Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-03-19
Las versiones anteriores de Microsoft Exchange Server no se basaban mucho en los conjuntos de propiedades para aplicar permisos en la partición de dominio. Aunque no suponía un problema en las implementaciones habituales, se convertía en uno para los entornos distribuidos que delegaban todas las tareas. Los administradores en estos entornos tenían que asignar permisos para una multitud de atributos para destinatarios de correo para que las tareas adecuadas se pudieran delegar en un modelo de acceso con menos privilegio. Dependiendo de las versiones de los servidores del servicio de directorio de Active Directory, esto podía provocar un sobredimensionamiento grave de la lista de control de acceso (ACL), incrementando el tamaño del archivo Ntds.dit.
Exchange Server 2007 mejora la delegación administrativa con el uso de conjuntos de propiedades para la mayoría de atributos de destinatarios de correo.
¿Qué son los conjuntos de propiedades?
Un conjunto de propiedades es una agrupación de atributos de Active Directory. Puede controlar el acceso a este grupo de atributos de Active Directory al configurar una entrada de control de acceso (ACE) en lugar de configurar una ACE en cada propiedad. Además, un atributo sólo puede formar parte de un único conjunto de propiedades.
Por ejemplo, el conjunto de propiedades de Información personal incluye propiedades como la dirección y el número de teléfono. Ambas son propiedades de objetos de usuario.
Conjuntos de propiedades en Exchange Server 2003
En Exchange Server 2003, el proceso de extensiones de esquema de Exchange agregaba muchos atributos de destinatarios de correo relacionados con Exchange a los conjuntos de propiedades integrados de Active Directory, información personal e información pública. Los grupos de seguridad local de dominio de servidores empresariales de Exchange asignaban acceso a estos conjuntos de propiedades en las particiones de dominio durante la fase de preparación del dominio, para que el servicio de actualización de destinatarios (RUS) pudiera actualizar los objetos. En las siguientes tablas, se muestran los atributos en los conjuntos de propiedades de información personal e información pública.
Conjunto de propiedades de información pública
allowedAttributes
allowedAttributesEffective
allowedChildClasses
allowedChildClassesEffective
altRecipient
altRecipientBL
altSecurityIdentities
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
cn
co
company
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
department
description
directReports
displayNamePrintable
distinguishedName
division
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
givenName
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
initials
internetEncoding
kMServer
language
languageCode
legacyExchangeDN
mail
mailNickname
manager
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msDS-AllowedToDelegateTo
msDS-Approx-Immed-Subordinates
msDS-Auxiliary-Classes
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchExpansionServerName
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxSecurityDescriptor
msExchMailboxUrl
msExchMasterAccountSid
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchQueryBaseDN
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceGUID
msExchResourceProperties
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchVoiceMailboxID
nombre
notes
o
objectCategory
objectClass
objectGUID
oOFReplyToOriginator
otherMailbox
ou
pOPCharacterSet
pOPContentFormat
protocolSettings
proxyAddresses
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
servicePrincipalName
showInAddressBook
sn
submissionContLength
supportedAlgorithms
systemFlags
targetAddress
telephoneAssistant
textEncodedORAddress
title
unauthOrig
unauthOrigBL
unmergedAtts
userPrincipalName
Conjunto de propiedades de información personal
assistant
c
facsimileTelephoneNumber
homePhone
homePostalAddress
info
internationalISDNNumber
ipPhone
l
mobile
mSMQDigests
mSMQSignCertificates
otherFacsimileTelephoneNumber
otherHomePhone
otherIpPhone
otherMobile
otherPager
otherTelephone
pager
personalTitle
physicalDeliveryOfficeName
postalAddress
postalCode
postOfficeBox
preferredDeliveryMethod
primaryInternationalISDNNumber
primaryTelexNumber
publicDelegates
registeredAddress
st
street
streetAddress
telephoneNumber
teletexTerminalIdentifier
telexNumber
thumbnailPhoto
userCert
userCertificate
userSharedFolder
userSharedFolderOther
userSMIMECertificate
x121Address
No obstante, cuando se trataba de la delegación de permisos para la administración de destinatarios de correo, muchos administradores de Active Directory no asignaban permisos a los administradores de Exchange utilizando estos conjuntos de propiedades, ya que daban acceso a muchos atributos adicionales no relacionados con Exchange.
Conjuntos de propiedades en Exchange Server 2007
Exchange 2007 aprovecha los conjuntos de propiedades creando dos nuevos conjuntos de propiedades exclusivamente para Exchange Server, en vez de basarse en conjuntos de propiedades preexistentes de Active Directory. Varias mejoras en Exchange 2007 incluyen lo siguiente:
Han dejado de basarse en los conjuntos de propiedades de Active Directory. El conjunto de propiedades específico de Exchange corrige la incertidumbre de cambios en las versiones futuras de los conjuntos de propiedades de Active Directory.
Los atributos creados por la extensión de esquema de Exchange son los únicos miembros de los conjuntos de propiedades específicos de Exchange.
Los conjuntos de propiedades específicos de Exchange permiten la creación y la implementación de un modelo de permisos de seguridad delegado, que es específico para la administración de los datos de destinatarios de correo de Exchange.
Durante la fase de extensión de esquema, Exchange 2007 realiza varias acciones. Se incluye lo siguiente:
Amplía el esquema con nuevas clases y atributos.
Crea los conjuntos de propiedades de información de Exchange e información personal de Exchange.
Agrega los atributos adecuados a los conjuntos de propiedades de información de Exchange e información personal de Exchange.
Los atributos de Exchange 2003 que se habían agregado anteriormente a los conjuntos de propiedades de información personal e información pública se trasladan según los conjuntos de propiedades específicos de Exchange.
Dado que los atributos se trasladan entre conjuntos de propiedades, debe actualizar la estructura de permisos de destinatarios de Exchange 2003 al implementar Exchange 2007 en un entorno heredado. Esto se hace ejecutando el comando setup /PrepareLegacyExchangePermissions o el comando setup /PrepareSchema. Para obtener más información acerca de lo que hace el comando setup /PrepareLegacyExchangePermissions, consulte Preparación de permisos de Exchange heredados.
El conjunto de propiedades de información de Exchange incluye los atributos que se enumeran en la siguiente tabla. Además, los usuarios autenticados disponen de acceso de lectura a ese conjunto de propiedades para que puedan consultar informaciones sobre los destinatarios de correo, por ejemplo, con la libreta de direcciones en Microsoft Office Outlook.
Conjunto de propiedades de información de Exchange
altRecipient
altRecipientBL
attributeCertificate
authOrig
authOrigBL
autoReply
autoReplyMessage
deletedItemFlags
delivContLength
deliverAndRedirect
deliveryMechanism
delivExtContTypes
dLMemberRule
dLMemDefault
dLMemRejectPerms
dLMemRejectPermsBL
dLMemSubmitPerms
dLMemSubmitPermsBL
dnQualifier
enabledProtocols
expirationTime
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9
extensionData
folderPathname
formData
forwardingAddress
heuristics
hideDLMembership
homeMDB
homeMTA
importedFrom
internetEncoding
kMServer
language
languageCode
mailNickname
mAPIRecipient
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
msExchADCGlobalNames
msExchALObjectVersion
msExchAssistantName
msExchConferenceMailboxBL
msExchControllingZone
msExchCustomProxyAddresses
msExchELCExpirySuspensionEnd
msExchELCExpirySuspensionStart
msExchELCMailboxFlags
msExchExpansionServerName
msExchExternalOOFOptions
msExchFBURL
msExchHideFromAddressLists
msExchHomeServerName
msExchIMACL
msExchIMAddress
msExchIMAPOWAURLPrefixOverride
msExchIMMetaPhysicalURL
msExchIMPhysicalURL
msExchIMVirtualServer
msExchInconsistentState
msExchLabeledURI
msExchMailboxFolderSet
msExchMailboxGuid
msExchMailboxOABVirtualDirectoriesLink
msExchMailboxSecurityDescriptor
msExchMailboxTemplateLink
msExchMailboxUrl
msExchMasterAccountHistory
msExchMasterAccountSid
msExchMaxBlockedSenders
msExchMaxSafeSenders
msExchMDBRulesQuota
msExchMessageHygieneSCLJunkThreshold
msExchMobileAllowedDeviceIDs
msExchMobileDebugLogging
msExchMobileMailboxFlags
msExchMobileMailboxPolicyLink
msExchOmaAdminExtendedSettings
msExchOmaAdminWirelessEnable
msExchOriginatingForest
msExchPfRootUrl
msExchPFTreeType
msExchPoliciesExcluded
msExchPoliciesIncluded
msExchPolicyEnabled
msExchPolicyOptionList
msExchPreviousAccountSid
msExchProxyCustomProxy
msExchPurportedSearchUI
msExchQueryBaseDN
msExchQueryFilterMetadata
msExchRecipientDisplayType
msExchRecipientTypeDetails
msExchRecipLimit
msExchRequireAuthToSendTo
msExchResourceCapacity
msExchResourceDisplay
msExchResourceGUID
msExchResourceMetaData
msExchResourceProperties
msExchResourceSearchProperties
msExchServerAdminDelegationBL
msExchTUIPassword
msExchTUISpeed
msExchTUIVolume
msExchUMAudioCodec
msExchUMDtmfMap
msExchUMEnabledFlags
msExchUMFaxId
msExchUMListInDirectorySearch
msExchUMMaxGreetingDuration
msExchUMOperatorNumber
msExchUMPinPolicyAccountLockoutFailures
msExchUMPinPolicyDisallowCommonPatterns
msExchUMPinPolicyExpiryDays
msExchUMPinPolicyMinPasswordLength
msExchUMRecipientDialPlanLink
msExchUMServerWritableFlags
msExchUMSpokenName
msExchUMTemplateLink
msExchUnmergedAttsPt
msExchUseOAB
msExchUserAccountControl
msExchUserCulture
msExchVersion
msExchVoiceMailboxID
oOFReplyToOriginator
pOPCharacterSet
pOPContentFormat
protocolSettings
publicDelegatesBL
replicatedObjectVersion
replicationSensitivity
replicationSignature
reportToOriginator
reportToOwner
securityProtocol
submissionContLength
supportedAlgorithms
targetAddress
telephoneAssistant
unauthOrig
unauthOrigBL
unmergedAtts
El conjunto de propiedades de información personal de Exchange incluye los atributos que se enumeran en la siguiente tabla. Para garantizar que los usuarios normales no puedan recuperar los datos almacenados en estos atributos, los atributos se colocan en otro conjunto de propiedades donde los usuarios autenticados no tienen asignado acceso de lectura.
Conjunto de propiedades de información personal de Exchange
msExchMessageHygieneFlags
msExchMessageHygieneSCLDeleteThreshold
msExchMessageHygieneSCLQuarantineThreshold
msExchMessageHygieneSCLRejectThreshold
msExchSafeRecipientsHash
msExchSafeSendersHash
msExchUMPinChecksum
Información adicional
Para obtener más información al respecto, consulte los siguientes temas: