Como configurar administração entre florestas

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2010-09-20

Este tópico explica como usar Setup.com para habilitar a administração entre florestas. Você poderá usar este procedimento se tiver uma conta de usuário em uma floresta que precise administrar o Microsoft Exchange Server 2007 em uma floresta diferente. Use esse procedimento nos seguintes cenários:

  • A floresta de recursos é um cenário comum em que você tem uma floresta (a floresta da conta de usuário) que não contém nenhum servidor Exchange e uma floresta separada para a organização do Exchange.

  • O cenário clássico entre florestas com várias florestas do Exchange é um cenário em que você pode desejar que um usuário em uma floresta administre o Exchange em ambas as florestas. Outra opção é que um usuário em uma floresta administre o Exchange na outra floresta, mas não em ambas.

Para administrar servidores, propriedades e destinatários do Exchange, uma associação deve ser delegada a um administrador em uma das seguintes funções de administrador do Exchange:

  • Administrador da Organização do Exchange

  • Administrador de pasta pública do Exchange

  • Administrador de Destinatários do Exchange

  • Administrador Somente para Exibição do Exchange

Dica

A função Administrador de Pasta Pública do Exchange não existe na RTM (Versão de Produção) do Exchange 2007, tendo sido introduzida no Exchange 2007 Service Pack 1 (SP1).

Entretanto, você não pode adicionar um usuário de outra floresta a uma função de administrador do Exchange. Para administrar servidores Exchange 2007 na Floresta B, usando uma conta de usuário na Floresta A, você deve executar as seguintes etapas:

  1. Se elas ainda não existirem, crie funções de administrador do Exchange paralelas na Floresta A.

  2. Use Setup.com com o parâmetro ForeignForestFQDN para conceder permissões em objetos da Floresta B para as funções da Floresta A.

  3. Adicione usuários na Floresta A às funções de administrador do Exchange paralelas recém-criadas na Floresta A.

Estado Inicial

estado inicial - habilitando a administração entre florestas

Fase 1: Criando funções de Administrador do Exchange paralelas na Floresta A

Fase 1: habilitando a administração entre florestas

Fase 2: Concedendo permissões

fase 2: habilitando a administração entre florestas

Fase 3: Adicionar usuário a funções do Exchange na Floresta A

fase 3: habilitando a administração entre florestas

Importante

Depois de configurar a administração entre florestas, não há suporte para executar nenhuma ação de Instalação do Exchange em uma floresta usando uma conta de usuário em outra floresta. Por exemplo, não há suporte para adicionar funções de servidor, remover funções de servidor ou recuperar um servidor em uma floresta com uma conta de usuário em outra floresta, mesmo que você tenha configurado essa conta de usuário para administração entre florestas.

Dica

Para criar as funções de administrador do Exchange, é necessário usar Usuários e Computadores do Active Directory para criar grupos. Selecione Universal para o escopo do grupo e Segurança para o tipo de grupo. Para obter mais informações, consulte Considerações sobre permissão.

Antes de começar

Verifique se o nível funcional de floresta de ambas as suas florestas é Microsoft Windows Server 2003. Para obter mais informações sobre níveis funcionais do Active Directory, consulte Informações gerais sobre níveis funcionais (página em inglês).

Crie uma relação de confiança de floresta bidirecional entre as duas florestas. Para saber as etapas detalhadas, consulte Criar uma confiança de floresta bidirecional para ambos os lados da confiança (página em inglês). Essa confiança é necessária para configurar a administração entre florestas. Se você estiver em um cenário de floresta de recursos, após completar esse procedimento de configuração de administração entre florestas, poderá rebaixar a confiança para confiança unidirecional para que a floresta do Exchange confie na floresta das contas de usuário. Lembre-se de que você ainda possa precisar da confiança bidirecional para compartilhamento de pastas.

Dica

Verifique se o tipo de confiança é Floresta e não Externo.

No procedimento a seguir, a Floresta A é a floresta com uma conta de usuário que precisa administrar servidores Exchange 2007 em uma floresta diferente. A Floresta B é a floresta com servidores Exchange 2007 que um usuário na Floresta A administrará.

