c5541abf-15ce-464f-b5d2-758395fcdf3e Arbeiten mit Informationsspeicherberechtigungen in Microsoft Exchange 2000 und Exchange Server 2003 Microsoft Corporation Veröffentlicht: 12.12.06 Autor: Exchange Server-Dokumentationsteam Kurzdarstellung In diesem Dokument wird der Vorgang erläutert, gemäß dem Exchange 2000 Server und Exchange Server 2003 Berechtigungen zur Steuerung des Zugriffs auf Objekte im ExchangeInformationsspeicher verwenden (Öffentliche Ordner-Datenbanken und Postfachdatenbanken). Kommentare? Senden Sie Ihr Feedback an folgende Adresse: [email protected]. Contents Arbeiten mit Informationsspeicherberechtigungen in Microsoft Exchange 2000 und 2003 ...... 5 Einführung in das Arbeiten mit Informationsspeicherberechtigungen in Exchange 2000 und 2003 ....................................................................................................................................... 5 Welche Informationen bietet dieses Handbuch? ................................................................... 6 Für wen ist dieses Handbuch gedacht? ................................................................................ 6 In diesem Handbuch verwendete Terminologie .................................................................... 6 Hintergrund ............................................................................................................................ 8 Zugreifen auf Exchange-Objekte ............................................................................................ 10 Öffnen eines Ordners oder einer Nachricht in einem Benutzerpostfach ............................. 10 Öffnen eines Öffentlichen Ordners oder einer Nachricht in einem Öffentlichen Ordner ..... 12 Details des Zugriffssteuerungsprozesses in Exchange .......................................................... 14 Ausführen von einleitenden Prüfungen ............................................................................... 15 Ermitteln des Benutzertyps .................................................................................................. 15 Ermitteln des Typs der Clientanwendung ............................................................................ 16 Aufbau der Zugriffssteuerung auf Objektebene .................................................................. 17 Sicherheitsbeschreibungen ................................................................................................. 17 ACLs und ACEs ................................................................................................................... 18 Reihenfolgen von ACEs in der ACL .................................................................................... 19 Standard-ACLs für Nachrichten ........................................................................................... 23 Spezielle Aspekte bei koexistierenden Servern mit Exchange 2003 und Exchange 5.5 .... 23 Ändern von Informationsspeicherberechtigungen in Exchange 2000 und 2003 .................... 25 Steuern des Clientzugriffs auf Postfächer ........................................................................... 26 Steuern des Clientzugriffs auf Öffentliche Ordner ............................................................... 26 Spezielle Aspekte bei Nachrichten ...................................................................................... 31 Steuern des administrativen Zugriffs auf Postfächer und Öffentliche Ordner ..................... 31 Postfächer ............................................................................................................................ 31 Öffentliche Ordner ............................................................................................................... 31 Spezielle Steuerelemente für E-Mail-aktivierte Öffentlichen Ordner ................................... 35 Anzeigen von Berechtigungen für einen Postfachordner ....................................................... 36 Verfahren ............................................................................................................................. 36 Anzeigen von Berechtigungen für den Clientzugriff auf einen Öffentlichen Ordner ............... 37 Verfahren ............................................................................................................................. 38 Anzeigen der Windows 2000-Version von MAPI-Berechtigungen ......................................... 39 Bevor Sie beginnen ............................................................................................................. 39 Verfahren ............................................................................................................................. 39 Anzeigen von Berechtigungen für den Zugriff auf Attribute von E-Mail-aktivierten Ordnern .. 42 Bevor Sie beginnen ............................................................................................................. 43 Verfahren ............................................................................................................................. 43 In Exchange verfügbare Berechtigungen................................................................................ 44 Spezielle Berechtigungen .................................................................................................... 44 In der Windows NT-Sicherheitsbeschreibung verwendete Berechtigungen ....................... 45 Berechtigungen für Postfachordner und Öffentliche Ordner ............................................... 45 Berechtigungen für Nachrichten .......................................................................................... 48 In der administrativen Sicherheitsbeschreibung verwendete Berechtigungen.................... 53 Umwandlung zwischen MAPI- und Windows-Berechtigungen ............................................... 55 Verfügbare MAPI-Berechtigungen ....................................................................................... 55 Konvertieren in MAPI-Berechtigungen ................................................................................ 56 Konvertieren aus MAPI-Berechtigungen ............................................................................. 57 Beispiele für den Konvertierungsprozess ............................................................................ 60 In Exchange verfügbare Standardrollen ................................................................................. 66 Für Postfachspeicher und Informationsspeicher für Öffentliche Ordner erforderliche Mindestberechtigungen ....................................................................................................... 70 Wiederherstellen der Vererbung von Berechtigungen für eine Öffentliche Ordner-Hierarchie ............................................................................................................................................. 71 Verfahren ............................................................................................................................. 71 Copyright ................................................................................................................................. 