Подготовка устаревших разрешений для Exchange 2003
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2010-01-25
При обновлении с версии Exchange Server 2003 до Exchange Server 2010 необходимо предварительно предоставить определенные разрешения Exchange в каждом из доменов, где выполнена команда DomainPrep для серверов Exchange 2003. Для этого выполните команду setup /PrepareLegacyExchangePermissions
. Предоставление таких разрешений является частью подготовки службы каталогов Active Directory и доменов к установке Exchange Server 2010. Подробные инструкции см. в разделе Подготовка Active Directory и доменов.
В этом разделе объясняется, почему необходимо выполнить команду setup
/PrepareLegacyExchangePermissions
, когда ее следует выполнять, а также какие разрешения задаются при выполнении этой команды в организации Exchange Server 2010.
Причины выполнения Setup /PrepareLegacyExchangePermissions
Команду setup /PrepareLegacyExchangePermissions
необходимо выполнить для обеспечения правильной работы функций службы обновления получателей сервера Exchange 2003 после обновления схемы Active Directory для сервера Exchange Server 2010. В этом разделе объясняется суть проблемы, а также рассказывается о том, как выполнение данной команды позволяет устранить эту проблему.
Проблема
На сервере Exchange Server 2003 служба обновления получателей обновляет некоторые атрибуты почтовых ящиков объектов пользователей с включенной поддержкой почты, например адрес прокси-сервера. Служба обновления получателей обладает разрешениями на изменение этих атрибутов, так как учетная запись компьютера (с именем <имя_сервера>), на котором запускается служба обновления получателей, входит в группу серверов предприятия (EES) Exchange. Группа серверов предприятия Exchange создается при выполнении команды DomainPrep в системе Exchange Server 2003. Вместо предоставления группе серверов предприятия Exchange разрешений для каждого отдельного атрибута почтового ящика, который должна изменить служба обновления получателей, атрибуты почтового ящика группируются в наборы свойств. При выполнении команды DomainPrep для Exchange Server 2003 сервер Exchange предоставляет группе EES разрешения на изменение наборов свойств с помощью элементов управления доступом (ACE), которые задаются на сервере Exchange в контейнере домена в службе Active Directory.
Сервер Exchange Server 2010 имеет роль управления, называемую «Управление получателями». Эта роль содержит разрешения на управление атрибутами электронной почты для всех пользователей. Администраторы Exchange, которые являются участниками роли Exchange «Управление получателями», могут управлять только свойствами электронной почты пользователей.
Чтобы включить эту функцию, на сервере Exchange Server 2010 необходимо переместить некоторые атрибуты электронной почты пользователей в «Набор свойств данных о Exchange». Система Exchange выполняет это путем переопределения схем атрибутов в Active Directory при импорте новой схемы Exchange Server 2010. Однако группа EES прежней версии не обладает разрешениями на доступ к набору свойств данных о Exchange. Таким образом, при импорте новой схемы Exchange Server 2010 служба обновления получателей утрачивает разрешения на доступ к атрибутам электронной почты пользователей и перестает работать нормально. (Например, она не сможет задавать адреса прокси-серверов для создаваемых пользователей Exchange Server 2003.)
Решение
Выполнение команды setup
/PrepareLegacyExchangePermissions
позволяет обеспечить нормальную работу устаревшей службы обновления получателей. Перед импортом новой схемы Exchange Server 2010 необходимо предоставить новые разрешения Exchange Server 2010 в каждом из доменов, в котором выполнена команда DomainPrep для Exchange Server 2003. Команда setup /PrepareLegacyExchangePermissions
предоставляет эти новые разрешения. Перед выполнением команды setup /PrepareSchema
необходимо выполнить команду setup /PrepareLegacyExchangePermissions
и предоставить разрешения на репликацию в рамках всей организации Exchange.
Сервер, на котором выполняется команда setup /PrepareLegacyExchangePermissions
, подключается к локальному глобальному каталогу для поиска доменов, в которых была выполнена команда DomainPrep для сервера Exchange Server 2003, проверяя группы серверов предприятия Exchange (EES) и группы серверов домена Exchange (EDS). Сервер должен иметь возможность связываться с каждым доменом в лесу, в котором выполнялась команда DomainPrep для Exchange Server 2003. Кроме того, учетная запись, которая использовалась для выполнения команды setup /PrepareLegacyExchangePermissions
, должна обладать разрешениями, назначенными универсальной группе безопасности «Администраторы предприятия», чтобы настраивать элементы управления доступом в каждом домене, а также в организации Exchange.
Разрешения, задаваемые командой Setup /PrepareLegacyExchangePermissions
Команда setup /PrepareLegacyExchangePermissions
находит все домены в лесу, которые содержат группу серверов предприятия Exchange, а также группу серверов домена Exchange. Для каждого домена, содержащего эти группы, при выполнении команды setup /PrepareLegacyExchangePermissions
выполняются указанные ниже действия.
- Добавляется запись управления доступом в список управления доступом корня домена с целью предоставить группе серверов предприятия Exchange разрешения WRITE_PROP на доступ к набору свойств данных о Exchange.
- Добавляется запись управления доступом в список управления доступом корня домена с целью предоставить авторизованным пользователям разрешения READ_PROP на доступ к набору свойств данных о Exchange.
- Добавляется запись управления доступом в контейнер домена AdminSDHolder с целью предоставить группе серверов предприятия Exchange разрешения WRITE_PROP и READ_PROP на доступ к набору свойств данных о Exchange.
- Добавляется элемент управления доступом в ACL контейнера организации Exchange для предоставления группе серверов предприятия Exchange разрешений WRITE_PROP на доступ к набору свойств данных о Exchange.
Повторное выполнение команды Setup /PrepareLegacyExchangePermissions
Ниже перечислены случаи, в которых требуется повторно выполнить команду setup /PrepareLegacyExchangePermissions
:
- В домене есть серверы Exchange Server 2003, а команда DomainPrep не была выполнена.
- В существующем домене включена поддержка почтовых ящиков для пользователей, которые будут входить в почтовые ящики на серверах Exchange Server 2003 в доменах, в которых не была выполнена команда DomainPrep.
В таких случаях необходимо повторно выполнить команду setup /PrepareLegacyExchangePermissions
после выполнения команды DomainPrep для сервера Exchange Server 2003. Это обеспечивает правильную работу службы обновления получателей Exchange Server 2003 в этом домене.
Справка по разрешениям на развертывание Exchange 2010
Для развертывания и правильной работы сервера Exchange 2010 в организации необходимы разрешения. Эти разрешения устанавливаются в списках управления доступом объектов (ACL), используемых сервером Exchange 2010 во время установки. Дополнительные сведения см. в разделе Справочник по разрешениям развертывания Exchange 2010.