本文描述 Exchange 2000 Server 和 Exchange Server 2003 中权限是如何简化的。
Exchange 中的访问控制列表 (ACL)
Exchange 中的 ACL 直接存储为文件夹属性
ptagNTSD,它拥有能够访问此文件夹的用户或组的 NT 安全描述符。
Exchange 中的邮箱不再与用户分离。因此,Exchange 基于登录用户的 Microsoft Windows NT 安全 ID 控制对文件夹的访问,而不是基于邮箱的域名允许访问文件夹,这与 NTFS 文件系统 (NTFS) 处理其访问控制的方式类似。这非常重要。用户无法访问或看到文件夹的大多数问题是由 Windows NT 安全 ID 的问题所导致的。这在混合使用 Exchange Server 5.5 和 Exchange 2000 或 Exchange 2003 的环境中尤其危险。
新的 ACL 属性标记
Exchange 2000 又引入两个新的属性标记 (ptag) 来存储安全信息(Exchange 2003 保留了这些属性标记):
| %26#8226; | ptagNTSD (PR_NT_SECURITY_DESCRIPTOR) 这是由 Exchange 2000 使用的新的、更丰富的 ACL 集。这些权限与 NTFS 权限集非常近似。Exchange 2000 上的所有文件夹都具有此属性。
|
| %26#8226; | ptagAdminNTSD (PR_ADMIN_SECURITY_DESCRIPTOR) 这些是文件夹的管理员权限。默认情况下,它们从根文件夹继承,而不是在单个文件夹上设置。然而,如果您在一个文件夹上设置了特定的管理员权限,此属性就会添加上去并随该文件夹一起复制。 |
查看 Exchange 系统管理器中的 ACL
如果此文件夹为 MAPI 文件夹,则在查看客户端权限时,将显示类似 MAPI 的权限。
要查看 MAPI 文件夹上的“原始”NT 安全描述符 (NTSD) 权限,请执行下列操作:
| 1. | 打开 Exchange 系统管理器,然后选择要查看的 MAPI 文件夹。 |
| 2. | 按住 Ctrl 键,然后单击“权限”。 |
注意:非 MAPI 文件夹(应用程序 TLH 文件夹)始终显示原始 NTSD 权限。
在 Exchange 系统管理器中,不要使用 Windows 资源管理器或通过按住 Ctrl 键然后单击“权限”(本文描述的查看权限的过程)来设置 MAPI 文件夹权限。如果这样做,可能将失去通过 MAPI 客户端和 Exchange 系统管理器修改权限的能力。
MAPI 权限问题
在 MAPI 顶层层次结构 (TLH) 中,不能混合使用用于设置文件夹上的权限的工具。支持 MAPI 的工具(如 Exchange 系统管理器或 Microsoft Outlook)可自行设置 MAPI TLH 权限。如果通过使用 Windows 资源管理器设置权限,或在查看 NTSD 权限时在 Exchange 系统管理器中设置权限,可能会断开文件夹上的 MAPI 权限,并且无法再通过 MAPI 修改权限。如果客户端尝试修改权限,可能会收到以下错误信息:
Invalid Window Handle
ID no:80040102
Exchange System Manager
要查看文件夹上的客户端权限(包括该文件夹的所有者),请执行下列操作:
| 1. | 打开 Exchange 系统管理器,然后选择一个公用文件夹。 |
| 2. | 单击“属性”,然后单击“客户端权限”。 |
在 Exchange 系统管理器中单击“客户端权限”或者通过使用 Outlook 客户端设置客户端权限时,将启动 MAPI ACL 编辑器。
但是,如果按住 Ctrl 键并在 Exchange 系统管理器中单击公用文件夹的“属性”,然后单击“客户端权限”,将获得所有者的 NTSD 而不是 MAPI 权限。在按住 Ctrl 键并单击“客户端权限”时,将启动 Windows NT ACL 编辑器。
通过查看驱动器 M 中公用文件夹的 NT 安全描述符,可以查看到同样的信息。这些是 MAPI 文件夹的原始 NTSD 权限。
尽管在 Exchange 2000 及更高版本中,可以通过使用 Exchange 系统管理器、Outlook 和 Windows 2000 版本的 Windows 资源管理器设置公用文件夹层次结构中公用文件夹的安全性,但这些工具是不可互换的。Windows 资源管理器使用 Windows 2000 ACL 格式设置 MAPI 公用文件夹层次结构上的安全权限(NTSD 权限),而 Exchange 系统管理器和 Outlook 使用 MAPI ACL 格式。Microsoft Web Storage System 可以正确解释这两种 ACL 格式,但是这些工具是不可互换的,因为当通过使用 Exchange 系统管理器或 Outlook 中的 MAPI ACL 编辑器更改 MAPI 公用文件夹上的权限设置时,所做的更改将写入 Exchange 可安装文件系统。相反,如果使用 Windows NT ACL 编辑器更改 MAPI 公用文件夹上的权限设置(通过按住 Ctrl 键,然后单击“客户端权限”,或者直接通过 Windows 资源管理器从 M 驱动器更改),Exchange 可安装文件系统将不写回 MAPI 权限。
因为这些工具不可互换,如果通过按住 Ctrl 键并在 Windows NT ACL 编辑器中单击“客户端权限”修改 MAPI 公用文件夹上的 NSTD 权限,将无法再通过使用 ESM 或 Outlook 设置公用文件夹的客户端权限。Microsoft 强烈建议您只使用 Exchange 系统管理器或 Outlook 客户端编辑 MAPI 公用文件夹层次结构上的安全性。 如想进一步了解如何解决修改 Exchange 2000 MAPI 公用文件夹的 NTSD 权限时(也就是说,使用 Windows 资源管理器在驱动器 M 上修改权限时)可能发生的问题,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313333 XADM:对公用文件夹设置权限时出现错误信息:Invalid Windows Handle ID No:80040102 Exchange System Manager(无效 Windows 句柄 ID 号:80040102 Exchange 系统管理器)
注意:此问题不会发生在常规目的公用文件夹层次结构(也称为应用程序文件夹层次结构)上。
有关常规目的公用文件夹层次结构中存在的非 MAPI 公用文件夹的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
313113 XADM:在 Exchange 2000 中创建多个公用存储的规则
