Riferimenti per le autorizzazioni di distribuzione di Exchange 2010

Articolo
03/03/2017

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

In questo argomento vengono descritte le autorizzazioni necessarie per configurare un'organizzazione di Microsoft Exchange Server 2010. I gruppi di protezione universali (USG) associati ai gruppi del ruolo di gestione e altre entità di sicurezza e gruppi di protezione di Windows vengono aggiunti agli elenchi di controllo degli accessi (ACL) di diversi oggetti Active Directory. Gli ACL controllano le operazioni che possono essere eseguite su ciascun oggetto. Venendo a conoscenza delle autorizzazioni concesse a ogni gruppo di ruoli, gruppo di protezione o entità di sicurezza, è possibile determinare le autorizzazioni minime necessarie per installare Exchange 2010.

In alcuni casi, l'elenco di controllo degli accessi non viene applicato alla proprietà standard, ntSecurityDescriptor, ma a un'altra proprietà, ad esempio msExchMailboxSecurityDescriptor. Il servizio directory non è in grado di applicare una protezione non specificata nel descrittore di protezione di Windows. Nella maggior parte dei casi, gli elenchi di controllo degli accessi vengono replicati per essere archiviati in oggetti appropriati dal servizio Archivio informazioni. Sfortunatamente, non esiste alcuno strumento per visualizzare gli elenchi di controllo degli accessi in modo diverso da dati binari non elaborati.

Le colonne di ciascuna tabella delle autorizzazioni includono le seguenti informazioni:

Account L'entità di sicurezza a cui sono concesse o negate le autorizzazioni.
Tipo ACE Tipo di voce di controllo di accesso (ACE)
- ACE consentita Consente all'utente o al gruppo associato all'ACE di accedere a un elemento.
- ACE negata Impedisce all'utente o al gruppo associato all'ACE di accedere a un elemento.
Ereditarietà Tipo di ereditarietà utilizzata per oggetti figlio.
- Tutte indica che le autorizzazioni si applicano all'oggetto e ai sottoggetti.
- Desc indica le autorizzazioni che si applicano alla classe di oggetti elencata nella riga Sulla proprietà/Si applica a.
- Nessuna indica le autorizzazioni da applicare all'oggetto.
Autorizzazioni Le autorizzazioni concesse all'account.
Sulla proprietà/Si applica a In alcuni casi, le autorizzazioni si applicano solo a una proprietà specificata, a un insieme di proprietà o a una classe di oggetti. Queste autorizzazioni limitate sono specificate di seguito.
Commenti Nei casi in cui è possibile, questa colonna spiega perché le autorizzazioni sono necessarie oppure fornisce altre informazioni sulle autorizzazioni.

Le autorizzazioni in genere vengono elencate nella tabella in base ai nomi utilizzati nella scheda Visualizza/Modifica della finestra Avanzate della pagina delle proprietà Sicurezza di Active Directory Service Interfaces (ADSI) Edit (AdsiEdit.msc). La pagina delle proprietà di ADSI Edit Sicurezza riporta una visualizzazione molto più ridotta delle autorizzazioni. Lo strumento LDP (Ldp.exe) visualizza la maschera di accesso direttamente come valore numerico. Il codice di installazione si riferisce alle autorizzazioni mediante costanti predefinite.

La seguente tabella mostra il rapporto tra tali valori.

Pagina di riepilogo di ADSI Edit	Finestra Avanzate di ADSI Edit, scheda Visualizza/Modifica	Voci di elenco di controllo di accesso applicate a un oggetto specificato	Valore binario (maschera di accesso in LDP)
Controllo completo	Controllo completo	`WRITE_OWNER \| WRITE_DAC \| READ_CONTROL \| DELETE \| ACTRL_DS_CONTROL_ACCESS \| ACTRL_DS_LIST_OBJECT \| ACTRL_DS_DELETE_TREE \| ACTRL_DS_WRITE_PROP \| ACTRL_DS_READ_PROP \| ACTRL_DS_SELF \| ACTRL_DS_LIST \| ACTRL_DS_DELETE_CHILD \| ACTRL_DS_CREATE_CHILD`	`0x000F01FF`
Lettura	Contenuto elenco + Lettura di tutte le proprietà + Autorizzazioni di lettura	`ACTRL_DS_LIST \| ACTRL_DS_READ_PROP \| READ_CONTROL`	`0x00020014`
Scrittura	Scrivi tutte le proprietà + Tutte le scritture convalidate	`ACTRL_DS_WRITE_PROP \| ACTRL_DS_SELF`	`0x00000028`
	Contenuto elenco	`ACTRL_DS_LIST`	`0x00000004`
	Lettura di tutte le proprietà	`ACTRL_DS_READ_PROP`	`0x00000010`
	Scrivi tutte le proprietà	`ACTRL_DS_WRITE_PROP`	`0x00000020`
	Elimina	`DELETE`	`0x00010000`
	Elimina sottoalbero	`ACTRL_DS_DELETE_TREE`	`0x00000040`
	Autorizzazioni di lettura	`READ_CONTROL`	`0x00020000`
	Autorizzazioni di modifica	`WRITE_DAC`	`0x00040000`
	Modifica proprietario	`WRITE_OWNER`	`0x00080000`
	Tutte le scritture convalidate	`ACTRL_DS_SELF`	`0x00000008`
	Tutti i diritti estesi	`ACTRL_DS_CONTROL_ACCESS`	`0x00000100`
Crea tutti gli oggetti figlio	Crea tutti gli oggetti figlio	`ACTRL_DS_CREATE_CHILD`	`0x00000001`
Elimina tutti gli oggetti figlio	Elimina tutti gli oggetti figlio	`ACTRL_DS_DELETE_CHILD`	`0x00000002`
		`ACTRL_DS_LIST_OBJECT`	`0x00000080`

I diritti estesi sono diritti personalizzati specificati da singole applicazioni, nell'elenco di controllo degli accessi. Tuttavia, non sono utilizzati in Active Directory. L'applicazione specifica applica qualsiasi diritto esteso. Esempi di diritti estesi di Exchange sono "Crea cartella pubblica" o "Crea proprietà con nome nell'archivio informazioni".

Nota

Per ulteriori informazioni sulle autorizzazioni impostate durante l'installazione di Microsoft Exchange Server 2003, vedere l'articolo sull'utilizzo delle autorizzazioni di Active Directory in Exchange 2003. Per ulteriori informazioni sulle autorizzazioni impostate durante l'installazione di Microsoft Exchange Server 2007, vedere i riferimenti per le autorizzazioni del programma di installazione del server di Exchange 2007.

Preparazione delle autorizzazioni delle versioni legacy dei sistemi di Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate quando si esegue il comando setup /PrepareLegacyExchangeAutorizzazioni.

Nome distinto dell'oggetto: DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Server Exchange Enterprise	ACE consentita	Tutte	Proprietà di scrittura	Exchange Information
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	Exchange Information

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Server Exchange Enterprise	ACE consentita	Tutte	Proprietà di lettura Proprietà di scrittura	Exchange Information

Server Exchange Enterprise

ACE consentita

Tutte

Proprietà di lettura

Proprietà di scrittura

Exchange Information

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Server dominio di Exchange	ACE consentita	Tutte	Proprietà di scrittura	Exchange Information

Preparazione delle autorizzazioni di Active Directory

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate quando si esegue il comando Setup /PrepareAD.

Autorizzazioni del contenitore di Microsoft Exchange

Nella seguente tabella vengono riportate le autorizzazioni impostate nel contenitore di Microsoft Exchange nella partizione di configurazione.

Nome distinto dell'oggetto: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
Account di installazione	ACE consentita	Tutte	Controllo completo	Si tratta dell'account utilizzato per eseguire `/PrepareAD`.
Gestione dell'organizzazione	ACE consentita	Tutte	Controllo completo
Sottosistema attendibile Exchange	ACE consentita	Tutte	Controllo completo
Server Exchange	ACE consentita	Tutte	Lettura
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura Contenuto elenco
Gestione cartelle pubbliche	ACE consentita	Tutte	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti
Configurazione delegata	ACE consentita	Tutte	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti

Autorizzazioni del contenitore di individuazione automatica di Microsoft Exchange

Nella seguente tabella vengono riportate le autorizzazioni impostate nel contenitore di individuazione automatica di Microsoft Exchange nella partizione di configurazione.

