Справочник по разрешениям развертывания Exchange 2010

Статья
05/20/2011

Последнее изменение раздела: 2010-02-02

В этом разделе описываются разрешения, необходимые для настройки организации Microsoft Exchange Server 2010. Универсальные группы безопасности (USG), связанные с группами ролей управления, а также другие группы и участники безопасности Windows добавляются в списки управления доступом (ACL) различных объектов Active Directory. С помощью списков управления доступом контролируются типы операций, которые можно выполнить над каждым объектом. Имея представление, какие разрешения предоставляются каждой группе ролей, группе или участнику безопасности, можно определить, какие минимальные разрешения необходимы для установки Exchange 2010.

В некоторых случаях список управления доступом применяется не к обычному свойству, ntSecurityDescriptor, а к другому свойству, например msExchMailboxSecurityDescriptor. Служба каталогов не может принудительно применить меры безопасности, не указанные в дескрипторе безопасности Windows. В большинстве случаев эти списки управления доступом реплицируются для сохранения списков управления доступом для соответствующих объектов с помощью службы хранилища. К сожалению, не существует средства просмотра этих списков управления доступом в виде, отличном от неформатированных двоичных данных.

Столбцы каждой таблицы разрешений содержат указанные ниже данные.

Учетная запись Участник безопасности, которому предоставлены или отменены разрешения.
Тип элемента управления доступом Тип элемента управления доступом (ACE).
- Разрешающий элемент управления доступом Разрешающий элемент управления доступом позволяет пользователю или группе, связанной с элементом управления доступом, обратиться к элементу.
- Запрещающий элемент управления доступом Запрещающий элемент управления доступом не позволяет пользователю или группе, связанной с элементом управления доступом, обратиться к элементу.
Наследование Тип наследования, используемый для дочерних объектов.
- Все показывает, что разрешения применяются к самому объекту и всем дочерним объектам.
- Убыв показывает, что разрешения применяются к классу объектов, указанному в строке К свойству.
- Нет показывает, что разрешения применяются только к самому объекту.
Разрешения Разрешения, предоставленные учетной записи.
К свойству В некоторых случаях разрешения применяются только к заданному свойству, набору свойств или классу объектов. Эти ограниченные разрешения указываются здесь.
Комментарии Если это возможно, в данном столбце объясняется необходимость применения разрешений или содержатся другие сведения о разрешениях.

Обычно разрешения перечислены в таблице по именам, используемым в редакторе ADSI (Active Directory Service Interfaces) (AdsiEdit.msc) на странице свойств Безопасность в режиме просмотра Расширенный на вкладке Показать/Изменить. На странице свойств Безопасность редактора ADSI разрешения приведены в более сжатом виде. Средство LDP (Ldp.exe) выводит маску доступа напрямую в виде численного значения. Код программы установки ссылается на разрешения по предопределенным константам.

В приведенной ниже таблице показаны соотношения между этими значениями.

Сводная страница редактора ADSI	Расширенный вид редактора ADSI, вкладка «Показать/Изменить»	Записи списка управления доступом, примененные к данному объекту	Двоичное значение (маска доступа в LDP)
Полный доступ	Полный доступ	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
Чтение	Вывод списка содержимого + Чтение всех свойств + Чтение разрешений	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
Запись	Запись всех свойств + Все проверенные операции записи	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	Вывод списка содержимого	`ACTRL_DS_LIST`	`0x00000004`
	Чтение всех свойств	`ACTRL_DS_READ_PROP`	`0x00000010`
	Запись всех свойств	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	Удаление	`DELETE`	`0x00010000`
	Удаление поддерева	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	Чтение разрешений	`READ_CONTROL`	`0x00020000`
	Изменение разрешений	`WRITE_DAC`	`0x00040000`
	Изменение владельца	`WRITE_OWNER`	`0x00080000`
	Все проверенные операции записи	`ACTRL_DS_SELF`	`0x00000008`
	Все расширенные права	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
Создание всех дочерних объектов	Создание всех дочерних объектов	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
Удаление всех дочерних объектов	Удаление всех дочерних объектов	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

Расширенные права — это настраиваемые права, заданные отдельными приложениями. Эти права указаны в списке управления доступом. Однако они не имеют смысла для Active Directory. Определенное приложение принудительно применяет все расширенные права. Примерами расширенных прав Exchange являются «Создание общей папки» и «Создание именованных свойств в банке данных».

Примечание.
Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2003, см. на веб-странице Работа с разрешениями Active Directory в Exchange Server 2003 (содержимое страницы может отображаться на английском языке). Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2007, см. на веб-странице Справка по разрешениям настройки сервера Exchange 2007 (содержимое страницы может отображаться на английском языке).

Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2003, см. на веб-странице Работа с разрешениями Active Directory в Exchange Server 2003 (содержимое страницы может отображаться на английском языке). Дополнительные сведения о разрешениях, устанавливаемых в процессе установки Microsoft Exchange Server 2007, см. на веб-странице Справка по разрешениям настройки сервера Exchange 2007 (содержимое страницы может отображаться на английском языке).

Подготовка разрешений для прежних версий Exchange

Таблицы разрешений, приведенные в данном разделе, показывают, какие разрешения устанавливаются при выполнении команды setup /PrepareLegacyExchangePermissions.

Различающееся имя объекта: DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Серверы Exchange Enterprise Server	Разрешающий элемент управления доступом	Все	Запись свойства	Сведения об Exchange
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства	Сведения об Exchange

Различающееся имя объекта: CN=AdminSDHolder,CN=System,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Серверы Exchange Enterprise Server	Разрешающий элемент управления доступом	Все	Чтение свойства Запись свойства	Сведения об Exchange

Серверы Exchange Enterprise Server

Разрешающий элемент управления доступом

Все

Чтение свойства

Запись свойства

Сведения об Exchange

Различающееся имя объекта: CN=<организация>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Серверы домена Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	Сведения об Exchange

Подготовка разрешений Active Directory

Таблицы разрешений, приведенные в данном разделе, показывают, какие разрешения устанавливаются при выполнении команды Setup /PrepareAD.

Разрешения контейнера Microsoft Exchange

В приведенной ниже таблице показаны разрешения, установленные для контейнера Microsoft Exchange в разделе конфигурации.

Различающееся имя объекта: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	Примечания
Учетная запись установки	Разрешающий элемент управления доступом	Все	Полный доступ	Это учетная запись, используемая для выполнения команды `/PrepareAD`.
Управление организацией	Разрешающий элемент управления доступом	Все	Полный доступ
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Полный доступ
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Чтение свойства Вывод списка содержимого
Управление общими папками	Разрешающий элемент управления доступом	Все	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов
Делегированная установка	Разрешающий элемент управления доступом	Все	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов

Разрешения контейнера автообнаружения Microsoft Exchange

В приведенной ниже таблице показаны разрешения, установленные для контейнера автообнаружения Microsoft Exchange в разделе конфигурации.

Различающееся имя объекта: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение

Разрешения контейнера организации Microsoft Exchange

В таблицах разрешений, приведенных в этом разделе, показаны разрешения, установленные для организации Microsoft Exchange и вложенных контейнеров в разделе конфигурации.

Различающееся имя объекта: CN=<организация>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Учетные записи	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Администраторы предприятия Администраторы корневого домена Учетная запись установки Управление организацией	Запрещающий элемент управления доступом	Все	Отправить как Получить как		Администраторам Windows не разрешается открывать почтовые ящики.
Администраторы предприятия Администраторы схемы Администраторы корневого домена Учетная запись установки Управление организацией	Запрещающий элемент управления доступом	Все	Олицетворение веб-служб Exchange Сериализация маркера веб-служб Exchange		Расширенное право
Администраторы предприятия Администраторы схемы Администраторы корневого домена Учетная запись установки Управление организацией Серверы Exchange	Запрещающий элемент управления доступом	Все	Доступ к транспорту хранилища Ограниченное делегирование хранилища Доступ к хранилищу на чтение Доступ к хранилищу на чтение и запись
Пользователи, прошедшие проверку	Запрещающий элемент управления доступом	Убыв	Чтение свойства	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Управление доступом
Управление организацией	Разрешающий элемент управления доступом	Все	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов
Управление общими папками	Разрешающий элемент управления доступом	Все	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов
NT Authority\Сетевая служба	Разрешающий элемент управления доступом	Все	Чтение
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`groupType`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchOwningServer`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMailboxSecurityDescriptor`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMServerWritableFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchDatabaseCreated`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUserCulture`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMobileMailboxFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`siteFolderGUID`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`siteFolderServer`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchEDBOffline`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`userCertificate`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMDtmfMap`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchBlockedSendersHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Personal Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Public Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPatchMDB`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`publicDelegates`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMSpokenName`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMPinChecksum`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`legacyExchangeDN`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchSafeSendersHash`
Управление организацией	Разрешающий элемент управления доступом	Все	Создание общей папки верхнего уровня
Управление общими папками	Разрешающий элемент управления доступом	Все	Создание общей папки верхнего уровня
Управление организацией	Разрешающий элемент управления доступом	Все	Просмотр состояния банка данных
Управление общими папками	Разрешающий элемент управления доступом	Все	Просмотр состояния банка данных
Управление организацией	Разрешающий элемент управления доступом	Все	Администрирование банка данных
Управление общими папками	Разрешающий элемент управления доступом	Все	Администрирование банка данных
Управление организацией	Разрешающий элемент управления доступом	Все	Создание именованных свойств в банке данных
Управление общими папками	Разрешающий элемент управления доступом	Все	Создание именованных свойств в банке данных
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение списка управления доступом к общим папкам
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение списка управления доступом к общим папкам
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение квот общих папок
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение квот общих папок
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение административного списка управления доступом к общим папкам
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение административного списка управления доступом к общим папкам
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение срока действия общих папок
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение срока действия общих папок
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение списка реплик общих папок
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение списка реплик общих папок
Управление организацией	Разрешающий элемент управления доступом	Все	Изменение срока хранения удаленного элемента общей папки
Управление общими папками	Разрешающий элемент управления доступом	Все	Изменение срока хранения удаленного элемента общей папки
Управление организацией	Разрешающий элемент управления доступом	Все	Создание общей папки
Управление общими папками	Разрешающий элемент управления доступом	Все	Создание общей папки
Все NT Authority\Анонимный вход	Разрешающий элемент управления доступом	Все	Создание именованных свойств в банке данных
Все NT Authority\Анонимный вход	Разрешающий элемент управления доступом	Все	Создание общей папки
Все NT Authority\Анонимный вход	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ msExchPrivateMDB`
Все NT Authority\Анонимный вход	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ msExchPublicMDB`
Серверы Exchange	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ siteAddressing`

Различающееся имя объекта: CN=All Address Lists,CN=Address Lists Container,CN=<организация>

Учетная запись Тип элемента управления доступом Наследование Разрешения К свойству

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Вывод списка содержимого
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Управление общими папками	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Пользователи, прошедшие проверку

Разрешающий элемент управления доступом

Все

Вывод списка содержимого

Управление организацией

Разрешающий элемент управления доступом

Все

Запись свойства

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Управление общими папками

Разрешающий элемент управления доступом

Все

Запись свойства

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Различающееся имя объекта: CN=Offline Address Lists,CN=Address Lists Container, CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Загрузка автономной адресной книги

Различающееся имя объекта: CN=Addressing,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение

Различающееся имя объекта: CN=Recipient Policies,CN=<организация>

Учетная запись Тип элемента управления доступом Наследование Разрешения К свойству

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Управление общими папками	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Управление организацией

Разрешающий элемент управления доступом

Все

Запись свойства

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Управление общими папками

Разрешающий элемент управления доступом

Все

Запись свойства

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Разрешения контейнера раздела конфигурации

В таблицах разрешений, приведенных в этом разделе, показаны разрешения, установленные с помощью команды Setup /PrepareAD на различных контейнерах в разделе конфигурации.

