如何設定跨樹系管理

 

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2010-09-20

本主題說明如何使用 Setup.com 來啟用跨樹系管理。如果您在某個樹系中擁有必須管理不同樹系中 Microsoft Exchange Server 2007 的使用者帳戶，則可使用此程序。請於下列案例中使用此程序：

• 資源樹系是一種常見案例，在此案例中，您擁有一個未包含任何 Exchange 伺服器的樹系 (使用者帳戶樹系)，以及另一個供 Exchange 組織使用的樹系。
• 具有多個 Exchange 樹系的傳統跨樹系案例則為另一種案例，在此案例中，您可能想讓某樹系中的使用者管理兩個樹系中的 Exchange。或者，您可能想讓某樹系中的使用者管理另一個樹系中的 Exchange，而不是同時管理兩個樹系。

若要管理 Exchange 伺服器、內容及收件者，則必須委派系統管理員下列其中一個 Exchange 系統管理員角色的成員資格：

• Exchange 組織系統管理員
• Exchange 公用資料夾系統管理員
• Exchange 收件者系統管理員
• Exchange 僅檢視管理

附註：
Exchange 2007 的量產發行 (RTM) 版本中沒有 Exchange 公用資料夾系統管理員角色，此角色是在 Exchange 2007 Service Pack 1 (SP1) 中引進的。

但是，您無法將來自不同樹系的使用者新增至 Exchange 系統管理員角色。若要使用樹系 A 中的使用者帳戶來管理樹系 B 中的 Exchange 2007 伺服器，您必須執行下列步驟：

1. 如果角色尚不存在，請在樹系 A 中建立平行的 Exchange 系統管理員角色。
2. 使用 Setup.com 時加上 ForeignForestFQDN 參數，將樹系 B 中物件的權限授與樹系 A 的角色。
3. 將樹系 A 中的使用者加入樹系 A 中新建立的平行 Exchange 系統管理員角色。

重要事項：
設定跨樹系管理之後，便不支援使用某個樹系中的使用者帳戶，在另一個樹系中執行任何 Exchange 安裝動作。例如，不支援使用某樹系中的使用者帳戶，在另一個樹系中新增伺服器角色、移除伺服器角色或復原伺服器，即使您已將該使用者帳戶設定為可跨樹系管理也一樣。

附註：
若要建立 Exchange 系統管理員角色，您必須使用 [Active Directory 使用者和電腦] 來建立群組。您需針對群組範圍選取 [萬用]，並針對群組類型選取 [安全性]。如需相關資訊，請參閱權限考量。

開始之前

請確定這兩個樹系的樹系功能等級皆為 Microsoft Windows Server 2003。如需 Active Directory 功能等級的相關資訊，請參閱功能等級背景資訊。

在兩個樹系間建立雙向的樹系信任關係。如需詳細步驟，請參閱為信任的雙方建立雙向的樹系信任。您需要這個信任，才能設定跨樹系管理。如果您正處於資源樹系案例中，當您完成此程序以設定跨樹系管理之後，即可將信任降級為單向信任，如此 Exchange 樹系便會信任使用者帳戶樹系。請注意，您仍然需要雙向信任，以用於資料夾共用。

附註：
請確定信任類型是 [樹系]，而不是 [外部]。

在下列程序中，樹系 A 是含有需管理另一個樹系中 Exchange 2007 伺服器之使用者帳戶的樹系。樹系 B 則為含有樹系 A 中使用者將管理之 Exchange 2007 伺服器的樹系。

若要在樹系 A 中執行此程序的步驟，則必須將下列成員資格委派給您所使用的帳戶：

• 樹系 A 中 Enterprise Admins 群組的成員資格

若要在樹系 B 中執行此程序的步驟，則必須將下列成員資格委派給您所使用的帳戶：

• 樹系 B 中 Enterprise Admins 群組的成員資格

附註：
如果您擁有已具備樹系 A 及樹系 B 中 Enterprise Admins 層級權限的帳戶，則當您執行 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com 命令時，便會自動執行步驟 2 到步驟 7。不過，因為這不表示您將擁有具備這兩個樹系中 Enterprise Admin 層級權限的使用者，我們建議您手動執行步驟 2 到步驟 7，先建立 Exchange 萬用安全性群組，然後利用僅隸屬於樹系 A 中 Enterprise Admins 群組成員的帳戶，將權限指派給樹系 A 中的群組。然後，您可以利用僅隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶，在樹系 B 中執行 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com。

