В данном разделе описывается принцип работы разрешения «Отправить как» в Microsoft Exchange Server 2007.
Разрешение «Отправить как» позволяет пользователю (пользователь А) отправить сообщение в качестве владельца почтового ящика (пользователь Б). В этом случае сообщение отправляет пользователь А, но оно выглядит так, как если бы пришло от пользователя Б, и отправляется из почтового ящика пользователя Б. Этот режим работы отличается от режима, в котором пользователь (пользователь В) имеет обычное разрешение на делегированный доступ. В этом случае пользователю В назначается разрешение «Отправить от имени» для отправки сообщений от лица владельца почтового ящика. Когда пользователь В отправляет сообщение от имени владельца почтового ящика, в поле От сообщения содержатся следующие сведения:
<имя_делегата> от имени <имя_владельца_почтового_ящика> |
В предыдущих версиях сервера Exchange предоставление какому-либо пользователю разрешения на полный доступ к почтовому ящику также давало данному пользователю разрешение на отправку сообщений в качестве владельца почтового ящика. Таким образом, пользователь, имеющий разрешение на полный доступ к почтовому ящику, мог отправлять сообщения электронной почты, которые выглядели так, как если бы их отправил владелец почтового ящика.
В Exchange 2007 пользователи, имеющие разрешение на полный доступ к почтовому ящику, не имеют разрешения «Отправить как». Вместо этого им предоставляется разрешение «Отправить от имени» для отправки сообщений от лица владельца почтового ящика. Теперь для отправки сообщений электронной почты в качестве владельца почтового ящика пользователю должно быть явным образом предоставлено разрешение «Отправить как». В приведенном ниже списке содержатся три исключения из данного правила.
- Владелец почтового ящика
Владельцу почтового ящика не требуется разрешение «Отправить как» для собственного почтового ящика.
- Сопоставленная внешняя учетная запись
Для отправки сообщений в качестве владельца почтового ящика сопоставленной внешней учетной записи для почтового ящика разрешение «Отправить как» не требуется.
- Делегированная учетная запись, обладающая разрешением на полный
доступ к почтовому ящику
Если делегированная учетная запись также обладает разрешением на полный доступ к почтовому ящику, пользователь-делегат может отправлять сообщения в качестве владельца почтового ящика, не имея разрешения «Отправить как». По умолчанию разрешения на полный доступ к почтовому ящику делегированным учетным записям не предоставляются.
Чтобы другие пользователи, имеющие разрешение на полный или частичный доступ к почтовому ящику, могли отправлять сообщения в качестве владельца почтового ящика, им должно быть явным образом назначено разрешение «Отправить как» для учетной записи владельца почтового ящика. Это правило относится и к учетным записям службы приложений, которые осуществляют отправку сообщений электронной почты для пользователей мобильных устройств.
Примечание. |
---|
Если владелец почтового ящика, сопоставленная внешняя учетная запись или делегированная учетная запись имеет разрешение на полный доступ к почтовому ящику, все они могут отправлять сообщения в качестве владельца почтового ящика, не имея явным образом назначенного разрешения «Отправить как». По умолчанию владелец почтового ящика и сопоставленная внешняя учетная запись имеют разрешение на полный доступ к почтовому ящику, а делегированные учетные записи такого разрешения не имеют. |
Разрешение «Отправить как» должно быть предоставлено учетной записи службы для каждого объекта пользователя, владеющего почтовым ящиком. Нельзя предоставить разрешение «Отправить как» для сервера Exchange или объекта базы данных, чтобы предоставить разрешение «Отправить как» для всех почтовых ящиков, размещенных на сервере или в базе данных.
Это связано с тем, что разрешение «Отправить как» является разрешением службы каталогов Active Directory и применяется только для тех объектов Active Directory, для которых оно установлено. При назначении разрешения «Отправить как» для объекта базы данных Exchange это разрешение предоставляется непосредственно базе данных, а не пользователям, почтовые ящики которых размещены в ней.
Примечание. |
---|
Предоставление разрешения «Получить как» для базы данных Exchange является функциональным эквивалентом предоставления разрешения на полный доступ для всех почтовых ящиков в базе данных. В этом заключается отличие от предоставления разрешения «Отправить как». Оно применяется только к самому объекту базы данных, но не к почтовым ящикам в базе данных. Разрешение «Получить как» наследуется всеми почтовыми ящиками в базе данных. |
Чтобы лучше понять разницу между разрешением «Получить как» и разрешением «Отправить как», можно представить все почтовые ящики в базе данных в качестве подпапок в единой папке почтового ящика (папка «База данных»). При наличии прав на полный доступ к базе данных наследуются разрешения на доступ ко всему ее содержимому, включая все почтовые ящики.
Однако разрешение «Отправить как» применяется к идентификатору объекта пользователя Active Directory, а не к содержимому почтовых ящиков в базе данных. Сообщения электронной почты отправляются не из конкретного почтового ящика или базы данных, а от конкретного пользователя. В качестве данного пользователя может выступать владелец почтового ящика или любая другая учетная запись, для которой назначено разрешение «Отправить как».
Разрешения на доступ к папкам и почтовым ящикам Exchange делятся на разрешения Active Directory и разрешения базы данных Exchange. Различные типы разрешений хранятся в двух отдельных местоположениях.
Разрешение «Внешняя учетная запись» представляет собой способ присвоения значения атрибуту Active Directory msExchMasterAccountSID. Атрибут msExchMasterAccountSID не является разрешением, но управляет работой других разрешений.
Примечание. |
---|
Атрибут Active Directory msExchMailboxSecurityDescriptor — это резервная копия подмножества действующих прав почтовых ящиков. Этот атрибут предназначен для внутреннего использования в Exchange в различных целях. Кроме того, если администраторы назначают права с помощью поддерживаемых интерфейсов, атрибут msExchMailboxSecurityDescriptor обновляется для соответствия текущему набору действующих прав. |
Разрешение на полный доступ к почтовому ящику — это разрешение хранилища базы данных Exchange. Разрешение «Отправить как» является разрешением Active Directory. В предыдущих версиях сервера Exchange перед внесением изменений в файл Exchange Store.exe сервер Exchange не выполнял проверку параметров разрешения «Отправить как» в том случае, если отправитель имел разрешение на полный доступ к почтовому ящику.
Примечание. |
---|
Можно предоставить разрешение «Отправить как», не предоставляя разрешение на полный доступ к почтовому ящику. |
Разрешение «Отправить как» в совокупности с разрешением на полный доступ к почтовому ящику является для администраторов Exchange эффективным инструментом предоставления разрешений «Отправить как» для любого почтового ящика на сервере, так как теперь администраторам Exchange действительно предоставлен полный контроль над базой данных Exchange. Используя разрешение «Отправить как» и разрешение на полный доступ к почтовому ящику по отдельности, администраторы Active Directory могут запретить администраторам Exchange назначать разрешение «Отправить как» для учетных записей, поскольку разрешение «Отправить как» является разрешением Active Directory, а не разрешением хранилища Exchange.
Дополнительные сведения
Дополнительные сведения о предоставлении разрешения «Отправить как» для почтового ящика на сервере Exchange 2007 см. в разделе Инструкции по предоставлению разрешений «Отправить как» для почтового ящика.
Дополнительные сведения о предоставлении доступа к почтовому ящику на сервере Exchange 2007 см. в разделе Разрешение доступа к почтовому ящику.
Дополнительные сведения о разрешениях, необходимых для работы с почтовыми ящиками, см. в разделе Разрешения на доступ к почтовому ящику.