Nome distinto dell'oggetto: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Server Exchange	ACE consentita	Tutte	Lettura

Autorizzazioni del contenitore dell'organizzazione di Microsoft Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate nell'organizzazione di Microsoft Exchange e nei sottocontenitori all'interno della partizione di configurazione.

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Enterprise Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione	ACE negata	Tutte	Invia come Ricevi come		Gli amministratori di Windows non possono aprire le cassette postali.
Enterprise Admins Schema Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione	ACE negata	Tutte	Rappresentazione dei servizi Web di Exchange Serializzazione dei token dei servizi Web di Exchange		Diritto esteso
Enterprise Admins Schema Admins Gruppo radice Domain Admins Account di installazione Gestione dell'organizzazione Server Exchange	ACE negata	Tutte	Accesso al trasporto dell'archivio Delega vincolata dell'archivio Accesso in lettura all'archivio Accesso in lettura e scrittura all'archivio
Utenti autenticati	ACE negata	Desc	Proprietà di lettura	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpace`
Server Exchange	ACE consentita	Tutte	Controllo accesso
Gestione dell'organizzazione	ACE consentita	Tutte	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti
Gestione cartelle pubbliche	ACE consentita	Tutte	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti
NT Authority\servizio di rete	ACE consentita	Tutte	Lettura
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchOwningServer`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchDatabaseCreated`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCulture`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`siteFolderGUID`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`siteFolderServer`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchEDBOffline`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPatchMDB`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`publicDelegates`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Gestione dell'organizzazione	ACE consentita	Tutte	Crea cartella pubblica principale
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea cartella pubblica principale
Gestione dell'organizzazione	ACE consentita	Tutte	Visualizza stato dell'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Visualizza stato dell'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Amministra l'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Amministra l'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco di controllo degli accessi delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco di controllo degli accessi delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica le quote delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica le quote delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco di controllo di accesso amministrativo delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco di controllo di accesso amministrativo delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica la scadenza delle cartelle pubbliche
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica la scadenza delle cartelle pubbliche
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica l'elenco delle repliche della cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica l'elenco delle repliche della cartella pubblica
Gestione dell'organizzazione	ACE consentita	Tutte	Modifica il mantenimento degli elementi eliminati di una cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Modifica il mantenimento degli elementi eliminati di una cartella pubblica
Gestione dell'organizzazione	ACE consentita	Tutte	Crea cartella pubblica
Gestione cartelle pubbliche	ACE consentita	Tutte	Crea cartella pubblica
Tutti NT Authority\accesso anonimo	ACE consentita	Tutte	Crea proprietà con nome nell'Archivio informazioni
Tutti NT Authority\accesso anonimo	ACE consentita	Tutte	Crea cartella pubblica
Tutti NT Authority\accesso anonimo	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ msExchPrivateMDB`
Tutti NT Authority\accesso anonimo	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ msExchPublicMDB`
Server Exchange	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ siteAddressing`

Nome distinto dell'oggetto: CN=All Address Lists,CN=Address Lists Container,CN=<organization>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Contenuto elenco
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestione cartelle pubbliche	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Utenti autenticati

ACE consentita

Tutte

Contenuto elenco

Gestione dell'organizzazione

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestione cartelle pubbliche

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Nome distinto dell'oggetto: CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Download della Rubrica offline

Nome distinto dell'oggetto: CN=Addressing,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Tutte	Lettura

Nome distinto dell'oggetto: CN=Recipient Policies,CN=<organization>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`
Gestione cartelle pubbliche	ACE consentita	Tutte	Proprietà di scrittura	`msExchLastAppliedRecipientFilter` `msExchRecipientFilterFlags`

Gestione dell'organizzazione

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Gestione cartelle pubbliche

ACE consentita

Tutte

Proprietà di scrittura

msExchLastAppliedRecipientFilter

msExchRecipientFilterFlags

Autorizzazioni del contenitore nella partizione di configurazione

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate dal comando Setup /PrepareAD in diversi contenitori all'interno della partizione di configurazione.

Nome distinto dell'oggetto: CN=Sites,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchVersion / site`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchVersion / site-link`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPartnerId / site`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita		Proprietà di scrittura	`msExchTransportSiteFlags / site`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchCost / site-link`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncEHFConnector`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncMservConnector`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncServiceConfig / site`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Desc	Autorizzazioni di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti	`/ msExchEdgeSyncServiceConfig`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncMservConnector / msExchEdgeSyncServiceConfig`
Gestione dell'organizzazione Sottosistema attendibile Exchange	ACE consentita	Figli	Crea elemento figlio Elimina elemento figlio Elimina albero	`msExchEdgeSyncEHFConnector / msExchEdgeSyncServiceConfig`

Nome distinto dell'oggetto: CN=Deleted Objects,CN=Configuration,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Commenti
Server Exchange	ACE consentita	Tutte	Contenuto elenco
Amministrazione dell'organizzazione	ACE consentita	Tutte	Autorizzazione di lettura Autorizzazione di scrittura Contenuto elenco Proprietà di lettura Elencazione oggetti
Account di installazione	ACE consentita	Tutte	Autorizzazione di lettura Autorizzazione di scrittura Contenuto elenco Proprietà di lettura Elencazione oggetti	Si tratta dell'account utilizzato per eseguire `/PrepareAD`.
Sottosistema attendibile Exchange	ACE consentita	Tutte	Autorizzazione di lettura Contenuto elenco Proprietà di lettura Elencazione oggetti

Autorizzazioni del gruppo amministrativo di Exchange

Il comando Setup /PrepareAD configura anche le seguenti autorizzazioni nei gruppi amministrativi all'interno dell'organizzazione.

Nome distinto dell'oggetto: CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Gestione dell'organizzazione	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente agli amministratori destinatari di Exchange di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.
NT AUTHORITY\SYSTEM	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente ai server di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.
Gestione cartelle pubbliche	ACE consentita	Desc	Accesso al Servizio aggiornamento destinatari	`msExchExchangeServer`	Consente agli amministratori delle cartelle pubbliche di Exchange di apporre ai destinatari un indicatore con informazioni sull'indirizzo proxy.

Nome distinto dell'oggetto: CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Contenuto elenco

Nome distinto dell'oggetto: CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Proprietà di lettura

Nome distinto dell'oggetto: CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Contenuto elenco

Nome distinto dell'oggetto: CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Contenuto elenco

Nome distinto dell'oggetto: CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Utenti autenticati	ACE consentita	Nessuna	Contenuto elenco

Nome distinto dell'oggetto: CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Server Exchange	ACE negata	Tutte	Ricevi come		I server Exchange non possono aprire le cassette postali.
Utenti autenticati	ACE consentita	Nessuna	Contenuto elenco

Autorizzazioni del contenitore dei gruppi di protezione di Microsoft Exchange

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate nel contenitore dei gruppi di protezione di Microsoft Exchange nella partizione del dominio radice.

Nome distinto dell'oggetto: OU=Microsoft Exchange Security Groups,DC=<root domain>

Account Tipo ACE Ereditarietà Autorizzazioni Sulla proprietà/Si applica a

Gestione dell'organizzazione

ACE consentita

Tutte

Controllo completo

Sottosistema attendibile Exchange

ACE consentita

Tutte

Crea elemento figlio

Elimina elemento figlio

/ Group

Sottosistema attendibile Exchange

ACE consentita

Desc

Proprietà di scrittura

Member / group

Nome distinto dell'oggetto: CN=Gestione organizzazione,OU=Microsoft Exchange Security Groups,DC=<root domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	Controllo completo

Nome distinto dell'oggetto: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a
Gestione dell'organizzazione	ACE consentita	Tutte	Controllo completo

Nome distinto dell'oggetto: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

Gestione dell'organizzazione

ACE consentita

Tutte

Controllo completo

Amministratori del dominio radice

ACE consentita

Tutte

Lettura membri

Scrittura membri

Amministratori del dominio figlio

ACE consentita

Tutte

Lettura membri

Scrittura membri

Preparazione di un dominio

Nella seguente tabella vengono riportate le autorizzazioni impostate quando si esegue il comando Setup /PrepareDomain.

Nome distinto dell'oggetto: DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/Si applica a	Commenti
Utenti autenticati	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Proprietà di lettura	`Personal Information`	Concede le autorizzazioni di lettura per il servizio di trasporto.
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`userAccountControl`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`canonicalName`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Personal Information`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCultulre`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`memberOf`
Server Exchange	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Server Exchange	ACE consentita	Tutte	Sincronizzazione replica		Diritto esteso
Server Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio Elenco elementi figlio	`msExchActiveSyncDevices / User`
Server Exchange	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio Elenco elementi figlio	`msExchActiveSyncDevices / inetOrgPerson`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeRecipientsHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Server Exchange	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Gestione dell'organizzazione	ACE consentita	Tutte	Lettura
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Gestione dell'organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Gestione organizzazione	ACE consentita	Tutte	Controllo completo	`/ msExchDynamicDistributionList`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Letto
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Controllo completo	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Autorizzazioni Windows per Exchange	ACE consentita	Tutte	Proprietà di scrittura	`pwdLastSet`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Delete Tree WriteDACL	`/ user`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Delete Tree WriteDACL	`/ inetOrgPerson`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`sAMAccountName`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ contact`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ user`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ organizationUnit`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ group`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ computer`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`Member`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`wwwHomePage`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`countryCode`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`userAccountControl`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Proprietà di scrittura	`managedBy`
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Reimpostazione della password		Extended right
Exchange Windows Autorizzazioni	ACE consentita	Tutte	Cambia password		Extended right

Distinguished name of the object: CN=AdminSDHolder,CN=System,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a	Comments
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`groupType`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchMailboxSecurityDescriptor`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMServerWritableFlags`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`userAccountControl`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`canonicalName`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`Personal Information`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`Exchange Information`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchUserCultulre`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`memberOf`
Exchange Servers	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Exchange Servers	ACE consentita	Tutte	Replication Synchronization		Extended right
Exchange Servers	ACE consentita	Tutte	Crea elemento figlio Delete Chile List Children	`msExchActiveSyncDevices / User`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeSendersHash`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchMobileMailboxFlags`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchSafeRecipientsHash`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`userCertificate`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMDtmfMap`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchBlockedSendersHash`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMSpokenName`
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura	`msExchUMPinChecksum`
Gestione organizzazione	ACE consentita	Tutte	Letto
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`mail`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Gestione organizzazione	ACE consentita	Tutte	Controllo completo	`/ msExchDynamicDistributionList`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Gestione organizzazione	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Letto
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Public Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`msExchPublicDelegates`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`adminDisplayName`
Exchange Trusted Subsystem	ACE consentita	Tutte	Controllo completo	`/ msExchDynamicDistributionList`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Exchange Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`garbageCollPeriod`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`textEncodedORAddress`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`showInAddressBook`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`legacyExchangeDN`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`Personal Information`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`proxyAddresses`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`displayNamePrintable`
Exchange Trusted Subsystem	ACE consentita	Tutte	Proprietà di scrittura	`mail`

Nome distinto dell'oggetto: CN=Microsoft Exchange System Objects,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Proprietà di lettura	`Personal Information`
Authenticated Users	ACE consentita	Tutte	Autorizzazioni di lettura
Authenticated Users	ACE consentita	Tutte	Proprietà di lettura	`garbageCollPeriod`
Authenticated Users	ACE consentita	Tutte	Proprietà di lettura	`adminDisplayName`
Authenticated Users	ACE consentita	Tutte	Proprietà di lettura	`modifyTimeStamp`
Exchange Servers	Deny ACE	Tutte	Delete Tree
Exchange Servers	ACE consentita	Tutte	Letto Delete Tree
Exchange Servers	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchSystemMailbox`
Exchange Servers	ACE consentita	Tutte		`/ publicFolder`
Exchange Servers	ACE consentita	Desc	Proprietà di scrittura	`/ publicFolder`
Exchange Servers	ACE consentita	Desc	Proprietà di scrittura	`/ msExchSystemMailbox`
Gestione organizzazione	ACE consentita	Tutte	Letto
Gestione organizzazione	ACE consentita	Desc	Proprietà di scrittura	`/ msExchSystemMailbox`
Gestione organizzazione	ACE consentita	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchSystemMailbox`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Gestione organizzazione	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`
Public Folder Management	ACE consentita	Tutte	Letto
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Public Folder Management	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Tutte	Letto
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`mail / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayNamePrintable / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`displayName / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`textEncodedORAddress / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`proxyAddresses / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`cn / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`showInAddressBook / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Information / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`legacyExchangeDN / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`Exchange Personal Information / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msDSPhoneticDisplayName / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPFContacts / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`garbageCollPeriod / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`name / publicFolder`
Exchange Trusted Subsystem	ACE consentita	Desc	Proprietà di lettura Proprietà di scrittura	`msExchPublicDelegates / publicFolder`

Installazione del ruolo del server

Durante l'installazione dei ruoli del server Cassette postali, Messaggistica unificata, Trasporto Hub e Accesso client, il programma di installazione aggiunge il gruppo di protezione universale Gestione dell'organizzazione al gruppo di protezione Administrators sul computer locale in modo che i membri del gruppo del ruolo di gestione denominato Gestione dell'organizzazione possa gestire il server.

Nella tabella delle autorizzazioni seguente vengono riportate le autorizzazioni impostate quando si installano i ruoli del server Cassette postali, Messaggistica unificata, Trasporto Hub o Accesso client.

Distinguished name of the object: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a	Comments
MACHINE$	ACE consentita	Tutte	Letto
MACHINE$	ACE consentita	None	Proprietà di scrittura	`msExchServerSite` `msExchEdgeSyncCredential`
Exchange Servers	ACE consentita	Tutte	Store Transport Access Store Constrained Delegation Accesso in lettura all'archivio Accesso in lettura e scrittura all'archivio		Diritti estesi
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Serializzazione dei token dei Servizi Web Exchange		Extended right Concesso solo sugli oggetti del ruolo server Accesso client.
NT AUTHORITY\NETWORK	ACE consentita	Tutte	Letto		Concesso solo sugli oggetti del ruolo server Trasporto Hub.
Delegated Setup	ACE consentita	Tutte	Controllo completo
Delegated Setup	ACE consentita	Tutte	Letto
Delegated Setup	Deny ACE	Tutte	Crea elemento figlio Elimina elemento figlio	`/ msExchPublicMDB`
Authenticated Users	ACE consentita	Tutte	Proprietà di lettura
Delegated Setup	Deny ACE	Tutte	Receive As Send As		Extended right

Gruppi di disponibilità del database

Nelle tabelle delle autorizzazioni di questa sezione vengono riportate le autorizzazioni impostate in relazione ai gruppi di disponibilità del database e ai relativi membri.

Nome distinto dell'oggetto: CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a
Authenticated Users	ACE consentita	None	Proprietà di lettura

Nome distinto dell'oggetto: CN=<DAGName>,CN=Computers,DC=<domain>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a
Account di un computer con il server Cassette postali	ACE consentita	None	Delete Autorizzazioni di lettura Elenca contenuto Proprietà di lettura Delete Tree List Object
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`Logon Information`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`description`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`displayName`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`sAMAccountName`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`Account restrictions`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`Validated write to DNS host name`
Mailbox Server Computer Account$	ACE consentita	None	Proprietà di scrittura	`Validated write to service principal name`

Trasporto Edge

Se si installa un server Trasporto Edge e si stabilisce una sottoscrizione Edge con l'organizzazione di Exchange, le autorizzazioni riportate nella seguente tabella delle autorizzazioni vengono impostate quando il server Trasporto Edge crea un'istanza nell'organizzazione.

Distinguished name of the object: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a	Comments
Exchange Servers	ACE consentita	Tutte	Proprietà di scrittura
Authenticated Users	ACE consentita	None	Proprietà di lettura		ACE viene definita nello schema per gli oggetti `msExchExchangeServer classdefaultSecurityDescriptor.`

Installazione di un server Accesso client

Durante l'installazione del primo server Accesso client, viene creato il seguente contenitore. Nella seguente tabella delle autorizzazioni vengono riportate le autorizzazioni applicate.

Nome distinto dell'oggetto: CN=Availability Configuration,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Sulla proprietà/ Si applica a	Comments
Exchange Servers	ACE consentita	Desc	Proprietà di lettura	`msExchAvailabilityUserPassword / msExchAvailabilityAddressSpaceObjects`	Extended right

Installazione del server Trasporto Hub

Durante l'installazione di ciascun server Trasporto Hub, vengono impostate le seguenti autorizzazioni.

Nome distinto dell'oggetto: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Comments
ExchangeLegacyInterop	Deny ACE	Tutte	Accetta le intestazioni della foresta
ExchangeLegacyInterop	Deny ACE	Tutte	Accetta le intestazioni dell'organizzazione
Exchange Servers	ACE consentita	Tutte	Accetta qualsiasi mittente
ExchangeLegacyInterop	ACE consentita	Tutte	Accept Any Sender
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept Any Sender	Si tratta dell'ID di sicurezza (SID) conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Any Sender	Si tratta del SID conosciuto per i server Trasporto Edge.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accept Any Sender	Si tratta del SID conosciuto per i server protetti esternamente.
Exchange Servers	ACE consentita	Tutte	Accetta EXCH50
ExchangeLegacyInterop	ACE consentita	Tutte	Accept EXCH50
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept EXCH50	Si tratta del SID conosciuto per i server Trasporto Hub.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept EXCH50	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accept EXCH50	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Inoltra i messaggi a qualsiasi destinatario
ExchangeLegacyInterop	ACE consentita	Tutte	Submit Messages to any Recipient
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Submit Messages to any Recipient	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Submit Messages to any Recipient	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Submit Messages to any Recipient	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Accetta XShadow
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept XShadow	This is the well-known SID for Edge Transport servers.
Exchange Servers	ACE consentita	Tutte	Accetta intestazioni di routing
ExchangeLegacyInterop	ACE consentita	Tutte	Accept Routing Headers
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept Routing Headers	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Routing Headers	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accept Routing Headers	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Accept Forest Headers
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept Forest Headers	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Forest Headers	This is the well-known SID for Edge Transport servers.
Exchange Servers	ACE consentita	Tutte	Accetta contrassegno di autenticazione
ExchangeLegacyInterop	ACE consentita	Tutte	Accept Authentication Flag
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept Authentication Flag	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Authentication Flag	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accept Authentication Flag	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Ignora la protezione da posta indesiderata
ExchangeLegacyInterop	ACE consentita	Tutte	Bypass Anti-Spam
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Bypass Anti-Spam	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Ignora la protezione da posta indesiderata	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Bypass Anti-Spam	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Ignora limite dimensione dei messaggi
ExchangeLegacyInterop	ACE consentita	Tutte	Bypass Message Size Limit
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Bypass Message Size Limit	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Bypass Message Size Limit	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Bypass Message Size Limit	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Accept Organization Headers
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accetta le intestazioni dell'organizzazione	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Organization Headers	This is the well-known SID for Edge Transport servers.
Exchange Servers	ACE consentita	Tutte	Inoltra i messaggi al server
ExchangeLegacyInterop	ACE consentita	Tutte	Submit Messages to Server
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Submit Messages to Server	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Submit Messages to Server	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Submit Messages to Server	This is the well-known SID for externally secured servers.
Exchange Servers	ACE consentita	Tutte	Accetta il mittente del dominio autorevole
ExchangeLegacyInterop	ACE consentita	Tutte	Accetta il mittente del dominio autorevole
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Accept Authoritative Domain Sender	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Accept Authoritative Domain Sender	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Accept Authoritative Domain Sender	This is the well-known SID for externally secured servers.
Authenticated Users	ACE consentita	Tutte	Submit Messages to any Recipient
Authenticated Users	ACE consentita	Tutte	Accept Routing Headers
Authenticated Users	ACE consentita	Tutte	Bypass Anti-Spam
Authenticated Users	ACE consentita	Tutte	Submit Messages to Server

Nome distinto dell'oggetto: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni
Authenticated Users	ACE consentita	Tutte	Submit Messages to any Recipient
Authenticated Users	ACE consentita	Tutte	Accept Routing Headers
Authenticated Users	ACE consentita	Tutte	Bypass Anti-Spam
Authenticated Users	ACE consentita	Tutte	Submit Messages to Server

Creazione di connettori di invio SMTP

Nella seguente tabella vengono riportate le autorizzazioni impostate quando si creano i connettori di invio.

Nome distinto dell'oggetto: CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

Account	Tipo ACE	Ereditarietà	Autorizzazioni	Comments
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia le intestazioni dell'organizzazione	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Send Organization Headers	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia le intestazioni della foresta	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Send Forest Headers	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia XShadow	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Send XShadow	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-10	ACE consentita	Tutte	Invia le intestazioni di routing	Si tratta del SID conosciuto per i server partner.
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Send Routing Headers	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Send Routing Headers	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Send Routing Headers	This is the well-known SID for externally secured servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE consentita	Tutte	Send Routing Headers	Si tratta del SID conosciuto per i server legacy di Exchange.
NT AUTHORITY\ACCESSO ANONIMO	ACE consentita	Tutte	Send Routing Headers
S-1-9-1419165041-1139599005-3936102811-1022490595-21	ACE consentita	Tutte	Invia Exch50	This is the well-known SID for Hub Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-22	ACE consentita	Tutte	Send Exch50	This is the well-known SID for Edge Transport servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-23	ACE consentita	Tutte	Send Exch50	This is the well-known SID for externally secured servers.
S-1-9-1419165041-1139599005-3936102811-1022490595-24	ACE consentita	Tutte	Send Exch50	Si tratta del SID conosciuto per i server legacy di Exchange.

Condividi tramite

Riferimenti per le autorizzazioni di distribuzione di Exchange 2010

Preparazione delle autorizzazioni delle versioni legacy dei sistemi di Exchange

Nome distinto dell'oggetto: DC=<domain>

Nome distinto dell'oggetto: CN=AdminSDHolder,CN=System,DC=<domain>

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Preparazione delle autorizzazioni di Active Directory

Autorizzazioni del contenitore di Microsoft Exchange

Nome distinto dell'oggetto: CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Autorizzazioni del contenitore di individuazione automatica di Microsoft Exchange

Nome distinto dell'oggetto: CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=<domain>

Autorizzazioni del contenitore dell'organizzazione di Microsoft Exchange

Nome distinto dell'oggetto: CN=<organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>

Nome distinto dell'oggetto: CN=All Address Lists,CN=Address Lists Container,CN=<organization>

Nome distinto dell'oggetto: CN=Offline Address Lists,CN=Address Lists Container, CN=<organization>

Nome distinto dell'oggetto: CN=Addressing,CN=<organization>

Nome distinto dell'oggetto: CN=Recipient Policies,CN=<organization>

Autorizzazioni del contenitore nella partizione di configurazione

Nome distinto dell'oggetto: CN=Sites,CN=Configuration,DC=<domain>

Nome distinto dell'oggetto: CN=Deleted Objects,CN=Configuration,DC=<domain>

Autorizzazioni del gruppo amministrativo di Exchange

Nome distinto dell'oggetto: CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Encryption,CN=Advanced Security Settings,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Arrays,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Databases,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Autorizzazioni del contenitore dei gruppi di protezione di Microsoft Exchange

Nome distinto dell'oggetto: OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=Gestione organizzazione,OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=ExchangeLegacyInterop,OU=Microsoft Exchange Security Groups,DC=<root domain>

Nome distinto dell'oggetto: CN=Exchange Servers,OU=Microsoft Exchange Security Groups,DC=<root domain>

Preparazione di un dominio

Nome distinto dell'oggetto: DC=<domain>

Distinguished name of the object: CN=AdminSDHolder,CN=System,DC=<domain>

Nome distinto dell'oggetto: CN=Microsoft Exchange System Objects,DC=<domain>

Installazione del ruolo del server

Distinguished name of the object: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Gruppi di disponibilità del database

Nome distinto dell'oggetto: CN=<DAGName>,CN=Database Availability Groups,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Nome distinto dell'oggetto: CN=<DAGName>,CN=Computers,DC=<domain>

Trasporto Edge

Distinguished name of the object: CN=<server>,CN=Servers,CN=<admin group>,CN=Administrative Groups,CN=<organization>

Installazione di un server Accesso client

Nome distinto dell'oggetto: CN=Availability Configuration,CN=<organization>

Installazione del server Trasporto Hub

Nome distinto dell'oggetto: CN=Default <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Nome distinto dell'oggetto: CN=Client <Server>,CN=SMTP Receive Connectors,CN=Protocols,CN=<Server>,CN=Servers,CN=<admin group>,CN=<organization>

Creazione di connettori di invio SMTP

Nome distinto dell'oggetto: CN=<Connector Name>,CN=Connections,CN=<routing group>,CN=Routing Groups, CN=<admin group>,CN=<organization>

Risorse aggiuntive