准备旧版 Exchange 2003 权限

**适用于:**Exchange Server 2010

**上一次修改主题:**2010-01-25

从 Exchange Server 2003 升级为 Exchange Server 2010 时,必须先在每个已运行 Exchange 2003 DomainPrep 的域中授予特定的 Exchange 权限。 为此,请运行 setup /PrepareLegacyExchangePermissions 命令。 授予这些权限是准备 Active Directory 以及用于安装 Exchange Server 2010 的域的过程的一部分。 有关详细说明,请参阅准备 Active Directory 和域

本主题介绍必须运行 setup /PrepareLegacyExchangePermissions 命令的原因、运行该命令的时间以及通过该命令在 Exchange Server 2010 组织中设置的权限。

运行 Setup /PrepareLegacyExchangePermissions 的原因

实际上,要使 Exchange 2003 收件人更新服务在更新 Exchange Server 2010 的 Active Directory 架构之后可以正常运行,则必须运行 setup /PrepareLegacyExchangePermissions 命令。 此部分介绍主要问题以及如何运行该命令解决此问题。

问题

在 Exchange Server 2003 中,收件人更新服务为已启用邮件的用户对象更新一些邮箱属性,例如代理地址。 收件人更新服务具有修改这些属性的权限,因为运行收件人更新服务的服务器的计算机帐户(名为 <服务器名称>)位于 Exchange Enterprise Servers (EES) 组中。 EES 组在运行 Exchange Server 2003 DomainPrep 时创建。 不必为收件人更新服务必须修改的每一个邮箱属性授予 EES 组权限,邮箱属性已按属性集组合在一起。 运行 Exchange Server 2003 DomainPrep 后,Exchange 会为 EES 组提供修改属性集的权限,即通过使用 Exchange 为 Active Directory 中的域容器设置的访问控制条目 (ACE。)

Exchange Server 2010 有一个名为 Recipient Management 的管理角色。 此角色拥有管理所有用户的电子邮件属性的权限。如果 Exchange 管理员是 Exchange Recipient Management 角色中的成员,则只能管理用户的电子邮件属性。

若要启用此功能,Exchange Server 2010 必须将用户的一些电子邮件属性移动到称为“Exchange-Information 属性集”的属性集中。Exchange 在导入新 Exchange Server 2010 架构时,通过重新定义 Active Directory 中的属性架构来完成此移动。 但是,旧版 EES 组没有访问 Exchange-Information 属性集的权限。 因此,在导入新 Exchange Server 2010 架构后,收件人更新服务将不再具有对用户电子邮件属性的权限,并且将无法再正常运行。 (例如,将不能为新建的 Exchange Server 2003 用户设置代理地址。)

解决方法

运行 setup /PrepareLegacyExchangePermissions 命令将使旧版收件人更新服务可以正常运行。 在导入新的 Exchange Server 2010 架构之前,Exchange Server 2010 必须在每个已运行 Exchange Server 2003 DomainPrep 的域中授予新权限。 setup /PrepareLegacyExchangePermissions 命令会授予这些新权限。 在运行 setup /PrepareSchema 之前,必须运行 setup /PrepareLegacyExchangePermissions 并允许在 Exchange 组织中复制权限。

运行 setup /PrepareLegacyExchangePermissions 的服务器会与本地全局编录服务器联系,通过查看 EES 和 Exchange Domain Servers (EDS) 组来查找已运行 Exchange Server 2003 DomainPrep 的域。 该服务器必须能够与运行 Exchange Server 2003 DomainPrep 的林中的每个域通信。 此外,用于运行 setup /PrepareLegacyExchangePermissions 的帐户必须具有分配给 Enterprise Admins 通用安全组 (USG) 的权限,这样才可以在每个域及 Exchange 组织中设置该帐户。

Setup /PrepareLegacyExchangePermissions 设置的权限

运行 setup /PrepareLegacyExchangePermissions 时会在林中查找包含 EES 组和 Exchange Domain Servers (EDS) 组的每一个域。 对于包含这些组的每一个域,setup /PrepareLegacyExchangePermissions 会执行下列操作:

  • 向域根目录访问控制列表 (ACL) 添加 ACE,以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。
  • 向域根目录 ACL 添加 ACE,以便为通过身份验证的用户提供对 Exchange-Information 属性集的 READ_PROP 权限。
  • 向域的 AdminSDHolder 容器添加 ACE,以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 和 READ_PROP 权限。
  • 在 Exchange 组织容器 ACL 中添加 ACE,以便为 EDS 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。

再次运行 Setup /PrepareLegacyExchangePermissions

某些情况下,需要再次运行 setup /PrepareLegacyExchangePermissions

  • 有包含 Exchange Server 2003 服务器的域,但没有运行 DomainPrep。
  • 在现有域中,已为将登录到未运行 DomainPrep 的域中 Exchange Server 2003 服务器上邮箱的用户启用邮箱。

在这些情况下,必须在运行 Exchange Server 2003 DomainPrep 后再次运行 setup /PrepareLegacyExchangePermissions。 这样,Exchange Server 2003 收件人更新服务可以在此域中正常运行。

Exchange 2010 部署权限参考

Exchange 2010 需要相应的权限以便在组织中进行部署和正常运行。 这些权限会在安装过程中标记在 Exchange 2010 所用对象的访问控制列表 (ACL) 中。 有关详细信息,请参阅 Exchange 2010 部署权限参考