Поделиться через


Настройка администрирования между лесами

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2010-09-20

В этом разделе описывается использование программы Setup.com для включения возможности администрирования между лесами. Эта процедура используется при наличии в одном лесу учетной записи пользователя, которой необходимо администрировать Microsoft Exchange Server 2007 в другом лесу. Эта процедура используется в описанных ниже случаях.

  • Лес ресурсов является обычным примером того, когда имеется один лес (лес учетных записей пользователей), который не содержит серверов Exchange, и отдельный лес для организации Exchange.

  • Классическим случаем администрирования между лесами Exchange является ситуация, при которой необходимо, чтобы пользователь в одном лесу администрировал серверы Exchange в обоих лесах. Кроме того, может потребоваться, чтобы пользователь в одном лесу администрировал только сервер Exchange в другом лесу.

Чтобы администрировать серверы, свойства и получателей Exchange, администратору необходимо делегировать одну из следующих ролей администраторов Exchange:

  • Администратор организации Exchange

  • Администратор общих папок Exchange

  • Администратор получателей Exchange

  • роль администратора Exchange с правами на просмотр.

noteПримечание.
Роль администратора общих папок Exchange отсутствует в окончательной первоначальной версии сервера Exchange Server 2007. Эта роль появилась в сервере Exchange Server 2007 с пакетом обновления 1 (SP1).

Тем не менее пользователю из другого леса назначить роль администратора Exchange нельзя. Чтобы администрировать серверы Exchange 2007 в лесу Б, используя учетную запись пользователя в лесу А, необходимо выполнить следующие действия:

  1. создать такие же роли администраторов Exchange в лесу А, если они не существуют;

  2. запустить программу Setup.com с параметром ForeignForestFQDN, чтобы предоставить разрешения на объекты в лесу Б ролям леса А;

  3. назначить пользователям в лесу А созданные роли администраторов Exchange в лесу А.

Начальное состояние

начальное состояние — включение администрирования между лесами

Этап 1. Создание параллельных ролей администраторов Exchange в лесу А

Этап 1. Включение администрирования между лесами

Этап 2. Предоставление разрешений

Этап 2. Включение администрирования между лесами

Этап 3. Добавление пользователя для ролей Exchange в лесу А

Этап 3. Включение администрирования между лесами

importantВажно!
После настройки администрирования между лесами выполнение каких-либо действий программы установки Exchange в одном лесу с использованием учетной записи пользователя из другого леса не поддерживается. Например, не поддерживаются такие возможности, как добавление или удаление ролей сервера и восстановление сервера в одном лесу с использованием учетной записи пользователя в другом лесу, даже если эта учетная запись пользователя настроена для администрирования между лесами.
noteПримечание.
Чтобы создать роли администраторов Exchange, необходимо использовать оснастку "Пользователи и компьютеры Active Directory" для создания групп. Для области действия группы необходимо выбрать значение Универсальная, а для типа группы — значение Безопасность. Дополнительные сведения см. в разделе Вопросы, связанные с разрешениями.

Предварительная подготовка

Убедитесь в том, что для обоих лесов используется режим работы Microsoft Windows Server 2003. Дополнительные сведения о режимах работы Active Directory см. в статье Общие сведения о режимах работы (на английском языке).

Создайте двустороннее отношение доверия между лесами. Дополнительные сведения см. в статье Создание двустороннего отношения доверия лесов для обеих сторон доверия (на английском языке). Это отношение необходимо для настройки администрирования между лесами. В случае использования леса ресурсов после завершения процедуры настройки администрирования между лесами можно понизить уровень доверия до одностороннего отношения доверия таким образом, чтобы лес Exchange доверял лесу учетных записей пользователей. Имейте в виду, что для использования общих папок необходимо двустороннее отношение доверия.

noteПримечание.
Убедитесь в том, что тип доверия — Лес, а не Внешний.

В приведенной ниже процедуре лес А — это лес, в котором находится учетная запись пользователя, которой необходимо администрировать серверы Exchange 2007 в другом лесу. Лес Б — это лес, в котором находятся серверы Exchange 2007, которые будет администрировать пользователь из леса А.

Для выполнения действий для леса А используемой учетной записи необходимо делегировать следующие полномочия:

  • членство в группе администраторов предприятия в лесу А.

Для выполнения действий для леса Б используемой учетной записи необходимо делегировать следующие полномочия:

  • членство в группе администраторов предприятия в лесу Б.
noteПримечание.
Если учетная запись обладает правами уровня администратора предприятия в лесах А и Б, при выполнении команды Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com будут автоматически выполнены действия 2—7. Тем не менее, поскольку наличие пользователя с правами уровня администратора предприятия в обоих лесах одновременно маловероятно, рекомендуется выполнить действия 2—7 вручную, чтобы сначала создать универсальные группы безопасности Exchange и назначить разрешения для этих групп в лесу А с помощью учетной записи, которая является членом группы администраторов предприятия только в лесу А. Затем в лесу Б с помощью учетной записи, которая является членом группы администраторов предприятия только в лесу Б, можно выполнить команду Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com.
importantВажно!
Администраторы должны входить на серверы леса ресурсов, используя проверку подлинности на основе имени-участника пользователя (UPN). Администраторы должны также убедиться в том, что все необычные суффиксы UPN зарегистрированы в доверии леса, чтобы при входе в систему у них был билет Kerberos. Билет Kerberos нужен для подключения средств управления Exchange к контексту именования конфигурации в лесу ресурсов. Если используется проверка подлинности NTLM (домен\имя_пользователя), привязка LDAP в средствах управления может привести к сбою, если не существует кэшированное подключение к домену леса учетных записей.

Процедура

Exchange Server 2007 с пакетом обновления 1 (SP1)

Настройка администрирования между лесами в сервере Exchange Server 2007 с пакетом обновления 1 (SP1)

  1. В классическом случае администрирования между лесами сервер Exchange устанавливается как в лесу А, так и в лесу Б. Если необходимо, чтобы пользователь в лесу А, который будет администрировать Exchange в лесу Б, не являлся администратором в лесу А, необходимо переименовать или переместить следующее подразделение и группы в лесу А:

    • Группы безопасности Microsoft Exchange

    • Администраторы организации Exchange

    • Администраторы общих папок Exchange

    • Администраторы получателей Exchange

    • Администраторы Exchange с правами на просмотр

    Для этого воспользуйтесь одним из предлагаемых ниже способов.

    • Переименуйте подразделение или группу

    • Переместите подразделение или группу в другое подразделение

    • Переместите подразделение или группу в другой домен

    После переименования или перемещения этих групп они сохранят членство и разрешения, а серверы Exchange в лесу А можно будет администрировать с помощью учетных записей, входящих в эти группы.

    Если, как в классическом случае администрирования между лесами, сервер Exchange установлен как в лесу А, так и в лесу Б, и требуется, чтобы пользователь в лесу А администрировал Exchange в обоих лесах, перейдите к действию 9.

    В случае использования леса ресурсов перейдите к действию 2.

  2. В корневом домене леса А создайте новое подразделение с именем Группы безопасности Microsoft Exchange. Дополнительные сведения о создании подразделений см. в статье Создание подразделения.

  3. В подразделении Группы безопасности Microsoft Exchange в лесу А создайте следующие универсальные группы безопасности:

    • роль администратора организации Exchange.

    • Администраторы общих папок Exchange

    • Администраторы получателей Exchange

    • Администраторы просмотра Exchange

    Дополнительные сведения см. в статье Создание группы (на английском языке).

    noteПримечание.
    Убедитесь в том, что для области действия группы выбрано значение Универсальная, а для типа группы — значение Безопасность.
  4. В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы получателей Exchange.

    1. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов получателей Exchange нажмите кнопку ОК.

  5. Выполните в лесу А указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы общих папок Exchange.

    1. Щелкните правой кнопкой мыши группу Администраторы общих папок Exchange и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов общих папок Exchange нажмите кнопку ОК.

  6. В лесу А выполните перечисленные ниже действия, чтобы добавить группу Администраторы получателей Exchange в группу Администраторы Exchange с правами на просмотр.

    1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы получателей Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.

  7. В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы общих папок Exchange в группу Администраторы Exchange с правами на просмотр.

    1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы общих папок Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.

  8. В оснастке "Пользователи и компьютеры Active Directory" в лесу А в меню Вид выберите пункт Дополнительные параметры и выполните действия, перечисленные ниже.

    1. Щелкните правой кнопкой мыши подразделение Группы безопасности Microsoft Exchange и выберите пункт Свойства.

    2. На вкладке Безопасность нажмите кнопку Дополнительно.

    3. На вкладке Разрешения в списке Элементы разрешений выберите пункт Администраторы организации Exchange и нажмите кнопку Изменить.

    4. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.

    5. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.

    6. Нажмите кнопку ОК.

    7. На вкладке Разрешения выберите пункт Администраторы получателей Exchange и нажмите кнопку Изменить.

    8. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.

    9. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.

    10. Нажмите кнопку ОК.

    11. На вкладке Разрешения выберите пункт Администраторы общих папок Exchange и нажмите кнопку Изменить.

    12. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.

    13. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.

    14. Нажмите кнопку ОК.

    15. На вкладке Разрешения выберите пункт Администраторы Exchange с правами только на просмотр и нажмите кнопку Изменить.

    16. На вкладке Объект в списке Применить к выберите пункт Этот объект и все дочерние объекты.

    17. В списке Разрешения найдите пункт Полный доступ, а затем установите флажок Разрешить.

    18. Дважды нажмите кнопку ОК.

  9. Войдите в лес Б с учетной записью, которая является членом группы администраторов предприятия в лесу Б, и выполните в окне командной строки следующую команду:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    Эта команда проверит, что в лесу А были созданы универсальные группы безопасности Exchange, а разрешения были установлены правильно. В лесу Б команда настроит записи управления доступом в Active Directory для объектов конфигурации Exchange таким образом, что вновь созданные в лесу А универсальные группы безопасности Exchange получили права на настройку Exchange в лесу Б. При выполнении команды Setup /PrepareAD без параметра ForeignForestFQDN эта команда создаст универсальные группы безопасности Exchange в локальном лесу и установит разрешения для этих групп. Параметр ForeignForestFQDN используется для указания того, что универсальным группам безопасности Exchange во внешнем лесу необходимо предоставить разрешение на настройку Exchange в том лесу, в котором выполняется команда.

  10. Чтобы проверить, что программа установки успешно завершила работу, выполните перечисленные ниже действия.

    1. В лесу Б щелкните правой кнопкой мыши универсальную группу безопасности Серверы Exchange Server и выберите пункт Свойства.

    2. На вкладке Безопасность в списке Группы или пользователи выберите пункт Администраторы организации Exchange (<домен леса А\Администраторы организации Exchange>).

    3. Убедитесь в том, что для разрешения Полный доступ установлено значение Разрешить.

    noteПримечание.
    Если программе установки не удается выполнить задачу из-за недостаточных прав доступа, убедитесь в том, что в лесу А правильно созданы универсальные группы безопасности, что эти группы правильно вложены, а группа администраторов организации Exchange имеет полный доступ к новому подразделению и всем трем новым универсальным группам безопасности, а затем выполните действие 9 еще раз.
  11. Чтобы администрировать Exchange в лесу Б с помощью учетной записи леса А, добавьте учетную запись в лесу А в одну или несколько универсальных групп безопасности Exchange, созданных в лесу А.

  12. Измените доверие между лесами с двусторонего на одностороннее (необязательно). Для этого удалите существующее двустороннее входящее доверие с лесом А. Дополнительные сведения см. в статье Удаление созданного вручную доверия (на английском языке).

    noteПримечание.
    Установите флажок Да, удалить отношение доверия в локальном и другом доменах..
    noteПримечание.
    Необходимо сохранить исходящее доверие.
  13. В оснастке "Пользователи и компьютеры Active Directory" для леса Б в меню Вид выберите пункт Дополнительные параметры.

  14. Если необходимо, чтобы администраторы получателей в лесу А администрировали пользователей в лесу Б, необходимо вручную назначить им разрешения (необязательно). Выполните перечисленные ниже действия.

    1. В оснастке "Пользователи и компьютеры Active Directory" в лесу Б щелкните правой кнопкой мыши контейнер Пользователи и выберите пункт Свойства.

    2. На вкладке Безопасность нажмите кнопку Дополнительно.

    3. В списке записей разрешений выберите запись, параметр Тип которой имеет значение Разрешить, Имя — "Администраторы получателей Exchange" (<Домен леса А\Администраторы получателей Exchange>), а Разрешение — Особые, и нажмите кнопку Изменить.

    4. На странице Элемент разрешения для пользователей на вкладке Объекты в разделе Разрешения установите флажок Разрешить для следующих разрешений: Список содержимого, Чтение всех свойств, Запись всех свойств, Чтение разрешений, Создание объектов пользователей, Удаление объектов пользователей.

    5. Нажмите кнопку ОК.

    6. На странице Дополнительные параметры безопасности для пользователей установите флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам и нажмите кнопку ОК.

    noteПримечание.
    Это действие предоставляет членам группы администраторов получателей Exchange в лесу А разрешения, необходимые для изменения объектов в контейнере Пользователь в лесу Б. При выполнении команды Setup /ForeignForestFQDN в лесу Б (действие 9) пользователям групп безопасности Exchange в лесу А было предоставлено разрешение на свойства Exchange в лесу Б, но не на свойства пользователей Windows в лесу Б.
    Чтобы предоставить другим группам в лесу А разрешения на изменение объектов в контейнере Пользователь в лесу Б, выберите на странице Дополнительно параметры безопасности для пользователей другую группу.
  15. Если требуется, чтобы администраторы в лесу А имели разрешение на использование консоли управления Exchange и командной консоли Exchange на сервере Exchange в лесу Б, необходимо вручную предоставить пользователю разрешения на доступ к каталогам Bin, Public и Scripts в каталоге сервера Exchange (необязательно). Выполните перечисленные ниже действия.

    1. Перейдите в каталог сервера Exchange, в котором установлен Exchange. (По умолчанию используется каталог %programfiles%\Microsoft\Exchange Server.)

    2. Щелкните правой кнопкой мыши каталог Bin и выберите пункт Свойства.

    3. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    4. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    5. Щелкните правой кнопкой мыши каталог Общее и выберите пункт Свойства.

    6. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    7. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    8. Щелкните правой кнопкой мыши каталог Scripts и выберите пункт Свойства.

    9. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    10. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    noteПримечание.
    Для администрирования сервера Exchange в лесу Б пользователи в лесу А должны также иметь возможность входить в систему сервера в лесу Б, на котором установлен сервер Exchange или средства управления Exchange. Если пользователи в лесу А добавлены в группу администраторов домена или в локальную группу администраторов на сервере в лесу Б и могут входить в систему сервера в лесу Б, эти пользователи уже имеют разрешение Чтение и выполнение для каталогов Bin, Public и Scripts. Кроме того, можно предоставить пользователям в лесу А отдельные разрешения на удаленный вход в систему сервера с помощью компонента "Службы терминалов" Windows Server 2003.

Окончательная первоначальная (RTM) версия сервера Exchange Server 2007

Настройка администрирования между лесами в окончательной первоначальной версии сервера Exchange Server 2007

  1. В классическом случае администрирования между лесами сервер Exchange установлен как в лесу А, так и в лесу Б. Если необходимо, чтобы пользователь в лесу А, который будет администрировать Exchange в лесу Б, не являлся администратором в лесу А, необходимо переименовать, переместить в другое подразделение либо в другой домен следующее подразделение и группы в лесу А:

    • Группы безопасности Microsoft Exchange

    • роль администратора организации Exchange.

    • Администраторы получателей Exchange

    • Администраторы просмотра Exchange

    После переименования или перемещения этих групп они сохранят членство и разрешения, а серверы Exchange в лесу А можно будет администрировать с помощью учетных записей, входящих в эти группы.

    Если, как в классическом случае, сервер Exchange установлен как в лесу А, так и в лесу Б, и требуется, чтобы пользователь в лесу А администрировал Exchange в обоих лесах, перейдите к действию 7.

    В случае использования леса ресурсов перейдите к действию 2.

  2. В корневом домене леса А создайте новое подразделение с именем Группы безопасности Microsoft Exchange. Дополнительные сведения о создании подразделений см. в статье Создание подразделения (на английском языке).

  3. В подразделении Группы безопасности Microsoft Exchange в лесу А создайте следующие универсальные группы безопасности:

    • роль администратора организации Exchange.

    • Администраторы получателей Exchange

    • Администраторы просмотра Exchange

    Дополнительные сведения см. в статье Создание группы (на английском языке).

    noteПримечание.
    Убедитесь в том, что для области действия группы выбрано значение Универсальная, а для типа группы — значение Безопасность.
  4. В лесу А выполните указанные ниже действия, чтобы добавить группу Администраторы организации Exchange в группу Администраторы получателей Exchange.

    1. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы организации Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов получателей Exchange нажмите кнопку ОК.

  5. В лесу А выполните перечисленные ниже действия, чтобы добавить группу Администраторы получателей Exchange в группу Администраторы Exchange с правами на просмотр.

    1. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.

    2. На вкладке Члены нажмите кнопку Добавить.

    3. В окне Выбор: Пользователи, Компьютеры или Группы введите Администраторы получателей Exchange и нажмите кнопку ОК.

    4. На странице свойств администраторов Exchange с правами на просмотр нажмите кнопку ОК.

  6. В оснастке "Пользователи и компьютеры Active Directory" в лесу А в меню Вид выберите пункт Дополнительные параметры и выполните перечисленные ниже действия.

    1. Щелкните правой кнопкой мыши подразделение Группы безопасности Microsoft Exchange и выберите пункт Свойства.

    2. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.

    3. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.

    4. Щелкните правой кнопкой мыши группу Администраторы организации Exchange и выберите пункт Свойства.

    5. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.

    6. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.

    7. Щелкните правой кнопкой мыши группу Администраторы получателей Exchange и выберите пункт Свойства.

    8. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.

    9. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.

    10. Щелкните правой кнопкой мыши группу Администраторы Exchange с правами на просмотр и выберите пункт Свойства.

    11. На вкладке Безопасность в списке Группы или пользователи выберите Администраторы организации Exchange.

    12. В списке Разрешения для: Администраторы организации Exchange выберите пункт Полный доступ и нажмите кнопку ОК.

  7. Войдите в лес Б с учетной записью, которая является членом группы администраторов предприятия в лесу Б, и выполните в окне командной строки следующую команду:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    Эта команда проверит, что в лесу А созданы универсальные группы безопасности Exchange, а разрешения назначены правильно. В лесу Б команда настроит элементы управления доступом в Active Directory для объектов конфигурации Exchange таким образом, чтобы созданные в лесу А универсальные группы безопасности Exchange получили права на настройку Exchange в лесу Б. Если команда Setup /PrepareAD выполняется без использования параметра ForeignForestFQDN, создаются универсальные группы безопасности Exchange в локальном лесу и для этих групп устанавливаются разрешения. Параметр ForeignForestFQDN используется для указания того, что универсальным группам безопасности Exchange во внешнем лесу необходимо предоставить разрешение на настройку Exchange в том лесу, в котором выполняется команда.

  8. Чтобы проверить, что программа установки успешно завершила работу, выполните перечисленные ниже действия.

    1. В лесу Б щелкните правой кнопкой мыши универсальную группу безопасности Серверы Exchange Server и выберите пункт Свойства.

    2. На вкладке Безопасность в списке Группы или пользователи выберите пункт Администраторы организации Exchange (<домен леса А\Администраторы организации Exchange>).

    3. Убедитесь в том, что для разрешения Полный доступ установлено значение Разрешить.

    noteПримечание.
    Если программе установки не удается выполнить задачу из-за недостаточных прав доступа, убедитесь в том, что в лесу А правильно созданы универсальные группы безопасности, что эти группы правильно вложены, а группа администраторов организации Exchange имеет полный доступ к новому подразделению и всем трем новым универсальным группам безопасности, а затем выполните действие 7 еще раз.
  9. Чтобы администрировать Exchange в лесу Б с помощью учетной записи леса А, добавьте учетную запись в лесу А в одну или несколько универсальных групп безопасности Exchange, созданных в лесу А.