72 5 Arbeiten mit Informationsspeicherberechtigungen in Microsoft Exchange 2000 und 2003 In diesem Handbuch wird der Prozess erläutert, mit dem Microsoft® Exchange 2000 Server und Exchange Server 2003 Berechtigungen zur Steuerung des Zugriffs auf Objekte im Exchange-Informationsspeicher verwenden (Öffentliche Ordner-Datenbanken und Postfachdatenbanken). Dieses Handbuch enthält detaillierte Antworten auf die folgenden Fragen sowie weitere Informationen: Was prüft Exchange beim Öffnen eines Ordners oder einer Nachricht, um zu ermitteln, ob der Benutzer über Zugriffsrechte verfügt? Worin unterscheiden sich Exchange-Informationsspeicherberechtigungen von Berechtigungen im Microsoft Windows® 2000 Active Directory®-Verzeichnisdienst und im Windows 2000-Dateisystem? Hinweis: Laden Sie Working with Store Permissions in Microsoft Exchange 2000 Server and Exchange Server 2003 herunter, um das Dokument zu drucken oder offline zu lesen. Einführung in das Arbeiten mit Informationsspeicherberechtigungen in Exchange 2000 und 2003 In diesem Handbuch wird der Prozess erläutert, mit dem sowohl Microsoft® Exchange Server 2003 als auch Microsoft Exchange 2000 Server Berechtigungen zur Steuerung des Zugriffs auf Objekte im Exchange-Informationsspeicher verwenden (Öffentliche OrdnerDatenbanken und Postfachdatenbanken). Hinweis: Um die wiederholte Bezugnahme auf die beiden Versionen Exchange Server 2003 und Exchange 2000 Server zu vermeiden, bezieht sich der vorliegende Text speziell auf Exchange 2003. Wenn der Text sich auch nicht ausdrücklich auf sowohl Exchange 2003 als auch Exchange 2000 bezieht, gelten alle Informationen für beide Versionen. 6 Welche Informationen bietet dieses Handbuch? Dieses Handbuch enthält Antworten auf die folgenden Fragen: Was prüft Exchange beim Öffnen eines Ordners oder einer Nachricht, um zu ermitteln, ob der Benutzer über Zugriffsrechte verfügt? Woher stammen diese Informationen? Worin unterscheiden sich Exchange-Informationsspeicherberechtigungen von Berechtigungen im Microsoft Active Directory®-Verzeichnisdienst und im Microsoft Windows® 2000- oder Microsoft® Windows Server 2003-Dateisystem? Wie viele Berechtigungssätze werden von Exchange verwendet, und worin besteht die Funktion jedes einzelnen Satzes? Welche dieser Berechtigungssätze stehen in Bezug zueinander, und wie konvertiert Exchange Informationen von einer Form in die andere? Warum stellt Exchange mehrere verschiedene Benutzeroberflächen zum Anzeigen von Berechtigungen zur Verfügung, und warum sind diese alle unterschiedlich? Welche Oberfläche sollte zum Festlegen eines bestimmten Berechtigungstyps verwendet werden? Welche Oberflächen sollten auf keinen Fall verwendet werden? Welche Einstellungen sollten unverändert bleiben, wenn Berechtigungen geändert werden sollen, damit Exchange weiterhin reibungslos funktioniert? Für wen ist dieses Handbuch gedacht? Dieses Handbuch richtet sich an erfahrene Exchange-Administratoren. Es erläutert den Prozess, durch den der Zugriff auf Objekte im Exchange-Informationsspeicher von Exchange gesteuert wird, auf hohem Niveau. In diesem Handbuch verwendete Terminologie Damit Sie die Erläuterungen dieses Handbuchs verstehen, sollten Sie sicherstellen, dass Sie mit den folgenden Begriffen, die aus dem Band Distributed Systems Guide des Window 2000 Resource Kit entnommen sind, vertraut sind. Zugriffsteuerungseintrag (Access Control Entry, ACE) Ein Eintrag in einer Zugriffssteuerungsliste (Access Control Liste, ACL), der die Sicherheits-ID (SID) für einen Benutzer oder eine Gruppe und eine Zugriffsmaske enthält, die festlegt, welche Vorgänge für den Benutzer oder die Gruppe zugelassen, nicht zugelassen oder überwacht sind. Zugriffssteuerungsliste (Access Control List, ACL) Eine Liste von Sicherheitsmaßnahmen, die für ein gesamtes Objekt, einen Teil der Eigenschaften des Objekts oder eine einzelne Eigenschaft eines Objekts festgelegt 7 werden. Es gibt zwei Arten von Zugriffssteuerungslisten: freigegeben (discretionary) und System. Zugriffstoken Eine Datenstruktur, die Sicherheitsinformationen enthält, die einen Benutzer gegenüber dem Sicherheitssubsystem auf einem Computer unter Windows 2000 oder Windows NT identifiziert. Zugriffstokens enthalten die Sicherheits-ID eines Benutzers, die Sicherheits-IDs für Gruppen, deren Mitglied der Benutzer ist, sowie eine Liste der Rechte des Benutzers auf dem lokalen Computer. Freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) Der Teil der Sicherheitsbeschreibung eines Objekts, der bestimmten Benutzern und Gruppen den Zugriff auf das Objekt gewährt oder verweigert. Nur der Besitzer eines Objekts kann die in einer DACL gewährten bzw. verweigerten Berechtigungen ändern. Auf diese Weise liegt der Zugriff auf das Objekt im Ermessen (discretion) des Besitzers. Berechtigung Eine Regel, die einem Objekt zugeordnet ist und regelt, welche Benutzer Zugriff auf das Objekt erhalten sollen und welcher Art dieser Zugriff sein darf. Berechtigungen werden vom Besitzer des Objekts vergeben. Sicherheitsbeschreibung Eine Datenstruktur, die Sicherheitsinformationen enthält, die einem geschützten Objekt zugeordnet sind. Sicherheitsbeschreibungen umfassen Informationen darüber, wer Besitzer des Objekts ist, wer darauf zugreifen darf und in welcher Weise sowie welche Arten von Zugriff überwacht werden. Sicherheits-ID (SID) Eine Datenstruktur variabler Länge, die Benutzer-, Gruppen-, Dienst- und Computerkonten eindeutig innerhalb eines Unternehmens identifiziert. Jedes Konto erhält bei seiner ersten Erstellung eine SID. In Windows 2000 werden Sicherheitsprinzipale von Zugriffssteuerungsmechanismen anhand ihrer SID identifiziert, nicht anhand des Namens. Sicherheitsprinzipal Ein Kontoinhaber, wie z. B. ein Benutzer, ein Computer oder ein Dienst. Jeder Sicherheitsprinzipal innerhalb einer Windows 2000-Domäne wird durch eine eindeutige Sicherheits-ID (SID) identifiziert. Wenn sich ein Sicherheitsprinzipal bei einem Computer unter Windows 2000 anmeldet, werden der Kontoname und das Kennwort des Sicherheitsprinzipals von der lokalen Sicherheitsautorität (Local Security Authority, LSA) authentifiziert. Bei einer erfolgreichen Anmeldung wird vom System ein Zugriffstoken erstellt. Jeder im Namen dieses Sicherheitsprinzipals ausgeführte Prozess erhält eine Kopie seines Zugriffstokens. 8 System-Zugriffssteuerungsliste (System Access Control List, SACL) Der Teil der Sicherheitsbeschreibung eines Objekts, der festlegt, welche Ereignisse pro Benutzer oder Gruppen überwacht werden sollen. Beispiele für Überwachungsereignisse sind Dateizugriffe, Anmeldeversuche oder Herunterfahren des Systems. Weitere Informationen zu Microsoft Windows 2000-Sicherheitskonzepten finden Sie unter "Access Control" in Kapitel 12 des Bands Distributed Systems Guide des Microsoft Windows 2000 Resource Kit. Hintergrund Aufgrund der Art, in der Exchange-Daten innerhalb einer Exchange-Bereitstellung verteilt werden können, sowie als Ergebnis von Anstrengungen zur Aufrechterhaltung der Abwärtskompatibilität mit Vorgängerversionen von Exchange gestaltet sich die Zugriffssteuerung in Exchange Server 2003 nicht ganz unkompliziert. Auswirkungen verteilter Daten Bei Verwendung der Architektur von Exchange Server 2003 können Sie mehrere Postfachund Öffentliche Ordner-Datenbanken auf verschiedenen Servern platzieren. Exchange 2003 speichert außerdem manche Informationen über Benutzer in Active Directory (statt im eigenen Verzeichnis, wie es in Exchange 5.5 der Fall war). Ein Beispiel hierzu finden Sie in der Beispielbereitstellung von Exchange 2003 in der folgenden Abbildung. Diese Bereitstellung enthält einen Domänencontroller, einen Postfachserver und zwei Server mit Öffentlichen Ordnern. Die Abbildung zeigt, welche Daten auf jedem der Server gespeichert sind. Die Zugriffssteuerung auf Exchange-Benutzerinformationen, Postfächer, Ordner und Nachrichten beinhaltet häufig die Steuerung des Zugriffs auf Daten, die sich auf mehreren verschiedenen Servern befinden. Hinweis: Da auf Exchange-Front-End-Servern keine Daten für Benutzer, Postfächer, Ordner oder Nachrichten gespeichert werden, sind sie in diesem Diagramm nicht dargestellt. 9 Beispielhafte Exchange 2003-Bereitstellung, die die Verteilung von Daten über mehrere Server hinweg veranschaulicht Auswirkungen der Abwärtskompatibilität Exchange 2003 verwendet das Sicherheitsmodell von Windows 2000. Alle Objekte (ob im Windows-Dateisystem oder in Active Directory) verfügen über Zugriffssteuerungslisten (Access Control List, ACL). In diesen ACLs dienen Benutzer und Gruppen aus Active Directory als Sicherheitsprinzipale. Exchange erweitert dieses Modell auf den ExchangeInformationsspeicher: Jedes Objekt im Exchange-Informationsspeicher verwendet ACLs, in denen die Sicherheitsprinzipale Benutzer und Gruppen aus Active Directory sind. Dies stellt eine Veränderung gegenüber Exchange 5.5 dar, wo Exchange sein eigenes LDAPVerzeichnis (Lightweight Directory Access Protocol) für die von Exchange-Objekten verwendeten Sicherheitsprinzipale verwendet hat. Die ACLs von Objekten im Exchange-Informationsspeicher verwenden zur Steuerung des Zugriffs Windows 2000-Berechtigungen (mit einigen wenigen zusätzlichen Berechtigungen, die für Exchange spezifisch sind). Dies ist eine weitere Veränderung gegenüber Exchange 5.5, wo von den ACLs noch MAPI-Berechtigungen (Messaging Application Programming Interface) verwendet wurden. In Exchange 2003 werden jedoch 10 Windows 2000-Berechtigungen unter folgenden Umständen durch MAPI-Berechtigungen ersetzt: Bei der Kommunikation mit MAPI-Clients wie Outlook. Bei der Replikation von Daten auf Server mit Exchange 5.5 in einer Bereitstellung, die koexistierende Server mit Exchange 5.5 und Exchange 2003 enthält. Hinweis: Diese beiden Fälle gelten für Postfächer und Öffentliche Ordner in der Öffentliche Ordner-Standardhierarchie (und für alle darin enthaltenen Ordner und Nachrichten). Auf Ordner und Nachrichten in Öffentliche Ordner-Anwendungshierarchien kann mit MAPI-Clients nicht zugegriffen werden. Eine Replikation auf Exchange 5.5-Server ist in diesem Fall ebenfalls nicht möglich. Aus diesem Grund werden für diese Ordner und Nachrichten stets Windows 2000-Berechtigungen verwendet. In Exchange werden alle Umwandlungen zwischen Windows 2000-Berechtigungen und MAPI-Berechtigungen automatisch durchgeführt. Als Administrator müssen Sie jedoch darauf achten, dass beim Festlegen von Berechtigungen mit dem Exchange-System-Manager in Abhängigkeit vom zu sichernden Objekt entweder Windows 2000-Berechtigungen oder MAPI-Berechtigungen verwendet werden müssen. Dieses Handbuch enthält weitere Informationen über die Funktionsweise dieses Zugriffssteuerungsprozesses, einschließlich Informationen über die Änderungen, die Exchange am Windows 2000-Sicherheitsmodell vornimmt, um dieses Modell auf Objekte im Exchange-Informationsspeicher anwenden zu können. In diesem Handbuch wird ebenfalls beschrieben, wann und wie Windows 2000-Berechtigungen von Exchange in MAPIBerechtigungen (und MAPI-Berechtigungen zurück in Windows 2000-Berechtigungen) konvertiert werden. Zugreifen auf Exchange-Objekte In diesem Thema wird anhand zweier Beispiele der Zugriffssteuerungsprozess dargestellt, der von Microsoft® Exchange verwendet wird. In dem ersten Beispiel versucht ein Benutzer, einen Ordner oder eine Nachricht in seinem Postfach zu öffnen. Im zweiten Beispiel versucht ein Benutzer, einen Ordner oder eine Nachricht in einem Öffentlichen Ordner zu öffnen. Öffnen eines Ordners oder einer Nachricht in einem Benutzerpostfach Wenn ein Benutzer versucht, auf einen Ordner oder eine Nachricht in einem Postfach zuzugreifen bzw. damit einen Vorgang auszuführen, verwendet Exchange den in der 11 folgenden Abbildung dargestellten Prozess, um zu bestimmen, ob der Benutzer zum Ausführen des Vorgangs berechtigt ist. Hinweis: Windows 2000 führt die tatsächlichen Prüfungen aus, doch der Prozess wird von Exchange gesteuert, wobei manchmal spezielle Regeln und Änderungen Anwendung finden. Eine Beschreibung dieser Regeln und Änderungen finden Sie unter Details des Zugriffssteuerungsprozesses in Exchange. Von Exchange ausgeführte Zugriffsüberprüfungen, wenn ein Benutzer versucht, auf einen Ordner oder eine Nachricht in einem Postfach zuzugreifen Wie in der vorangehenden Abbildung dargestellt, findet der Autorisierungsprozess in zwei wesentlichen Schritten statt: einer Reihe von einleitenden Prüfungen und einer Überprüfung auf Ordner- oder Nachrichtenebene. Einleitende Prüfungen für Benutzerpostfächer Drei einleitende Prüfungen werden von Exchange ausgeführt: Fordert der Benutzer ein Attribut eines Ordners oder einer Nachricht an? (Details zur Zugriffssteuerung für Attribute geht über den Rahmen dieses Handbuchs hinaus.) 12 Welcher Benutzertyp fordert Zugriff an? Bestimmte Typen von Benutzern, beispielsweise der Postfachbesitzer, verfügen über uneingeschränkte Zugriffsberechtigungen auf alle Elemente im Postfach. Führt der Benutzer außerdem eine administrative Aktion aus? Administrative Aktionen (wie das Ändern der Speichergrenzwerte für ein bestimmtes Postfach) werden von einem anderen Berechtigungssatz gesteuert als dem, von dem Clientaktionen (wie das Erstellen einer neuen Nachricht) gesteuert werden. Exchange bestimmt mithilfe dieser Prüfung, welcher Berechtigungssatz verwendet werden muss, um die Ordner- oder Nachrichtenberechtigungen zu überprüfen. Informationen, wie administrative Aktionen von Exchange identifiziert werden, finden Sie unter "Ermitteln des Typs der Clientanwendung" in Details des Zugriffssteuerungsprozesses in Exchange. Ordner- oder Nachrichtenüberprüfung für Benutzerpostfächer Diese Überprüfung wird von Exchange in Abhängigkeit vom Ergebnis der ersten Prüfung auf eine von zwei Arten gehandhabt: Wenn es sich bei dem Benutzer um einen speziell angegebenen Benutzer handelt (z. B. den Postfachbesitzer), lässt Exchange diese Überprüfung aus und gewährt vollständige Zugriffsberechtigungen. Ist der Benutzer kein speziell angegebener Benutzer, ermittelt Exchange, ob er über die geeigneten Berechtigungen verfügt, um die angeforderte Aktion auszuführen. Wenn der Benutzer eine administrative Anwendung verwendet, aber nicht über die geeigneten Berechtigungen zum Ausführen der angeforderten Aktion verfügt, führt Exchange einen weiteren Test mithilfe der normalen Berechtigungen aus. Da die zweite Überprüfung im Autorisierungsprozess auf der Ordner- oder Nachrichtenbene stattfindet, ist es möglich, dass sich ein Benutzer bei einem Postfach anmeldet, dessen Besitzer er nicht ist. Dieser Benutzer kann aber nur auf Elemente in dem Postfach zugreifen, wenn explizit für ihn oder für einen bestimmten Ordner oder eine Nachricht Zugriffsberechtigungen vergeben wurden. Hinweis: Dieses Beispiel beschreibt zwar Zugriffsüberprüfungen für ein Benutzerpostfach, doch der Prozess ist für ein Systempostfach (oder jeden anderen von Ihnen erstellten Postfachtyp) identisch. Öffnen eines Öffentlichen Ordners oder einer Nachricht in einem Öffentlichen Ordner Wenn ein Benutzer versucht, auf einen Öffentlichen Ordner oder eine Nachricht in einem Öffentlichen Ordner zuzugreifen bzw. damit einen Vorgang auszuführen, verwendet 13 Exchange den in der folgenden Abbildung dargestellten Prozess, um zu bestimmen, ob der Benutzer zum Ausführen des Vorgangs berechtigt ist. Von Exchange ausgeführte Zugriffsüberprüfungen, wenn ein Benutzer versucht, auf einen Öffentlichen Ordner oder eine Nachricht in einem Öffentlichen Ordner zuzugreifen Wie in dem vorangehenden Diagramm dargestellt, findet der Autorisierungsprozess in zwei wesentlichen Schritten statt: einer Reihe von einleitenden Prüfungen und einer Überprüfung auf Ordner- oder Nachrichtenebene. Einleitende Prüfungen für Öffentliche Ordner oder Nachrichten Die folgenden einleitende Prüfungen werden von Exchange ausgeführt: Fordert der Benutzer ein Attribut eines Ordners oder einer Nachricht an? (Details zur Zugriffssteuerung für Attribute geht über den Rahmen dieses Handbuchs hinaus.) Führt der Benutzer außerdem eine administrative Aktion aus? Exchange bestimmt mithilfe dieser Prüfung, welcher Berechtigungssatz verwendet werden muss, um die Ordner- oder Nachrichtenberechtigungen zu überprüfen. Administrative Aktionen werden von einem anderen Berechtigungssatz gesteuert als dem, von dem Clientaktionen gesteuert werden. Exchange identifiziert eine Aktion als "administrativ" auf Grundlage des Anwendungstyps, von dem die Aktion angefordert wird. 14 Wenn die Aktion von Microsoft Outlook® angefordert wird, behandelt Exchange die Aktion als Clientaktion. Wenn die Aktion vom Exchange-System-Manager angefordert wird, behandelt Exchange die Aktion als administrative Aktion. Selbst wenn die Aktion identisch ist (z. B. das Ändern von Berechtigungen), und der Benutzer diese Aktion als "administrativ" einstuft, behandelt Exchange diese als Clientaktion, wenn sie von Outlook angefordert wird, und als administrative Aktion, wenn sie vom Exchange-SystemManager angefordert wird. Weitere Informationen, wie administrative Aktionen von Exchange identifiziert werden, finden Sie unter "Ermitteln des Typs der Clientanwendung" in Details des Zugriffssteuerungsprozesses in Exchange. Ordner- oder Nachrichtenüberprüfung für Öffentliche Ordner oder Nachrichten Diese Überprüfung wird von Exchange in Abhängigkeit vom Ergebnis der einleitenden Prüfungen auf eine von drei Arten gehandhabt: Wenn es sich bei dem Benutzer um einen speziell angegebenen Benutzer handelt (z. B. einen Ordnerbesitzer) und die angeforderte Aktion nicht administrativ ist, lässt Exchange diese Überprüfung aus und gewährt vollständige Zugriffsberechtigungen. Wenn der Benutzer ein speziell angegebener Benutzer ist und die angeforderte Aktion administrativ ist, ermittelt Exchange, ob er über die geeigneten administrativen Berechtigungen verfügt, um die angeforderte Aktion auszuführen. Ist der Benutzer kein speziell angegebener Benutzer, ermittelt Exchange, ob er über die geeigneten, nicht administrativen Berechtigungen verfügt, um die angeforderte Aktion auszuführen. Hinweis: Systemordner (wie der Öffentliche Frei/Gebucht-Ordner) verfügen über zusätzliche Einschränkungen, die hier nicht besprochen werden. Details des Zugriffssteuerungsprozesses in Exchange Wie bereits unter Zugreifen auf Exchange-Objekte erläutert, verwendet Microsoft® Exchange einen zweistufigen Vorgang zur Steuerung des Zugriffs auf Elemente im ExchangeInformationsspeicher: Einleitende Prüfungen Durch diese Prüfungen wird der Zugriffssteuerungsprozess optimiert und beschleunigt. Bestimmte Typen von Benutzern verfügen immer über Vollzugriff auf Elemente im Exchange-Informationsspeicher (mit Ausnahme der administrativen Aufgaben in Öffentlichen Ordnern), weshalb weitere Überprüfungen unnötig sind und der Benutzer sofort Zugriff auf das angeforderte Element erhält. Zusätzlich wird bei der Notwendigkeit von anschließenden Zugriffsüberprüfungen (z. B. bei einem qualifizierten Benutzer, der administrativen Zugriff auf einen Öffentlichen 15 Ordner anfordert) durch die einleitenden Prüfungen ermittelt, welcher Berechtigungssatz für die Folgeüberprüfungen des Zugriffs zu verwenden ist. Zugriffssteuerung auf Objektebene Jedes Objekt im Exchange-Informationsspeicher (Postfach, Ordner oder Nachricht) verfügt über einen Satz von Sicherheitsbeschreibungen. Jede Sicherheitsbeschreibung ist ein Attribut, das Informationen darüber enthält, welche Benutzer Zugriff auf das Objekt haben und welcher Art der Zugriff pro Benutzer sein darf. Zur Steuerung des Zugriffs auf spezielle Objekte wie Öffentliche Ordner-Strukturen (im Gegensatz zu einzelnen Öffentlichen Ordnern) sowie zur Steuerung der erweiterten Eigenschaften von E-Mail-aktivierten Öffentlichen Ordnern werden zusätzliche Steuerelemente verwendet. Ausführen von einleitenden Prüfungen Exchange verwendet eine Reihe einleitender Prüfungen, um zu ermitteln, welche Art von Überprüfung (falls überhaupt) bei der Prüfung der Zugriffssteuerung auf Objektebene anzuwenden ist. Hinweis: In diesem Abschnitt werden zwei einleitende Prüfungen beschrieben. Exchange führt eine weitere einleitende Prüfung aus, um zu bestimmen, ob der Benutzer Zugriff auf ein Attribut eines Ordners oder einer Nachricht anfordert. Eine vollständige Behandlung des von Exchange zur Implementierung der Zugriffssteuerung für einzelne Attribute verwendeten Mechanismus geht jedoch über den Rahmen dieses Handbuchs hinaus. Ermitteln des Benutzertyps Wenn ein Benutzer versucht, auf ein Objekt im Exchange-Informationsspeicher zuzugreifen, prüft Exchange vor der Überprüfung der Zugriffssteuerungseinstellungen auf Ordner- oder Nachrichtenbene zuerst, ob der Benutzer einer der folgenden Benutzertypen ist: Postfachbesitzer (nur bei Postfächern) Der Postfachbesitzer verfügt über Vollzugriff auf das Postfach mit allen darin enthaltenen Nachrichten. Es werden keine weiteren Prüfungen vorgenommen. Exchange-Administrator - Vollständig Bei Verwendung einer administrativen Anwendung verfügt ein vollständiger Administrator über Vollzugriff auf alle Objekte im Exchange-Informationsspeicher. Es werden daher keine weiteren Prüfungen mehr vorgenommen (mit Ausnahme von Anforderungen zur Ausführung administrativer Aufgaben an Öffentlichen Ordnern; siehe weiter unten in diesem Thema unter "Ermitteln des Typs der Clientanwendung"). Exchange-Administrator mit Leserechten Bei Verwendung einer administrativen Anwendung verfügt ein Administrator mit Leserechten über Lesezugriff auf alle Objekte 16 im Exchange-Informationsspeicher. Es werden daher keine weiteren Prüfungen mehr vorgenommen, bevor dem Benutzer Zugriff auf dieser Ebene gewährt wird. Weitere Informationen zu administrativen Anwendungen finden Sie unter "Ermitteln des Typs der Clientanwendung". Ermitteln des Typs der Clientanwendung Wenn ein Benutzer Zugriff auf einen Öffentlichen Ordner oder auf eine in einem Öffentlichen Ordner enthaltene Nachricht anfordert, prüft Exchange, ob der Benutzer einem der im vorangehenden Abschnitt beschriebenen Benutzertypen entspricht. Exchange überprüft außerdem, welcher Typ von Anwendung von dem Benutzer ausgeführt wird. Exchange führt diese Überprüfungen aus, um zu ermitteln, ob bei anschließenden Zugriffsüberprüfungen die Sicherheitsinformationen verwendet werden sollen, die den normalen Clientzugriff steuern, oder die, die den administrativen Clientzugriff steuern. Exchange speichert die zwei Typen von Sicherheitsinformationen voneinander getrennt (wie weiter unten in diesem Thema unter "Aufbau der Zugriffssteuerung auf Objektebene" beschrieben). Hinweis: Wenn der Benutzer, der Zugriff auf einen Öffentlichen Ordner oder auf eine in einem Öffentlichen Ordner enthaltene Nachricht anfordert, eine administrative Anwendung ausführt, aber nicht einem der im vorangehenden Abschnitt beschriebenen Benutzertypen entspricht, (z. B. Endbenutzer, der nicht Besitzer des angeforderten Objekts ist), ignoriert Exchange die Anforderung des Benutzers nach administrativem Zugriff und behandelt ihn, als ob er eine normale Clientanwendung verwendete. Wie bereits unter Zugreifen auf Exchange-Objekte erläutert, behandelt Exchange eine Aktion, die in einer Clientanwendung wie Microsoft Outlook® ausgeführt wird, als Clientaktion (d. h. als eine Aktion, die normalen Clientzugriff benötigt), auch wenn der Benutzer selbst die Aktion als "administrativ" einschätzt. Wenn ein Benutzer beispielsweise die Berechtigungen für einen Öffentlichen Ordner ändert und hierzu Outlook verwendet, behandelt Exchange die Aktion als Clientaktion (d. h. als eine Aktion, die normalen Clientzugriff benötigt). Verwendet der Benutzer jedoch den Exchange-System-Manager (eine administrative Anwendung) zum Ändern der Berechtigungen des Öffentlichen Ordners, behandelt Exchange die Aktion als administrativ (d. h. als eine Aktion, die administrativen Clientzugriff benötigt). Diese Unterscheidung zwischen einer Client- und einer administrativen Aktion bietet Schutz vor eine versehentlichen Sperrung. Kein Benutzer von Outlook (noch nicht einmal der Ordnerbesitzer) kann die Berechtigungen, die den Zugriff steuern, mithilfe des ExchangeSystem-Managers ändern und so einen Administrator daran hindern, unter Verwendung des Exchange-System-Managers auf den Öffentlichen Ordner zuzugreifen. Wenn Sie benutzerdefinierte Anwendungen entwickeln, muss Exchange in der Lage sein, diese entweder als administrative oder als Endbenutzeranwendungen zu erkennen. Weitere Informationen finden Sie im Microsoft Exchange Software Development Kit (SDK) (für Exchange 2000 Server oder Exchange Server 2003) im Thema "Exchange 17 Store URLs" unter "Using the Administrative Virtual Root" sowie in "CDO for Exchange Management" unter "Exchange Management Security". Sie können das Exchange SDK von der Exchange Server MSDN-Website herunterladen oder