* = 仅限于本地管理组

AG = 管理组级别

ORG = 组织级别

有关这些角色许可权限的详细信息，请参阅附录 B。

Active Directory 连接器

要在 Microsoft Windows® 2000 Active Directory 目录林中安装第一个 Active Directory™ 连接器 (ADC)，需要什么权限？

要安装第一个 Active Directory 连接器 (ADC)，需要更新 Active Directory 服务架构，还需将二进制文 件复制到本地计算机。因此，您需以具有下列 Active Directory 权限的用户身份登录：

• Schema Admins
• Enterprise Admins
• 目标计算机上本地 administrators 组的成员

另一可选方案是：Schema Admins 组中的管理员可在 ADC 安装程序中使用 /SchemaOnly 开关，以 便对 Active Directory 进行添加操作。此方案中，实际安装 ADC 服务的人员不必是 Schema Admins 组的成 员。此方法的优点在于，如果公司具有非常严格的架构控制，这些人即可进行所需的架构调整，并且 ADC/Exchange 管理员可独立执行其作业。

要在 Active Directory 目录林中继续安装其它 Active Directory 连接器，需要什么权限？

因为架构已更新，所以接着安装其它 ADC 时需要下列 Active Directory 权限：

• Enterprise Admins
• 目标计算机上本地 Administrators 组的成员

安装 Active Directory 连接器时，需要输入服务帐户。为什么 Exchange 2000 服务以 LocalSystem 启 动时，需要该服务帐户？该服务帐户将需要什么权限？

ADC 需要服务帐户是因为 ADC 技术的子集随附于 Windows 2000 操作系统。Exchange 2000 中的功能可为 安装服务器准备 Active Directory 目录林和域（通过使用 ForestPrep 和 DomainPrep）。其中部分准备包括 将 LocalSystem 服务的权限设置为 Active Directory。因为可在不安装 Exchange 2000 的情况下使用 ADC， 所以要获得同样功能，就需使用单独的服务帐户。

ADC 服务帐户要求下列权限：

• 内置 Administrators 组成员
• 如果 ADC 在未安装 Exchange 2000 的 Windows 2000 环境中使用，则需为 Enterprise Admins 组的成员
• 如果 ADC 在同时安装有 Exchange 2000 和 Windows 2000 的环境中使用，则需 为 Enterprise Admins 组的成员或拥有 Exchange 完全控制管理员的角色

在 Active Directory 连接器中创建连接协议时，需要指定访问 Active Directory 和 Exchange 5.5 目 录服务的凭据。该帐户需要什么权限？

所需权限为：

Exchange 5.5

• Exchange 5.5 站点命名上下文的管理员角色
• Exchange 5.5 组织命名上下文的管理员角色

Active Directory

• 本地域的 Domain Admins
• Exchange 2000 组织的 Exchange 只查看管理员角色

Exchange 2000

安装 Exchange 2000 时若要运行 /ForestPrep 开关，需要什么权限？

ForestPrep 将更新 Active Directory 架构并创建 Exchange 组织对象。此外，您将有机会指定第一个 Exchange 2000 管理员（此管理员可以是用户或组对象）。要登录到 Active Directory，您需是具有下列权限 的用户：

• Schema Admins
• Enterprise Admins

ForestPrep 必须在包含 Active Directory 主架构的域中运行。该域默认为目录林中的根域。

如果在 ForestPrep 过程中选择加入现有的 Exchange 5.5 组织，需要具有 Exchange 5.5 组织的什么权 限？

您将需要下列权限：

• Exchange 5.5 站点命名上下文的管理员角色（对于要加入的站点）
• Exchange 5.5 配置命名上下文的管理员角色（对于要加入的站点）

此外，您还需知道指定服务器相关站点的服务帐户名和口令。如果 Exchange 5.5 服务帐户在 Microsoft Windows NT® 4.0 域中，则需创建从目录林根域至包含 Exchange 5.5 服务帐户域的单向信任。

