Exchange 2010 部署權限參考

發行項
03/02/2017

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2016-11-28

本主題說明設定 Microsoft Exchange Server 2010 組織所需的權限。與管理角色群組相關聯的萬用安全性群組 (USG)，以及其他 Windows 安全性群組與安全性主體，都會新增到各種 Active Directory 物件的存取控制清單 (ACL) 中。ACL 會控制每個物件上可執行的作業。了解已將哪些權限授與每個角色群組、安全性群組或安全性主體，即可判斷安裝 Exchange 2010 所需的最低權限。

在某些情況下，ACL 不會套用至慣用的 ntSecurityDescriptor 內容，而是套用至其他內容 (例如 msExchMailboxSecurityDescriptor)。目錄服務無法強制執行 Windows 安全性描述元中未指定的安全性。在大多數情況下，儲存服務會複寫 ACL 並儲存到適當的物件上。可惜的是，沒有任何工具能夠使用原始二進位資料格式以外的格式檢視這些 ACL。

每個權限表的欄位都包含下列資訊：

帳戶授與或拒絕權限的安全性主體。
ACE 類型 存取控制項目 (ACE) 類型
- 允許 ACE 允許 ACE 可讓與 ACE 相關聯的使用者或群組存取項目。
- 拒絕 ACE 拒絕 ACE 可防止與 ACE 相關聯的使用者或群組存取項目。
繼承用於子物件的繼承類型。
- [全部] 表示權限會套用至物件及所有子物件。
- [描述] 表示權限會套用至 [開啟內容/套用至] 資料列中所列的物件類別。
- [無] 表示權限只會套用至物件。
權限授與帳戶的權限。
開啟內容/套用至 在某些情況下，權限只會套用至指定的內容、內容設定或物件類別。這些受限制的權限可在此指定。
註解此欄位會適當地說明為何需要權限，或者提供權限的其他相關資訊。

權限通常是依照 Active Directory 服務介面 (ADSI) 編輯器 (AdsiEdit.msc)，[檢視/編輯] 索引標籤上 [進階] 檢視中的 [安全性] 內容頁所使用的名稱，在表格中列出。ADSI 編輯器 [安全性] 內容頁列出權限的更簡要檢視。LDP 工具 (Ldp.exe) 會直接將存取遮罩顯示為數值。安裝代碼依預先定義的常數參考權限。

下表顯示這些值之間的關係。

ADSI 編輯器摘要頁面	ADSI 編輯器進階檢視，檢視/編輯索引標籤	套用至指定物件的 ACL 項目	二進位值 (LDP 中的存取遮罩)
完全控制	完全控制	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
讀取	清單內容 + 讀取所有內容 + 讀取權限	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
寫入	寫入所有內容 + 所有已驗證的寫入	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	列出內容	`ACTRL_DS_LIST`	`0x00000004`
	讀取所有內容	`ACTRL_DS_READ_PROP`	`0x00000010`
	寫入所有內容	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	刪除	`DELETE`	`0x00010000`
	刪除樹狀子目錄	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	讀取權限	`READ_CONTROL`	`0x00020000`
	修改權限	`WRITE_DAC`	`0x00040000`
	修改擁有者	`WRITE_OWNER`	`0x00080000`
	所有已驗證的寫入	`ACTRL_DS_SELF`	`0x00000008`
	所有延伸權利	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
建立所有子物件	建立所有子物件	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
刪除所有子物件	刪除所有子物件	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

延伸權利是個別應用程式指定的自訂權利。這些權利指定於 ACL 中。不過，這些權利對 Active Directory 而言沒有作用。特定應用程式會強制執行所有延伸權利。「建立公用資料夾」或「在資訊儲存庫中建立具名內容」都是 Exchange 延伸權利的例子。

附註：
如需在 Microsoft Exchange Server 2003 安裝過程所設定之權限的詳細資訊，請參閱在 Exchange Server 2003 中使用 Active Directory 權限 (英文)。如需在 Microsoft Exchange Server 2007 安裝過程所設定權限的詳細資訊，請參閱 Exchange 2007 安裝程式權限參考。

準備傳統 Exchange 權限

本節的權限表會顯示您執行 setup /PrepareLegacyExchangePermissions 命令時設定的權限。

物件的辨別名稱：DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
Exchange Enterprise Servers	允許 ACE	全部	寫入內容	Exchange Information
已驗證的使用者	允許 ACE	全部	讀取內容	Exchange Information

物件的辨別名稱：CN=AdminSDHolder,CN=System,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
Exchange Enterprise Servers	允許 ACE	全部	讀取內容寫入內容	Exchange Information

Exchange Enterprise Servers

允許 ACE

全部

讀取內容

寫入內容

Exchange Information

物件的辨別名稱：CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
Exchange Domain Servers	允許 ACE	全部	寫入內容	Exchange Information

準備 Active Directory 權限

本節的權限表會顯示您執行 Setup /PrepareAD 命令時設定的權限。

Microsoft Exchange 容器權限

下表顯示組態磁碟分割內的 Microsoft Exchange 容器上設定的權限。

物件的辨別名稱：CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	註解
安裝帳戶	允許 ACE	全部	完全控制	這是用來執行 `/PrepareAD` 的帳戶。
組織管理	允許 ACE	全部	完全控制
Exchange 受信任子系統	允許 ACE	全部	完全控制
Exchange Server	允許 ACE	全部	讀取
已驗證的使用者	允許 ACE	無	讀取內容列出內容
公用資料夾管理	允許 ACE	全部	讀取權限列出內容讀取內容列出物件
委派安裝	允許 ACE	全部	讀取權限列出內容讀取內容列出物件

Microsoft Exchange 自動探索容器權限

下表顯示組態磁碟分割內的 Microsoft Exchange 自動探索容器上設定的權限。

物件的辨別名稱：CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
Exchange Server	允許 ACE	全部	讀取

Microsoft Exchange 組織容器權限

本節的權限表會顯示組態磁碟分割內的 Microsoft Exchange 組織和子容器上設定的權限。

物件的辨別名稱：CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
Enterprise Admins Root Domain Admins 安裝帳戶組織管理	拒絕 ACE	全部	傳送身分接收身分		Windows 系統管理員不可以開啟信箱。
Enterprise Admins Schema Admins Root Domain Admins 安裝帳戶組織管理	拒絕 ACE	全部	Exchange Web 服務模擬 Exchange Web 服務 Token 序列化		延伸權利
Enterprise Admins Schema Admins Root Domain Admins 安裝帳戶組織管理 Exchange Server	拒絕 ACE	全部	儲存傳輸存取儲存限制的委派儲存讀取權限儲存讀取寫入權限
已驗證的使用者	拒絕 ACE	描述	讀取內容	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Exchange Server	允許 ACE	全部	控制存取
組織管理	允許 ACE	全部	讀取權限列出內容讀取內容列出物件
公用資料夾管理	允許 ACE	全部	讀取權限列出內容讀取內容列出物件
NT Authority\Network Service	允許 ACE	全部	讀取
Exchange Server	允許 ACE	全部	寫入內容	`groupType`
Exchange Server	允許 ACE	全部	寫入內容	`msExchOwningServer`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMailboxSecurityDescriptor`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMServerWritableFlags`
Exchange Server	允許 ACE	全部	寫入內容	`msExchDatabaseCreated`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUserCulture`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMobileMailboxFlags`
Exchange Server	允許 ACE	全部	寫入內容	`siteFolderGUID`
Exchange Server	允許 ACE	全部	寫入內容	`siteFolderServer`
Exchange Server	允許 ACE	全部	寫入內容	`msExchEDBOffline`
Exchange Server	允許 ACE	全部	寫入內容	`userCertificate`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMDtmfMap`
Exchange Server	允許 ACE	全部	寫入內容	`msExchBlockedSendersHash`
Exchange Server	允許 ACE	全部	寫入內容	`Personal Information`
Exchange Server	允許 ACE	全部	寫入內容	`Public Information`
Exchange Server	允許 ACE	全部	寫入內容	`Exchange Information`
Exchange Server	允許 ACE	全部	寫入內容	`msExchPatchMDB`
Exchange Server	允許 ACE	全部	寫入內容	`publicDelegates`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMSpokenName`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMPinChecksum`
Exchange Server	允許 ACE	全部	寫入內容	`legacyExchangeDN`
Exchange Server	允許 ACE	全部	寫入內容	`msExchSafeSendersHash`
組織管理	允許 ACE	全部	建立最上層公用資料夾
公用資料夾管理	允許 ACE	全部	建立最上層公用資料夾
組織管理	允許 ACE	全部	檢視資訊儲存庫狀態
公用資料夾管理	允許 ACE	全部	檢視資訊儲存庫狀態
組織管理	允許 ACE	全部	管理資訊儲存庫
公用資料夾管理	允許 ACE	全部	管理資訊儲存庫
組織管理	允許 ACE	全部	在資訊儲存庫中建立具名內容
公用資料夾管理	允許 ACE	全部	在資訊儲存庫中建立具名內容
組織管理	允許 ACE	全部	修改公用資料夾 ACL
公用資料夾管理	允許 ACE	全部	修改公用資料夾 ACL
組織管理	允許 ACE	全部	修改公用資料夾配額
公用資料夾管理	允許 ACE	全部	修改公用資料夾配額
組織管理	允許 ACE	全部	修改公用資料夾管理 ACL
公用資料夾管理	允許 ACE	全部	修改公用資料夾管理 ACL
組織管理	允許 ACE	全部	修改公用資料夾到期
公用資料夾管理	允許 ACE	全部	修改公用資料夾到期
組織管理	允許 ACE	全部	修改公用資料夾複本清單
公用資料夾管理	允許 ACE	全部	修改公用資料夾複本清單
組織管理	允許 ACE	全部	修改公用資料夾刪除項目保留
公用資料夾管理	允許 ACE	全部	修改公用資料夾刪除項目保留
組織管理	允許 ACE	全部	建立公用資料夾
公用資料夾管理	允許 ACE	全部	建立公用資料夾
任何人 NT Authority\Anonymous Logon	允許 ACE	全部	在資訊儲存庫中建立具名內容
任何人 NT Authority\Anonymous Logon	允許 ACE	全部	建立公用資料夾
任何人 NT Authority\Anonymous Logon	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ msExchPrivateMDB`
任何人 NT Authority\Anonymous Logon	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ msExchPublicMDB`
Exchange Server	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ siteAddressing`

物件的辨別名稱：CN=All Address Lists,CN=Address Lists Container,CN=<organization>

帳戶 ACE 類型繼承權限開啟內容/套用至

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	全部	列出內容
組織管理	允許 ACE	全部	寫入內容	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
公用資料夾管理	允許 ACE	全部	寫入內容	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

已驗證的使用者

允許 ACE

全部

列出內容

組織管理

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

公用資料夾管理

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

物件的辨別名稱：CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	全部	下載離線通訊錄

物件的辨別名稱：CN=Addressing,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	全部	讀取

物件的辨別名稱：CN=Recipient Policies,CN=<organization>

帳戶 ACE 類型繼承權限開啟內容/套用至

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
組織管理	允許 ACE	全部	寫入內容	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
公用資料夾管理	允許 ACE	全部	寫入內容	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

組織管理

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

公用資料夾管理

允許 ACE

全部

寫入內容

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

組態磁碟分割容器權限

本節的權限表會顯示 Setup /PrepareAD 命令對組態磁碟分割內的各種容器所設定的權限。

物件的辨別名稱：CN=Sites,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
組織管理 Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchVersion / site`
組織管理 Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchVersion / site-link`
組織管理 Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchPartnerId / site`
組織管理 Exchange 受信任子系統	允許 ACE		寫入內容	`msExchTransportSiteFlags / site`
組織管理 Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchCost / site-link`
組織管理 Exchange 受信任子系統	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ msExchEdgeSyncEHFConnector`
組織管理 Exchange 受信任子系統	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ msExchEdgeSyncMservConnector`
組織管理 Exchange 受信任子系統	允許 ACE	子項	建立子項刪除子項刪除樹狀目錄	`msExchEdgeSyncServiceConfig / site`
組織管理 Exchange 受信任子系統	允許 ACE	描述	讀取權限列出內容讀取內容列出物件	`/ msExchEdgeSyncServiceConfig`
組織管理 Exchange 受信任子系統	允許 ACE	子項	建立子項刪除子項刪除樹狀目錄	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
組織管理 Exchange 受信任子系統	允許 ACE	子項	建立子項刪除子項刪除樹狀目錄	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

物件的辨別名稱：CN=Deleted Objects,CN=Configuration,DC=<domain>

帳戶	ACE 類型	繼承	權限	註解
Exchange Server	允許 ACE	全部	列出內容
組織管理	允許 ACE	全部	讀取權限寫入權限列出內容讀取內容列出物件
安裝帳戶	允許 ACE	全部	讀取權限寫入權限列出內容讀取內容列出物件	這是用來執行 `/PrepareAD` 的帳戶。
Exchange 受信任子系統	允許 ACE	全部	讀取權限列出內容讀取內容列出物件

Exchange 系統管理群組權限

Setup /PrepareAD 命令也會對組織內的系統管理群組設定下列權限。

物件的辨別名稱：CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
組織管理	允許 ACE	描述	存取收件者更新服務	`msExchExchangeServer`	允許 Exchange 收件者系統管理員利用 Proxy 位址資訊為收件者加上戳記。
NT AUTHORITY\SYSTEM	允許 ACE	描述	存取收件者更新服務	`msExchExchangeServer`	允許伺服器利用 Proxy 位址資訊為收件者加上戳記。
公用資料夾管理	允許 ACE	描述	存取收件者更新服務	`msExchExchangeServer`	允許 Exchange 公用資料夾系統管理員利用 Proxy 位址資訊為收件者加上戳記。

物件的辨別名稱：CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	列出內容

物件的辨別名稱：CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	讀取內容

物件的辨別名稱：CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	列出內容

物件的辨別名稱：CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	列出內容

物件的辨別名稱：CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	列出內容

物件的辨別名稱：CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
Exchange Server	拒絕 ACE	全部	接收身分		Exchange 伺服器不可以開啟信箱。
已驗證的使用者	允許 ACE	無	列出內容

Microsoft Exchange 安全性群組容器權限

本節的權限表會顯示根網域磁碟分割內的 Microsoft Exchange 安全性群組容器上設定的權限。

物件的辨別名稱：OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶 ACE 類型繼承權限開啟內容/套用至

組織管理

允許 ACE

全部

完全控制

Exchange 受信任子系統

允許 ACE

全部

建立子項

刪除子項

/ Group

Exchange 受信任子系統

允許 ACE

描述

寫入內容

Member / group

物件的辨別名稱：CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
組織管理	允許 ACE	全部	完全控制

物件的辨別名稱：CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
組織管理	允許 ACE	全部	完全控制

物件的辨別名稱：CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

組織管理

允許 ACE

全部

完全控制

Root Domain Administrators

允許 ACE

全部

讀取成員

寫入成員

Child Domain Administrators

允許 ACE

全部

讀取成員

寫入成員

準備網域

以下表格顯示您執行 Setup /PrepareDomain 命令時設定的權限。

物件的辨別名稱：DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
已驗證的使用者	允許 ACE	全部	讀取內容	`Exchange Information`
NT AUTHORITY\NETWORK	允許 ACE	全部	讀取內容	`Exchange Personal Information`	授與傳輸服務讀取權限。
Exchange Server	允許 ACE	全部	寫入內容	`groupType`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMailboxSecurityDescriptor`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMServerWritableFlags`
Exchange Server	允許 ACE	全部	讀取內容	`userAccountControl`
Exchange Server	允許 ACE	全部	讀取內容	`canonicalName`
Exchange Server	允許 ACE	全部	讀取內容	`Exchange Personal Information`
Exchange Server	允許 ACE	全部	讀取內容	`Exchange Information`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUserCultulre`
Exchange Server	允許 ACE	全部	讀取內容	`memberOf`
Exchange Server	允許 ACE	全部	讀取內容	`garbageCollPeriod`
Exchange Server	允許 ACE	全部	複寫同步處理		延伸權利
Exchange Server	允許 ACE	全部	建立子項刪除子項列出子項	`msExchActiveSyncDevices / User`
Exchange Server	允許 ACE	全部	建立子項刪除子項列出子項	`msExchActiveSyncDevices / inetOrgPerson`
Exchange Server	允許 ACE	全部	寫入內容	`msExchSafeSendersHash`
Exchange Server	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMobileMailboxFlags`
Exchange Server	允許 ACE	全部	寫入內容	`msExchSafeRecipientsHash`
Exchange Server	允許 ACE	全部	寫入內容	`userCertificate`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMDtmfMap`
Exchange Server	允許 ACE	全部	寫入內容	`msExchBlockedSendersHash`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMSpokenName`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMPinChecksum`
組織管理	允許 ACE	全部	讀取
組織管理	允許 ACE	全部	寫入內容	`Exchange Information`
組織管理	允許 ACE	全部	寫入內容	`garbageCollPeriod`
組織管理	允許 ACE	全部	寫入內容	`legacyExchangeDN`
組織管理	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
組織管理	允許 ACE	全部	寫入內容	`textEncodedORAddress`
組織管理	允許 ACE	全部	寫入內容	`proxyAddresses`
組織管理	允許 ACE	全部	寫入內容	`mail`
組織管理	允許 ACE	全部	寫入內容	`displayNamePrintable`
組織管理	允許 ACE	全部	寫入內容	`showInAddressBook`
組織管理	允許 ACE	全部	寫入內容	`Exchange Personal Information`
組織管理	允許 ACE	全部	完全控制	`/ msExchDynamicDistributionList`
組織管理	允許 ACE	全部	寫入內容	`adminDisplayName`
組織管理	允許 ACE	全部	寫入內容	`displayName`
Exchange 受信任子系統	允許 ACE	全部	讀取
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`displayName`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Public Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`adminDisplayName`
Exchange 受信任子系統	允許 ACE	全部	完全控制	`/ msExchDynamicDistributionList`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Exchange Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Exchange Personal Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`garbageCollPeriod`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`textEncodedORAddress`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`showInAddressBook`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`legacyExchangeDN`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Personal Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`proxyAddresses`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`displayNamePrintable`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`mail`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`pwdLastSet`
Exchange Windows 權限	允許 ACE	全部	刪除樹狀目錄 WriteDACL	`/ user`
Exchange Windows 權限	允許 ACE	全部	刪除樹狀目錄 WriteDACL	`/ inetOrgPerson`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`sAMAccountName`
Exchange Windows 權限	允許 ACE	全部	建立子項刪除子項	`/ contact`
Exchange Windows 權限	允許 ACE	全部	建立子項刪除子項	`/ user`
Exchange Windows 權限	允許 ACE	全部	建立子項刪除子項	`/ organizationUnit`
Exchange Windows 權限	允許 ACE	全部	建立子項刪除子項	`/ group`
Exchange Windows 權限	允許 ACE	全部	建立子項刪除子項	`/ computer`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`Member`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`wwwHomePage`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`countryCode`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`userAccountControl`
Exchange Windows 權限	允許 ACE	全部	寫入內容	`managedBy`
Exchange Windows 權限	允許 ACE	全部	重設密碼		延伸權利
Exchange Windows 權限	允許 ACE	全部	變更密碼		延伸權利