das SDK online anzeigen. Zusätzliche Informationen über das Erlangen des Besitzes eines Objekts finden Sie in den Themen "Access Control" und "Security" im Exchange SDK. Aufbau der Zugriffssteuerung auf Objektebene Um die Art zu verstehen, in der die Zugriffssteuerung von Exchange gehandhabt wird, ist es notwendig, die Grundlagen der Zugriffssteuerung zu untersuchen, wie sie im (von Exchange erweiterten und veränderten) Sicherheitsmodell von Microsoft® Windows 2000 implementiert ist. Wenn Sie benutzerdefinierte Anwendungen entwickeln, muss Exchange in der Lage sein, diese entweder als administrative oder als Endbenutzeranwendungen zu erkennen. Weitere Informationen finden Sie im Thema Eigenschaften nach Namespace im Exchange SDK. Weitere Informationen zum Arbeiten mit Sicherheitsbeschreibungen von Ordnern und Nachrichten finden Sie im Exchange SDK unter "Reference" unter "Application Security Module Reference". Sicherheitsbeschreibungen Jedes Objekt im Exchange-Informationsspeicher (Postfach, Ordner oder Nachricht) verfügt über zwei Sicherheitsbeschreibungen: Windows NT-Sicherheitsbeschreibung Jedes Objekt in einem Windows 2000-System hat eine Microsoft Windows NT®-Sicherheitsbeschreibung. Diese Sicherheitsbeschreibung, die im Exchange SDK als das Feld ntsecuritydescriptor (bzw. auch als die Eigenschaft ptagNTSD) beschrieben wird, gilt für die meisten Vorgänge, die Benutzer mit dem Objekt ausführen (z. B. Lesen oder Bearbeiten von Nachrichten). Admin-Sicherheitsbeschreibung Jedes Exchange Server 2003-Objekt hat eine Admin-Sicherheitsbeschreibung. Diese Sicherheitsbeschreibung, die im Exchange SDK als das Feld admindescriptor (bzw. auch als die Eigenschaft ptagAdminNTSD) beschrieben wird, gilt für administrative Aktionen (z. B. Erstellen oder Löschen von Öffentlichen Ordnern). Beide Typen von Sicherheitsbeschreibungen enthalten dieselben Informationen, die für Exchange relevant sind: Steuerungsinformationen (Informationen über die Sicherheitsbeschreibung; z. B. ob sie explizit oder mithilfe eines Mechanismus zur Erzeugung von Standardwerten erstellt wurde). Den Besitzer des Objekts. 18 Die primäre Gruppe, der der Objektbesitzer angehört. Die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL). Die System-Zugriffssteuerungsliste (System Access Control List, SACL). Hinweis: Sicherheitsbeschreibungen können zusätzliche Informationen enthalten, die aber von Exchange 2003 nicht verwendet werden. Eine vollständige Beschreibung der Elemente einer Sicherheitsbeschreibung in Windows 2000 finden Sie unter "Access Control" in Kapitel 12 des Bands Verteilte Systeme des Microsoft Windows 2000 Resource Kits. ACLs und ACEs Im Exchange-Informationsspeicher bestehen die beiden in Sicherheitsbeschreibungen verwendeten Zugriffssteuerungslisten, freigegebene Zugriffssteuerungslisten (Discretionary Access Control List, DACL) und System-Zugriffssteuerungslisten (System Access Control List, SACL), wie in Windows 2000 primär aus Listen von Zugriffssteuerungseinträgen (Access Control Entry, ACE). In der SACL enthaltene ACEs beziehen sich auf Überwachungs- und Alarmfunktionen, während in der DACL enthaltene ACEs steuern, welche Benutzer Aufgaben mit gesicherten Objekten ausführen dürfen und welche Aufgaben dies sein können. Primär werden in diesem Handbuch die in der DACL enthaltenen ACEs behandelt. Jeder ACE enthält die folgenden Informationen (diese Liste ist eine vereinfachte Darstellung): ACE-Typ (entweder "Zugriff gewähren" oder "Zugriff verweigern") Sicherheits-ID (SID) des Benutzers oder der Gruppe, dem/r Zugriff gewährt oder verweigert wird. Spezifische Berechtigungen, die gewährt oder verweigert werden sollen (in Form einer hexadezimalen Zugriffsmaske). Kennzeichen, die weitere Informationen über die Verarbeitungsweise des ACE angeben. Folgende Kennzeichenwerte sind möglich: OBJECT_INHERIT_ACE Der ACE soll an Objekte innerhalb dieses Containers vererbt werden. CONTAINER_INHERIT_ACE Der ACE soll an Container vererbt werden, die unterhalb dieses Containers erstellt werden. NO_PROPAGATE_INHERIT_ACE Der ACE wird nur an die unmittelbar untergeordneten Container dieses Containers weitergegeben, aber nicht an Container, die unterhalb der unmittelbar untergeordneten Container erstellt werden. 19 INHERIT_ONLY_ACE Der ACE ist nicht für dieses Objekt gültig, sondern wirkt sich nur auf Objekte aus, die unterhalb dieses Objekts erstellt werden. INHERITED_ACE Der ACE wurde von einem übergeordneten Objekt geerbt. Die Kennzeichen OBJECT_INHERIT_ACE, CONTAINER_INHERIT_ACE und INHERIT_ONLY_ACE sind für die Art, in der Sicherheit von Exchange verwaltet wird, besonders wichtig. Exchange markiert mit diesen Kennzeichen auf folgende Weise, ob ein ACE für Ordner oder Nachrichten gilt: Ordner-ACEs werden mit dem Kennzeichen CONTAINER_INHERIT_ACE markiert. Nachrichten-ACEs werden mit den Kennzeichen OBJECT_INHERIT_ACE und INHERIT_ONLY_ACE markiert. Reihenfolgen von ACEs in der ACL Manche der Windows NT-Sicherheitsbeschreibungen, die für Objekte im ExchangeInformationsspeicher verwendet werden, verwenden eine andere Reihenfolge der ACEs in der DACL als die von Windows NT-Standardsicherheitsbeschreibungen verwendete Reihenfolge (Windows NT-"Standard"sicherheitsbeschreibungen werden von Objekten im Active Directory®-Verzeichnisdienst und dem Windows 2000-Dateisystem verwendet). Für Öffentliche Ordner-Anwendungshierarchien unterstützt Exchange die Windows 2000Standardregeln für die Reihenfolge von ACEs. MAPI-Clients wie Outlook verwenden jedoch ein MAPI-basiertes ACL-Format anstelle des Windows 2000-Formats. Zur Unterstützung dieser Clients verwendet Exchange einen speziellen Regelsatz für die Sicherheitsbeschreibungen von Postfächern und für Ordner in der Öffentliche Ordner-Standardhierarchie (auch als MAPI-Hierarchie bekannt). Als Folge des Sonderformats wertet Windows aus, ob ein Benutzer Zugriff in einer Art besitzt, die das Zugriffssteuerungsverhalten von Exchange 5.5 nachahmt (das von MAPI-basierten Berechtigungen abhing). Dieses Format ist als "kanonisches Exchange-ACL-Format" (auch als "kanonisches Exchange-Sicherheitsbeschreibungsformat" bezeichnet) bekannt. Die folgenden Regeln steuern die Reihenfolge von ACEs in einer kanonischen ExchangeACL: Jede ACL enthält beide ACEs - die, die auf Ordner Anwendung finden, und die, die auf Nachrichten in diesen Ordnern angewendet werden. Ordner- und Nachrichten-ACEs können in der ACL gemischt sein. Für jeden Gewähren-ACE muss ein entsprechender Verweigern-ACE für denselben Sicherheitsprinzipal vorhanden sein (es sei denn, es werden weder Rechte gewährt noch verweigert). Der Gewähren-ACE muss dem Verweigern-ACE vorangehen. Alle ACEs für Benutzer müssen allen ACEs für Gruppen vorangehen (entsprechend den Exchange 5.5-Verteilerlisten). ACEs für die Gruppen Jeder und Anonym müssen als letzte in der Reihenfolge stehen. 20 Alle Gewähren-ACEs für Verteilergruppen müssen den entsprechenden VerweigernACEs für diese Gruppen vorangehen. Die folgende Tabelle zeigt ein Beispiel für die Reihenfolge von ACEs in einer kanonischen Exchange-ACL. Beispiel für die Reihenfolge der Informationen in einer kanonischen Exchange-ACL ACE-Typ Sicherheitsprinzipal Gewähren Benutzer <A> Verweigern Benutzer <A> Gewähren Benutzer <B> Verweigern Benutzer <B> Gewähren Verteilergruppe <C> Gewähren Verteilergruppe <D> Verweigern Verteilergruppe <C> Verweigern Verteilergruppe <D> Gewähren Jeder Mit einer ACL in diesem Format kann Exchange die Sicherheitsbeschreibungsinformationen in die MAPI-Berechtigungen übersetzen, die von MAPI-Clients wie Outlook erwartet werden. Wenn ein Benutzer in Outlook Berechtigungen für ein Postfach festlegt, oder wenn Sie im Exchange-System-Manager Berechtigungen für ein Postfach oder einen Öffentlichen MAPIOrdner festlegen, listet die Benutzeroberfläche MAPI-Berechtigungen und -Rollen auf, die denen von Exchange 5.5 entsprechen. In der folgenden Abbildung wird das Dialogfeld dargestellt, das im Exchange-System-Manager angezeigt wird. Wenn Sie Outlook verwenden, werden diese Informationen im Dialogfeld Eigenschaften des Ordners auf der Registerkarte Berechtigungen angezeigt. 