Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-03-19
Frühere Versionen von Microsoft Exchange Server waren nicht in größerem Umfang von Eigenschaftenmengen zum Anwenden von Berechtigungen in der Domänenpartition abhängig. In typischen Bereitstellungen stellte dies kein Problem dar, es wurde jedoch zu einem Problem für verteilte Umgebungen, in denen alle Aufgaben delegiert wurden. Administratoren in diesen Umgebungen mussten für eine Vielzahl von Attributen für E-Mail-Empfänger Berechtigungen zuweisen, damit die entsprechenden Aufgaben in einem Zugriffsmodell mit nur den notwendigen Berechtigungen delegiert werden konnten. Abhängig von der Version der Active Directory-Verzeichnisdienstserver kann dies zu ernsthaften ACL-Überlastungen (Access Control List, Zugriffssteuerungsliste) führen und die Datei Ntds.dit erheblich vergrößern.
Exchange Server 2007 verbessert die Verwaltungsdelegierung, indem Eigenschaftenmengen für die meisten E-Mail-Empfängerattribute verwendet werden.
Was sind Eigenschaftenmengen?
Eine Eigenschaftenmenge ist eine Gruppe von Active Directory-Attributen. Der Zugriff auf diese Gruppierung von Active Directory-Attributen kann durch das Festlegen eines gemeinsamen Zugriffssteuerungseintrags (Access Control Entry, ACE) gesteuert werden, anstatt für jede Eigenschaft einen eigenen ACE festzulegen. Ein Attribut kann außerdem nur Element einer einzigen Eigenschaftenmenge sein.
Die Eigenschaftenmenge Personal-Information enthält z. B. Eigenschaften wie etwa die Anschrift und die Telefonnummer. Beide Angaben sind Eigenschaften von Benutzerobjekten.
Eigenschaftenmengen in Exchange Server 2003
In Exchange Server 2003 fügte der Exchange-Schemaerweiterungsvorgang den integrierten Active Directory-Eigenschaftenmengen, persönlichen und öffentlichen Informationen zahlreiche auf Exchange bezogene E-Mail-Empfängerattribute hinzu. Den domänenlokalen Exchange Enterprise Server-Sicherheitsgruppen wurde der Zugriff auf diese Eigenschaftenmengen auf den Domänenpartitionen während der Domänenvorbereitungsphase erteilt, damit der Empfängeraktualisierungsdienst Objekte aktualisieren konnte. Die folgenden Tabelle listet die Attribute in den Eigenschaftenmengen zu den persönlichen und den öffentlichen Informationen auf.
Öffentliche Informationen: Eigenschaftenmenge
allowedAttributes
allowedAttributesEffective
allowedChildClasses
allowedChildClassesEffective
altRecipient
altRecipientBL
altSecurityIdentities
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
cn
co
company
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
department
Beschreibung
directReports
displayNamePrintable
distinguishedName
division
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
givenName
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
initials
internetEncoding
kMServer
language
languageCode
legacyExchangeDN
mail
mailNickname
manager
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msDS-AllowedToDelegateTo
msDS-Approx-Immed-Subordinates
msDS-Auxiliary-Classes
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchExpansionServerName
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxSecurityDescriptor
msExchMailboxUrl
msExchMasterAccountSid
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchQueryBaseDN
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceGUID
msExchResourceProperties
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchVoiceMailboxID
name
notes
o
objectCategory
objectClass
objectGUID
oOFReplyToOriginator
otherMailbox
ou
pOPCharacterSet
pOPContentFormat
protocolSettings
proxyAddresses
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
servicePrincipalName
showInAddressBook
sn
submissionContLength
supportedAlgorithms
systemFlags
targetAddress
telephoneAssistant
textEncodedORAddress
title
unauthOrig
unauthOrigBL
unmergedAtts
userPrincipalName
Persönliche Informationen: Eigenschaftenmenge
assistant
c
facsimileTelephoneNumber
homePhone
homePostalAddress
info
internationalISDNNumber
ipPhone
l
mobile
mSMQDigests
mSMQSignCertificates
otherFacsimileTelephoneNumber
otherHomePhone
otherIpPhone
otherMobile
otherPager
otherTelephone
pager
personalTitle
physicalDeliveryOfficeName
postalAddress
postalCode
postOfficeBox
preferredDeliveryMethod
primaryInternationalISDNNumber
primaryTelexNumber
publicDelegates
registeredAddress
st
street
streetAddress
telephoneNumber
teletexTerminalIdentifier
telexNumber
thumbnailPhoto
userCert
userCertificate
userSharedFolder
userSharedFolderOther
userSMIMECertificate
x121Address
Hinsichtlich der Delegierung von Berechtigungen für die Verwaltung von E-Mail-Empfängern haben viele Active Directory-Administratoren jedoch keine Berechtigungen für Exchange-Administratoren mithilfe dieser Eigenschaftenmengen zugewiesen, weil sie den Zugriff auf zahlreiche zusätzliche nicht auf Exchange bezogene Attribute ermöglichten.
Eigenschaftenmengen in Exchange Server 2007
Exchange 2007 nutzt Eigenschaftenmengen, indem zwei neue Eigenschaftenmengen exklusiv für Exchange Server erstellt wurden, anstatt bereits vorhandene Active Directory-Eigenschaftenmengen zu verwenden. Die folgenden Verbesserungen wurden in Exchange 2007 vorgenommen:
Die Active Directory-Standardeigenschaftenmengen werden nicht mehr verwendet. Die Exchange-spezifischen Eigenschaftenmengen berücksichtigen die Ungewissheit potenzieller Änderungen in zukünftigen Versionen der Active Directory-Eigenschaftenmengen.
Attribute, die von der Exchange-Schemaerweiterung erstellt werden, sind die einzigen Elemente der Exchange-spezifischen Eigenschaftenmengen.
Exchange-spezifische Eigenschaftenmengen ermöglichen das Erstellen und die Bereitstellung eines delegierten Sicherheitsberechtigungsmodells, das für die Verwaltung von Exchange-E-Mail-Empfängerdaten spezifisch ist.
Während der Schemaerweiterungsphase führt Exchange 2007 mehrere Aktionen aus. Hierzu gehört Folgendes:
Das Schema wird durch neue Klassen und Attribute erweitert.
Die Eigenschaftenmengen zu Exchange-Informationen und persönlichen Exchange-Informationen werden erstellt.
Die entsprechenden Attribute werden den Eigenschaftenmengen zu Exchange-Informationen und persönlichen Exchange-Informationen hinzugefügt.
Exchange 2003-Attribute, die zuvor den Eigenschaftenmengen zu den persönlichen oder öffentlichen Informationen hinzugefügt wurden, werden entsprechend in die Exchange-spezifischen Eigenschaftenmengen verschoben.
Da Attribute zwischen Eigenschaftenmengen verschoben werden, müssen Sie die Exchange 2003-Empfängerberechtigungsstruktur aktualisieren, wenn Sie Exchange 2007 in einer Legacyumgebung implementieren. Dies geschieht durch Ausführe des Befehls setup /PrepareLegacyExchangePermissions oder des Befehls setup /PrepareSchema. Weitere Informationen zur Funktionsweise des Befehls setup /PrepareLegacyExchangePermissions finden Sie unter Vorbereiten von Exchange-Legacyberechtigungen.
Die Eigenschaftenmenge zu den Exchange-Informationen enthält die Attribute, die in der folgenden Tabelle aufgeführt werden. Außerdem besitzen authentifizierte Benutzer Lesezugriff auf diese Eigenschaftenmenge, damit sie bestimmte Informationen zu E-Mail-Empfängern z. B. mithilfe des Adressbuchs in Microsoft Office Outlook nachschlagen können.
Exchange-Informationen: Eigenschaftenmenge
altRecipient
altRecipientBL
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
internetEncoding
kMServer
language
languageCode
mailNickname
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchELCExpirySuspensionEnd
msExchELCExpirySuspensionStart
msExchELCMailboxFlags
msExchExpansionServerName
msExchExternalOOFOptions
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxOABVirtualDirectoriesLink
msExchMailboxSecurityDescriptor
msExchMailboxTemplateLink
msExchMailboxUrl
msExchMasterAccountHistory
msExchMasterAccountSid
msExchMaxBlockedSenders
msExchMaxSafeSenders
msExchMDBRulesQuota
msExchMessageHygieneSCLJunkThreshold
msExchMobileAllowedDeviceIDs
msExchMobileDebugLogging
msExchMobileMailboxFlags
msExchMobileMailboxPolicyLink
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchPurportedSearchUI
msExchQueryBaseDN
msExchQueryFilterMetadata
msExchRecipientDisplayType
msExchRecipientTypeDetails
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceCapacity
msExchResourceDisplay
msExchResourceGUID
msExchResourceMetaData
msExchResourceProperties
msExchResourceSearchProperties
msExchServerAdminDelegationBL
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUMAudioCodec
msExchUMDtmfMap
msExchUMEnabledFlags
msExchUMFaxId
msExchUMListInDirectorySearch
msExchUMMaxGreetingDuration
msExchUMOperatorNumber
msExchUMPinPolicyAccountLockoutFailures
msExchUMPinPolicyDisallowCommonPatterns
msExchUMPinPolicyExpiryDays
msExchUMPinPolicyMinPasswordLength
msExchUMRecipientDialPlanLink
msExchUMServerWritableFlags
msExchUMSpokenName
msExchUMTemplateLink
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchUserCulture
msExchVersion
msExchVoiceMailboxID
oOFReplyToOriginator
pOPCharacterSet
pOPContentFormat
protocolSettings
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
submissionContLength
supportedAlgorithms
targetAddress
telephoneAssistant
unauthOrig
unauthOrigBL
unmergedAtts
Die Eigenschaftenmenge zu den persönlichen Exchange-Informationen enthält die Attribute, die in der folgenden Tabelle aufgeführt werden. Damit sichergestellt ist, dass gewöhnliche Benutzer die in diesen Attributen gespeicherten Daten nicht abrufen können, werden die Attribute in einer separaten Eigenschaftenmenge gespeichert, auf die authentifizierte Benutzer keinen Lesezugriff erhalten.