重要事項：
系統管理員必須以使用者主要名稱 (UPN) 驗證來登入資源樹系中的伺服器。系統管理員也必須確定在樹系信任中註冊任何不常用的 UPN 尾碼，讓他們在登入時具有 Kerberos 票證。需要 Kerberos 票證，才能讓 Exchange 管理工具連線至資源樹系中的組態命名內容。使用 NTLM 驗證 (DOMAIN\USERNAME) 時，如果連至帳戶樹系網域的快取連線不存在，則管理工具中的 LDAP 繫結可能失敗。

程序

Exchange 2007 SP1

設定 Exchange 2007 SP1 中的跨樹系管理

1. 如果您在傳統的跨樹系案例中、樹系 A 和樹系 B 中都有安裝 Exchange，且您不想讓樹系 A 中將管理樹系 B 中 Exchange 的使用者同時也是樹系 A 的系統管理員，請在樹系 A 中重新命名或移動下列組織單位及群組。

   • Microsoft Exchange 安全性群組
   • Exchange 組織系統管理員
   • Exchange Public Folder Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   若要這麼做，您必須用下列其中一種方法：

   • 重新命名單位或群組
   • 將單位或群組移至不同的組織單位
   • 將單位或群組移至不同的網域

   當您重新命名或移動這些群組之後，這些群組仍然擁有相同的成員資格及權限，而您仍然可以使用隸屬於這些群組之成員的帳戶，來管理樹系 A 中的 Exchange。

   如果您在傳統的跨樹系案例中、樹系 A 及樹系 B 中都有安裝 Exchange，而且您想讓樹系 A 中的使用者同時管理樹系 A 及樹系 B 的 Exchange，請移至步驟 9。

   如果您正處於資源樹系案例中，請繼續執行步驟 2。

2. 在樹系 A 的根網域中，建立名為 Microsoft Exchange 安全性群組 的新組織單位。如需如何建立組織單位的相關資訊，請參閱建立新的組織單位。

3. 在樹系 A 的 [Microsoft Exchange 安全性群組] 組織單位中，建立下列萬用安全性群組：

   • Exchange 組織系統管理員
   • Exchange Public Folder Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   如需相關資訊，請參閱建立新群組。

   附註：
   請確定為群組範圍選取 [萬用]，並為群組類型選取 [安全性]。

4. 在樹系 A 中執行下列步驟，以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Recipient Administrators] 群組：

   1. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Organization Administrators，然後按一下 [確定]。
   4. 在 [Exchange Recipient Administrators 內容] 頁面上按一下 [確定]。

5. 在樹系 A 中執行下列步驟，以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Public Folder Administrators] 群組：

   1. 在 [Exchange Public Folders Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Organization Administrators，然後按一下 [確定]。
   4. 在 [Exchange Public Folder Administrators 內容] 頁面上按一下 [確定]。

6. 在樹系 A 中執行下列步驟，以便將 [Exchange Recipient Administrators] 群組新增到 [Exchange View-Only Administrators] 群組：

   1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Recipient Administrators，然後按一下 [確定]。
   4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。

7. 在樹系 A 中執行下列步驟，以便將 [Exchange Public Folder Administrators] 群組新增到 [Exchange View-Only Administrators] 群組：

   1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Public Folder Administrators，然後按一下 [確定]。
   4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。