安装 Exchange 2000 时若要运行 / DomainPrep 开关，需要什么权限？

DomainPrep 将创建 Exchange Domain Servers 全局组和 Exchange Enterprise Serverss 本地组，并播种 （配置）权限，以使 Exchange 服务器能访问 Active Directory。要运行 DomainPrep，您必须以具有下列权 限的用户身份登录：

• 本地域的 Domain Admins

Exchange Domain Servers 组和 Exchange Enterprise Serverss 组执行什么功能？

这两个组都是通过 DomainPrep 创建的。它们驻留在域中的“用户”容器中，不得移动或重命名。每次在计 算机上安装 Exchange 2000 时，计算机帐户都会添加到本地 Exchange Domain Servers 全局安全组中。接着 ，该组又是每个域中 Exchange Enterprise Serverss 本地安全组的成员。“收件人更新服务”负责确保目录 林中的所有 Exchange 组嵌套都是完整的。Exchange Enterprise Serverss 组被给予了 Active Directory 中 域命名上下文的多种权限。通过这些继承权限，“收件人更新服务”即能修改域帐户上的 Exchange 特定属性 。

安装第一个 Exchange 2000 服务器需要什么权限？

要安装第一个 Exchange 2000 服务器，您需要以具有下列权限的用户身份登录到 Active Directory：

• Exchange 完全控制管理员角色（在 ForestPrep 过程中定义）
• 目标计算机上的本地管理组成员

此外，如果要加入现有的 Exchange 5.5 站点，登录帐户必须具有下列权限，以访问 Exchange 5.5 目录， 并且 Exchange 的安装人员必须知道站点服务帐户名和口令：

• 站点命名上下文中的管理员角色
• 配置命名上下文中的管理员角色

如何向其他用户委派权限，以使他们能管理 Exchange 2000？

要向其他用户委派权限，请使用“Exchange 管理委派向导”。您的登录用户身份需要具有组织的 Exchange 完全控制管理员角色，以使用“Exchange 管理委派向导”。

要使用“Exchange 管理委派向导”，请启动“Exchange 系统管理器”，右击组织或管理组，然后单击 委派控制。

如果将 Exchange 2000 计算机帐户移至 Active Directory 中的另一不同部门，是否会影响我的 Exchange 权限和委派？

不会影响。“Exchange 管理委派向导”在 Active Directory 的配置命名上下文中分配权限，而不是在计 算机帐户驻留的域命名上下文中分配权限。

Exchange 完全控制管理员和 Exchange 管理员角色之间有什么不同？

Exchange 完全控制管理员能够操纵配置命名上下文中的任何 Exchange 对象。此外，完全控制管理员还有 权限修改“安全”选项卡上有关下列对象的设置：

• Exchange 数据库
• MAPI 和应用程序文件夹分层结构
• 地址列表

Exchange 管理员可操纵任何 Exchange 对象，但不能委派权限，或更改安全选项卡上有关上面所列 Exchange 对象的设置。

如果授予某个用户或组 Exchange 组织级别权限，这些权限是否会自动应用到所有管理组？

是的。与 Exchange Server 5.5 不同，Exchange 2000 的权限具有继承性。

要继续安装其它 Exchange 2000 服务器，需要什么权限？

要继续安装其它 Exchange 2000 服务器，您需要以具有下列权限的用户身份登录到 Active Directory：

• Exchange 完全控制管理员（在 ForestPrep 过程中定义）或组织级别的委派 Exchange 完全控制管理员
• 目标计算机上的本地管理组成员

在群集配置中安装 Exchange 2000 需要什么权限？

要安装服务器软件并创建“系统助理”资源，登录 Active Directory 的帐户应是群集服务帐户。该帐户需 要下列权限：

• Exchange 完全控制管理员（在 ForestPrep 过程中定义）或组织级别的委派 Exchange 完全控制管理员
• 两个节点上的本地 Administrators 组成员

将 Exchange 5.5 服务器升级到 Exchange 2000 需要什么权限？

Exchange 5.5 服务器必须安装于在 Active Directory 域中运行 Windows 2000 的计算机上。您需要以具 有下列权限的用户身份登录到 Active Directory：

Exchange 5.5

• Exchange 组织命名上下文的管理员角色
• Exchange 站点命名上下文的管理员角色
• Exchange 配置命名上下文的管理员角色

Active Directory

• Exchange 完全控制管理员（在 ForestPrep 过程中定义）或组织级别的委派 Exchange 完全控制管理员
• 目标计算机上的本地 Administrators 组成员

我有一个第三方消息传递应用程序，它需要对每个用户的邮箱具有完全访问权限。在 Exchange 5.5 中， 我们授予一个特殊帐户，即“服务帐户”Admin 权限，然后告诉应用程序使用该帐户。如何在 Exchange 2000 中获得类似功能？

Exchange 2000 的安全机制与 Exchange 5.5 的安全机制有很大不同。实际上，Exchange 2000 不使用站点 服务帐户，所有服务都以本地计算机帐户启动。

有多种不同方法可实现类似功能。最简单的一种方法是使特殊应用程序帐户成为任意域中 Exchange Domain Servers 组的成员。这样该帐户即拥有与 Exchange 2000 相同的权限。不过应注意：添加的这一帐户能对 Exchange 数据进行任何操作。获得相同结果的其它方法在 Microsoft 知识库文章 Q262054 中有所描述，“ XADM:How to Get Service Account Access to All Mailboxes in Exchange 2000.”

为什么在 Exchange 5.5 中有一个特殊服务帐户，而 Exchange 2000 服务能以 LocalSystem（内置计算机 帐户）启动？

Exchange 5.5 中的服务需要特殊登录帐户的原因是由于 Microsoft Windows NT 操作系统版本 4.0 的限制 。虽然 Windows NT 4.0 中的本地计算机帐户有令牌，但它们没有凭据；因此，一个计算机帐户无法对另一帐 户验证其有效性。Windows 2000 中使用 Kerberos 验证，计算机帐户同时具有令牌和凭据。

使用本地计算机帐户比使用管理员指定帐户更为安全，原因如下：

• 本地计算机口令是随机十六进制数，而非人可识读的字符串。
• 本地计算机口令可每隔 30 天自动更改。
• Exchange 5.5 服务帐户必须从锁定策略中排除，因为尝试强行登录会禁用该帐户 ，并关闭 Exchange 服务。

从 Active Directory 意外删除了 Exchange 2000 服务器的计算机帐户。虽然可重新创建该帐户，但 Exchange 2000 服务是否仍能正常运行？

如果只是重新添加计算机帐户，Exchange 服务将启动，虽然可能会遇到一些问题，如事件日志中的 DSAccess 错误。计算机帐户所拥有的 Active Directory 中的多种权限是在 Exchange 2000 安装过程中分配 的。因此，再次运行 Setup（安装）并选择重新安装选项，这样即会向新的计算机帐户授予正确权限。

您还应检查域中的本地 Exchange Domain Servers 组，以确保新的计算机帐户是组成员。“系统助理”在 启动时会尝试将计算机帐户添加到该组，不过，如果不成功，则需手动添加帐户。

Exchange 2000 管理

创建和删除邮箱需要什么权限？

首先，需要具有在 Active Directory 中创建用户对象的权限。例如，您可能是一个 Domain Admin，或已 具有对某个特定部门的委派访问权限。其次，需要下列 Exchange 权限：

• 目标 Exchange 2000 服务器所在的管理组的 Exchange 只查看管理员角色

此外，如果要管理公用文件夹对象，则应确保管理帐户（在“Exchange 系统管理器”中操纵对象时使用的 登录帐户）启用了邮件或邮箱。如果您的帐户未启用邮件或邮箱，MAPI 公用文件夹将不可访问。

要将邮箱从 Exchange 5.5 移至 Exchange 2000 中的同一站点或管理组，需要什么权限？

使用“Active Directory 用户和计算机”时，邮箱在两个服务器间传送，并使用当前凭据更新用户或邮箱 对象的 Home-MTA 和 Home-MDB 属性。

需要下列权限：

Exchange 5.5

• 站点命名上下文的 Admin

Active Directory

• 本地域的 Domain Admins 或 Account Operators 组成员
• 管理组的 Exchange 管理员角色

运行 Active Directory 帐户清理向导 (ADClean) 需要什么权限？

使用 ADClean 的管理员需要 Active Directory 中的下列权限：

源对象

• 部门或容器中的读取或删除权限

目标对象

• 部门或容器中的写入或修改权限

ADClean 几乎可修改目标对象的所有属性，因此建议运行该工具的管理员是目标域的 Domain Admins 组成 员。

配置路由组和连接器需要什么权限？

配置路由组和连接器时，不会直接影响用户帐户对象，因此只需下列权限：

• 目标路由组所在的管理组的 Exchange 管理员角色

  注 路由组连接器是单向的。要创建到本地管理组之外的路由组的双向路 由组连接器，还需具有远程管理组的 Admin 权限。

如果需要定义特定出站域的全局邮件格式，或指定全局邮件阈值，则需具有下列权限：

• Exchange 组织的 Exchange 管理员角色

如果还将管理 SMTP 服务，您的帐户则需是每个 Exchange 服务器上内置管理组的成员（用于配置数据库访 问）。

操纵邮件队列需要什么权限？

要在“Exchange 系统管理器”中查看邮件队列，需要下列权限：

• 连接器所在管理组的 Exchange 只查看管理员角色
• 目标计算机上的本地 Administrators 组成员

要从队列中删除邮件，需要下列权限：

• 连接器所在的管理组的 Exchange 管理员角色
• 目标计算机上的本地管理组成员

管理即时消息需要什么权限？

要创建和管理“即时消息”虚拟服务器，需要下列权限：

• 将创建“即时消息”服务器的管理组中的 Exchange 管理员角色

如果需要更改组织中“即时消息”的防火墙拓扑信息，还需此权限：

• Exchange 组织中的 Exchange 管理员角色

要启用某个用户参与“即时消息”，需要 Active Directory 域的域命名上下文中的权限。启用用户参与“ 即时消息”包括更改用户帐户的某些属性；因此您需要具有用户所在部门的权限。在大多数公司中，创建或删 除用户帐户和邮箱的管理员还将负责启用用户参与“即时消息”。

安装 Exchange 会议服务器需要什么权限？

要安装 Exchange 会议服务器，您需要以具有下列权限的用户身份登录到 Active Directory：

• Exchange 2000 组织级别的 Exchange 完全控制管理员角色

Exchange 管理员角色如何影响 Exchange 会议服务器管理？

就 Exchange 会议服务器管理而言，不同的管理员角色能执行不同的操作。例如：

管理组级别的 Exchange 完全控制管理员角色可进行下列操作：

• 安装或删除会议服务
• 停止和启动会议服务
• 创建或删除会议日程邮箱和资源邮箱
• 添加、删除或配置会议技术提供者
• 查看或修改会议设置

管理组级别的 Exchange 管理员角色可进行下列操作：

• 创建或删除会议日程邮箱和资源邮箱
• 添加、删除或配置会议技术提供者
• 查看或修改会议设置

该角色不能进行下列操作：

• 安装或删除会议服务
• 停止或启动会议服务（除非授予本地管理员权限）

管理组级别的 Exchange 只查看管理员角色可进行下列操作：

• 查看会议设置

该角色不能进行下列操作：

• 安装或删除会议服务
• 停止或启动会议服务（除非授予本地管理员权限）
• 创建或删除会议日程邮箱和资源邮箱
• 添加、删除或配置会议技术提供者
• 修改会议设置

创建新管理组需要什么权限？

要创建新管理组，您需要以具有下列权限的用户身份登录到 Active Directory：

• Exchange 组织的 Exchange 管理员角色

对于 Exchange Server 5.5 和 Windows NT 4.0，我有两个支持小组：一个支持 Exchange 目录，另一个 支持安全帐户管理器 (SAM)。虽然可以看到使用 Exchange 2000 和 Active Directory 进行统一管理所带来的 益处，但是否仍能将用户创建和邮箱创建角色分开？

您可使用“Exchange 管理委派向导”限制对 Exchange 属性的权限，从而获得此方案。要限制权限，请设 置委派用户或组对私有信息和公用信息属性集的读取/写入权限。您可使用“Active Directory 用户和计算机 ”管理控制台访问“Windows 2000 委派向导”。

附录 A

安装过程中授予的权限

Active Directory 连接器和 Exchange 2000 安装程序将对 Active Directory 中的权限进行许多修改。虽 然大多数管理员无需了解所做的低级别访问控制条目 (ACE) 修改，但该信息对于排除 Exchange 2000 和 Active Directory 错误非常有用。

对 Exchange 配置树中对象的权限

Microsoft Exchange 容器

已验证用户				ACTRL_DS_LIST | ACTRL_DS_READ_PROP
指定管理员帐户				DS_AM_FULL_CONTROL

Exchange Domain Servers

STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

Exchange 服务

DS_AM_FULL_CONTROL

ADC 连接协议容器

Exchange Domain Servers

DS_AM_FULL_CONTROL

组织容器

已验证用户				ACTRL_DS_LIST_OBJECT | ACTRL_DS_READ_PROP
指定管理帐户				Send-As
指定管理员帐户				Receive-As

“Enterprise Admins”				Send-As
“Enterprise Admins”				Receive-As
根域的“Domain Admins”				Send-As
根域的“Domain Admins”				Receive-As
Everyone				ms-Exch-Create-Top-Level-Public-Folder
Everyone				ms-Exch-Create-Public-Folder
Everyone				ms-Exch-Store-Create-Named-Properties
Everyone				STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT	应用于对象类： msExchPrivateMDB
Everyone				STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT	应用于对象类： msExchPublicMDB
Everyone				STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST | ACTRL_LIST_OBJECT	应用于对象类： mTA
Exchange Domain Servers				DS_AM_CONTROL_ACCESS （即所有扩展权限 ）
Exchange Domain Servers				ACTRL_DS_CREATE_CHILD
Exchange Domain Servers				ACTRL_DS_WRITE_PROP	公用信息 （属性集）
Exchange Domain Servers				ACTRL_DS_WRITE_PROP	个人信息（属性集）
Exchange Domain Servers				DS_AM_FULL_CONTROL	应用于对象类： siteAddressing

MACHINE$

ACTRL_DS_LIST_OBJECT | ACTRL_DS_CREATE_CHILD| ACTRL_DS_DELETE_CHILD

地址列表容器

已验证用户

ACTRL_DS_LIST

寻址容器

已验证用户

STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

收件人更新服务容器

Exchange Domain Servers

DS_AM_FULL_CONTROL

Admin 组

已验证用户

Ms-Exch-Create-Public-Folder

默认 TLH

已验证用户

Ms-Exch-Create-Public-Folder

CA 容器

MACHINE$				DS_AM_FULL_CONTROL
已验证用户				STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP

连接容器

Exchange Domain Servers

DS_AM_FULL_CONTROL

Server 对象

MACHINE$

DS_AM_FULL_CONTROL

Exchange Domain Servers

DS_AM_FULL_CONTROL

协议容器

Everyone

ACTRL_DS_LIST

Everyone

ms-Exch-Read-Metabase-Properties

System Attendant 对象

LocalSystem				READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner
Exchange Domain Servers				READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner
5.5 服务帐户 （如果给定）				READ_CONTROL | fsdspermUserSendAs | fsdspermUserMailboxOwner

MTA 对象

5.5 服务帐户 （如果给定）				Send-As
5.5 服务帐户 （如果给定）				Read-As

对配置树中其它对象的权限

已删除的项目容器

指定管理员帐户

STANDARD_RIGHTS_READ | ACTRL_DS_LIST | ACTRL_DS_READ_PROP | ACTRL_DS_LIST_OBJECT | WRITE_OWNER | WRITE_DAC

Exchange Domain Servers

ACTRL_DS_LIST

Active Directory Connector 对象

Exchange 服务

DS_AM_FULL_CONTROL

已验证用户

STANDARD_RIGHTS_READ | ACTRL_DS_READ_PROP | ACTRL_DS_LIST

MachineEnrollmentAgent 对象

MACHINE$

DS_AM_FULL_CONTROL

ExchangeUser 对象

MACHINE$				READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROP
MACHINE$				登记

ExchangeUserSignature 对象

MACHINE$				READ_CONTROL | ACTRL_DS_LIST | ACTRL_DS_READ_PROP
MACHINE$				登记

对域命名上下文中对象的权限

域容器

Exchange Enterprise Servers				ACTRL_DS_WRITE_PROP	公用信息 （属性集）
Exchange Enterprise Servers				ACTRL_DS_WRITE_PROP	个人信息 （属性集）
Exchange Enterprise Servers				ACTRL_DS_WRITE_PROP	groupType
Exchange Enterprise Servers				DS-Replication-Manage-Topology

域代理容器

Exchange Enterprise Servers				DS_AM_FULL_CONTROL
Exchange Domain Servers				DS_AM_FULL_CONTROL

Exchange Enterprise Servers 组

所有组织级别的 Exchange 完全控制管理员				DS_AM_FULL_CONTROL
Exchange Enterprise Servers				DS_AM_FULL_CONTROL

Exchange Domain Servers 组

所有组织级别的 Exchange 完全控制管理员				DS_AM_FULL_CONTROL
Exchange Enterprise Servers				DS_AM_FULL_CONTROL

附录 B

Exchange 2000 角色权限

“E xchange 2000 委派向导”提供了非常友好的界面来设置对 Active Directory 中 Exchange 对象的权 限。企业管理员可能希望了解“委派向导”对 Active Directory 所做更改的细节。下面详细说明各“委派向 导”的角色和权限。

Exchange 完全控制管理员

说明：选定用户和组可完全管理 Exchange 系统信息和修改权限。

组织权限

对 MsExchConfigurationContainer（此对象及子容器）的权限为 {完全控制}

对组织容器（此对象及子容器）的权限为 {拒绝“Receive-As”、“Send-As”}

对配置 NC（此对象及子容器）中“已删除对象”的权限为 {读取、更改权限}

Admin 组权限

对 MsExchConfigurationContainer（仅此对象）的权限为 {读取、列出对象、列出内容}

对组织容器（此对象及子容器）的权限为 {读取、列出对象、列出内容}

对管理组（此对象及子容器）的权限为 {完全控制、拒绝“Send-As”、“Receive-As”}

对连接容器（此对象及子容器）的权限为 {完全控制，“更改权限”除外}

对脱机地址列表容器（此对象及子容器）的权限为 {读取、列出对象、列出内容、写入属性}

Exchange 管理员

说明：选定用户和组可完全管理 Exchange 系统信息。

组织权限

对 MsExchConfigurationContainer（此对象及子容器）的权限为 {除“更改权限”外的其它所有权限}

对组织容器（此对象及子容器）的权限为 {拒绝“Receive-As”、“Send-As”}

管理组权限

对 MsExchConfigurationContainer（仅此对象）的权限为 {读取、列出对象、列出内容}

对组织容器（此对象及子容器）的权限为 {读取、列出对象、列出内容}

对管理组（此对象及子容器）的权限为 {除“更改权限”外的其它所有权限、拒绝“Send-As”、“ Receive-As”}

对连接容器（此对象及子容器）的权限为 {除“更改权限”外的其它所有权限}

对脱机地址列表容器（此对象及子容器）的权限为 {读取、列出对象、列出内容、写入属性}

Exchange 只查看管理员

说明：选定用户和组可查看 Exchange 配置信息。

组织权限

对 MsExchConfigurationContainer（此对象及子容器）的权限为 {读取、列出对象、列出内容}

对组织容器（此对象及子容器）的权限为 {查看信息存储状态}

Admin 组权限

对 MsExchConfigurationContainer（仅此对象）的权限为 {读取、列出对象、列出内容}

对组织容器（仅此对象）的权限为 {读取、列出对象、列出内容}

对管理组容器（仅此对象）的权限为 {读取、列出对象、列出内容}

对管理组容器（此对象及子容器）的权限为 {读取、列出对象、列出内容、查看信息存储状态}

对 MsExchRecipientsPolicyContainer、地址列表容器、寻址、全局设置、系统策略（此对象及子容器）的 权限为 {读取、列出对象、列出内容}