物件的辨別名稱：CN=AdminSDHolder,CN=System,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
Exchange Server	允許 ACE	全部	寫入內容	`groupType`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMailboxSecurityDescriptor`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMServerWritableFlags`
Exchange Server	允許 ACE	全部	讀取內容	`userAccountControl`
Exchange Server	允許 ACE	全部	讀取內容	`canonicalName`
Exchange Server	允許 ACE	全部	讀取內容	`Exchange Personal Information`
Exchange Server	允許 ACE	全部	讀取內容	`Exchange Information`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUserCultulre`
Exchange Server	允許 ACE	全部	讀取內容	`memberOf`
Exchange Server	允許 ACE	全部	讀取內容	`garbageCollPeriod`
Exchange Server	允許 ACE	全部	複寫同步處理		延伸權利
Exchange Server	允許 ACE	全部	建立子項刪除子項列出子項	`msExchActiveSyncDevices / User`
Exchange Server	允許 ACE	全部	寫入內容	`msExchSafeSendersHash`
Exchange Server	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
Exchange Server	允許 ACE	全部	寫入內容	`msExchMobileMailboxFlags`
Exchange Server	允許 ACE	全部	寫入內容	`msExchSafeRecipientsHash`
Exchange Server	允許 ACE	全部	寫入內容	`userCertificate`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMDtmfMap`
Exchange Server	允許 ACE	全部	寫入內容	`msExchBlockedSendersHash`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMSpokenName`
Exchange Server	允許 ACE	全部	寫入內容	`msExchUMPinChecksum`
組織管理	允許 ACE	全部	讀取
組織管理	允許 ACE	全部	寫入內容	`Exchange Information`
組織管理	允許 ACE	全部	寫入內容	`garbageCollPeriod`
組織管理	允許 ACE	全部	寫入內容	`legacyExchangeDN`
組織管理	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
組織管理	允許 ACE	全部	寫入內容	`textEncodedORAddress`
組織管理	允許 ACE	全部	寫入內容	`proxyAddresses`
組織管理	允許 ACE	全部	寫入內容	`mail`
組織管理	允許 ACE	全部	寫入內容	`displayNamePrintable`
組織管理	允許 ACE	全部	寫入內容	`showInAddressBook`
組織管理	允許 ACE	全部	寫入內容	`Exchange Personal Information`
組織管理	允許 ACE	全部	完全控制	`/ msExchDynamicDistributionList`
組織管理	允許 ACE	全部	寫入內容	`adminDisplayName`
組織管理	允許 ACE	全部	寫入內容	`displayName`
Exchange 受信任子系統	允許 ACE	全部	讀取
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`displayName`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Public Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`msExchPublicDelegates`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`adminDisplayName`
Exchange 受信任子系統	允許 ACE	全部	完全控制	`/ msExchDynamicDistributionList`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Exchange Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Exchange Personal Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`garbageCollPeriod`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`textEncodedORAddress`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`showInAddressBook`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`legacyExchangeDN`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`Personal Information`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`proxyAddresses`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`displayNamePrintable`
Exchange 受信任子系統	允許 ACE	全部	寫入內容	`mail`