Para executar as etapas deste procedimento na Floresta A, você deve usar uma conta à qual estejam delegadas as seguintes funções:

  • Associação no grupo Administradores de Empresa na Floresta A

Para executar as etapas deste procedimento na Floresta B, você deve usar uma conta à qual estejam delegadas as seguintes funções:

  • Associação no grupo Administradores de Empresa na Floresta B

Dica

Se você tiver uma conta com direitos de Administrador de Empresa na Floresta A e na Floresta B, a execução do comando Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com realizará as Etapas 2 a 7 automaticamente. Entretanto, como não é provável que você tenha um usuário com direitos de Administrador de Empresa em ambas as florestas, recomendamos executar as Etapas 2 a 7 manualmente pra criar os grupos de segurança universal do Exchange e atribuir permissões a esses grupos na Floresta A, com uma conta que seja membro do grupo Administradores de Empresa apenas na Floresta A. Em seguida, você pode executar Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com na Floresta B com uma conta que seja membro do grupo Administradores de Empresa apenas na Floresta B.

Importante

Os administradores devem fazer logon em servidores da floresta de recursos utilizando a autenticação de nome UPN. Além disso, para que obtenham um tíquete Kerberos ao fazer logon, os administradores devem garantir que os sufixos UPN incomuns estejam registrados na relação de confiança da floresta. É necessário ter o tíquete Kerberos para habilitar as ferramentas de gerenciamento do Exchange a fim de estabelecer conexão com o contexto de nomenclatura de configuração da floresta de recursos. Se a autenticação NTLM for usada (DOMAIN\USERNAME), poderá ocorrer falha na associação de LDAP das ferramentas de gerenciamento caso não exista uma conexão armazenada em cache estabelecida com o domínio de floresta de conta.

Procedimento

Exchange 2007 SP1

Para configurar a administração entre florestas no Exchange 2007 SP1

  1. Se estiver em um cenário clássico entre florestas, se o Exchange estiver instalado nas Florestas A e B e se você não desejar que o usuário da Floresta A que administrará o Exchange na Floresta B também seja um administrador na Floresta A, renomeie ou mova as seguintes unidades organizacionais e os seguintes grupos da Floresta A:

    • Grupos de Segurança do Microsoft Exchange

    • Administradores da Organização do Exchange

    • Administradores de Pasta Pública do Exchange

    • Administradores de Destinatários do Exchange

    • Administradores Somente para Exibição do Exchange

    Para fazer isso, use um dos seguintes métodos:

    • Renomeie a unidade ou o grupo

    • Mova a unidade ou o grupo para outra unidade organizacional

    • Mova a unidade ou o grupo para outro domínio

    Depois de renomear ou mover esses grupos, eles ainda terão a mesma associação e permissões, e você ainda poderá administrar o Exchange na Floresta A usando contas que sejam membros desses grupos.

    Se você estiver em um cenário clássico entre florestas, se o Exchange estiver instalado nas Florestas A e B e se você desejar que o usuário da Floresta A administre o Exchange nas Florestas A e B, vá para a etapa 9.

    Se estiver em um cenário de floresta de recursos, prossiga para a Etapa 2.

  2. No domínio raiz da Floresta A, crie uma nova unidade organizacional chamada Grupos de Segurança do Microsoft Exchange. Para obter mais informações sobre como criar uma unidade organizacional, consulte Criar uma nova unidade organizacional.

  3. Na unidade organizacional Grupos de Segurança do Microsoft Exchange na Floresta A, crie os seguintes grupos de segurança universal:

    • Administradores da Organização do Exchange

    • Administradores de Pasta Pública do Exchange

    • Administradores de Destinatários do Exchange

    • Administradores Somente para Exibição do Exchange

    Para obter mais informações, consulte Criar um novo grupo (página em inglês).

    Dica

    Selecione Universal para o escopo do grupo e Segurança para o tipo de grupo.

  4. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores da Organização do Exchange ao grupo Administradores de Destinatários do Exchange:

    1. Clique com o botão direito no grupo Administradores de Destinatários do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores da Organização do Exchange e clique em OK.

    4. Clique em OK na página Propriedades dos Administradores de Destinatários do Exchange.

  5. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores da Organização do Exchange ao grupo Administradores de Pasta Pública do Exchange:

    1. Clique com o botão direito do mouse no grupo Administradores de Pastas Públicas do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores da Organização do Exchange e clique em OK.

    4. Clique em OK na página Propriedades de Administradores de Pasta Pública do Exchange.

  6. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores de Destinatários do Exchange ao grupo Administradores Somente para Exibição do Exchange:

    1. Clique com o botão direito no grupo Administradores Somente para Exibição do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores de Destinatários do Exchange e clique em OK.

    4. Clique em OK na página Propriedades dos Administradores Somente para Exibição do Exchange.

  7. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores de Pasta Pública do Exchange ao grupo Administradores Somente para Exibição do Exchange:

    1. Clique com o botão direito no grupo Administradores Somente para Exibição do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores de Pasta Pública do Exchange e clique em OK.

    4. Clique em OK na página Propriedades dos Administradores Somente para Exibição do Exchange.

  8. Em Usuários e Computadores do Active Directory na Floresta A, no menu Exibir, clique em Recursos Avançados e siga as etapas a seguir:

    1. Clique com o botão direito na unidade organizacional Grupos de Segurança do Microsoft Exchange e clique em Propriedades.

    2. Na guia Segurança, clique em Avançado.

    3. Na guia Permissões, selecione Administradores de Organização do Exchange na lista Entradas de permissão e clique em Editar.

    4. Na guia Objeto, na lista Aplicar a, selecione Este objeto e todos os objetos filho.

    5. Na lista Permissões, localize Controle total e marque a caixa de seleção Permitir.

    6. Clique em OK.

    7. Na guia Permissões, selecione Administradores de Destinatário do Exchange e clique em Editar.

    8. Na guia Objeto, na lista Aplicar a, selecione Este objeto e todos os objetos filho.

    9. Na lista Permissões, localize Controle total e marque a caixa de seleção Permitir.

    10. Clique em OK.

    11. Na guia Permissões, selecione Administradores de Pasta Pública do Exchange e clique em Editar.

    12. Na guia Objeto, na lista Aplicar a, selecione Este objeto e todos os objetos filho.

    13. Na lista Permissões, localize Controle total e marque a caixa de seleção Permitir.

    14. Clique em OK.

    15. Na guia Permissões, selecione Administradores Somente para Exibição do Exchange e clique em Editar.

    16. Na guia Objeto, na lista Aplicar a, selecione Este objeto e todos os objetos filho.

    17. Na lista Permissões, localize Controle total e marque a caixa de seleção Permitir.

    18. Clique em OK duas vezes.

  9. Faça logon na Floresta B com uma conta que seja membro do grupo Administradores de Empresa na Floresta B e execute o seguinte comando em uma janela Prompt de Comando:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Esse comando verifica se os grupos de segurança universal do Exchange na Floresta A foram criados e se as permissões foram atribuídas corretamente. Na Floresta B, o comando configura as entradas de controle de acesso (ACEs) no Active Directory nos objetos de configuração do Exchange para que os grupos de segurança universal do Exchange recém criados na Floresta A tenha direitas à configuração do Exchange na Floresta B. Ao executar o Setup /PrepareAD sem o parâmetro ForeignForestFQDN, o comando cria os grupos de segurança universal do Exchange na floresta local e define permissões nesses grupos. A inclusão do parâmetro ForeignForestFQDN especifica que você deseja dar aos grupos de segurança universal do Exchange em uma floresta externa permissão para a configuração do Exchange na floresta em que você executa o comando.

  10. Para verificar se a Instalação foi concluída com êxito, execute as seguintes etapas:

    1. Na Floresta B, clique com o botão direito no grupo de segurança universal Servidores Exchange e clique em Propriedades.

    2. Na guia Segurança, em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange (<Domínio da Floresta A\Administradores da Organização do Exchange>).

    3. Verifique se a opção Permitir está selecionada para a permissão Controle Total.

    Dica

    Se ocorrer falha na Instalação por causa de direitos de acesso insuficientes, verifique se você criou os grupos de segurança universal corretamente na Floresta A, se os grupos estão corretamente aninhados e se o grupo Administradores da Organização do Exchange tem controle total da nova unidade organizacional e dos três novos grupos de segurança universal e execute a Etapa 9 novamente.

  11. Para administrar o Exchange na Floresta B usando uma conta na Floresta A, adicione a conta na Floresta A a um ou mais dos grupos de segurança universal do Exchange criados na Floresta A.

  12. (Opcional) Altere a confiança de confiança entre florestas bidirecional para unidirecional. Para fazer isso, exclua a confiança de entrada bidirecional existente com a Floresta A. Para saber as etapas detalhadas, consulte Remover uma confiança criada manualmente (página em inglês).

    Dica

    Lembre-se de selecionar Sim, remover a confiança do domínio local e do outro domínio.

    Dica

    Você deve reter a confiança de saída.

  13. Em Usuários e Computadores do Active Directory na Floresta B, no menu Exibir, clique em Recursos Avançados.

  14. (Opcional) Se desejar que os administradores de destinatário na Floresta A administrem usuários na Floresta B, você deverá atribuir-lhes permissões manualmente. Execute as seguintes etapas:

    1. Em Usuários e Computadores do Active Directory na Floresta B, clique com o botão direito do mouse no contêiner Usuários e, em seguida, clique em Propriedades.

    2. Na guia Segurança, clique em Avançado.

    3. Em Entradas de permissões, selecione a entrada em que Tipo seja Permitir, Nome seja Administradores de Destinatários do Exchange (<Domínio da Floresta A\Administradores de Destinatários do Exchange>) e Permissão seja Especial e, em seguida, clique em Editar

    4. Na página Entrada de Permissão para Usuários, na guia Objetos, em Permissões, selecione Permitir para as seguintes permissões: Listar Conteúdo, Ler Todas as Propriedades, Gravar Todas as Propriedades, Ler Permissões, Criar Objetos de Usuário, Excluir Objetos de Usuário.

    5. Clique em OK.

    6. Na página Configurações de Segurança Avançada para Usuários, marque a caixa de seleção Permitir que permissões herdáveis do pai se propaguem para este objeto e todos os objetos filhos e clique em OK.

    Dica

    Essa etapa fornece as permissões necessárias para que membros do grupo Administradores de Destinatários do Exchange na Floresta A modifiquem objetos no contêiner Usuário na Floresta B. Executar Setup /ForeignForestFQDN na Floresta B (na Etapa 9) concede aos usuários nos grupos de segurança do Exchange na Floresta A permissão para propriedades do Exchange na Floresta B, mas não para propriedades do usuário do Windows na Floresta B.
    Para fornecer permissões para outros grupos na Floresta A para que possam modificar objetos no contêiner Usuário na Floresta B, selecione um grupo diferente na página Configurações de Segurança Avançada para Usuários.

  15. (Opcional) Se desejar que administradores na Floresta A tenham permissão para usar o Console de Gerenciamento do Exchange e o Shell de Gerenciamento do Exchange em um servidor Exchange na Floresta B, você deverá conceder permissões ao usuário manualmente nos diretórios Scripts, Público e Bin do diretório do Exchange Server. Execute as seguintes etapas:

    1. Navegue até o diretório do Exchange Server onde o Exchange está instalado. (Por padrão, o diretório é %programfiles%\Microsoft\Exchange Server.)

    2. Clique com o botão direito no diretório Bin e clique em Propriedades.

    3. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    4. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    5. Clique com o botão direito no diretório Público e clique em Propriedades.

    6. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    7. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    8. Clique com o botão direito no diretório Scripts e clique em Propriedades.

    9. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    10. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    Dica

    Para administrar o Exchange na Floresta B, os usuários na Floresta A também deverão poder se conectar a um servidor na Floresta B que tenha o Exchange ou as ferramentas de gerenciamento do Exchange instaladas. Se você adicionar usuários na Floresta A ao grupo Administradores de Domínio ou ao grupo Administradores local no servidor da Floresta B para que eles possam se conectar a um servidor na Floresta B, eles já terão as permissões Ler e Executar nos diretórios Bin, Público e Scripts. Como alternativa, você pode fornecer a usuários na Floresta A permissões específicas para que possam fazer logon em um servidor remotamente, utilizando o componente Terminal Services do Windows Server 2003.

Exchange 2007 RTM

Para configurar a administração entre florestas na RTM do Exchange 2007

  1. Se estiver em um cenário clássico entre florestas, você terá o Exchange instalado nas Florestas A e B e, se não desejar que o usuário na Floresta A, que deverá administrar o Exchange na Floresta B, também seja um administrador na Floresta A, será necessário renomear, mover para uma unidade organizacional diferente ou mover para um domínio diferente a unidade e os grupos organizacionais a seguir na Floresta A:

    • Grupos de Segurança do Microsoft Exchange

    • Administradores da Organização do Exchange

    • Administradores de Destinatários do Exchange

    • Administradores Somente para Exibição do Exchange

    Depois de renomear ou mover esses grupos, eles ainda terão a mesma associação e permissões, e você ainda poderá administrar o Exchange na Floresta A usando contas que sejam membros desses grupos.

    Se você estiver em um cenário clássico entre florestas, deverá ter o Exchange instalado nas Florestas A e B e, se desejar que o usuário na Floresta A administre o Exchange nas Florestas A e B, continue com a Etapa 7.

    Se estiver em um cenário de floresta de recursos, prossiga para a Etapa 2.

  2. No domínio raiz da Floresta A, crie uma nova unidade organizacional chamada Grupos de Segurança do Microsoft Exchange. Para obter mais informações sobre como criar uma unidade organizacional, consulte Criar uma nova unidade organizacional (página em inglês).

  3. Na unidade organizacional Grupos de Segurança do Microsoft Exchange na Floresta A, crie os seguintes grupos de segurança universal:

    • Administradores da Organização do Exchange

    • Administradores de Destinatários do Exchange

    • Administradores Somente para Exibição do Exchange

    Para obter mais informações, consulte Criar um novo grupo (página em inglês).

    Dica

    Selecione Universal para o escopo do grupo e Segurança para o tipo de grupo.

  4. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores da Organização do Exchange ao grupo Administradores de Destinatários do Exchange:

    1. Clique com o botão direito no grupo Administradores de Destinatários do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores da Organização do Exchange e clique em OK.

    4. Clique em OK na página Propriedades dos Administradores de Destinatários do Exchange.

  5. Na Floresta A, execute as etapas a seguir para adicionar o grupo Administradores de Destinatários do Exchange ao grupo Administradores Somente para Exibição do Exchange:

    1. Clique com o botão direito no grupo Administradores Somente para Exibição do Exchange e clique em Propriedades.

    2. Na guia Membros, clique em Adicionar.

    3. Em Selecionar Usuários, Computadores ou Grupos, digite Administradores de Destinatários do Exchange e clique em OK.

    4. Clique em OK na página Propriedades dos Administradores Somente para Exibição do Exchange.

  6. Em Usuários e Computadores do Active Directory na Floresta A, no menu Exibir, clique em Recursos Avançados e execute as seguintes etapas:

    1. Clique com o botão direito na unidade organizacional Grupos de Segurança do Microsoft Exchange e clique em Propriedades.

    2. Na guia Segurança em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange.

    3. Em Permissões para Administradores da Organização do Exchange, selecione Controle Total e clique em OK.

    4. Clique com o botão direito no grupo Administradores da Organização do Exchange e clique em Propriedades.

    5. Na guia Segurança em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange.

    6. Em Permissões para Administradores da Organização do Exchange, selecione Controle Total e clique em OK.

    7. Clique com o botão direito no grupo Administradores de Destinatários do Exchange e clique em Propriedades.

    8. Na guia Segurança em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange.

    9. Em Permissões para Administradores da Organização do Exchange, selecione Controle Total e clique em OK.

    10. Clique com o botão direito no grupo Administradores Somente para Exibição do Exchange e clique em Propriedades.

    11. Na guia Segurança em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange.

    12. Em Permissões para Administradores da Organização do Exchange, selecione Controle Total e clique em OK.

  7. Faça logon na Floresta B com uma conta que seja membro do grupo Administradores de Empresa na Floresta B e execute o seguinte comando em uma janela Prompt de Comando:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Esse comando verifica se os grupos de segurança universal do Exchange na Floresta A são criados e se as permissões são atribuídas corretamente. Na Floresta B, o comando configura ACEs (entradas de controle de acesso) no Active Directory nos objetos de configuração do Exchange, para que os grupos de segurança universal do Exchange recém-criados na Floresta A tenham direitos à configuração do Exchange na Floresta B. Quando você executa Setup /PrepareAD sem o parâmetro ForeignForestFQDN, o comando cria os grupos de segurança universal do Exchange na floresta local e configura permissões nesses grupos. A inclusão do parâmetro ForeignForestFQDN especifica que você deseja dar aos grupos de segurança universal do Exchange em uma floresta externa permissão para a configuração do Exchange na floresta em que você executa o comando.

  8. Para verificar se a Instalação foi concluída com êxito, execute as seguintes etapas:

    1. Na Floresta B, clique com o botão direito no grupo de segurança universal Servidores Exchange e clique em Propriedades.

    2. Na guia Segurança, em Nomes de grupo ou usuários, selecione Administradores da Organização do Exchange (<Domínio da Floresta A\Administradores da Organização do Exchange>).

    3. Verifique se a opção Permitir está selecionada para a permissão Controle Total.

    Dica

    Se ocorrer falha na Instalação por causa de direitos de acesso insuficientes, verifique se você criou os grupos de segurança universal corretamente na Floresta A, se os grupos estão corretamente aninhados e se o grupo Administradores da Organização do Exchange tem controle total da nova unidade organizacional e dos três novos grupos de segurança universal e execute a Etapa 7 novamente.

  9. Para administrar o Exchange na Floresta B usando uma conta na Floresta A, adicione a conta na Floresta A a um ou mais dos grupos de segurança universal do Exchange criados na Floresta A.

  10. (Opcional) Altere a confiança de confiança entre florestas bidirecional para unidirecional. Para fazer isso, exclua a confiança de entrada bidirecional existente com a Floresta A. Para saber as etapas detalhadas, consulte Remover uma confiança criada manualmente (página em inglês).

    Dica

    Lembre-se de selecionar Sim, remover a confiança do domínio local e do outro domínio.

    Dica

    Você deve reter a confiança de saída.

  11. Em Usuários e Computadores do Active Directory na Floresta B, no menu Exibir, clique em Recursos Avançados.

  12. (Opcional) Se desejar que os administradores de destinatário na Floresta A administrem usuários na Floresta B, você deverá atribuir-lhes permissões manualmente. Execute as seguintes etapas:

    1. Em Usuários e Computadores do Active Directory na Floresta B, clique com o botão direito no contêiner Usuários e clique em Propriedades

    2. Na guia Segurança, clique em Avançado.

    3. Em Entradas de permissões, selecione a entrada em que Tipo seja Permitir, Nome seja Administradores de Destinatários do Exchange (<Domínio da Floresta A\Administradores de Destinatários do Exchange>) e Permissão seja Especial e, em seguida, clique em Editar

    4. Na página Entrada de Permissão para Usuários, na guia Objetos, em Permissões, selecione Permitir para as seguintes permissões: Listar Conteúdo, Ler Todas as Propriedades, Gravar Todas as Propriedades, Ler Permissões, Criar Objetos de Usuário, Excluir Objetos de Usuário.

    5. Clique em OK.

    6. Na página Configurações de Segurança Avançada para Usuários, marque a caixa de seleção Permitir que permissões herdáveis do pai se propaguem para este objeto e todos os objetos filhos e clique em OK.

    Dica

    Essa etapa fornece as permissões necessárias para que membros do grupo Administradores de Destinatários do Exchange na Floresta A modifiquem objetos no contêiner Usuário na Floresta B. Executar Setup /ForeignForestFQDN na Floresta B (na Etapa 7) concede aos usuários nos grupos de segurança do Exchange na Floresta A permissão para propriedades do Exchange na Floresta B, mas não para propriedades do usuário do Windows na Floresta B.
    Para fornecer permissões para outros grupos na Floresta A para que possam modificar objetos no contêiner Usuário na Floresta B, selecione um grupo diferente na página Configurações de Segurança Avançada para Usuários.

  13. (Opcional) Se desejar que administradores na Floresta A tenham permissão para usar o Console de Gerenciamento do Exchange e o Shell de Gerenciamento do Exchange em um servidor Exchange na Floresta B, você deverá conceder permissões ao usuário manualmente nos diretórios Scripts, Público e Bin do diretório do Exchange Server. Execute as seguintes etapas:

    1. Navegue até o diretório do Exchange Server onde o Exchange está instalado. (Por padrão, o diretório é %programfiles%\Microsoft\Exchange Server.)

    2. Clique com o botão direito no diretório Bin e clique em Propriedades.

    3. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    4. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    5. Clique com o botão direito no diretório Público e clique em Propriedades.

    6. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    7. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    8. Clique com o botão direito no diretório Scripts e clique em Propriedades.

    9. Na guia Segurança, clique em Adicionar e insira o usuário ou grupo ao qual deseja conceder permissão.

    10. Em Permissões para <usuário ou grupo>, selecione Permitir para a permissão Ler e Executar e clique em OK.

    Dica

    Para administrar o Exchange na Floresta B, os usuários na Floresta A também deverão poder se conectar a um servidor na Floresta B que tenha o Exchange ou as ferramentas de gerenciamento do Exchange instaladas. Se você adicionar usuários na Floresta A ao grupo Administradores de Domínio ou ao grupo Administradores local no servidor da Floresta B para que eles possam se conectar a um servidor na Floresta B, eles já terão as permissões Ler e Executar nos diretórios Bin, Público e Scripts. Como alternativa, você pode fornecer a usuários na Floresta A permissões específicas para que possam fazer logon em um servidor remotamente, utilizando o componente Terminal Services do Windows Server 2003.

Para obter mais informações

Para obter mais informações sobre como instalar o Exchange 2007 usando Setup.com de uma janela Prompt de Comando, consulte Como instalar o Exchange 2007 no modo automático.