Различающееся имя объекта: CN=Sites,CN=Configuration,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchVersion / site`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchVersion / site-link`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPartnerId / site`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом		Запись свойства	`msExchTransportSiteFlags / site`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchCost / site-link`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ msExchEdgeSyncEHFConnector`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ msExchEdgeSyncMservConnector`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Дочерние объекты	Создание дочернего объекта Удаление дочернего объекта Удаление дерева	`msExchEdgeSyncServiceConfig / site`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение разрешений Вывод списка содержимого Чтение свойства Вывод списка объектов	`/ msExchEdgeSyncServiceConfig`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Дочерние объекты	Создание дочернего объекта Удаление дочернего объекта Удаление дерева	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
Управление организацией Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Дочерние объекты	Создание дочернего объекта Удаление дочернего объекта Удаление дерева	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

Различающееся имя объекта: CN=Deleted Objects,CN=Configuration,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	Примечания
Серверы Exchange	Разрешающий элемент управления доступом	Все	Вывод списка содержимого
Администрирование организации	Разрешающий элемент управления доступом	Все	Чтение разрешения Запись разрешения Вывод списка содержимого Чтение свойства Вывод списка объектов
Учетная запись установки	Разрешающий элемент управления доступом	Все	Чтение разрешения Запись разрешения Вывод списка содержимого Чтение свойства Вывод списка объектов	Это учетная запись, используемая для выполнения команды `/PrepareAD`.
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Чтение разрешения Вывод списка содержимого Чтение свойства Вывод списка объектов

Разрешения административной группы Exchange

Команда Setup /PrepareAD также настраивает для административных групп в организации указанные ниже разрешения.

Различающееся имя объекта: CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Управление организацией	Разрешающий элемент управления доступом	Убыв	Доступ к службе обновления получателей	`msExchExchangeServer`	Разрешает администраторам получателей Exchange отмечать получателей, указывая сведения об адресе прокси-сервера.
NT AUTHORITY\СИСТЕМА	Разрешающий элемент управления доступом	Убыв	Доступ к службе обновления получателей	`msExchExchangeServer`	Разрешает серверам отмечать получателей, указывая сведения об адресе прокси-сервера.
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Доступ к службе обновления получателей	`msExchExchangeServer`	Разрешает администраторам общих папок Exchange указывать для получателей сведения об адресе прокси-сервера.

Различающееся имя объекта: CN=Advanced Security Settings,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Вывод списка содержимого

Различающееся имя объекта: CN=Encryption,CN=Advanced Security Settings,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Чтение свойства

Различающееся имя объекта: CN=Arrays,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Вывод списка содержимого

Различающееся имя объекта: CN=Database Availability Groups,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Вывод списка содержимого

Различающееся имя объекта: CN=Databases,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Вывод списка содержимого

Различающееся имя объекта: CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Серверы Exchange	Запрещающий элемент управления доступом	Все	Получить как		Серверам Exchange не разрешается открывать почтовые ящики.
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Вывод списка содержимого

Разрешения контейнера групп безопасности Microsoft Exchange

В таблицах разрешений, приведенных в этом разделе, показаны разрешения, установленные для контейнера групп безопасности Microsoft Exchange в разделе корневого домена.

Различающееся имя объекта: OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Учетная запись Тип элемента управления доступом Наследование Разрешения К свойству

Управление организацией

Разрешающий элемент управления доступом

Все

Полный доступ

Доверенная подсистема Exchange

Разрешающий элемент управления доступом

Все

Создание дочернего объекта

Удаление дочернего объекта

/ Group

Доверенная подсистема Exchange

Разрешающий элемент управления доступом

Убыв

Запись свойства

Member / group

Различающееся имя объекта: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<корневой домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Управление организацией	Разрешающий элемент управления доступом	Все	Полный доступ

Различающееся имя объекта: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Управление организацией	Разрешающий элемент управления доступом	Все	Полный доступ

Различающееся имя объекта: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Управление организацией

Разрешающий элемент управления доступом

Все

Полный доступ

Администраторы корневого домена

Разрешающий элемент управления доступом

Все

Члены с правами на чтение

Члены с правами на запись

Администраторы дочернего домена

Разрешающий элемент управления доступом

Все

Члены с правами на чтение

Члены с правами на запись

Подготовка домена

В следующих таблицах показаны разрешения, установленные при выполнении команды Setup /PrepareDomain.

Различающееся имя объекта: DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Information`
NT AUTHORITY\СЕТЬ	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Personal Information`	Предоставляет транспортной службе разрешения на чтение.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`groupType`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMailboxSecurityDescriptor`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMServerWritableFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`userAccountControl`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`canonicalName`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Personal Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUserCultulre`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`memberOf`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`garbageCollPeriod`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Синхронизация репликации		Расширенное право
Серверы Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта Вывод списка дочерних объектов	`msExchActiveSyncDevices / User`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchSafeSendersHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMobileMailboxFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchSafeRecipientsHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`userCertificate`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMDtmfMap`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchBlockedSendersHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMSpokenName`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMPinChecksum`
Управление организацией	Разрешающий элемент управления доступом	Все	Чтение
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Information`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`garbageCollPeriod`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`legacyExchangeDN`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`textEncodedORAddress`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`proxyAddresses`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`mail`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`displayNamePrintable`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`showInAddressBook`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Personal Information`
Управление организацией	Разрешающий элемент управления доступом	Все	Полный доступ	`/ msExchDynamicDistributionList`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`adminDisplayName`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`displayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Чтение
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`displayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Public Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`adminDisplayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Полный доступ	`/ msExchDynamicDistributionList`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Personal Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`garbageCollPeriod`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`textEncodedORAddress`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`showInAddressBook`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`legacyExchangeDN`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Personal Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`proxyAddresses`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`displayNamePrintable`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`mail`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`pwdLastSet`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Удаление дерева WriteDACL	`/ user`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Удаление дерева WriteDACL	`/ inetOrgPerson`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`sAMAccountName`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ contact`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ user`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ organizationUnit`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ group`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ computer`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Member`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`wwwHomePage`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`countryCode`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`userAccountControl`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`managedBy`
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Сброс пароля		Расширенное право
Разрешения Windows Exchange	Разрешающий элемент управления доступом	Все	Изменение пароля		Расширенное право

Различающееся имя объекта: CN=AdminSDHolder,CN=System,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`groupType`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMailboxSecurityDescriptor`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMServerWritableFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`userAccountControl`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`canonicalName`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Personal Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Information`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUserCultulre`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`memberOf`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение свойства	`garbageCollPeriod`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Синхронизация репликации		Расширенное право
Серверы Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта Вывод списка дочерних объектов	`msExchActiveSyncDevices / User`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchSafeSendersHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchMobileMailboxFlags`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchSafeRecipientsHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`userCertificate`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMDtmfMap`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchBlockedSendersHash`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMSpokenName`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchUMPinChecksum`
Управление организацией	Разрешающий элемент управления доступом	Все	Чтение
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Information`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`garbageCollPeriod`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`legacyExchangeDN`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`textEncodedORAddress`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`proxyAddresses`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`mail`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`displayNamePrintable`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`showInAddressBook`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Personal Information`
Управление организацией	Разрешающий элемент управления доступом	Все	Полный доступ	`/ msExchDynamicDistributionList`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`adminDisplayName`
Управление организацией	Разрешающий элемент управления доступом	Все	Запись свойства	`displayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Чтение
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`displayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Public Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`msExchPublicDelegates`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`adminDisplayName`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Полный доступ	`/ msExchDynamicDistributionList`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Exchange Personal Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`garbageCollPeriod`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`textEncodedORAddress`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`showInAddressBook`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`legacyExchangeDN`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`Personal Information`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`proxyAddresses`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`displayNamePrintable`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Запись свойства	`mail`

Различающееся имя объекта: CN=Microsoft Exchange System Objects,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
NT AUTHORITY\СЕТЬ	Разрешающий элемент управления доступом	Все	Чтение свойства	`Exchange Personal Information`
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение разрешений
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства	`garbageCollPeriod`
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства	`adminDisplayName`
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства	`modifyTimeStamp`
Серверы Exchange	Запрещающий элемент управления доступом	Все	Удаление дерева
Серверы Exchange	Разрешающий элемент управления доступом	Все	Чтение Удаление дерева
Серверы Exchange	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ msExchSystemMailbox`
Серверы Exchange	Разрешающий элемент управления доступом	Все		`/ publicFolder`
Серверы Exchange	Разрешающий элемент управления доступом	Убыв	Запись свойства	`/ publicFolder`
Серверы Exchange	Разрешающий элемент управления доступом	Убыв	Запись свойства	`/ msExchSystemMailbox`
Управление организацией	Разрешающий элемент управления доступом	Все	Чтение
Управление организацией	Разрешающий элемент управления доступом	Убыв	Запись свойства	`/ msExchSystemMailbox`
Управление организацией	Разрешающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ msExchSystemMailbox`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`mail / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayNamePrintable / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayName / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`textEncodedORAddress / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`proxyAddresses / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`cn / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`showInAddressBook / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Information / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`legacyExchangeDN / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Personal Information / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msDSPhoneticDisplayName / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPFContacts / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`garbageCollPeriod / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`name / publicFolder`
Управление организацией	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPublicDelegates / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Все	Чтение
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`mail / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayNamePrintable / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayName / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`textEncodedORAddress / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`proxyAddresses / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`cn / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`showInAddressBook / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Information / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`legacyExchangeDN / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Personal Information / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msDSPhoneticDisplayName / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPFContacts / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`garbageCollPeriod / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`name / publicFolder`
Управление общими папками	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPublicDelegates / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Все	Чтение
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`mail / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayNamePrintable / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`displayName / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`textEncodedORAddress / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`proxyAddresses / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`cn / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`showInAddressBook / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Information / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`legacyExchangeDN / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`Exchange Personal Information / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msDSPhoneticDisplayName / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPFContacts / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`garbageCollPeriod / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`name / publicFolder`
Доверенная подсистема Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства Запись свойства	`msExchPublicDelegates / publicFolder`

Установка роли сервера

В процессе установки ролей сервера клиентского доступа, транспортного сервера-концентратора, сервера единой системы обмена сообщениями и сервера почтовых ящиков программа установки добавляет универсальную группу безопасности «Управление организацией» в административную группу безопасности на локальном компьютере, чтобы участники группы ролей управления с именем «Управление организацией» могли управлять сервером.

В следующей таблице показаны разрешения, устанавливаемые при установке ролей сервера клиентского доступа, транспортного сервера-концентратора, сервера единой системы обмена сообщениями или сервера почтовых ящиков.

Различающееся имя объекта: CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
MACHINE$	Разрешающий элемент управления доступом	Все	Чтение
MACHINE$	Разрешающий элемент управления доступом	Нет	Запись свойства	`msExchServerSite` `msExchEdgeSyncCredential`
Серверы Exchange	Разрешающий элемент управления доступом	Все	Доступ к транспорту хранилища Ограниченное делегирование хранилища Доступ к хранилищу только для чтения Доступ к хранилищу на чтение и запись		Расширенные права
NT AUTHORITY\СЕТЬ	Разрешающий элемент управления доступом	Все	Сериализация маркера веб-служб Exchange		Расширенное право Объекты роли, предоставляемые только на сервере клиентского доступа.
NT AUTHORITY\СЕТЬ	Разрешающий элемент управления доступом	Все	Чтение		Объекты роли, предоставляемые только на транспортном сервере концентраторе.
Делегированная установка	Разрешающий элемент управления доступом	Все	Полный доступ
Делегированная установка	Разрешающий элемент управления доступом	Все	Чтение
Делегированная установка	Запрещающий элемент управления доступом	Все	Создание дочернего объекта Удаление дочернего объекта	`/ msExchPublicMDB`
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Чтение свойства
Делегированная установка	Запрещающий элемент управления доступом	Все	Получить как Отправить как		Расширенное право

Группы обеспечения доступности баз данных

В таблицах разрешений, приведенных в этом разделе, показаны разрешения, установленные для групп обеспечения доступности баз данных и их участников.

Различающееся имя объекта: CN=<DAGName>,CN=Database Availability Groups,CN=<административная_группа>,CN=Administrative Groups,CN=>организация<

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Чтение свойств

Различающееся имя объекта: CN=<DAGName>,CN=Computers,DC=<домен>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Удаление Чтение разрешений Вывод списка содержимого Чтение свойства Удаление дерева Вывод списка объектов
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`Logon Information`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`description`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`displayName`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`sAMAccountName`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`Account Restrictions`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`Validated write to DNS host name`
Учетная запись компьютера сервера почтовых ящиков$	Разрешающий элемент управления доступом	Нет	Запись свойства	`Validated write to service principal name`

Пограничный транспортный сервер

При установке пограничного транспортного сервера и установлении пограничной подписки с организацией Exchange устанавливаются разрешения из приведенной ниже таблицы разрешений.

Различающееся имя объекта: CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Серверы Exchange	Разрешающий элемент управления доступом	Все	Запись свойства
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Нет	Чтение свойств		Элемент управления доступом определен в схеме для класса `msExchExchangeServer class` объектов `defaultSecurityDescriptor.`.

Установка сервера клиентского доступа

В процессе установки первого сервера клиентского доступа создается указанный ниже контейнер. В приведенной ниже таблице разрешений показаны применяемые разрешения.

Различающееся имя объекта: CN=Availability Configuration,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	К свойству	Примечания
Серверы Exchange	Разрешающий элемент управления доступом	Убыв	Чтение свойства	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	Расширенное право

Установка транспортного сервера-концентратора

В процессе установки каждого транспортного сервера-концентратора устанавливаются указанные ниже разрешения.

Различающееся имя объекта: CN=Default <сервер>,CN=SMTP Receive Connectors,CN=Protocols,CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	Примечания
ExchangeLegacyInterop	Запрещающий элемент управления доступом	Все	Принимать заголовки леса
ExchangeLegacyInterop	Запрещающий элемент управления доступом	Все	Принимать заголовки организации
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать любого отправителя
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Принимать любого отправителя
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать любого отправителя	Это известный идентификатор безопасности (SID) для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать любого отправителя	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Принимать любого отправителя	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать EXCH50
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Принимать EXCH50
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать EXCH50	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать EXCH50	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Принимать EXCH50	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Прием XShadow
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Прием XShadow	Это известный идентификатор безопасности для пограничных транспортных серверов.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать заголовки леса
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать заголовки леса	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать заголовки леса	Это известный идентификатор безопасности для пограничных транспортных серверов.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать флаг проверки подлинности
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Принимать флаг проверки подлинности
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать флаг проверки подлинности	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать флаг проверки подлинности	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Принимать флаг проверки подлинности	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Обходить предел размера сообщения
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Обходить предел размера сообщения
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Обходить предел размера сообщения	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Обходить предел размера сообщения	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Обходить предел размера сообщения	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать заголовки организации
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать заголовки организации	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать заголовки организации	Это известный идентификатор безопасности для пограничных транспортных серверов.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу	Это известный идентификатор безопасности серверов с внешней защитой.
Серверы Exchange	Разрешающий элемент управления доступом	Все	Принимать отправителей доверенного домена
ExchangeLegacyInterop	Разрешающий элемент управления доступом	Все	Принимать отправителей доверенного домена
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Принимать отправителей доверенного домена	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Принимать отправителей доверенного домена	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Принимать отправителей доверенного домена	Это известный идентификатор безопасности серверов с внешней защитой.
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу

Различающееся имя объекта: CN=Client <сервер>,CN=SMTP Receive Connectors,CN=Protocols,CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Отправлять сообщения любому получателю
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Принимать заголовки маршрутизации
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Обходить защиту от нежелательной почты
Пользователи, прошедшие проверку	Разрешающий элемент управления доступом	Все	Отправлять сообщения серверу

Создание соединителя отправки SMTP

В следующей таблице показаны разрешения, устанавливаемые при создании соединителей отправки.

Различающееся имя объекта: CN=<имя_соединителя>,CN=Connections,CN=<группа_маршрутизации>,CN=Routing Groups, CN=<административная_группа>,CN=<организация>

Учетная запись	Тип элемента управления доступом	Наследование	Разрешения	Примечания
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправлять заголовки организации	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправлять заголовки организации	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправлять заголовки леса	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправлять заголовки леса	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправка XShadow	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправка XShadow	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-10	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации	Это известный идентификатор безопасности для серверов-партнеров.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации	Это известный идентификатор безопасности серверов с внешней защитой.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации	Это известный идентификатор безопасности для устаревших серверов Exchange.
NT AUTHORITY\АНОНИМНЫЙ ВХОД	Разрешающий элемент управления доступом	Все	Отправлять заголовки маршрутизации
S-1-9-1419165041-1139599005-3936102811-1022490595-21	Разрешающий элемент управления доступом	Все	Отправка Exch50	Это известный идентификатор безопасности для транспортных серверов-концентраторов.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	Разрешающий элемент управления доступом	Все	Отправка Exch50	Это известный идентификатор безопасности для пограничных транспортных серверов.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	Разрешающий элемент управления доступом	Все	Отправка Exch50	Это известный идентификатор безопасности серверов с внешней защитой.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	Разрешающий элемент управления доступом	Все	Отправка Exch50	Это известный идентификатор безопасности для устаревших серверов Exchange.

Поделиться через

Справочник по разрешениям развертывания Exchange 2010

Подготовка разрешений для прежних версий Exchange

Различающееся имя объекта: DC=<домен>

Различающееся имя объекта: CN=AdminSDHolder,CN=System,DC=<домен>

Различающееся имя объекта: CN=<организация>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Подготовка разрешений Active Directory

Разрешения контейнера Microsoft Exchange

Различающееся имя объекта: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Разрешения контейнера автообнаружения Microsoft Exchange

Различающееся имя объекта: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<домен>

Разрешения контейнера организации Microsoft Exchange

Различающееся имя объекта: CN=<организация>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<домен>

Различающееся имя объекта: CN=All Address Lists,CN=Address Lists Container,CN=<организация>

Различающееся имя объекта: CN=Offline Address Lists,CN=Address Lists Container, CN=<организация>

Различающееся имя объекта: CN=Addressing,CN=<организация>

Различающееся имя объекта: CN=Recipient Policies,CN=<организация>

Разрешения контейнера раздела конфигурации

Различающееся имя объекта: CN=Sites,CN=Configuration,DC=<домен>

Различающееся имя объекта: CN=Deleted Objects,CN=Configuration,DC=<домен>

Разрешения административной группы Exchange

Различающееся имя объекта: CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Advanced Security Settings,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Encryption,CN=Advanced Security Settings,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Arrays,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Database Availability Groups,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Databases,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Различающееся имя объекта: CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Разрешения контейнера групп безопасности Microsoft Exchange

Различающееся имя объекта: OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Различающееся имя объекта: CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<корневой домен>

Различающееся имя объекта: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Различающееся имя объекта: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<корневой_домен>

Подготовка домена

Различающееся имя объекта: DC=<домен>

Различающееся имя объекта: CN=AdminSDHolder,CN=System,DC=<домен>

Различающееся имя объекта: CN=Microsoft Exchange System Objects,DC=<домен>

Установка роли сервера

Различающееся имя объекта: CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Группы обеспечения доступности баз данных

Различающееся имя объекта: CN=<DAGName>,CN=Database Availability Groups,CN=<административная_группа>,CN=Administrative Groups,CN=>организация<

Различающееся имя объекта: CN=<DAGName>,CN=Computers,DC=<домен>

Пограничный транспортный сервер

Различающееся имя объекта: CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=Administrative Groups,CN=<организация>

Установка сервера клиентского доступа

Различающееся имя объекта: CN=Availability Configuration,CN=<организация>

Установка транспортного сервера-концентратора

Различающееся имя объекта: CN=Default <сервер>,CN=SMTP Receive Connectors,CN=Protocols,CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=<организация>

Различающееся имя объекта: CN=Client <сервер>,CN=SMTP Receive Connectors,CN=Protocols,CN=<сервер>,CN=Servers,CN=<административная_группа>,CN=<организация>

Создание соединителя отправки SMTP

Различающееся имя объекта: CN=<имя_соединителя>,CN=Connections,CN=<группа_маршрутизации>,CN=Routing Groups, CN=<административная_группа>,CN=<организация>

Дополнительные ресурсы