物件的辨別名稱：CN=Microsoft Exchange System Objects,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
NT AUTHORITY\NETWORK	允許 ACE	全部	讀取內容	`Exchange Personal Information`
已驗證的使用者	允許 ACE	全部	讀取權限
已驗證的使用者	允許 ACE	全部	讀取內容	`garbageCollPeriod`
已驗證的使用者	允許 ACE	全部	讀取內容	`adminDisplayName`
已驗證的使用者	允許 ACE	全部	讀取內容	`modifyTimeStamp`
Exchange Server	拒絕 ACE	全部	刪除樹狀目錄
Exchange Server	允許 ACE	全部	讀取刪除樹狀目錄
Exchange Server	允許 ACE	全部	建立子項刪除子項	`/ msExchSystemMailbox`
Exchange Server	允許 ACE	全部		`/ publicFolder`
Exchange Server	允許 ACE	描述	寫入內容	`/ publicFolder`
Exchange Server	允許 ACE	描述	寫入內容	`/ msExchSystemMailbox`
組織管理	允許 ACE	全部	讀取
組織管理	允許 ACE	描述	寫入內容	`/ msExchSystemMailbox`
組織管理	允許 ACE	全部	建立子項刪除子項	`/ msExchSystemMailbox`
組織管理	允許 ACE	描述	讀取內容寫入內容	`mail / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`displayNamePrintable / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`displayName / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`textEncodedORAddress / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`proxyAddresses / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`cn / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`showInAddressBook / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`Exchange Information / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`legacyExchangeDN / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`Exchange Personal Information / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`msDSPhoneticDisplayName / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`msExchPFContacts / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`garbageCollPeriod / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`name / publicFolder`
組織管理	允許 ACE	描述	讀取內容寫入內容	`msExchPublicDelegates / publicFolder`
公用資料夾管理	允許 ACE	全部	讀取
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`mail / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`displayNamePrintable / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`displayName / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`textEncodedORAddress / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`proxyAddresses / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`cn / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`showInAddressBook / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`Exchange Information / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`legacyExchangeDN / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`Exchange Personal Information / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`msDSPhoneticDisplayName / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`msExchPFContacts / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`garbageCollPeriod / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`name / publicFolder`
公用資料夾管理	允許 ACE	描述	讀取內容寫入內容	`msExchPublicDelegates / publicFolder`
Exchange 受信任子系統	允許 ACE	全部	讀取
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`mail / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`displayNamePrintable / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`displayName / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`textEncodedORAddress / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`proxyAddresses / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`cn / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`showInAddressBook / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`Exchange Information / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`legacyExchangeDN / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`Exchange Personal Information / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`msDSPhoneticDisplayName / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`msExchPFContacts / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`garbageCollPeriod / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`name / publicFolder`
Exchange 受信任子系統	允許 ACE	描述	讀取內容寫入內容	`msExchPublicDelegates / publicFolder`

伺服器角色安裝

在安裝 Client Access server role、Hub Transport server role、Unified Messaging server role 及 Mailbox server role 期間，安裝程式會將 Organization Management USG 加入本機電腦上的系統管理員安全性群組，這樣一來，名為 Organization Management 的管理角色群組成員就可以管理伺服器。

下列權限表會顯示您安裝 Client Access server role、Hub Transport server role、Unified Messaging server role 及 Mailbox server role 時設定的權限。

物件的辨別名稱：CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
MACHINE$	允許 ACE	全部	讀取
MACHINE$	允許 ACE	無	寫入內容	`msExchServerSite` `msExchEdgeSyncCredential`
Exchange Server	允許 ACE	全部	儲存傳輸存取儲存限制的委派儲存唯讀權限儲存讀取和寫入權限		延伸權利
NT AUTHORITY\NETWORK	允許 ACE	全部	Exchange Web 服務 Token 序列化		延伸權利只授與 Client Access server role 物件。
NT AUTHORITY\NETWORK	允許 ACE	全部	讀取		只授與 Hub Transport server role 物件。
委派安裝	允許 ACE	全部	完全控制
委派安裝	允許 ACE	全部	讀取
委派安裝	拒絕 ACE	全部	建立子項刪除子項	`/ msExchPublicMDB`
已驗證的使用者	允許 ACE	全部	讀取內容
委派安裝	拒絕 ACE	全部	接收身分傳送身分		延伸權利

資料庫可用性群組

本節的權限表會顯示針對資料庫可用性群組及其成員所設定的權限。

物件的辨別名稱：CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
已驗證的使用者	允許 ACE	無	讀取內容

物件的辨別名稱：CN=<DAGName>,CN=Computers,DC=<domain>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至
Mailbox Server Computer Account$	允許 ACE	無	刪除讀取權限列出內容讀取內容刪除樹狀目錄列出物件
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`Logon Information`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`description`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`displayName`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`sAMAccountName`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`Account Restrictions`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`Validated write to DNS host name`
Mailbox Server Computer Account$	允許 ACE	無	寫入內容	`Validated write to service principal name`

邊際傳輸

如果您安裝 Edge Transport Server，並建立 Exchange 組織的 Edge 訂閱，則 Edge Transport Server 在組織中產生實體時，就會設定以下權限表中的權限。

物件的辨別名稱：CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
Exchange Server	允許 ACE	全部	寫入內容
已驗證的使用者	允許 ACE	無	讀取內容		ACE 是在 `msExchExchangeServer class` 物件 `defaultSecurityDescriptor.` 的結構描述中定義

安裝 Client Access Server

在安裝第一個 Client Access Server 的過程中，會建立下列容器。下列權限表會顯示所套用的權限。

物件的辨別名稱：CN=Availability Configuration,CN=<organization>

帳戶	ACE 類型	繼承	權限	開啟內容/套用至	註解
Exchange Server	允許 ACE	描述	讀取內容	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	延伸權利

安裝 Hub Transport Server

在安裝每一個 Hub Transport Server 的過程中，會設定下列權限。

物件的辨別名稱：CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

帳戶	ACE 類型	繼承	權限	註解
ExchangeLegacyInterop	拒絕 ACE	全部	接受樹系標頭
ExchangeLegacyInterop	拒絕 ACE	全部	接受組織標頭
Exchange Server	允許 ACE	全部	接受任何寄件者
ExchangeLegacyInterop	允許 ACE	全部	接受任何寄件者
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受任何寄件者	這是 Hub Transport Server 的已知安全性識別碼 (SID)。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受任何寄件者	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	接受任何寄件者	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	接受 EXCH50
ExchangeLegacyInterop	允許 ACE	全部	接受 EXCH50
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受 EXCH50	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受 EXCH50	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	接受 EXCH50	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	提交郵件到任何收件者
ExchangeLegacyInterop	允許 ACE	全部	提交郵件到任何收件者
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	提交郵件到任何收件者	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	提交郵件到任何收件者	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	提交郵件到任何收件者	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	接受 XShadow
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受 XShadow	這是 Edge Transport Server 的已知 SID。
Exchange Server	允許 ACE	全部	接受路由標頭
ExchangeLegacyInterop	允許 ACE	全部	接受路由標頭
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受路由標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受路由標頭	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	接受路由標頭	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	接受樹系標頭
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受樹系標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受樹系標頭	這是 Edge Transport Server 的已知 SID。
Exchange Server	允許 ACE	全部	接受驗證旗標
ExchangeLegacyInterop	允許 ACE	全部	接受驗證旗標
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受驗證旗標	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受驗證旗標	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	接受驗證旗標	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	略過反垃圾郵件
ExchangeLegacyInterop	允許 ACE	全部	略過反垃圾郵件
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	略過反垃圾郵件	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	略過反垃圾郵件	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	略過反垃圾郵件	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	略過郵件大小限制
ExchangeLegacyInterop	允許 ACE	全部	略過郵件大小限制
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	略過郵件大小限制	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	略過郵件大小限制	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	略過郵件大小限制	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	接受組織標頭
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受組織標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受組織標頭	這是 Edge Transport Server 的已知 SID。
Exchange Server	允許 ACE	全部	提交郵件到伺服器
ExchangeLegacyInterop	允許 ACE	全部	提交郵件到伺服器
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	提交郵件到伺服器	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	提交郵件到伺服器	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	提交郵件到伺服器	這是外部保護伺服器的已知 SID。
Exchange Server	允許 ACE	全部	接受授權網域寄件者
ExchangeLegacyInterop	允許 ACE	全部	接受授權網域寄件者
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	接受授權網域寄件者	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	接受授權網域寄件者	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	接受授權網域寄件者	這是外部保護伺服器的已知 SID。
已驗證的使用者	允許 ACE	全部	提交郵件到任何收件者
已驗證的使用者	允許 ACE	全部	接受路由標頭
已驗證的使用者	允許 ACE	全部	略過反垃圾郵件
已驗證的使用者	允許 ACE	全部	提交郵件到伺服器

