准备旧版 Exchange 2003 权限

项目
05/20/2011

**适用于：**Exchange Server 2010

**上一次修改主题：**2010-01-25

从 Exchange Server 2003 升级为 Exchange Server 2010 时，必须先在每个已运行 Exchange 2003 DomainPrep 的域中授予特定的 Exchange 权限。为此，请运行 setup /PrepareLegacyExchangePermissions 命令。授予这些权限是准备 Active Directory 以及用于安装 Exchange Server 2010 的域的过程的一部分。有关详细说明，请参阅准备 Active Directory 和域。

本主题介绍必须运行 setup /PrepareLegacyExchangePermissions 命令的原因、运行该命令的时间以及通过该命令在 Exchange Server 2010 组织中设置的权限。

运行 Setup /PrepareLegacyExchangePermissions 的原因

实际上，要使 Exchange 2003 收件人更新服务在更新 Exchange Server 2010 的 Active Directory 架构之后可以正常运行，则必须运行 setup /PrepareLegacyExchangePermissions 命令。此部分介绍主要问题以及如何运行该命令解决此问题。

问题

在 Exchange Server 2003 中，收件人更新服务为已启用邮件的用户对象更新一些邮箱属性，例如代理地址。收件人更新服务具有修改这些属性的权限，因为运行收件人更新服务的服务器的计算机帐户（名为 <服务器名称>）位于 Exchange Enterprise Servers (EES) 组中。 EES 组在运行 Exchange Server 2003 DomainPrep 时创建。不必为收件人更新服务必须修改的每一个邮箱属性授予 EES 组权限，邮箱属性已按属性集组合在一起。运行 Exchange Server 2003 DomainPrep 后，Exchange 会为 EES 组提供修改属性集的权限，即通过使用 Exchange 为 Active Directory 中的域容器设置的访问控制条目 (ACE。)

Exchange Server 2010 有一个名为 Recipient Management 的管理角色。此角色拥有管理所有用户的电子邮件属性的权限。如果 Exchange 管理员是 Exchange Recipient Management 角色中的成员，则只能管理用户的电子邮件属性。

若要启用此功能，Exchange Server 2010 必须将用户的一些电子邮件属性移动到称为“Exchange-Information 属性集”的属性集中。Exchange 在导入新 Exchange Server 2010 架构时，通过重新定义 Active Directory 中的属性架构来完成此移动。但是，旧版 EES 组没有访问 Exchange-Information 属性集的权限。因此，在导入新 Exchange Server 2010 架构后，收件人更新服务将不再具有对用户电子邮件属性的权限，并且将无法再正常运行。（例如，将不能为新建的 Exchange Server 2003 用户设置代理地址。)

解决方法

运行 setup /PrepareLegacyExchangePermissions 命令将使旧版收件人更新服务可以正常运行。在导入新的 Exchange Server 2010 架构之前，Exchange Server 2010 必须在每个已运行 Exchange Server 2003 DomainPrep 的域中授予新权限。 setup /PrepareLegacyExchangePermissions 命令会授予这些新权限。在运行 setup /PrepareSchema 之前，必须运行 setup /PrepareLegacyExchangePermissions 并允许在 Exchange 组织中复制权限。

运行 setup /PrepareLegacyExchangePermissions 的服务器会与本地全局编录服务器联系，通过查看 EES 和 Exchange Domain Servers (EDS) 组来查找已运行 Exchange Server 2003 DomainPrep 的域。该服务器必须能够与运行 Exchange Server 2003 DomainPrep 的林中的每个域通信。此外，用于运行 setup /PrepareLegacyExchangePermissions 的帐户必须具有分配给 Enterprise Admins 通用安全组 (USG) 的权限，这样才可以在每个域及 Exchange 组织中设置该帐户。

Setup /PrepareLegacyExchangePermissions 设置的权限

运行 setup /PrepareLegacyExchangePermissions 时会在林中查找包含 EES 组和 Exchange Domain Servers (EDS) 组的每一个域。对于包含这些组的每一个域，setup /PrepareLegacyExchangePermissions 会执行下列操作：

向域根目录访问控制列表 (ACL) 添加 ACE，以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。
向域根目录 ACL 添加 ACE，以便为通过身份验证的用户提供对 Exchange-Information 属性集的 READ_PROP 权限。
向域的 AdminSDHolder 容器添加 ACE，以便为 EES 组提供对 Exchange-Information 属性集的 WRITE_PROP 和 READ_PROP 权限。
在 Exchange 组织容器 ACL 中添加 ACE，以便为 EDS 组提供对 Exchange-Information 属性集的 WRITE_PROP 权限。

再次运行 Setup /PrepareLegacyExchangePermissions

某些情况下，需要再次运行 setup /PrepareLegacyExchangePermissions：

有包含 Exchange Server 2003 服务器的域，但没有运行 DomainPrep。
在现有域中，已为将登录到未运行 DomainPrep 的域中 Exchange Server 2003 服务器上邮箱的用户启用邮箱。

在这些情况下，必须在运行 Exchange Server 2003 DomainPrep 后再次运行 setup /PrepareLegacyExchangePermissions。这样，Exchange Server 2003 收件人更新服务可以在此域中正常运行。

Exchange 2010 部署权限参考

Exchange 2010 需要相应的权限以便在组织中进行部署和正常运行。这些权限会在安装过程中标记在 Exchange 2010 所用对象的访问控制列表 (ACL) 中。有关详细信息，请参阅 Exchange 2010 部署权限参考。