Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-03-19
Versões anteriores do Microsoft Exchange Server não contavam muito com conjuntos de propriedades para aplicar permissões na partição do domínio. Embora isso não fosse um problema em implantações comuns, tornou-se um problema para ambientes distribuídos que delegavam todas as tarefas. Os administradores nesses ambientes precisavam designar permissões para muitos atributos de destinatários de mensagens para que as tarefas apropriadas pudessem ser delegadas em um modelo de acesso com menos privilégios. Dependendo da versão dos servidores do serviço de diretório do Active Directory, isso poderá causar um sério excesso de lista de controle de acesso (ACL), aumentando o tamanho do arquivo Ntds.dit.
O Exchange Server 2007 melhora a delegação administrativa usando conjuntos de propriedades para a maioria dos atributos de destinatários de mensagens.
O que são conjuntos de propriedades?
Um conjunto de propriedades é um agrupamento de atributos do Active Directory. Você pode controlar o acesso a esse agrupamento de atributos do Active Directory definindo uma ACE (entrada de controle de acesso), em vez de definir uma ACE em cada propriedade. Além disso, um atributo só pode ser membro de um único conjunto de propriedades.
Por exemplo, o conjunto de propriedades Informações Pessoais inclui propriedades, como endereço físico e número de telefone. Ambos são propriedades de objetos de usuários.
Conjuntos de propriedades no Exchange Server 2003
No Exchange Server 2003, o processo de extensão de esquema do Exchange adicionou muitos atributos de destinatários de mensagens relacionados ao Exchange aos conjuntos de propriedades internos do Active Directory, Informações Pessoais e Informações Públicas. Os grupos de segurança de domínio local dos Exchange Enterprise Servers receberam acesso a esses conjuntos de propriedades nas partições de domínio durante a fase de preparação de domínios para que o Serviço de Atualização de Destinatário (RUS) pudesse atualizar os objetos. As tabelas a seguir listam os atributos nos conjuntos de propriedades Informações Pessoais e Informações Públicas.
allowedAttributes |
allowedAttributesEffective |
allowedChildClasses |
allowedChildClassesEffective |
altRecipient |
altRecipientBL |
altSecurityIdentities |
attributeCertificate |
authOrig |
authOrigBL |
autoReply |
autoReplyMessage |
cn |
co |
company |
deletedItemFlags |
delivContLength |
deliverAndRedirect |
deliveryMechanism |
delivExtContTypes |
department |
description |
directReports |
displayNamePrintable |
distinguishedName |
division |
dLMemberRule |
dLMemDefault |
dLMemRejectPerms |
dLMemRejectPermsBL |
dLMemSubmitPerms |
dLMemSubmitPermsBL |
dnQualifier |
enabledProtocols |
expirationTime |
extensionAttribute1 |
extensionAttribute10 |
extensionAttribute11 |
extensionAttribute12 |
extensionAttribute13 |
extensionAttribute14 |
extensionAttribute15 |
extensionAttribute2 |
extensionAttribute3 |
extensionAttribute4 |
extensionAttribute5 |
extensionAttribute6 |
extensionAttribute7 |
extensionAttribute8 |
extensionAttribute9 |
extensionData |
folderPathname |
|
formData |
forwardingAddress |
givenName |
heuristics |
hideDLMembership |
homeMDB |
homeMTA |
importedFrom |
initials |
internetEncoding |
kMServer |
language |
languageCode |
legacyExchangeDN |
mail |
mailNickname |
manager |
mAPIRecipient |
mDBOverHardQuotaLimit |
mDBOverQuotaLimit |
mDBStorageQuota |
mDBUseDefaults |
msDS-AllowedToDelegateTo |
msDS-Approx-Immed-Subordinates |
msDS-Auxiliary-Classes |
msExchADCGlobalNames |
msExchALObjectVersion |
msExchAssistantName |
msExchConferenceMailboxBL |
msExchControllingZone |
msExchCustomProxyAddresses |
msExchExpansionServerName |
msExchFBURL |
msExchHideFromAddressLists |
msExchHomeServerName |
msExchIMACL |
msExchIMAddress |
msExchIMAPOWAURLPrefixOverride |
msExchIMMetaPhysicalURL |
msExchIMPhysicalURL |
msExchIMVirtualServer |
msExchInconsistentState |
msExchLabeledURI |
msExchMailboxFolderSet |
msExchMailboxGuid |
msExchMailboxSecurityDescriptor |
msExchMailboxUrl |
msExchMasterAccountSid |
msExchOmaAdminExtendedSettings |
msExchOmaAdminWirelessEnable |
msExchOriginatingForest |
msExchPfRootUrl |
|
msExchPFTreeType |
msExchPoliciesExcluded |
msExchPoliciesIncluded |
msExchPolicyEnabled |
