Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-02-02

В этом разделе описываются разрешения, необходимые для настройки организации Microsoft Exchange Server 2010. Универсальные группы безопасности (USG), связанные с группами ролей управления, а также другие группы и участники безопасности Windows добавляются в списки управления доступом (ACL) различных объектов Служба каталогов Active Directory. С помощью списков управления доступом контролируются типы операций, которые можно выполнить над каждым объектом. Имея представление, какие разрешения предоставляются каждой группе ролей, группе или участнику безопасности, можно определить, какие минимальные разрешения необходимы для установки Exchange 2010.

В некоторых случаях список управления доступом применяется не к обычному свойству, ntSecurityDescriptor, а к другому свойству, например msExchMailboxSecurityDescriptor. Служба каталогов не может принудительно применить меры безопасности, не указанные в дескрипторе безопасности Windows. В большинстве случаев эти списки управления доступом реплицируются для сохранения списков управления доступом для соответствующих объектов с помощью службы хранилища. К сожалению, не существует средства просмотра этих списков управления доступом в виде, отличном от неформатированных двоичных данных.

Столбцы каждой таблицы разрешений содержат указанные ниже данные.

Обычно разрешения перечислены в таблице по именам, используемым в редакторе ADSI (Служба каталогов Active Directory Service Interfaces) (AdsiEdit.msc) на странице свойств Безопасность в режиме просмотра Расширенный на вкладке Показать/Изменить. На странице свойств Безопасность редактора ADSI разрешения приведены в более сжатом виде. Средство LDP (Ldp.exe) выводит маску доступа напрямую в виде численного значения. Код программы установки ссылается на разрешения по предопределенным константам.

В приведенной ниже таблице показаны соотношения между этими значениями.

Сводная страница редактора ADSI Расширенный вид редактора ADSI, вкладка «Показать/Изменить» Записи списка управления доступом, примененные к данному объекту Двоичное значение (маска доступа в LDP)

Полный доступ

Полный доступ

WRITE_OWNER | WRITE_DAC | READ_CONTROL | DELETE | ACTRL_DS_CONTROL_ACCESS | ACTRL_DS_LIST_OBJECT | ACTRL_DS_DELETE_TREE | ACTRL_DS_WRITE_PROP | ACTRL_DS_READ_PROP | ACTRL_DS_SELF | ACTRL_DS_LIST | ACTRL_DS_DELETE_CHILD | ACTRL_DS_CREATE_CHILD

0x000F01FF

Чтение

Вывод списка содержимого + Чтение всех свойств + Чтение разрешений

ACTRL_DS_LIST | ACTRL_DS_READ_PROP | READ_CONTROL

0x00020014

Запись

Запись всех свойств + Все проверенные операции записи

ACTRL_DS_WRITE_PROP | ACTRL_DS_SELF

0x00000028

 

Вывод списка содержимого

ACTRL_DS_LIST

0x00000004

 

Чтение всех свойств

ACTRL_DS_READ_PROP

0x00000010

 

Запись всех свойств

ACTRL_DS_WRITE_PROP

0x00000020

 

Удаление

DELETE

0x00010000

 

Удаление поддерева

ACTRL_DS_DELETE_TREE

0x00000040

 

Чтение разрешений

READ_CONTROL

0x00020000

 

Изменение разрешений

WRITE_DAC

0x00040000

 

Изменение владельца

WRITE_OWNER

0x00080000

 

Все проверенные операции записи

ACTRL_DS_SELF

0x00000008

 

Все расширенные права

ACTRL_DS_CONTROL_ACCESS

0x00000100

Создание всех дочерних объектов

Создание всех дочерних объектов

ACTRL_DS_CREATE_CHILD

0x00000001

Удаление всех дочерних объектов

Удаление всех дочерних объектов

ACTRL_DS_DELETE_CHILD

0x00000002

 

 

ACTRL_DS_LIST_OBJECT

0x00000080

Расширенные права — это настраиваемые права, заданные отдельными приложениями. Эти права указаны в списке управления доступом. Однако они не имеют смысла для Служба каталогов Active Directory. Определенное приложение принудительно применяет все расширенные права. Примерами расширенных прав Exchange являются «Создание общей папки» и «Создание именованных свойств в банке данных».

Примечание.
Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2003, см. на веб-странице Работа с разрешениями Active Directory в Exchange Server 2003 (содержимое страницы может отображаться на английском языке). Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2007, см. на веб-странице Справка по разрешениям настройки сервера Exchange 2007 (содержимое страницы может отображаться на английском языке).

Подготовка разрешений для прежних версий Exchange

Подготовка разрешений Active Directory

Подготовка домена

Установка роли сервера

Создание соединителя отправки SMTP