物件的辨別名稱：CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

帳戶	ACE 類型	繼承	權限
已驗證的使用者	允許 ACE	全部	提交郵件到任何收件者
已驗證的使用者	允許 ACE	全部	接受路由標頭
已驗證的使用者	允許 ACE	全部	略過反垃圾郵件
已驗證的使用者	允許 ACE	全部	提交郵件到伺服器

建立 SMTP 傳送連接器

下表顯示您建立傳送連接器時設定的權限。

物件的辨別名稱：CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

帳戶	ACE 類型	繼承	權限	註解
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	傳送組織標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	傳送組織標頭	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	傳送樹系標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	傳送樹系標頭	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	傳送 XShadow	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	傳送 XShadow	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-10	允許 ACE	全部	傳送路由標頭	這是協力程式伺服器的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	傳送路由標頭	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	傳送路由標頭	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	傳送路由標頭	這是外部保護伺服器的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-24	允許 ACE	全部	傳送路由標頭	這是傳統 Exchange 伺服器的已知 SID。
NT AUTHORITY\ANONYMOUS LOGON	允許 ACE	全部	傳送路由標頭
S-1-9-1419165041-1139599005-3936102811-1022490595-21	允許 ACE	全部	傳送 Exch50	這是 Hub Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-22	允許 ACE	全部	傳送 Exch50	這是 Edge Transport Server 的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-23	允許 ACE	全部	傳送 Exch50	這是外部保護伺服器的已知 SID。
S-1-9-1419165041-1139599005-3936102811-1022490595-24	允許 ACE	全部	傳送 Exch50	這是傳統 Exchange 伺服器的已知 SID。

共用方式為

Exchange 2010 部署權限參考

準備傳統 Exchange 權限

物件的辨別名稱：DC=<domain>

物件的辨別名稱：CN=AdminSDHolder,CN=System,DC=<domain>

物件的辨別名稱：CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

準備 Active Directory 權限

Microsoft Exchange 容器權限

物件的辨別名稱：CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Microsoft Exchange 自動探索容器權限

物件的辨別名稱：CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

Microsoft Exchange 組織容器權限

物件的辨別名稱：CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

物件的辨別名稱：CN=All Address Lists,CN=Address Lists Container,CN=<organization>

物件的辨別名稱：CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

物件的辨別名稱：CN=Addressing,CN=<organization>

物件的辨別名稱：CN=Recipient Policies,CN=<organization>

組態磁碟分割容器權限

物件的辨別名稱：CN=Sites,CN=Configuration,DC=<domain>

物件的辨別名稱：CN=Deleted Objects,CN=Configuration,DC=<domain>

Exchange 系統管理群組權限

物件的辨別名稱：CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Microsoft Exchange 安全性群組容器權限

物件的辨別名稱：OU=Microsoft Exchange Security Groups,DC=<root domain>

物件的辨別名稱：CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=<root domain>

物件的辨別名稱：CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

物件的辨別名稱：CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

準備網域

物件的辨別名稱：DC=<domain>

物件的辨別名稱：CN=AdminSDHolder,CN=System,DC=<domain>

物件的辨別名稱：CN=Microsoft Exchange System Objects,DC=<domain>

伺服器角色安裝

物件的辨別名稱：CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

資料庫可用性群組

物件的辨別名稱：CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

物件的辨別名稱：CN=<DAGName>,CN=Computers,DC=<domain>

邊際傳輸

物件的辨別名稱：CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

安裝 Client Access Server

物件的辨別名稱：CN=Availability Configuration,CN=<organization>

安裝 Hub Transport Server

物件的辨別名稱：CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

物件的辨別名稱：CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

建立 SMTP 傳送連接器

物件的辨別名稱：CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

其他資源