msExchPolicyOptionList |
msExchPreviousAccountSid |
msExchProxyCustomProxy |
msExchQueryBaseDN |
msExchRecipLimit |
msExchRequireAuthToSendTo |
msExchResourceGUID |
msExchResourceProperties |
msExchTUIPassword |
msExchTUISpeed |
msExchTUIVolume |
msExchUnmergedAttsPt |
msExchUseOAB |
msExchUserAccountControl |
msExchVoiceMailboxID |
nome |
notes |
e |
objectCategory |
objectClass |
objectGUID |
oOFReplyToOriginator |
otherMailbox |
ou |
pOPCharacterSet |
pOPContentFormat |
protocolSettings |
proxyAddresses |
publicDelegatesBL |
replicatedObjectVersion |
replicationSensitivity |
replicationSignature |
reportToOriginator |
reportToOwner |
securityProtocol |
servicePrincipalName |
showInAddressBook |
sn |
submissionContLength |
supportedAlgorithms |
systemFlags |
targetAddress |
telephoneAssistant |
textEncodedORAddress |
title |
unauthOrig |
unauthOrigBL |
unmergedAtts |
userPrincipalName |
|
assistant |
f |
facsimileTelephoneNumber |
homePhone |
homePostalAddress |
info |
internationalISDNNumber |
ipPhone |
l |
mobile |
mSMQDigests |
mSMQSignCertificates |
otherFacsimileTelephoneNumber |
otherHomePhone |
|
otherIpPhone |
otherMobile |
otherPager |
otherTelephone |
pager |
personalTitle |
physicalDeliveryOfficeName |
postalAddress |
postalCode |
postOfficeBox |
preferredDeliveryMethod |
primaryInternationalISDNNumber |
primaryTelexNumber |
publicDelegates |
|
registeredAddress |
st |
street |
streetAddress |
telephoneNumber |
teletexTerminalIdentifier |
telexNumber |
thumbnailPhoto |
userCert |
userCertificate |
userSharedFolder |
userSharedFolderOther |
userSMIMECertificate |
x121Address |
|
Entretanto, no momento da delegação de permissões para gerenciamento de destinatários de mensagens, muitos administradores do Active Directory não atribuíram permissões a administradores do Exchange usando esses conjuntos de propriedades porque eles forneceram acesso a vários atributos adicionais não relacionados ao Exchange.
Conjuntos de propriedades no Exchange 2007
O Exchange 2007 aproveita os conjuntos de propriedades criando dois novos conjuntos exclusivamente para o Exchange Server, em vez de depender dos conjuntos de propriedades do Active Directory preexistentes. Entre os vários aprimoramentos do Exchange 2007 estão os seguintes:
Não há mais uma dependência de conjuntos de propriedades padrão do Active Directory. Os conjuntos de propriedades específicos do Exchange determinam a incerteza de possíveis alterações em versões futuras dos conjuntos de propriedades do Active Directory.
Os atributos criados pela extensão de esquema do Exchange são os únicos membros dos conjuntos de propriedades específicos do Exchange.
Os conjuntos de propriedades específicos do Exchange permitem a criação e a implantação de um modelo de permissão de segurança delegado específico ao gerenciamento de dados de destinatários de mensagens do Exchange.
Durante a fase de extensão de esquema, o Exchange 2007 executa várias ações. Isso inclui o seguinte:
Ele estende o esquema com novas classes e atributos.
Ele cria os conjuntos de propriedades Informações do Exchange e Informações Pessoais do Exchange.
Ele adiciona os atributos apropriados aos conjuntos de propriedades Informações do Exchange e Informações Pessoais do Exchange.
Os atributos do Exchange 2003 adicionados anteriormente aos conjuntos de propriedades Informações Pessoais ou Informações Públicas são movidos de acordo com os conjuntos de propriedades específicos do Exchange.
Pelo fato de os atributos serem movidos entre conjuntos de propriedades, você deve atualizar a estrutura de permissões de destinatários do Exchange 2003 ao implementar o Exchange 2007 em um ambiente herdado. É possível fazer isso executando o comando setup /PrepareLegacyExchangePermissions ou setup /PrepareSchema. Para obter mais informações sobre o que o comando setup /PrepareLegacyExchangePermissions faz, consulte Preparando permissões herdadas do Exchange.
O conjunto de propriedades Informações do Exchange inclui os atributos listados na tabela a seguir. Além disso, Usuários Autenticados possuem acesso de leitura a esse conjunto de propriedades, para que possam procurar por informações específicas sobre destinatários de mensagens, por exemplo, usando o Catálogo de Endereços do Microsoft Office Outlook.
