
   
   
2. На вкладке Безопасность нажмите кнопку Дополнительно.
   
   
3. В списке записей разрешений выберите запись, параметр Тип которой имеет значение Разрешить, Имя — «Администраторы получателей Exchange» (<Домен леса А\Администраторы получателей Exchange>), а Разрешение — Особые, и нажмите кнопку Изменить.
   
   
4. На странице Элемент разрешения для пользователей на вкладке Объекты в разделе Разрешения установите флажок Разрешить для следующих разрешений: Список содержимого, Чтение всех свойств, Запись всех свойств, Чтение разрешений, Создание объектов пользователей, Удаление объектов пользователей.
   
   
5. Нажмите кнопку ОК.
   
   
6. На странице Дополнительные параметры безопасности для пользователей установите флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам и нажмите кнопку ОК.
   
   

Примечание.

Это действие предоставляет членам группы администраторов получателей Exchange в лесу А разрешения, необходимые для изменения объектов в контейнере Пользователь в лесу Б. При выполнении команды Setup /ForeignForestFQDN в лесу Б (действие 9) пользователям групп безопасности Exchange в лесу А было предоставлено разрешение на свойства Exchange в лесу Б, но не на свойства пользователей Windows в лесу Б. Чтобы предоставить другим группам в лесу А разрешения на изменение объектов в контейнере Пользователь в лесу Б, выберите на странице Дополнительно параметры безопасности для пользователей другую группу.

Если требуется, чтобы администраторы в лесу А имели разрешение на использование консоли управления Exchange и командной консоли Exchange на сервере Exchange в лесу Б, необходимо вручную предоставить пользователю разрешения на доступ к каталогам Bin, Public и Scripts в каталоге сервера Exchange (необязательно). Выполните перечисленные ниже действия.

1. Перейдите в каталог сервера Exchange, в котором установлен Exchange. (По умолчанию используется каталог %programfiles%\Microsoft\Exchange Server.)
   
   
2. Щелкните правой кнопкой мыши каталог Bin и выберите пункт Свойства.
   
   
3. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
4. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
   
   
5. Щелкните правой кнопкой мыши каталог Общее и выберите пункт Свойства.
   
   
6. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
7. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
   
   
8. Щелкните правой кнопкой мыши каталог Scripts и выберите пункт Свойства.
   
   
9. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
10. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
    
    

Примечание.

Для администрирования сервера Exchange в лесу Б пользователи в лесу А должны также иметь возможность входить в систему сервера в лесу Б, на котором установлен сервер Exchange или средства управления Exchange. Если пользователи в лесу А добавлены в группу администраторов домена или в локальную группу администраторов на сервере в лесу Б и могут входить в систему сервера в лесу Б, эти пользователи уже имеют разрешение Чтение и выполнение для каталогов Bin, Public и Scripts. Кроме того, можно предоставить пользователям в лесу А отдельные разрешения на удаленный вход в систему сервера с помощью компонента «Службы терминалов» Windows Server 2003.

В классическом случае администрирования между лесами сервер Exchange установлен как в лесу А, так и в лесу Б. Если необходимо, чтобы пользователь в лесу А, который будет администрировать Exchange в лесу Б, не являлся администратором в лесу А, необходимо переименовать, переместить в другое подразделение либо в другой домен следующее подразделение и группы в лесу А:

• Группы безопасности Microsoft Exchange
  
  
• роль администратора организации Exchange.
  
  
• Администраторы получателей Exchange
  
  
• Администраторы просмотра Exchange
  
  

После переименования или перемещения этих групп они сохранят членство и разрешения, а серверы Exchange в лесу А можно будет администрировать с помощью учетных записей, входящих в эти группы.

Если, как в классическом случае, сервер Exchange установлен как в лесу А, так и в лесу Б, и требуется, чтобы пользователь в лесу А администрировал Exchange в обоих лесах, перейдите к действию 7.

В случае использования леса ресурсов перейдите к действию 2.

В корневом домене леса А создайте новое подразделение с именем Группы безопасности Microsoft Exchange. Дополнительные сведения о создании подразделений см. в статье Создание подразделения (на английском языке).

В подразделении Группы безопасности Microsoft Exchange в лесу А создайте следующие универсальные группы безопасности:

• роль администратора организации Exchange.
  
  
• Администраторы получателей Exchange
  
  
• Администраторы просмотра Exchange
  
  

Дополнительные сведения см. в статье Создание группы (на английском языке).

Примечание.
Убедитесь в том, что для области действия группы выбрано значение Универсальная, а для типа группы — значение Безопасность.

В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы получателей Exchange.

1. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов получателей Exchange нажмите кнопку ОК.
   
   

В лесу А выполните перечисленные ниже действия, чтобы добавить группу Администраторы получателей Exchange в группу Администраторы Exchange с правами на просмотр.

1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.
   
   
2. На вкладке Члены нажмите кнопку Добавить.
   
   
3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы получателей Exchange и нажмите кнопку ОК.
   
   
4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.
   
   

В оснастке «Пользователи и компьютеры Active Directory» в лесу А в меню Вид выберите пункт Дополнительные параметры и выполните перечисленные ниже действия.

1. Щелкните правой кнопкой мыши подразделение Группы безопасности Microsoft Exchange и выберите пункт Свойства.
   
   
2. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.
   
   
3. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.
   
   
4. Щелкните правой кнопкой мыши группу Администраторы организации Exchange и выберите пункт Свойства.
   
   
5. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.
   
   
6. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.
   
   
7. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.
   
   
8. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.
   
   
9. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.
   
   
10. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.
    
    
11. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.
    
    
12. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.
    
    

Войдите в лес Б с учетной записью, которая является членом группы администраторов предприятия в лесу Б, и выполните в окне командной строки следующую команду:

	Копировать код
Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

Эта команда проверит, что в лесу А созданы универсальные группы безопасности Exchange, а разрешения назначены правильно. В лесу Б команда настроит элементы управления доступом в Active Directory для объектов конфигурации Exchange таким образом, чтобы созданные в лесу А универсальные группы безопасности Exchange получили права на настройку Exchange в лесу Б. Если команда Setup /PrepareAD выполняется без использования параметра ForeignForestFQDN, создаются универсальные группы безопасности Exchange в локальном лесу и для этих групп устанавливаются разрешения. Параметр ForeignForestFQDN используется для указания того, что универсальным группам безопасности Exchange во внешнем лесу необходимо предоставить разрешение на настройку Exchange в том лесу, в котором выполняется команда.

Чтобы проверить, что программа установки успешно завершила работу, выполните перечисленные ниже действия.

1. В лесу Б щелкните правой кнопкой мыши универсальную группу безопасности Серверы Exchange Server и выберите пункт Свойства.
   
   
2. На вкладке Безопасность в списке Группы или пользователи выберите пункт Администраторы организации Exchange (<домен леса А\Администраторы организации Exchange>).
   
   
3. Убедитесь в том, что для разрешения Полный доступ установлено значение Разрешить.
   
   

Примечание.
Если программе установки не удается выполнить задачу из-за недостаточных прав доступа, убедитесь в том, что в лесу А правильно созданы универсальные группы безопасности, что эти группы правильно вложены, а группа администраторов организации Exchange имеет полный доступ к новому подразделению и всем трем новым универсальным группам безопасности, а затем выполните действие 7 еще раз.

Чтобы администрировать Exchange в лесу Б с помощью учетной записи леса А, добавьте учетную запись в лесу А в одну или несколько универсальных групп безопасности Exchange, созданных в лесу А.

Измените доверие между лесами с двусторонего на одностороннее (необязательно). Для этого удалите существующее двустороннее входящее доверие с лесом А. Дополнительные сведения см. в статье Удаление созданного вручную доверия (на английском языке).

Примечание.
Установите флажок Да, удалить отношение доверия в локальном и другом доменах..

Примечание.
Необходимо сохранить исходящее доверие.

В оснастке «Пользователи и компьютеры Active Directory» для леса Б в меню Вид выберите пункт Дополнительные параметры.

Если необходимо, чтобы администраторы получателей в лесу А администрировали пользователей в лесу Б, необходимо вручную назначить им разрешения (необязательно). Выполните перечисленные ниже действия.

1. В оснастке «Пользователи и компьютеры Active Directory» в лесу Б щелкните правой кнопкой мыши контейнер Пользователи и выберите пункт Свойства. 
   
   
2. На вкладке Безопасность нажмите кнопку Дополнительно.
   
   
3. В списке записей разрешений выберите запись, параметр Тип которой имеет значение Разрешить, Имя — «Администраторы получателей Exchange» (<Домен леса А\Администраторы получателей Exchange>), а Разрешение — Особые, и нажмите кнопку Изменить.
   
   
4. На странице Элемент разрешения для пользователей на вкладке Объекты в разделе Разрешения установите флажок Разрешить для следующих разрешений: Список содержимого, Чтение всех свойств, Запись всех свойств, Чтение разрешений, Создание объектов пользователей, Удаление объектов пользователей.
   
   
5. Нажмите кнопку ОК.
   
   
6. На странице Дополнительные параметры безопасности для пользователей установите флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам и нажмите кнопку ОК.
   
   

Примечание.

Это действие предоставляет членам группы администраторов получателей Exchange в лесу А разрешения, необходимые для изменения объектов в контейнере Пользователь в лесу Б. При выполнении команды Setup /ForeignForestFQDN в лесу Б (действие 7) пользователям групп безопасности Exchange в лесу А было предоставлено разрешение на свойства Exchange в лесу Б, но не на свойства пользователей Windows в лесу Б. Чтобы предоставить другим группам в лесу А разрешения на изменение объектов в контейнере Пользователь в лесу Б, выберите на странице Дополнительно параметры безопасности для пользователей другую группу.

Если требуется, чтобы администраторы в лесу А имели разрешение на использование консоли управления Exchange и командной консоли Exchange на сервере Exchange в лесу Б, необходимо вручную предоставить пользователю разрешения на доступ к каталогам Bin, Public и Scripts в каталоге сервера Exchange (необязательно). Выполните перечисленные ниже действия.

1. Перейдите в каталог сервера Exchange, в котором установлен Exchange. (По умолчанию используется каталог %programfiles%\Microsoft\Exchange Server.)
   
   
2. Щелкните правой кнопкой мыши каталог Bin и выберите пункт Свойства.
   
   
3. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
4. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
   
   
5. Щелкните правой кнопкой мыши каталог Общее и выберите пункт Свойства.
   
   
6. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
7. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
   
   
8. Щелкните правой кнопкой мыши каталог Scripts и выберите пункт Свойства.
   
   
9. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.
   
   
10. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.
    
    

Примечание.

Для администрирования сервера Exchange в лесу Б пользователи в лесу А должны также иметь возможность входить в систему сервера в лесу Б, на котором установлен сервер Exchange или средства управления Exchange. Если пользователи в лесу А добавлены в группу администраторов домена или в локальную группу администраторов на сервере в лесу Б и могут входить в систему сервера в лесу Б, эти пользователи уже имеют разрешение Чтение и выполнение для каталогов Bin, Public и Scripts. Кроме того, можно предоставить пользователям в лесу А отдельные разрешения на удаленный вход в систему сервера с помощью компонента «Службы терминалов» Windows Server 2003.