8. 在樹系 A 的 [Active Directory 使用者和電腦] 中，按一下 [檢視] 功能表上的 [進階功能]，然後遵循下列步驟：

   1. 在 [Microsoft Exchange 安全性群組] 組織單位上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [安全性] 索引標籤上，按一下 [進階]。
   3. 在 [權限] 索引標籤上，選取 [權限項目] 清單中的 [Exchange 組織系統管理員]，然後按一下 [編輯]。
   4. 在 [物件] 索引標籤的 [套用至] 清單中，選取 [這個物件及所有子物件]。
   5. 在 [權限] 清單中找出 [完全控制]，然後按一下以選取 [允許] 核取方塊。
   6. 按一下 [確定]。
   7. 在 [權限] 索引標籤上，選取 [Exchange 收件者系統管理員]，然後按一下 [編輯]。
   8. 在 [物件] 索引標籤的 [套用至] 清單中，選取 [這個物件及所有子物件]。
   9. 在 [權限] 清單中找出 [完全控制]，然後按一下以選取 [允許] 核取方塊。
   10. 按一下 [確定]。
   11. 在 [權限] 索引標籤上，選取 [Exchange 公用資料夾系統管理員]，然後按一下 [編輯]。
   12. 在 [物件] 索引標籤的 [套用至] 清單中，選取 [這個物件及所有子物件]。
   13. 在 [權限] 清單中找出 [完全控制]，然後按一下以選取 [允許] 核取方塊。
   14. 按一下 [確定]。
   15. 在 [權限] 索引標籤上，選取 [Exchange 僅檢視管理]，然後按一下 [編輯]。
   16. 在 [物件] 索引標籤的 [套用至] 清單中，選取 [這個物件及所有子物件]。
   17. 在 [權限] 清單中找出 [完全控制]，然後按一下以選取 [允許] 核取方塊。
   18. 按兩次 [確定]。

9. 使用隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶登入樹系 B，然後從 [命令提示字元] 視窗中執行下列命令：

   Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
   

   這個命令會確認樹系 A 中是否已建立 Exchange 萬用安全性群組，以及是否已正確指派其權限。在樹系 B 中，此命令會在 Exchange 組態物件上設定 Active Directory 中的存取控制項目 (ACE)，這樣在樹系 A 中新建的 Exchange 萬用安全性群組就具有樹系 B 中 Exchange 組態的權限。當您在未使用 ForeignForestFQDN 參數的情況下執行 Setup /PrepareAD 時，此命令會在本機樹系中建立 Exchange 萬用安全性群組，並設定這些群組的權限。加上 ForeignForestFQDN 參數，指定您想要將執行命令所在之樹系中 Exchange 組態的權限，給予外部樹系中的 Exchange 萬用安全性群組。

10. 若要驗證安裝已順利完成，請執行下列步驟：

    1. 在樹系 B 中的 [Exchange Servers] 萬用安全性群組上按一下滑鼠右鍵，然後按一下 [內容]。
    2. 在 [安全性] 索引標籤的 [群組或使用者名稱] 下，選取 [Exchange Organization Administrators] (<樹系 A 網域\Exchange Organization Administrators>)。
    3. 驗證已針對 [完全控制] 權限選取 [允許]。

    附註：
    如果安裝因為存取權限不足而失敗，請驗證您已在樹系 A 中正確建立萬用安全性群組、群組的巢狀結構正確，以及 Exchange Organization Administrators 群組對於新組織單位及所有三個新萬用安全性群組已具備完全控制，然後再次執行步驟 9。

11. 若要使用樹系 A 中的帳戶來管理樹系 B 中的 Exchange，請將樹系 A 中的帳戶加入您在樹系 A 中所建立之一或多個 Exchange 萬用安全性群組。

12. (選用) 將信任從雙向變更為單向樹系信任。若要這樣做，請刪除含有樹系 A 的現有雙向傳入信任。如需詳細步驟，請參閱移除手動建立的信任。

    附註：
    請確定選取 [是的，同時從本地網域及其他網域移除此信任]。

    附註：
    您必須保留傳出的信任。

13. 在樹系 B 的 [Active Directory 使用者和電腦] 中的 [檢視] 功能表上，按一下 [進階功能]。

14. (選用) 如果您想讓樹系 A 中的收件者系統管理員管理樹系 B 中的使用者，則必須手動為他們指派權限。執行下列步驟：

    1. 在樹系 B 的 [Active Directory 使用者和電腦] 中，於 [使用者] 容器上按一下滑鼠右鍵，然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上，按一下 [進階]。
    3. 在 [權限項目] 下方，選取 [類型] 為 [允許]、[名稱] 為 [Exchange Recipient Administrators] (<樹系 A 網域\Exchange Recipient Administrators>) 且 [權限] 為 [特殊] 的項目，然後按一下 [編輯]。
    4. 在 [使用者的權限項目] 頁面之 [權限] 下方的 [物件] 索引標籤上，針對下列權限選取 [允許]：[列出內容]、[讀取所有屬性]、[寫入所有屬性]、[讀取權限]、[建立使用者物件]、[刪除使用者物件]。
    5. 按一下 [確定]。
    6. 在 [使用者的進階安全性設定] 頁面上，選取 [允許來自上層的可繼承權限傳播至此物件及所有子物件] 核取方塊，然後按一下 [確定]。

    附註：
    此步驟提供樹系 A 中的 Exchange Recipient Administrators 群組成員修改樹系 B 中 [使用者] 容器內物件所需的權限。在樹系 B 中執行 Setup /ForeignForestFQDN (步驟 9) 會將樹系 B 之 Exchange 屬性的權限授與樹系 A 中 Exchange 安全性群組使用者，但不會將樹系 B 的 Windows 使用者屬性權限授與這些使用者。 若要提供權限給樹系 A 中的其他群組，使其能夠修改樹系 B 中 [使用者] 容器內的物件，請在 [使用者的進階安全性設定] 頁面上選取不同的群組。

15. (選用) 如果您想讓樹系 A 中的系統管理員具備使用樹系 B 中 Exchange 伺服器上之 Exchange 管理主控台及 Exchange 管理命令介面的權限，則必須手動將 Exchange Server 目錄中之 Bin、Public 及 Scripts 目錄的權限授與使用者。執行下列步驟：

    1. 瀏覽至安裝 Exchange 的 Exchange Server 目錄。(依預設，此目錄為 %programfiles%\Microsoft\Exchange Server。)
    2. 在 Bin 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    3. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    4. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。
    5. 在 Public 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    6. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    7. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。
    8. 在 Scripts 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    9. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    10. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。

    附註：
    若要管理樹系 B 中的 Exchange，樹系 A 中的使用者也必須能夠登入樹系 B 中安裝了 Exchange 或Exchange 管理工具的伺服器。若將樹系 A 中的使用者加入樹系 B 之伺服器上的 Domain Admins 群組或加入其本機 Administrators 群組以便使用者登入樹系 B 中的伺服器，使用者即會具有 Bin、Public 及 Scripts 目錄的 [讀取與執行] 權限。或者，您可提供樹系 A 中之使用者使用 Windows Server 2003 終端機服務元件自遠端登入伺服器的特定權限。

Exchange 2007 RTM

在 Exchange 2007 RTM 版本中設定跨樹系管理

1. 如果您是傳統的跨樹系案例，樹系 A 和樹系 B 中都有安裝 Exchange，如果您不想讓樹系 A 中將管理樹系 B 中 Exchange 的使用者同時也是樹系 A 的系統管理員，則必須將樹系 A 中下列組織單位及群組重新命名、移至不同的組織單位，或者移至不同網域。

   • Microsoft Exchange 安全性群組
   • Exchange 組織系統管理員
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   當您重新命名或移動這些群組之後，這些群組仍然擁有相同的成員資格及權限，而您仍然可以使用隸屬於這些群組之成員的帳戶，來管理樹系 A 中的 Exchange。

   如果您是傳統的跨樹系案例，樹系 A 及樹系 B 中都有安裝 Exchange，而且您想讓樹系 A 中的使用者同時管理樹系 A 及樹系 B 的 Exchange，請繼續執行步驟 7。

   如果您正處於資源樹系案例中，請繼續執行步驟 2。

2. 在樹系 A 的根網域中，建立名為 [Microsoft Exchange 安全性群組] 的新組織單位。如需建立組織單位的相關資訊，請參閱建立新的組織單位。

3. 在樹系 A 的 [Microsoft Exchange 安全性群組] 組織單位中，建立下列萬用安全性群組：

   • Exchange 組織系統管理員
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   如需相關資訊，請參閱建立新群組。

   附註：
   請確定為群組範圍選取 [萬用]，並為群組類型選取 [安全性]。

4. 在樹系 A 中執行下列步驟，以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Recipient Administrators] 群組：

   1. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Organization Administrators，然後按一下 [確定]。
   4. 在 [Exchange Recipient Administrators 內容] 頁面上按一下 [確定]。

5. 在樹系 A 中執行下列步驟，以便將 [Exchange Recipient Administrators] 群組新增到 [Exchange View-Only Administrators] 群組：

   1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [成員] 索引標籤上，按一下 [新增]。
   3. 在 [選擇使用者、電腦或群組] 中，輸入 Exchange Recipient Administrators，然後按一下 [確定]。
   4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。

6. 在樹系 A 的 [Active Directory 使用者和電腦] 中，按一下 [檢視] 功能表上的 [進階功能]，然後執行下列步驟：

   1. 在 [Microsoft Exchange 安全性群組] 組織單位上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [安全性] 索引標籤上，選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
   3. 在 [Exchange Organization Administrators 的權限] 下，選取 [完全控制]，然後按一下 [確定]。
   4. 在 [Exchange Organization Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   5. 在 [安全性] 索引標籤上，選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
   6. 在 [Exchange Organization Administrators 的權限] 下，選取 [完全控制]，然後按一下 [確定]。
   7. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   8. 在 [安全性] 索引標籤上，選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
   9. 在 [Exchange Organization Administrators 的權限] 下，選取 [完全控制]，然後按一下 [確定]。
   10. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵，然後按一下 [內容]。
   11. 在 [安全性] 索引標籤上，選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
   12. 在 [Exchange Organization Administrators 的權限] 下，選取 [完全控制]，然後按一下 [確定]。

7. 使用隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶登入樹系 B，然後從 [命令提示字元] 視窗中執行下列命令：

   Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
   

   此命令會驗證樹系 A 中的 Exchange 萬用安全性群組已經建立，而且已正確指派權限。在樹系 B 中，此命令會在 Exchange 組態物件上設定 Active Directory 中的存取控制項目 (ACE)，這樣樹系 A 中新建立的 Exchange 萬用安全性群組便會擁有樹系 B 中 Exchange 組態的權限。當您執行 Setup /PrepareAD 而未加上 ForeignForestFQDN 參數時，此命令會在本地樹系中建立 Exchange 萬用安全性群組，並在那些群組上設定權限。加上 ForeignForestFQDN 參數，指定您想要將執行命令所在之樹系中 Exchange 組態的權限，給予外部樹系中的 Exchange 萬用安全性群組。

8. 若要驗證安裝已順利完成，請執行下列步驟：

   1. 在樹系 B 中的 [Exchange Servers] 萬用安全性群組上按一下滑鼠右鍵，然後按一下 [內容]。
   2. 在 [安全性] 索引標籤的 [群組或使用者名稱] 下，選取 [Exchange Organization Administrators] (<樹系 A 網域\Exchange Organization Administrators>)。
   3. 驗證已針對 [完全控制] 權限選取 [允許]。

   附註：
   如果安裝因為存取權限不足而失敗，請驗證您已在樹系 A 中正確建立萬用安全性群組、群組的巢狀結構正確，以及 Exchange Organization Administrators 群組對於新組織單位及所有三個新萬用安全性群組已具備完全控制，然後再次執行步驟 7。

9. 若要使用樹系 A 中的帳戶來管理樹系 B 中的 Exchange，請將樹系 A 中的帳戶加入您在樹系 A 中所建立之一或多個 Exchange 萬用安全性群組。

10. (選用) 將信任從雙向變更為單向樹系信任。若要這樣做，請刪除含有樹系 A 的現有雙向傳入信任。如需詳細步驟，請參閱移除手動建立的信任。

    附註：
    請確定選取 [是的，同時從本地網域及其他網域移除此信任]。

    附註：
    您必須保留傳出的信任。

11. 在樹系 B 的 [Active Directory 使用者和電腦] 中的 [檢視] 功能表上，按一下 [進階功能]。

12. (選用) 如果您想讓樹系 A 中的收件者系統管理員管理樹系 B 中的使用者，則必須手動為他們指派權限。執行下列步驟：

    1. 在樹系 B 的 [Active Directory 使用者和電腦] 中，以滑鼠右鍵一下 [使用者] 容器，然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上，按一下 [進階]。
    3. 在 [權限項目] 下方，選取 [類型] 為 [允許]、[名稱] 為 [Exchange Recipient Administrators] (<樹系 A 網域\Exchange Recipient Administrators>) 且 [權限] 為 [特殊] 的項目，然後按一下 [編輯]。
    4. 在 [使用者的權限項目] 頁面之 [權限] 下方的 [物件] 索引標籤上，針對下列權限選取 [允許]：[列出內容]、[讀取所有屬性]、[寫入所有屬性]、[讀取權限]、[建立使用者物件]、[刪除使用者物件]。
    5. 按一下 [確定]。
    6. 在 [使用者的進階安全性設定] 頁面上，選取 [允許來自上層的可繼承權限傳播至此物件及所有子物件] 核取方塊，然後按一下 [確定]。

    附註：
    此步驟提供樹系 A 中的 Exchange Recipient Administrators 群組成員修改樹系 B 中 [使用者] 容器內物件所需的權限。在樹系 B 中執行 Setup /ForeignForestFQDN (步驟 7) 會將樹系 B 之 Exchange 屬性的權限授與樹系 A 中 Exchange 安全性群組使用者，但不會將樹系 B 的 Windows 使用者屬性權限授與這些使用者。 若要提供權限給樹系 A 中的其他群組，使其能夠修改樹系 B 中 [使用者] 容器內的物件，請在 [使用者的進階安全性設定] 頁面上選取不同的群組。

13. (選用) 如果您想讓樹系 A 中的系統管理員具備使用樹系 B 中 Exchange 伺服器上之 Exchange 管理主控台及 Exchange 管理命令介面的權限，則必須手動將 Exchange Server 目錄中之 Bin、Public 及 Scripts 目錄的權限授與使用者。執行下列步驟：

    1. 瀏覽至安裝 Exchange 的 Exchange Server 目錄。(依預設，此目錄為 %programfiles%\Microsoft\Exchange Server。)
    2. 在 Bin 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    3. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    4. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。
    5. 在 Public 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    6. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    7. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。
    8. 在 Scripts 目錄上按一下滑鼠右鍵，然後按一下 [內容]。
    9. 在 [安全性] 索引標籤上，按一下 [新增]，然後輸入您想要授與權限的使用者或群組。
    10. 在 [<使用者或群組> 的權限] 下，針對 [讀取與執行] 權限選取 [允許]，然後按一下 [確定]。

    附註：
    若要管理樹系 B 中的 Exchange，樹系 A 中的使用者也必須能夠登入樹系 B 中安裝了 Exchange 或Exchange 管理工具的伺服器。若將樹系 A 中的使用者加入樹系 B 之伺服器上的 Domain Admins 群組或加入其本機 Administrators 群組以便使用者登入樹系 B 中的伺服器，使用者即會具有 Bin、Public 及 Scripts 目錄的 [讀取與執行] 權限。或者，您可提供樹系 A 中之使用者使用 Windows Server 2003 終端機服務元件自遠端登入伺服器的特定權限。

相關資訊

如需從 [命令提示字元] 視窗使用 Setup.com 安裝 Exchange 2007 的相關資訊，請參閱如何以自動模式安裝 Exchange 2007。

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.