  10. Измените доверие между лесами с двусторонего на одностороннее (необязательно). Для этого удалите существующее двустороннее входящее доверие с лесом А. Дополнительные сведения см. в статье Удаление созданного вручную доверия (на английском языке).

    noteПримечание.
    Установите флажок Да, удалить отношение доверия в локальном и другом доменах..
    noteПримечание.
    Необходимо сохранить исходящее доверие.
  11. В оснастке "Пользователи и компьютеры Active Directory" для леса Б в меню Вид выберите пункт Дополнительные параметры.

  12. Если необходимо, чтобы администраторы получателей в лесу А администрировали пользователей в лесу Б, необходимо вручную назначить им разрешения (необязательно). Выполните перечисленные ниже действия.

    1. В оснастке "Пользователи и компьютеры Active Directory" в лесу Б щелкните правой кнопкой мыши контейнер Пользователи и выберите пункт Свойства

    2. На вкладке Безопасность нажмите кнопку Дополнительно.

    3. В списке записей разрешений выберите запись, параметр Тип которой имеет значение Разрешить, Имя — "Администраторы получателей Exchange" (<Домен леса А\Администраторы получателей Exchange>), а Разрешение — Особые, и нажмите кнопку Изменить.

    4. На странице Элемент разрешения для пользователей на вкладке Объекты в разделе Разрешения установите флажок Разрешить для следующих разрешений: Список содержимого, Чтение всех свойств, Запись всех свойств, Чтение разрешений, Создание объектов пользователей, Удаление объектов пользователей.

    5. Нажмите кнопку ОК.

    6. На странице Дополнительные параметры безопасности для пользователей установите флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам и нажмите кнопку ОК.

    noteПримечание.
    Это действие предоставляет членам группы администраторов получателей Exchange в лесу А разрешения, необходимые для изменения объектов в контейнере Пользователь в лесу Б. При выполнении команды Setup /ForeignForestFQDN в лесу Б (действие 7) пользователям групп безопасности Exchange в лесу А было предоставлено разрешение на свойства Exchange в лесу Б, но не на свойства пользователей Windows в лесу Б.
    Чтобы предоставить другим группам в лесу А разрешения на изменение объектов в контейнере Пользователь в лесу Б, выберите на странице Дополнительно параметры безопасности для пользователей другую группу.
  13. Если требуется, чтобы администраторы в лесу А имели разрешение на использование консоли управления Exchange и командной консоли Exchange на сервере Exchange в лесу Б, необходимо вручную предоставить пользователю разрешения на доступ к каталогам Bin, Public и Scripts в каталоге сервера Exchange (необязательно). Выполните перечисленные ниже действия.

    1. Перейдите в каталог сервера Exchange, в котором установлен Exchange. (По умолчанию используется каталог %programfiles%\Microsoft\Exchange Server.)

    2. Щелкните правой кнопкой мыши каталог Bin и выберите пункт Свойства.

    3. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    4. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    5. Щелкните правой кнопкой мыши каталог Общее и выберите пункт Свойства.

    6. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    7. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    8. Щелкните правой кнопкой мыши каталог Scripts и выберите пункт Свойства.

    9. На вкладке Безопасность нажмите кнопку Добавить и введите имя пользователя или группы, которым необходимо предоставить разрешение.

    10. В разделе Разрешения для <пользователь_или_группа> установите флажок Разрешить для разрешения Чтение и выполнение и нажмите кнопку ОК.

    noteПримечание.
    Для администрирования сервера Exchange в лесу Б пользователи в лесу А должны также иметь возможность входить в систему сервера в лесу Б, на котором установлен сервер Exchange или средства управления Exchange. Если пользователи в лесу А добавлены в группу администраторов домена или в локальную группу администраторов на сервере в лесу Б и могут входить в систему сервера в лесу Б, эти пользователи уже имеют разрешение Чтение и выполнение для каталогов Bin, Public и Scripts. Кроме того, можно предоставить пользователям в лесу А отдельные разрешения на удаленный вход в систему сервера с помощью компонента "Службы терминалов" Windows Server 2003.

Дополнительные сведения

Дополнительные сведения об установке Exchange 2007 с помощью программы Setup.com из окна командной строки см. в разделе Инструкции по установке Exchange 2007 в автоматическом режиме.