altRecipient |
altRecipientBL |
attributeCertificate |
authOrig |
authOrigBL |
autoReply |
autoReplyMessage |
deletedItemFlags |
delivContLength |
deliverAndRedirect |
deliveryMechanism |
delivExtContTypes |
dLMemberRule |
dLMemDefault |
dLMemRejectPerms |
dLMemRejectPermsBL |
dLMemSubmitPerms |
dLMemSubmitPermsBL |
dnQualifier |
enabledProtocols |
expirationTime |
extensionAttribute1 |
extensionAttribute10 |
extensionAttribute11 |
extensionAttribute12 |
extensionAttribute13 |
extensionAttribute14 |
extensionAttribute15 |
extensionAttribute2 |
extensionAttribute3 |
extensionAttribute4 |
extensionAttribute5 |
extensionAttribute6 |
extensionAttribute7 |
extensionAttribute8 |
extensionAttribute9 |
extensionData |
folderPathname |
formData |
forwardingAddress |
heuristics |
hideDLMembership |
homeMDB |
homeMTA |
importedFrom |
internetEncoding |
kMServer |
language |
languageCode |
mailNickname |
mAPIRecipient |
mDBOverHardQuotaLimit |
mDBOverQuotaLimit |
|
mDBStorageQuota |
mDBUseDefaults |
msExchADCGlobalNames |
msExchALObjectVersion |
msExchAssistantName |
msExchConferenceMailboxBL |
msExchControllingZone |
msExchCustomProxyAddresses |
msExchELCExpirySuspensionEnd |
msExchELCExpirySuspensionStart |
msExchELCMailboxFlags |
msExchExpansionServerName |
msExchExternalOOFOptions |
msExchFBURL |
msExchHideFromAddressLists |
msExchHomeServerName |
msExchIMACL |
msExchIMAddress |
msExchIMAPOWAURLPrefixOverride |
msExchIMMetaPhysicalURL |
msExchIMPhysicalURL |
msExchIMVirtualServer |
msExchInconsistentState |
msExchLabeledURI |
msExchMailboxFolderSet |
msExchMailboxGuid |
msExchMailboxOABVirtualDirectoriesLink |
msExchMailboxSecurityDescriptor |
msExchMailboxTemplateLink |
msExchMailboxUrl |
msExchMasterAccountHistory |
msExchMasterAccountSid |
msExchMaxBlockedSenders |
msExchMaxSafeSenders |
msExchMDBRulesQuota |
msExchMessageHygieneSCLJunkThreshold |
msExchMobileAllowedDeviceIDs |
msExchMobileDebugLogging |
msExchMobileMailboxFlags |
msExchMobileMailboxPolicyLink |
msExchOmaAdminExtendedSettings |
msExchOmaAdminWirelessEnable |
msExchOriginatingForest |
msExchPfRootUrl |
msExchPFTreeType |
msExchPoliciesExcluded |
msExchPoliciesIncluded |
msExchPolicyEnabled |
msExchPolicyOptionList |
msExchPreviousAccountSid |
msExchProxyCustomProxy |
msExchPurportedSearchUI |
|
msExchQueryBaseDN |
msExchQueryFilterMetadata |
msExchRecipientDisplayType |
msExchRecipientTypeDetails |
msExchRecipLimit |
msExchRequireAuthToSendTo |
msExchResourceCapacity |
msExchResourceDisplay |
msExchResourceGUID |
msExchResourceMetaData |
msExchResourceProperties |
msExchResourceSearchProperties |
msExchServerAdminDelegationBL |
msExchTUIPassword |
msExchTUISpeed |
msExchTUIVolume |
msExchUMAudioCodec |
msExchUMDtmfMap |
msExchUMEnabledFlags |
msExchUMFaxId |
msExchUMListInDirectorySearch |
msExchUMMaxGreetingDuration |
msExchUMOperatorNumber |
msExchUMPinPolicyAccountLockoutFailures |
msExchUMPinPolicyDisallowCommonPatterns |
msExchUMPinPolicyExpiryDays |
msExchUMPinPolicyMinPasswordLength |
msExchUMRecipientDialPlanLink |
msExchUMServerWritableFlags |
msExchUMSpokenName |
msExchUMTemplateLink |
msExchUnmergedAttsPt |
msExchUseOAB |
msExchUserAccountControl |
msExchUserCulture |
msExchVersion |
msExchVoiceMailboxID |
oOFReplyToOriginator |
pOPCharacterSet |
pOPContentFormat |
protocolSettings |
publicDelegatesBL |
replicatedObjectVersion |
replicationSensitivity |
replicationSignature |
reportToOriginator |
reportToOwner |
securityProtocol |
submissionContLength |
supportedAlgorithms |
targetAddress |
telephoneAssistant |
unauthOrig |
unauthOrigBL |
unmergedAtts |
|
O conjunto de propriedades Informações Pessoais do Exchange inclui os atributos listados na tabela a seguir. Para verificar se usuários comuns não podem recuperar os dados armazenados nesses atributos, eles são colocados em um conjunto de propriedades separado, ao qual os Usuários Autenticados não possuem acesso de leitura.
msExchMessageHygieneFlags |
msExchMessageHygieneSCLDeleteThreshold |
msExchMessageHygieneSCLQuarantineThreshold |
msExchMessageHygieneSCLRejectThreshold |
msExchSafeRecipientsHash |
msExchSafeSendersHash |
msExchUMPinChecksum |
|
Para obter mais informações, consulte os seguintes tópicos: