Permisos de Exchange 2007: Preguntas más frecuentes

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2008-01-24

En este tema se responde a preguntas relacionadas con permisos que hemos recibido desde el lanzamiento de Microsoft  Exchange Server 2007.

Muchas preguntas describen cambios específicos de los permisos que puede realizar para permitir o deshabilitar el acceso. Si no está familiarizado con las herramientas que puede usar para administrar permisos, consulte Planificación e implementación de un modelo de permisos divididos.

Las preguntas y respuestas se organizan en dos secciones:

  • Implementación de Exchange 2007

  • Administración de Exchange 2007

Implementación de Exchange 2007

P: ¿Qué permisos necesito para ejecutar la preparación de bosque y dominio?

R: Son obligatorios los permisos siguientes:

  • Para ejecutar el comando Setup /PrepareLegacyExchangePermissions, debe ser miembro del grupo de seguridad Administradores de organización.

  • Para ejecutar el comando Setup /PrepareSchema, debe ser miembro de los grupos de seguridad Administradores de esquema y Administradores de organización.

  • Para ejecutar el comando Setup /PrepareAD, debe ser miembro del grupo de seguridad Administradores de organización.

Para ejecutar el comando Setup /PrepareDomain, setup /PrepareDomain:<FQDN> o Setup /PrepareAllDomains, debe ser miembro del grupo Administradores de organización o del grupo Administradores de dominio en el dominio que vaya a preparar.

P: ¿Cuál es la función de /PrepareLegacyExchangePermissions para Exchange 2007?

R: Para obtener información detallada, consulte Preparación de permisos de Exchange heredados.

P: ¿Cómo determina Setup /PrepareLegacyExchangePermissions la lista de dominios que se van a actualizar?

R: La tarea Setup /PrepareLegacyExchangePermissions recupera la lista de dominios del bosque de la configuración de éste último. Después, se conecta a un servidor de catálogo global y realiza una búsqueda en cada partición de nomenclatura del dominio. A continuación, determina si el dominio se ha preparado para Microsoft Exchange 2000 Server o Exchange Server 2003 intentando resolver los identificadores de seguridad (SID) de los grupos de seguridad Servidores de dominio de Exchange y Servidores empresariales de Exchange. Una vez que la tarea ha elaborado una lista de los dominios previamente preparados, la tarea intenta establecer una sesión de Protocolo ligero de acceso a directorios (LDAP) de configuración de dominio con cada dominio. Si la tarea puede establecer una sesión, establece los permisos heredados para el dominio. Si la tarea no puede establecer la sesión debido a un problema relacionado con los permisos o a que el dominio no está disponible, agrega ese dominio a una lista de dominios no accesibles. Si esta lista contiene algún dominio, la tarea no se podrá completar correctamente una vez que haya procesado la lista.

En este caso, debe determinar una estrategia correctiva como, por ejemplo, ejecutar la tarea en un controlador de ese dominio usando una cuenta que tenga las credenciales adecuadas con el fin de garantizar la actualización del dominio antes de continuar con la preparación de Exchange 2007.

P: ¿Cuál es la función de Setup /PrepareSchema para Exchange 2007?

R: Para obtener información detallada, consulte Cómo preparar Active Directory y dominios.

P: ¿Cuál es la función de Setup /PrepareAD para Exchange 2007?

R: Para obtener información detallada, consulte Cómo preparar Active Directory y dominios.

P: ¿Cuál es la función de Setup /PrepareDomain para Exchange 2007?

R: Para obtener información detallada, consulte Cómo preparar Active Directory y dominios. Crea el contenedor Objetos de sistema de Microsoft Exchange en el dominio.

Este contenedor se usa para almacenar objetos proxy de carpeta pública y objetos de sistema relacionados con Exchange como, por ejemplo, el almacén de buzones.

El comando Setup /PrepareDomain asigna permisos específicos en esta carpeta. Para obtener más información acerca de los permisos específicos otorgados, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

El comando Setup /PrepareDomain crea el grupo de seguridad global Servidores de dominio de instalación de Exchange y lo coloca en el contenedor Objetos de sistema de Microsoft Exchange.

Agrega el grupo de seguridad global Servidores de dominio de instalación de Exchange al grupo de seguridad universal Servidores de Exchange.

Asigna permisos para el grupo de seguridad universal Servidores de Exchange en el nivel de dominio. Para obtener más información acerca de los permisos específicos otorgados, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

Asigna permisos para el grupo de seguridad universal Administradores de destinatarios de Exchange en el nivel de dominio. Para obtener más información acerca de los permisos específicos otorgados, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

Asigna al grupo de seguridad universal Servidores de Exchange el permiso Administrar registros de auditoría y seguridad definido en la unidad organizativa Directiva predeterminada de controladores de dominio.

P: ¿Cuándo debo ejecutar Setup /PrepareDomain para Exchange 2007?

R: El comando Setup /PrepareDomain permite a los administradores de dominio de Active Directory preparar sus dominios para usuarios y servidores de Exchange 2007. Debe ejecutar el comando Setup /PrepareDomain en cada dominio que contenga lo siguiente:

  • Servidores de Exchange 2000, Exchange 2003 o Exchange 2007

  • Objetos habilitados para correo

  • Servidores de catálogo global que es posible que usen los componentes de acceso a directorios de Exchange

P: ¿Por qué el grupo de servidores de Exchange es miembro del grupo de acceso de autorización de Windows en cada dominio que tiene servidores de Exchange o usuarios con buzones de correo de Exchange?

R: Este cambio se introdujo con la funcionalidad PrepareDomain en el Service Pack 1 de Exchange 2007. Este cambio permite que el servicio de transporte de Microsoft Exchange use el conjunto de extensiones Service-for-User (S4U) Kerberos para realizar comprobaciones de permisos en equipos que no sean controladores de dominio.

P: He observado que Setup /PrepareDomain modifica la directiva de controladores de dominio. Al grupo de seguridad universal Servidores de Exchange se le concede el permiso para administrar los registros de auditoría y seguridad. ¿Por qué es obligatorio?

R: Para que el proceso de almacenamiento sea compatible con la auditoría de buzones, es obligatorio este permiso, ya que permite al servidor de Exchange leer Listas de control de acceso del sistema (SACL) del dominio. Si se quita este permiso, las bases de datos del servidor de Exchange no se podrán montar. Éste es el único ajuste que realiza el comando Setup /PrepareDomain en la directiva de controladores de dominio. Esta directiva se replica en otros controladores de dominio a través de una combinación de replicación de Active Directory y el Servicio de replicación de archivos (FRS).

Nota

Si ha implementado otras directivas en sus unidades organizativas de controladores de dominio, deberá agregar este permiso a la directiva de mayor aplicabilidad.

Implementación de Exchange 2007

P: ¿Cuál es la función del grupo de seguridad Servidores de dominio de instalación de Exchange?

R: Al instalar un servidor de Exchange 2007, la cuenta del equipo se agrega al grupo de seguridad universal Servidores de Exchange. De manera predeterminada, este grupo se hospeda en el dominio raíz del bosque. Si el servidor que está instalando se encuentra en un dominio diferente, es posible que los servicios de Exchange no se inicien durante la instalación debido a que no se ha efectuado la replicación de Active Directory de la pertenencia de servidores de Exchange a los servidores de catálogo global ubicados en el dominio donde se está instalando Exchange 2007.

La finalidad del grupo de seguridad Servidores de dominio de instalación de Exchange es garantizar que, durante la instalación, puedan iniciarse los servicios sin necesidad de esperar a la replicación de Active Directory. El programa de instalación de Exchange agrega la cuenta del equipo al grupo de seguridad global Servidores de dominio de instalación de Exchange del dominio local.

P: ¿Puedo mover los grupos de seguridad predeterminados de Exchange a otro contenedor o dominio del bosque?

R: Exchange 2007 usa un nuevo conjunto de grupos de seguridad para administrar el modelo de permisos y para mantener la coexistencia. Estos grupos son los siguientes:

  • Servidores de Exchange

  • Administradores de Exchange con permiso de vista

  • Administradores de carpeta pública de Exchange (novedad en el Service Pack 1 de Exchange 2007)

  • Administradores de destinatarios de Exchange

  • Administradores de organización de Exchange

  • ExchangeLegacyInterop

De manera predeterminada, estos grupos de seguridad están ubicados en el dominio raíz de la unidad organizativa Grupos de seguridad de Microsoft Exchange. Pueden moverse a diferentes unidades organizativas y también a otros dominios del bosque. Se admite el desplazamiento de los grupos en el bosque debido a que estos grupos tienen dos propiedades únicas: un GUID conocido y un nombre distintivo que puede modificarse. Al usar estas dos propiedades y agregarlas al atributo otherWellKnownObjects del bosque durante la tarea Setup /PrepareAD, Exchange podrá encontrar el grupo de seguridad en cualquier lugar del bosque. El servicio de directorio administrará la actualización del nombre distintivo (DN) del objeto cuando se mueva. De este modo, Exchange no requiere una ubicación fija en el directorio.

Implementación de Exchange 2007

P: Mi empresa no permite permisos heredados del nivel de dominio de Active Directory a los contenedores y unidades organizativas secundarios. ¿Puede ser un problema?

R: El comando Setup /PrepareDomain sólo asigna entradas de control de acceso (ACE) para el grupo Servidores de Exchange y el grupo Administradores de destinatarios de Exchange en el nivel de dominio. Por lo tanto, si bloquea la herencia, Microsoft Exchange no podrá procesar los objetos de usuario. Como resultado, los Administradores de destinatarios no podrán realizar el aprovisionamiento de destinatarios de correo y Exchange no podrán actualizar los atributos apropiados en los objetos.

Al bloquear la herencia, tiene la opción de Quitar o Copiar los permisos en el contenedor o unidad organizativa seleccionados. Si decide Copiar los permisos, se aplicarán las ACE adecuadas. Si decide Quitar los permisos, no se aplicarán las ACE adecuadas y no se realizará el aprovisionamiento de destinatarios.

Nota

La estructura de permisos puede cambiar en futuras versiones o Service Pack de Microsoft Exchange. Por lo tanto, se recomienda permitir la herencia o, al menos, supervisar los cambios de permiso cuando se implementen nuevas versiones de Microsoft Exchange, de manera que los contenedores con la herencia bloqueada puedan actualizarse en consecuencia.

Si desea establecer manualmente los permisos en una unidad organizativa de forma que Exchange 2007 y los destinatarios puedan procesar objetos u obtener acceso a los mismos, deberá asignar los permisos siguientes:

  • Asigne el siguiente permiso al objeto de seguridad Usuarios autenticados para todos los tipos de objeto de destinatario de la unidad organizativa:

    • Acceso de lectura para el conjunto de propiedades de información de Exchange
  • Asigne los siguientes permisos al grupo Servidores de Exchange para todos los tipos de objeto de destinatario de la unidad organizativa:

    • Acceso de escritura para los siguientes atributos:

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • Acceso de lectura para los siguientes atributos:

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • Acceso de lectura para el conjunto de propiedades de información personal de Exchange

    • Acceso de lectura para el conjunto de propiedades de información de Exchange

    • Permiso de cambio de contraseña

    • Permiso de escritura de permisos para objetos de grupo

Si se encuentra en un entorno que contiene servidores de Exchange 2000 o Exchange 2003, deberá asignar también los siguientes permisos al grupo de seguridad Servidores empresariales de Exchange, de manera que el servicio de actualización de destinatarios de Exchange 2003 pueda procesar objetos:

  • Contenidos de lista

  • Leer todas las propiedades

  • Permisos de lectura

  • Escribir información pública

  • Escribir información personal

  • Escribir información de Exchange

  • Escribir displayName

  • Escribir groupType

  • Permiso de escritura de permisos en objetos de grupo (este permiso es necesario para admitir la pertenencia a grupos ocultos)

Para asegurarse de que los Administradores de destinatarios de Exchange puedan administrar los objetos de destinatario en la unidad organizativa, deberá asignarles los siguientes permisos:

  • Acceso de escritura a los siguientes conjuntos de propiedades:

    • Información personal de Exchange

    • Información de Exchange

  • Acceso de escritura a los siguientes atributos:

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • Permiso para crear objetos de msExchDynamicDistributionList

  • Derecho de usuario para eliminar objetos de msExchDynamicDistributionList

  • Control total sobre objetos de msExchDynamicDistributionList

  • Permiso de lectura genérico que incluye los permisos Leer, Contenidos de lista, Objeto de lista y Leer todas las propiedades

Puede establecer todos estos permisos usando el complemento de interfaces ADSI (Active Directory Service Interfaces), listas de control de acceso discrecional (DACL) o el cmdlet Add-ADPermission del Shell de administración de Exchange. Para obtener más información acerca de cómo establecer permisos en el nivel de unidad organizativa, consulte Planificación e implementación de un modelo de permisos divididos

Implementación de Exchange 2007

P: ¿Qué permisos necesito para instalar el primer servidor de Exchange?

R: Suponiendo que haya preparado el bosque y el dominio, para instalar el primer servidor de Exchange, debe iniciar sesión en Active Directory con los permisos siguientes:

  • Función Administrador de la organización de Exchange

  • Miembro del grupo local de administradores en el servidor de Exchange de destino

Nota

Para instalar el primer servidor para cada función de servidor de Exchange 2007, se requiere la función Administrador de la organización de Exchange.

P: ¿Qué permisos necesito para instalar servidores de Exchange adicionales?

R: Suponiendo que haya completado la preparación y haya instalado la primera función de servidor de Exchange 2007, para poder instalar servidores de Exchange adicionales de la misma función, deberá iniciar sesión en Active Directory con los permisos siguientes:

  • La función Administrador de la organización de Exchange o haber delegado el permiso para instalar el servidor a través del proceso de aprovisionamiento del programa de instalación. Para obtener más información acerca de el aprovisionamiento de objetos del servidor, consulte Cómo abastecer al servidor de Exchange 2007 y delegar la instalación.

  • Miembro del grupo local de administradores en el servidor de Exchange de destino

P: ¿Cómo delego permisos a otros administradores para que puedan administrar diversos servicios de Exchange 2007?

R: Para delegar permisos a otros usuarios, use lo siguiente:

  • El asistente Agregar administrador de Exchange de la Consola de administración de Exchange

  • El cmdlet Add-ExchangeAdministrator del Shell de administración de Exchange

Para delegar en administradores adicionales, deberá iniciar sesión como un usuario que tenga asignada la función Administrador de la organización de Exchange.

Implementación de Exchange 2007

P: Si muevo las cuentas del equipo de Exchange a una unidad organizativa diferente de Active Directory, ¿se verán afectados mis permisos y delegaciones de Exchange?

R: No, el asistente Agregar administrador de Exchange asigna permisos en el contexto de nomenclatura de configuración de Active Directory, no en el contexto de nomenclatura de dominio donde residen las cuentas del equipo. Sin embargo, deberá reiniciar el servicio Operador de sistema de Microsoft Exchange en el servidor de Exchange una vez que se haya movido el objeto de cuenta del equipo. Para obtener más información acerca de el motivo por el que debe reiniciar el servidor de Exchange, consulte el artículo de Knowledge Base Microsoft, Operador de sistema genera evento ID 9186 y evento ID 9187 en Exchange 2000 y Exchange 2003

P: ¿Cuál es la diferencia entre las funciones Administrador de la organización de Exchange y Administrador de Exchange Server?

R: Un administrador de organización de Exchange puede manipular y cambiar la configuración de cualquier objeto de Exchange en la partición de configuración de la organización de Exchange.

Un administrador de Exchange Server sólo puede manipular el objeto de servidor de Exchange al que el administrador haya delegado el permiso y todo su contenido.

P: Si concedo permisos a un usuario o grupo en el nivel de organización de Exchange, ¿fluyen automáticamente estos permisos hacia abajo?

R: Sí. Los permisos se heredan de igual modo que en Exchange 2003.

P: ¿Qué permisos necesito para la cuenta de servicio en la configuración de clúster de Exchange 2007?

R: La cuenta de servicios de clúster no requiere ningún permiso de organización de Exchange.

P: ¿Qué permisos necesito para instalar Exchange 2007 en una configuración de clúster?

R: Para obtener más información acerca de cómo realizar una instalación delegada de servidores de buzones de correo en clúster, consulte Cómo realizar una instalación delegada de un servidor de buzones de correo en clúster.

Implementación de Exchange 2007

P: Tengo una aplicación de mensajería de terceros que requiere acceso total al buzón de cada usuario. Con Exchange Server 5.5, se conceden los permisos del administrador de cuentas de servicio a una cuenta especial y se ordena a la aplicación que use dicha cuenta. ¿Cómo puedo obtener una funcionalidad similar en Exchange 2007?

R: La seguridad de Exchange 2007 funciona de manera distinta a la de Exchange Server 5.5. De hecho, Exchange 2007 no usa ninguna cuenta de servicio del sitio. En su lugar, todos los servicios se inician con la cuenta del equipo local.

Si su cuenta de inicio de sesión es la cuenta del administrador, un miembro de los administradores de dominio raíz, un miembro de los grupos de administradores de la empresa, o un miembro de la función Administradores de la organización de Exchange, se le denegará explícitamente el acceso a todos los buzones que no sean el suyo, aunque disponga de derechos de administrador completos sobre el sistema Exchange. Todas las tareas administrativas de Exchange 2007 se pueden realizar sin necesidad de otorgar a un administrador los derechos suficientes para leer el correo de otras personas.

Puede conseguir los resultados que desee de la siguiente manera, aunque únicamente de acuerdo con la directiva de seguridad y privacidad de su organización:

  • En el Shell de administración de Exchange, use el siguiente comando para permitir el acceso a todos los buzones de un almacén de buzones determinado:

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As
    
  • En el Shell de administración de Exchange, use el siguiente comando para permitir el acceso a un buzón individual:

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
    

Implementación de Exchange 2007

P: ¿Por qué los administradores de dominios pueden simular cuentas de usuario habilitadas para buzón en su dominio?

R: Active Directory incluye un conjunto de permisos básicos que se pueden aplicar en objetos del directorio. En particular, Active Directory incluye el permiso extendido Enviar como. De manera predeterminada, los grupos Administradores, Administradores de dominio, Administradores de organización y Operadores de cuentas tienen el permiso Enviar como para todos los usuarios. Los permisos de los grupos Administradores y Administradores de organización se heredan del nivel de dominio. Los grupos Operadores de cuentas y Administradores de dominio reciben permisos explícitos basados en la definición del objeto de usuario que se encuentra en el esquema de Active Directory.

Quizás desee considerar la implementación de una ACE para Denegar Enviar como en los administradores para los objetos de usuario del dominio. Si decide implementar esta ACE en los administradores para los objetos de usuario del dominio, tenga en cuenta lo siguiente:

  • Una ACE explícita para Permitir invalidará una ACE heredada para Denegar. Esto significa que las ACE explícitas se aplican antes que las ACE heredadas.

  • Los miembros del grupo Administradores de dominio pueden quitar la ACE para Denegar y agregar una ACE explícita para Permitir.

  • La adición de una ACE para Denegar puede tener consecuencias adicionales en su entorno.

Si la implementación de una ACE para Denegar Guardar como en los administradores para los objetos de usuario del dominio pone en peligro su entorno de mensajería, debería realizar una o varias de las siguientes acciones:

  • Limite el número de administradores de dominio en el dominio delegando tareas específicas. Para obtener más información, consulte Recomendaciones para delegar la administración de Active Directory.

  • Use la auditoría para supervisar los eventos de inicio de sesión de aquellas cuentas que pertenezcan al grupo Administradores de dominio.

Implementación de Exchange 2007

P: ¿Por qué los miembros de los grupos Administradores de organización y Administradores de dominio raíz tienen control total en la organización de Exchange?

R: En Exchange 2000 y versiones posteriores de Exchange Server, los datos relacionados con la organización de Exchange no se almacenan en un directorio independiente. Exchange almacena los datos de la organización en Active Directory, en el contexto de nomenclatura de configuración. Los administradores del bosque, que son miembros del grupo Administradores de organización o Administradores de dominio raíz, controlan todos los aspectos del directorio y los datos almacenados en el directorio. Los administradores del bosque deben controlar el directorio, porque un solo cambio en la configuración podría afectar negativamente a todo el bosque. El contexto de nomenclatura de configuración y, por herencia, la organización de Exchange almacenada en dicho contexto, tienen los siguientes permisos:

  • Administradores de organización: control total

  • Administradores de dominio raíz: permisos Leer, Escribir, Crear todos los objetos secundarios y permisos especiales

Además de los permisos heredados, el programa de instalación de Exchange agrega una ACE para Denegar Enviar como y Recibir como para los grupos Administradores de organización y Administradores de dominio raíz. Esto evita que los administradores tengan acceso a los buzones del bosque y los simulen. Para obtener más información, consulte Referencia a los permisos de configuración de servidor de Exchange 2007.

No se puede quitar la herencia del nodo de organización de Exchange en el contexto de nomenclatura de configuración. Si los administradores de mensajería no confían en los administradores del bosque, deberían considerar la posibilidad de aislar Exchange en su propio bosque. Para obtener más información acerca de las opciones de implementación, consulte Deploy Exchange Server 2007 (en inglés).

Si no puede aislar la organización de Exchange en un bosque diferente, se recomienda realizar una o varias de las siguientes tareas:

  • Limite el número de administradores de organización y de dominio en el dominio raíz delegando tareas específicas. Para obtener más información, consulte Recomendaciones para delegar la administración de Active Directory.

  • Use la auditoría para supervisar los eventos de inicio de sesión de aquellas cuentas que pertenezcan a cualquier grupo con privilegios. Éstos incluyen los grupos Administradores de organización y Administradores de dominio raíz.

  • Use la auditoría para supervisar los cambios que se producen en la parte CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Servicios,CN=Configuración,DC=<dominio raíz> del directorio.

Implementación de Exchange 2007

P: ¿Porqué los miembros del grupo Operadores de cuentas pueden modificar los grupos de seguridad de Exchange Server?

R: A un grupo con privilegios, como el grupo de seguridad Operadores de cuentas, se le conceden permisos específicos en Active Directory. En particular, al grupo de seguridad Operadores de cuentas se le conceden premisos explícitos de control total para cada objeto de la partición de dominio, de manera que el grupo pueda administrar los objetos.

Quizás desee considerar la implementación de una ACE para Denegar la entrada de control de acceso a los operadores de cuentas para dichos grupos de seguridad. Si decide implementar una ACE para Denegar, debe tener en cuenta lo siguiente:

  • Los operadores de cuentas tienen control total usando una ACE explícita en los objetos del directorio. Esto significa que debe colocar una ACE explícita para Denegar en cada grupo que desee restringir. Tenga en cuenta que una ACE explícita para Permitir invalida una ACE heredada para Denegar.

  • La adición de una ACE para Denegar puede tener consecuencias adicionales en su entorno. Para obtener más información, consulte Planificación e implementación de un modelo de permisos divididos.

Si la implementación de una ACE para Denegar en los operadores de cuentas u otros grupos con privilegios para los grupos de seguridad de Exchange pone en peligro su entorno de mensajería, debería realizar una o varias de las siguientes acciones:

  • Limite el número de operadores de cuentas del dominio delegando tareas específicas. Para obtener más información, consulte Recomendaciones para delegar la administración de Active Directory.

  • Use la auditoría para supervisar los eventos de inicio de sesión de aquellas cuentas que pertenezcan al grupo de seguridad Operadores de cuentas.

  • Use la auditoría para supervisar los cambios en los grupos de seguridad de Exchange.

P: ¿Por qué hay una cuenta de servicio especial en Exchange Server 5.5, cuando los servicios de Exchange 2007 pueden iniciarse como LocalSystem (cuenta de equipo integrada)?

R: Exchange Server 5.5 necesitaba una cuenta especial de inicio de sesión para sus servicios debido a una limitación de Microsoft Windows NT 4.0. Aunque las cuentas de equipo local en Windows NT 4.0 tenían testigos, no tenían credenciales; por tanto, una cuenta de equipo no podía autenticarse en otra. En Windows Server 2003, se usa la autenticación Kerberos y las cuentas de equipo tienen tanto testigos como credenciales.

Es más seguro usar la cuenta de equipo local que una cuenta especificada por el administrador, por las razones siguientes:

  • La contraseña del equipo local es un número hexadecimal aleatorio, no una cadena legible por los humanos.

  • La contraseña del equipo local cambia automáticamente cada siete días.

  • La cuenta de servicio de Exchange Server 5.5 tiene que excluirse de las directivas de bloqueo porque un intento violento de inicio de sesión podría deshabilitar la cuenta y apagar los servicios de Exchange.

Implementación de Exchange 2007

Administración de Exchange 2007

P: ¿Qué permisos necesito para crear y eliminar usuarios de Exchange 2007?

R: Si es responsable de la administración tanto de usuarios como de buzones, debe tener permisos para crear y administrar objetos de destinatario en Active Directory. Por ejemplo, podría ser un Administrador de dominio o un Operador de cuentas, o se le podría haber delegado el acceso a una unidad organizativa determinada. Tenga en cuenta que los miembros de cuentas con privilegios de dominio secundario deben tener también la función Administrador de la Exchange con permiso de vista para poder administrar las propiedades relacionadas con el correo de la Consola de administración de Exchange y el Shell de administración de Exchange. Si no dispone de permisos elevados, deberá tener los permisos siguientes:

  • La función Administrador de destinatarios de Exchange o tener delegados los permisos apropiados. Para obtener más información acerca de cómo delegar administración de destinatarios, consulte Planificación e implementación de un modelo de permisos divididos y Consideraciones sobre permisos.

    • Para mover el buzón entre servidores, el administrador debe ser un administrador de la organización de Exchange o tener delegada la función Administrador de Exchange Server en los servidores de origen y de destino.
  • Los permisos adecuados en la partición de dominio para crear, eliminar y administrar los objetos en cuestión.

Además, si administra objetos de carpetas públicas, se recomienda que la cuenta de administración, que es la cuenta con la que inicia sesión cuando manipula objetos en la Consola de administración de Exchange o el Shell de administración de Exchange, esté habilitada para correo o para buzón. En algunos casos, puede producirse un comportamiento anómalo en la interfaz de usuario de permisos y pueden aparecer errores de resolución de nombres para mostrar si la cuenta que administra objetos de carpetas públicas no está habilitada para buzón o para correo.

Para obtener más información, consulte el tema "Otros problemas" en la sección "Diagnóstico y reparación de problemas de almacén de Exchange Server 2003" de Trabajo con almacenes de Exchange Server 2003.

Implementación de Exchange 2007

P: ¿Por qué necesito permisos adicionales no proporcionados con la función Administrador de destinatarios de Exchange para realizar operaciones en los buzones de correo, como por ejemplo, cambiar el tipo de buzón?

R: Para poder convertir el tipo de un buzón, es necesario realizar varios cambios en Active Directory que pueden requerir privilegios elevados que no proporciona la función Administrador de destinatarios de Exchange. A continuación, se detalla un ejemplo de escenario en el que se desea convertir un buzón de usuario en un buzón de sala: por diseño, los buzones de recursos son cuentas de usuario deshabilitadas que están habilitadas para el correo, mientras que los buzones de usuario son cuentas de usuario habilitadas para correo. Por tanto, para convertir el buzón de correo de un tipo UserMailbox a un tipo RoomMailbox, será necesario deshabilitar la cuenta de usuario. Esto requiere cambiar el atributo de usuario userAccountControl del valor 512 (habilitado) a 514 (deshabilitado). Así, dado que la cuenta está ahora deshabilitada, para que el buzón se siga usando, será necesario configurar el atributo msExchMasterAccountSID y aplicar los permisos apropiados. En este caso, no se asigna una cuenta vinculada, sino el privilegio NT AUTHORITY\SELF al atributo msExchMasterAccountSID. Además, también será necesario garantizar que el privilegio NT AUTHORITY\SELF dispone de los permisos adecuados, de manera que el flujo de correo y el buzón no se vean afectados. Esto se realiza de dos maneras. Primero, se concede al privilegio NT AUTHORITY\SELF acceso completo al buzón mediante la actualización del descriptor de seguridad del buzón. A continuación, se concede privilegio NT AUTHORITY\SELF el derecho ampliado Enviar-como, y acceso de lectura y escritura al conjunto de propiedades de información personal (de forma que publicDelegates y otros atributos puedan ser administrados por NT AUTHORITY\SELF).

P: ¿Qué permisos necesito para modificar los permisos de buzón de un objeto de usuario?

R: Para modificar correctamente los permisos de buzón a través del Shell de administración de Exchange, deberá tener los permisos siguientes:

  • Función Administrador con permiso de vista Exchange

  • Se debe conceder el permiso Administrar almacén de información al almacén de buzones donde reside el buzón

  • Se debe conceder el permiso Escribir al almacén de buzones donde reside el buzón

P: ¿Qué permisos necesito para mover un buzón entre almacenes de buzones de Exchange?

R: La funcionalidad Mover buzón, a la que se obtiene acceso desde la Consola de administración de Exchange y el Shell de administración de Exchange, inicia sesión en el buzón de origen y mueve las carpetas y los mensajes al buzón de destino. Pueden moverse buzones entre almacenes de buzones del mismo grupo de almacenamiento, entre diferentes grupos de almacenamiento del mismo servidor y entre servidores de Exchange. Debe tener permisos sobre el objeto de usuario en Active Directory para poder modificar sus atributos de buzón de Exchange. Los usuarios que sean operadores de cuentas dispondrán de estos permisos. Además, deberá tener los permisos siguientes:

  • Función Administrador de la organización de Exchange o tener delegada la función Administrador de Exchange Server en los servidores de buzones de Exchange 2007 de origen y destino.

    Nota

    Si mueve los buzones entre grupos administrativos en un entorno mixto de Exchange 2007 Exchange 2003, deberá tener delegada la función Administrador de Exchange en los grupos administrativos de origen y destino.

  • Ser miembro del grupo Administradores de la estación de trabajo o el servidor local para crear un perfil MAPI dinámico.

Implementación de Exchange 2007

P: ¿Qué permisos necesito para crear nuevos buzones y almacenes de carpeta pública o un grupo de almacenamiento en un servidor de Exchange 2007?

R: Debe haber iniciado sesión con los permisos siguientes:

  • Función Administrador de la organización de Exchange o tener delegada la función Administrador de Exchange Server en el servidor de buzones de Exchange 2007

    Nota

    Los administradores de Exchange Server no pueden crear bases de datos de carpetas públicas.

P: He observado que varios de los identificadores de seguridad (SID) para diversos conectores de recepción y de envío no se resuelven. ¿Por qué?

R: Algunos grupos lógicos que se usan para asignar permisos a diversos conectores de recepción y de envío se representan mediante un SID y no tienen ningún nombre para mostrar. En dichos casos, el cmdlet Get-ADPermission sólo da como resultado el SID. En el transporte de Exchange 2007, se han definido los siguientes SID:

  • Servidores de transporte de concentradores de la misma organización: S-1-9-1419165041-1139599005-3936102811-1022490595-21

    Nota

    Para la autenticación y autorización entre dos servidores de transporte de concentradores del mismo dominio, se usa la cuenta del equipo que es miembro del grupo de seguridad Servidores de Exchange.

  • Servidores de transporte perimetral de confianza: S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • Servidores de otros fabricantes de confianza que atienden en los mismos dominios autoritativos: S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • Servidores de Exchange 2003 de la misma organización: S-1-9-1419165041-1139599005-3936102811-1022490595-24

  • Servidores de transporte asociados: S-1-9-1419165041-1139599005-3936102811-1022490595-10

Implementación de Exchange 2007

P: ¿Qué permisos necesito para buscar un mensaje?

R: Para buscar en varios buzones usando la tarea Export-Mailbox, el administrador debe tener los permisos siguientes:

  • Función Administrador de Exchange Server o superior en el servidor de buzón de origen y destino

  • Ser miembro del grupo local de administradores de la estación de trabajo o del servidor local donde se va a ejecutar la tarea

P: ¿Qué permisos necesito para realizar el seguimiento de un mensaje?

R: Se necesitan los permisos siguientes para realizar dicho seguimiento:

  • Para la versión RTM de Exchange 2007     Función Administrador de Exchange Server o superior en los servidores de buzones y transporte de concentradores que pueda consultar la tarea

  • **Novedades en el Service Pack 1 de Exchange 2007 ** Función Administrador de Exchange con permiso de vista o superior dentro de la organización

  • Administrador local del servidor de transporte perimetral

  • Administrador local en la estación de trabajo donde se va a ejecutar la tarea

    Nota

    En Exchange 2007 RTM, si desea que el administrador realice un seguimiento de los mensajes, deberá reiniciar el servicio de búsqueda de registros de transporte de Microsoft Exchange después de conceder la función Administrador de Exchange Server a un administrador.

P: ¿Qué permisos necesito para ejecutar el Ayudante para resolución de problemas de Exchange?

R: Para ejecutar Exchange Mail Flow Analyzer, son obligatorios los permisos siguientes:

  • Administrador de dominio o ser miembro del grupo BUILTIN\Administrators en el servidor de Active Directory para enumerar la información de Active Directory y llamar a los proveedores del Instrumental de administración de Windows (WMI) de Microsoft en el controlador de dominio y en los servidores de catálogo global

  • Miembro del grupo local de administradores en cada servidor de Exchange para llamar a los proveedores de WMI y obtener acceso al Registro y a la metabase de IIS

  • Función de administrador con permiso de vista de Exchange o superior

Los permisos necesarios para ejecutar Exchange Performance Troubleshooting Analyzer son los siguientes:

  • Usuario de dominio o permisos superiores en el servidor de catálogo global especificado en el paso de conexiones

  • Miembro del grupo local de administradores en cada servidor que ejecute Microsoft Exchange y que se vaya a analizar. Estos permisos son necesarios para obtener acceso a WMI, al Registro y a los datos de rendimiento.

Los permisos necesarios para ejecutar Exchange Disaster Recovery Analyzer son los siguientes:

  • Miembro del grupo local de administradores en cada servidor de Exchange para llamar a los proveedores de WMI, obtener acceso al registro y a la metabase de IIS, así como a la base de datos y a los archivos del Registro de transacciones y al motor de base de datos

  • Función Administrador de Exchange Server o superior en cada servidor

Implementación de Exchange 2007

P: ¿Qué permisos necesito para ejecutar Microsoft Exchange Best Practices Analyzer?

R: Para poder ejecutar Exchange Best Practices Analyzer, deberá disponer de los permisos siguientes:

  • Función de administrador con permiso de vista de Exchange o superior

  • Permisos de administrador de equipo para enumerar la información de Active Directory y llamar a los proveedores de WMI en servidores DC o GC

  • Miembro del grupo local de administradores en cada servidor de Exchange para llamar a los proveedores de WMI y obtener acceso al Registro y a la metabase de IIS

P: ¿Qué permisos necesito para administrar las colas de mensajes?

R: Para poder administrar las colas de mensajes, deberá tener los siguientes permisos:

  • En los servidores de transporte perimetral, deberá ser miembro del grupo local de administradores.

  • Para Exchange 2007 RTM   En servidores de transporte de concentradores, deberá ser miembro de la función Administrador de Exchange Server o superior.

  • Novedades en Exchange 2007 Service Pack 1   En los servidores de transporte de concentradores, deberá ser miembro de la función Administrador de Exchange con permiso de vista o superior para poder ver las colas. Si desea manipular la colas, deberá ser miembro de la función Administrador de Exchange Server o superior.

Implementación de Exchange 2007