21 Dialogfeld Clientberechtigungen für einen Öffentlichen Ordner in der Öffentliche Ordner-Standardhierarchie Da Öffentliche Anwendungsordner für den Zugriff mit HTTP- oder NNTP-Clients (Network News Transfer Protocol; z. B. Outlook Web Access) gedacht sind, wird die Umwandlung in MAPI-Berechtigungen hierbei nicht verwendet. Wie in der folgenden Abbildung dargestellt, handelt es sich bei den aufgeführten Berechtigungen um normale Windows 2000Berechtigungen. Weitere Informationen zu Öffentlichen Anwendungsordnern (auch als allgemeine Öffentliche Ordner bezeichnet) finden Sie im Exchange Server 2003Administratorhandbuch. 22 Dialogfeld Clientberechtigungen für einen Öffentlichen Ordner in einer Öffentlichen Ordner-Anwendungshierarchie Hinweis: Verwenden Sie zum Ändern von MAPI-Berechtigungen nur das von Outlook bereitgestellte Dialogfeld Berechtigungen sowie das vom Exchange-SystemManager bereitgestellte Dialogfeld Clientberechtigungen. Wenn Sie mithilfe der Outlook- oder Exchange-System-Manager-Benutzeroberfläche MAPI-Berechtigungen bearbeiten, kehrt Exchange die Übersetzung zum Speichern der geänderten Sicherheitsbeschreibung um und behält das kanonische Exchange-ACL-Format bei. Wenn Sie jedoch Berechtigungen mithilfe der Windows-DateisystemBenutzeroberfläche bearbeiten (z. B. mithilfe des Laufwerks M:\, das vom installierbaren Dateisystem (Installable File System, IFS) in Exchange 2000 Server bereitgestellt wird), wird die Sicherheitsbeschreibung im normalen Windows-ACLFormat gespeichert. Das heißt, dass die ACEs in einer anderen Reihenfolge stehen und dass Exchange die Sicherheitsbeschreibung nicht mehr in MAPI-Berechtigungen übersetzen kann. Weitere Informationen zu diesem Thema finden Sie im Knowledge Base-Artikel 270905, "Clientberechtigungen für Öffentliche Ordner können nicht über Exchange-System-Manager festgelegt werden". 23 Standard-ACLs für Nachrichten Wie bereits festgestellt, enthält jede Ordnersicherheitsbeschreibung ACEs, die nur auf Nachrichten Anwendung finden. Diese ACEs, insgesamt als Standard-Nachrichten-ACL bekannt, bieten den Nachrichten im Ordner Sicherheit, die über keine eigenen Sicherheitsbeschreibungsinformationen verfügen. Wenn ein Benutzer eine solche Nachricht öffnet, erbt die Nachricht dynamisch NachrichtenACEs von der Ordnersicherheitsbeschreibung. Wenn sich die Ordnersicherheitsbeschreibung ändert, erben alle neuen Nachrichten, die in dem Ordner geöffnet werden, sofort auch die Änderung der Sicherheitsbeschreibung. Nachrichten, die bereits geöffnet sind, behalten ihre ursprünglichen Sicherheitsbeschreibungen bei, bis sie gespeichert werden. Die Sicherheitsbeschreibung einer Anlage (oder einer eingebetteten Nachricht) wird von Exchange in der Datenbank aufgezeichnet, aber nicht verwendet. Stattdessen verwendet der Exchange-Informationsspeicher die Sicherheitsbeschreibung der äußersten Nachricht aller angefügten Nachrichten. Die Sicherheit von Anlagen wird im Informationsspeicher beibehalten, damit ein Client eine Nachricht zum Debuggen an einen anderen Benutzer senden kann. Darüber hinaus wird die Sicherheitsbeschreibung einer angefügten Nachricht sofort wirksam, wenn ein Benutzer sie in einen Ordner der höchsten Ebene kopiert. Spezielle Aspekte bei koexistierenden Servern mit Exchange 2003 und Exchange 5.5 Wenn Ihre Bereitstellung Server mit Exchange 2003 und Exchange 5.5 enthält, gestaltet sich die Verwaltung von Berechtigungen, insbesondere die von Öffentlichen Ordnern, noch komplexer. Weitere Informationen dazu, wie Zugriffssteuerungsinformationen zwischen Exchange 2003- und Exchange 5.5-Servern übermittelt werden, finden Sie unter Berechtigungen Öffentlicher Ordner in einer Microsoft Exchange-Organisation im gemischten Modus. Die wichtigen Aspekte, die sich auf die Verwaltung von Berechtigungen für Öffentliche Ordner beziehen, sind die folgenden: Bevor Daten zwischen Servern mit Exchange 2003 und Exchange 5.5 repliziert werden können, müssen alle Benutzer und Gruppen, die über ein Postfach auf den Servern mit Exchange 5.5 verfügen, ein Konto in Active Directory haben. Wenn der Benutzer oder die Gruppe nur über ein Active Directory-Konto verfügt (kein Windows NT 4.0-Konto), ist das Active Directory-Konto ein "aktiviertes" Konto. Wenn der Benutzer oder die Gruppe ein Windows NT 4.0-Konto hat, ist das Active Directory-Konto ein "deaktiviertes" Konto. Dieses mit dem Active DirectoryMigrationstool erstellte Konto ist ein Platzhalter, über den eine Active Directory-SID dem vorhandenen Windows NT 4.0-Konto zugeordnet wird. 24 Wichtig: Wenn Sie planen, Benutzerkonten in Windows NT 4.0 für eine bestimmte Dauer zu erhalten und diese dann vollständig zu Active Directory zu migrieren, müssen Sie deaktivierte Konten mit einem SID-Verlauf erstellen. Mit dem Active Directory-Migrationstool kann die Windows NT 4.0-SID in das Attribut sidHistory des neuen deaktivierten Kontos in Active Directory migriert werden. Wenn Sie die Konten zu einem späteren Zeitpunkt aktivieren, kann Exchange mithilfe der Informationen des SID-Verlaufs feststellen, an welchen Stellen Windows NT 4.0-Konten in ACEs durch neu aktivierte Konten ersetzt wurden. Weitere Informationen zu diesem Vorgang finden Sie im Knowledge Base-Artikel 316047, "XADM: Addressierungsprobleme, die entstehen, wenn Sie ADC-generierte Konten aktivieren". Exchange 5.5 verwendet MAPI-basierte Berechtigungen, identifiziert Benutzer und Gruppen anhand ihrer DNs (Distinguished Name) im Exchange-Verzeichnis und speichert Zugriffssteuerungsinformationen in der Eigenschaft ptagACLData. Wenn Exchange 2003 Zugriffssteuerungsinformationen auf einen Server mit Exchange 5.5 repliziert, geschieht Folgendes: a. Active Directory-Sicherheits-IDs (SID) von Benutzern und Gruppen werden in Exchange-Verzeichnis-DNs (Distinguished Name) konvertiert. b. Windows 2000-Berechtigungen werden in MAPI-Berechtigungen konvertiert. c. Die konvertierten Zugriffssteuerungsinformationen werden in ptagACLData gespeichert. d. ptagNTSD, ptagAdminNTSD und ptagACLData werden auf den Server mit Exchange 5.5 repliziert. Wenn ein Server mit Exchange 2003 replizierte Daten von einem Server mit Exchange 5.5 empfängt, geschieht Folgendes: a. Die eingehenden Werte von ptagNTSD und ptagAdminNTSD werden verworfen. Durch diesen Schritt wird ein Schutz gegenüber Änderungen gewährleistet, die möglicherweise an diesen Eigenschaften vorgenommen wurden, während sie von Exchange 5.5 gesteuert wurden. b. Die Benutzer- und Gruppen-DNs werden aus ptagACLData extrahiert und in Active Directory-SIDs konvertiert. c. Die Berechtigungen werden aus ptagACLData extrahiert und in Windows 2000Berechtigungen konvertiert. d. Die konvertierten Zugriffssteuerungsinformationen werden in ptagNTSD gespeichert. Der ursprüngliche Wert von ptagAdminNTSD bleibt unverändert. 25 e. Der Wert von ptagACLData wird normalerweise verworfen. Wenn jedoch bei der Konvertierung in Schritt b oder c ein Problem aufgetreten ist, wird der Wert von ptagACLData in Exchange 2003 beibehalten. Exchange 5.5 wendet die Berechtigungen auf Ordner an. Sie können einzelnen Nachrichten Berechtigungen nicht explizit zuweisen (Berechtigungen auf Elementebene), wie dies in Exchange 2003 möglich ist. Versuchen Sie beim Replizieren von Ordnern und deren Inhalten von Exchange 5.5 nach Exchange 2003 nicht, explizite Berechtigungen für Nachrichten festzulegen. In Exchange 2003 werden Berechtigungen so verwaltet, dass die Nachrichten sicher sind. Wenn Sie jedoch in dieser Situation die Nachrichtenberechtigungen ändern, gehen diese Änderungen im nächsten Replikationszyklus verloren. Ändern von Informationsspeicherberechtigungen in Exchange 2000 und 2003 Zwei primäre Anwendungen gewähren Zugriff auf Microsoft® ExchangeSicherheitsbeschreibungsinformationen: Microsoft Outlook® - hiermit können Benutzer Berechtigungen für Postfachordner festlegen und neue Öffentliche Ordner erstellen. Exchange-System-Manager - hiermit können Administratoren Berechtigungen für Öffentliche Ordner und Öffentliche Ordner-Strukturen festlegen. Hinweis: Mithilfe des Exchange-System-Managers kann außerdem auf die Sicherheitsbeschreibungen von Postfach- und Öffentlichen Ordner-Datenbanken zugegriffen werden. Exchange verwendet für die Datenbanken jedoch Windows 2000-Standardsicherheitsbeschreibungen ohne jegliche besondere Formatierungsanforderungen. Wichtig: Sie können auch die MMC-Konsole "ADSI-Bearbeitung" verwenden, um Sicherheitsbeschreibungen von Exchange-Objekten im Active Directory®Verzeichnisdienst anzuzeigen. Wenn Sie aber mithilfe von "ADSI-Bearbeitung" die in diesen Sicherheitsbeschreibungen gespeicherten Berechtigungen ändern, werden diese von "ADSI-Bearbeitung" im Windows 2000-ACL-Format gespeichert, nicht im kanonischen ACL-Format von Exchange. Um sicherzustellen, dass Berechtigungen im von Exchange erwarteten Format 26 bleiben, verwenden Sie wann immer möglich Outlook oder den ExchangeSystem-Manager zum Bearbeiten von Berechtigungen. Informationen zum programmgesteuerten Arbeiten mit Berechtigungen finden Sie im Thema "Security" im Abschnitt "Key Tasks" des Microsoft Exchange Software Development Kit (SDK). Das Exchange 2003-SDK kann auf der Website Exchange developer center heruntergeladen oder dort online angezeigt werden. Steuern des Clientzugriffs auf Postfächer Die Sicherheitsbeschreibung für das Postfachobjekt befindet sich sowohl im ExchangeInformationsspeicher als auch im Benutzerobjekt in Active Directory. Im Benutzerobjekt ist die Sicherheitsbeschreibung des Postfachs mit einem speziellen Attribut gespeichert. Dieses Attribut sorgt für die Trennung zwischen der Sicherheitsbeschreibung des Postfachs und der Sicherheitsbeschreibung des Benutzerobjekts, bei der es sich um eine normale WindowsSicherheitsbeschreibung handelt. Beim Erstellen eines neuen postfachaktivierten Benutzers erbt das Postfach eine Sicherheitsbeschreibung aus der Postfachdatenbank. Diese Sicherheitsbeschreibung wird in Active Directory gespeichert. Das Postfach wird vom Exchange-Informationsspeicher erst tatsächlich erstellt, wenn es vom Benutzer zum ersten Mal geöffnet wird. Zu diesem Zeitpunkt erstellt Exchange auch die Sicherheitsbeschreibung im Informationsspeicher. Die Sicherheitsbeschreibungen der Standardordner im neuen Postfach werden vom Postfach vererbt. Benutzer können die Berechtigungen für Ordner oder Nachrichten in ihrem Postfach mithilfe von Outlook ändern. Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für einen Postfachordner. Steuern des Clientzugriffs auf Öffentliche Ordner Wie bei Postfächern befinden sich Sicherheitsbeschreibungsinformationen für Öffentliche Ordner sowohl im Exchange-Informationsspeicher als auch in Active Directory. Die Art, in der Exchange Sicherheitsbeschreibungen für Öffentliche Ordner verwaltet, ist jedoch wesentlich komplexer. In der folgenden Tabelle werden die unterschiedlichen Speicherorte aufgeführt, an denen Öffentliche Ordner-Informationen von Exchange abgelegt werden. 27 Speicherorte von Sicherheitsinformationen für Öffentliche Ordner Daten Speicherort Sicherheitsinformationen Öffentlicher Ordner-Objekte ExchangeInformationsspeicher Sicherheitsbeschreibungen (ein Objekt pro Ordner, einschließlich des obersten Ordners der Hierarchie) (Öffentliche OrdnerDatenbanken) (ntsecuritydescriptor und Admindescriptor für jedes Ordnerobjekt) Ordnerhierarchieobjekte Active Directory Sicherheitsbeschreibungen (ein Objekt für jede Hierarchie; werden für hierarchieweite Attribute wie den Hierarchietyp verwendet) (Konfigurationscontainer) (ntsecuritydescriptor und Admindescriptor für jedes Hierarchieobjekt) Zusätzliche Sicherheitsattribute (Diese Attribute werden zwar von Active Directory nicht als Sicherheitsbeschreibungen verwendet, enthalten aber Informationen, die zum Erstellen von Standardsicherheitsbeschreib ungen für neue Ordnerobjekte der höchsten Ebene im Informationsspeicher benötigt werden.) Proxyobjekte Öffentlicher Ordner (ein Objekt pro E-Mailaktiviertem Öffentlichem Ordner; werden zur Aufnahme von E-MailAttributen für Öffentliche Ordner verwendet) Active Directory Sicherheitsbeschreibungen (Domänencontainer) (ntsecuritydescriptor und Admindescriptor für jedes Proxyobjekt) Wenn Sie einen neuen Öffentlichen Ordner der höchsten Ebene erstellen (in einer vorhandenen Hierarchie), erstellt Exchange die Sicherheitsbeschreibung für den Ordner, indem die Sicherheitsbeschreibung des Ordnerhierarchieobjekts mit gespeicherten Berechtigungsinformationen kombiniert wird. 28 Als Exchange-Administrator sind Sie bereits mit der Ansicht vertraut, die der ExchangeSystem-Manager von Objekten im Exchange-Informationsspeicher bietet. Dies ist die Oberfläche, die Sie normalerweise verwenden, um Berechtigungen für Objekte im Informationsspeicher zu ändern. Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für den Clientzugriff auf einen Öffentlichen Ordner. Öffentlicher Ordner-Standardstruktur und Öffentliche Ordner-Anwendungsstrukturen im Exchange-System-Manager Nachdem Sie auf Clientberechtigungen geklickt haben, wird abhängig vom Typ der Öffentlichen Ordner-Hierarchie, mit der Sie arbeiten, eins von zwei unterschiedlichen Dialogfeldern angezeigt. Wenn Sie mit einem Ordner in der Öffentliche OrdnerStandardhierarchie arbeiten, wird, wie in der folgenden Abbildung dargestellt, ein Dialogfeld mit MAPI-Berechtigungen und -Rollen angezeigt. 29 Dialogfeld Clientberechtigungen für einen Öffentlichen Ordner in der Öffentliche Ordner-Standardhierarchie Wenn Sie mit einem Ordner in einer Öffentliche Ordner-Anwendungshierarchie arbeiten, wird, wie in der folgenden Abbildung dargestellt, ein Dialogfeld mit Windows 2000Berechtigungen, -Benutzern und -Gruppen angezeigt. 30 Dialogfeld Clientberechtigungen für einen Öffentlichen Ordner in einer Öffentlichen Ordner-Anwendungshierarchie Sie können die Windows 2000-Version der Berechtigungen eines Ordners in der Öffentliche Ordner-Standardhierarchie auch mit dem Exchange-System-Manager anzeigen. Ausführliche Anweisungen finden Sie unter Anzeigen der Windows 2000-Version von MAPIBerechtigungen. Vorsicht: Obwohl Sie die Windows 2000-Version der Berechtigungen für die Öffentliche Ordner-Standardhierarchie anzeigen können, sollten Sie nicht versuchen, die Berechtigungen in dieser Ansicht zu bearbeiten. Die Windows-Benutzeroberfläche, auf der die Berechtigungen angezeigt werden, formatiert die ACL so, dass Exchange die Berechtigungen nicht mehr in das MAPI-Format konvertieren kann. Wenn dies geschieht, können Sie die Berechtigungen nicht mehr mit Outlook oder den normalen Dialogfeldern des Exchange-System-Managers bearbeiten. 31 Spezielle Aspekte bei Nachrichten Wenn ein Benutzer eine Nachricht öffnet, erbt die Nachricht dynamisch Nachrichten-ACEs von der Ordnersicherheitsbeschreibung. Wenn sich die Ordnersicherheitsbeschreibung ändert, erben alle neuen Nachrichten, die in dem Ordner geöffnet werden, sofort auch die Änderung der Sicherheitsbeschreibung. Nachrichten, die bereits geöffnet sind, behalten ihre ursprünglichen Sicherheitsbeschreibungen bei, bis sie gespeichert werden. Die Sicherheitsbeschreibung einer Anlage (oder einer eingebetteten Nachricht) wird von Exchange in der Datenbank gespeichert, aber nicht verwendet. Stattdessen verwendet der Exchange-Informationsspeicher die Sicherheitsbeschreibung der äußersten Nachricht aller angefügten Nachrichten. Die Sicherheit von Anlagen wird im Informationsspeicher beibehalten, damit ein Client eine Nachricht zum Debuggen an einen anderen Benutzer senden kann. Darüber hinaus wird die Sicherheitsbeschreibung einer angefügten Nachricht sofort wirksam, wenn ein Benutzer sie in einen Ordner der höchsten Ebene kopiert. Steuern des administrativen Zugriffs auf Postfächer und Öffentliche Ordner Im Allgemeinen befolgt die administrative Sicherheitsbeschreibung die Windows 2000Regeln hinsichtlich Format und Vererbung. Hinweis: Administrative Aufgaben auf Datenbankebene, wie das Verschieben von Benutzern oder Herstellen/Aufheben einer Verbindung mit Postfachspeichern oder Informationsspeichern für Öffentliche Ordner, werden von der jeweils individuellen Datenbanksicherheitsbeschreibung gesteuert, bei der es sich um eine normale Windows 2000-Sicherheitsbeschreibung handelt. Postfächer Der Exchange-System-Manager gewährt keinen administrativen Zugriff auf Benutzerpostfächer. Administrative Änderungen an den Exchange-spezifischen Attributen von Benutzerobjekten können mithilfe von "Active Directory-Benutzer und -Computer" vorgenommen werden. Öffentliche Ordner Administrative Berechtigungen für Öffentliche Ordner werden sowohl im ExchangeInformationsspeicher (in der Eigenschaft admindescriptor jedes Objekts) als auch in Active Directory gespeichert. Diese Berechtigungen sind Active Directory-Berechtigungen. Hierbei ist keine MAPI-Konvertierung beteiligt. 32 Unabhängig davon, ob Sie administrative Berechtigungen für einen Öffentlichen Ordner in der Standardhierarchie oder für einen Öffentlichen Ordner in einer Anwendungshierarchie ändern, verwenden Sie eine allgemeine Benutzeroberfläche, die WindowsBenutzeroberfläche, und einen allgemeinen Satz von Berechtigungen (siehe folgende Abbildungen). Dialogfeld Administratorrechte für einen Öffentlichen Ordner in der Öffentliche OrdnerStandardhierarchie 33 Dialogfeld Administratorrechte für einen Öffentlichen Ordner in einer Öffentlichen Ordner-Anwendungshierarchie Zum Speichern von Eigenschaften, die sich auf alle Ordner in einer Hierarchie auswirken, verfügt jede Öffentliche Ordner-Hierarchie über ein "Ordnerhierarchie"-Objekt in Active Directory. In diesem Objekt werden Eigenschaften wie der Distinguished Name des Exchange-Informationsspeichers, in dem sich die Hierarchie befindet, und der Hierarchietyp (MAPI oder Anwendung) für die Hierarchie gespeichert. Wichtig: Die Sicherheitsbeschreibung des Ordnerhierarchieobjekts umfasst Berechtigungen wie Öffentlichen Ordner erstellen, die Berechtigungen außer Kraft setzen können, die für einzelne Öffentliche Ordner in der Hierarchie festgelegt sind. Der Exchange-System-Manager bietet Zugriff auf einige dieser Informationen, indem für jede Öffentliche Ordner-Hierarchie ein Strukturobjekt angezeigt wird. Wie in der folgenden Abbildung dargestellt, können Sie auch mithilfe von "ADSI-Bearbeitung" die Ordnerhierarchieobjekte in Active Directory anzeigen. 34 Öffentliche Ordner-Strukturobjekte in Active Directory Wenn Sie einen neuen Ordner der höchsten Ebene in einer Hierarchie erstellen, kopiert der Exchange-Informationsspeicher die administrative Sicherheitsbeschreibung aus dem Ordnerhierarchieobjekt in Active Directory und verwendet diese als übergeordnete administrative Sicherheitsbeschreibung. Für alle anderen Ordner kopiert der Informationsspeicher die administrative Sicherheitsbeschreibung aus dem übergeordneten Ordner und verwendet diese als übergeordnete administrative Sicherheitsbeschreibung. Hinweis: Beim Überprüfen der administrativen Sicherheitsbeschreibung aktualisiert Exchange zuerst die vererbten ACEs in der Sicherheitsbeschreibung. Exchange ruft die aktuelle administrative Sicherheitsbeschreibung des Hierarchieobjekts ab und ersetzt die geerbten Informationen in der administrativen Sicherheitsbeschreibung, die gerade überprüft wird, durch diese Informationen. ACEs, die explizit für den fraglichen Ordner festgelegt wurden, bleiben hiervon unberührt. Hinweis: Wenn Ihre Bereitstellung sowohl Server mit Exchange 2003 als auch mit Exchange 5.5 umfasst und sich der betreffende Ordner auf einem Server mit Exchange 5.5 befindet, verfügt dieser Ordner über keine administrative Sicherheitsbeschreibung. Wenn der Ordner nicht als in einem Standort gesichert markiert ist oder wenn der Standort des Ordners mit dem aktuellen Standort identisch ist, verwendet der 35 Informationsspeicher in diesem Fall die normale Sicherheitsbeschreibung des Ordnerhierarchieobjekts in Active Directory als administrative Sicherheitsbeschreibung. Spezielle Steuerelemente für E-Mail-aktivierte Öffentlichen Ordner E-Mail-aktivierte Öffentliche Ordner verwenden spezielle Active Directory-Objekte, um darin ihre Postfachattribute zu speichern, wie z. B. automatisch generierte Proxyadressen. Jeder E-Mail-aktivierte Ordner verfügt über ein solches Objekt, wobei dessen Name mit dem des Ordners identisch ist. Die folgende Abbildung zeigt den Speicherort dieser Objekte in Active Directory in der Ansicht mit der "ADSI-Bearbeitung". Proxyobjekte Öffentlicher Ordner in Active Directory Wie bei Öffentlichen Ordner-Strukturobjekten sind die Berechtigungen von Proxyobjekten Öffentlicher Ordner identisch, unabhängig davon, ob der Öffentliche Ordner Mitglied einer MAPI-Struktur oder Mitglied einer Anwendungsstruktur ist. Die Benutzeroberfläche ist die Windows-Standardbenutzeroberfläche. Ausführliche Anweisungen finden Sie unter Anzeigen von Berechtigungen für den Zugriff auf Attribute von E-Mail-aktivierten Ordnern. 36 Weitere Informationen zu E-Mail-aktivierten Öffentlichen Ordnern finden Sie in der Exchange Server 2003-Hilfe oder im Exchange Server 2003 Administration Guide. Anzeigen von Berechtigungen für einen Postfachordner Benutzer können Berechtigungen für Postfachordner mithilfe von Outlook festlegen. In diesem Thema wird erläutert, wie Postfachberechtigungen in Outlook angezeigt werden können. Verfahren So zeigen Sie die Berechtigungen für einen Postfachordner an 1. Klicken Sie in Outlook mit der rechten Maustaste auf den zu ändernden Ordner, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Berechtigungen. Festlegen von Berechtigungen für einen Postfachordner mithilfe von Microsoft Outlook 37 Hinweis: Auf der Registerkarte Berechtigungen werden MAPI-Berechtigungen und Rollen verwendet. Anzeigen von Berechtigungen für den Clientzugriff auf einen Öffentlichen Ordner In diesem Thema wird erläutert, wie mithilfe des Exchange-System-Managers ermittelt wird, welche Clients Zugriff auf einen Öffentlichen Ordner haben. 38 Verfahren So zeigen Sie Berechtigungen für den Clientzugriff auf einen Öffentlichen Ordner an 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf den Ordner, dessen Berechtigungen Sie anzeigen möchten, und klicken Sie anschließend auf Eigenschaften. 2. Klicken im Dialogfeld Eigenschaften auf die Registerkarte Berechtigungen, und klicken Sie dann auf Clientberechtigungen. Die erste Registerkarte Berechtigungen eines E-Mail-aktivierten Öffentlichen Ordners 39 Anzeigen der Windows 2000-Version von MAPI-Berechtigungen In diesem Thema wird erläutert, wie die Windows 2000-Version von MAPI-Berechtigungen im Exchange-System-Manager angezeigt werden kann. Bevor Sie beginnen Es wird dringend empfohlen, dieses Verfahren nicht zum Ändern von MAPI-Berechtigungen zu verwenden. Verwenden Sie dieses Verfahren nur zum Anzeigen der aktuellen Berechtigungen. Verfahren So zeigen Sie die Windows 2000-Version von MAPI-Berechtigungen an 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf den Ordner, dessen Berechtigungen angezeigt werden sollen, und klicken Sie anschließend auf Eigenschaften. 2. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Berechtigungen, halten Sie die STRG-TASTE gedrückt, und klicken Sie auf Clientberechtigungen. Das angezeigte Dialogfeld ist in der folgenden Abbildung dargestellt. Beachten Sie, dass alle Kontrollkästchen für Berechtigungen deaktiviert sind. Dialogfeld mit Windows 2000-Berechtigungen für einen Ordner in der Öffentliche Ordner-Standardhierarchie 40 3. Um die tatsächlichen Berechtigungsinformationen anzuzeigen, klicken Sie auf Erweitert. Das angezeigte Dialogfeld ist in der folgenden Abbildung dargestellt. Erweiterte Version des Dialogfelds mit Windows 2000-Berechtigungen 41 4. Um ausführliche Berechtigungsinformationen anzuzeigen, klicken Sie zuerst auf einen Berechtigungseintrag und dann auf Anzeigen/Bearbeiten. Denken Sie daran, dass es nicht empfehlenswert ist, Berechtigungen auf diese Weise zu ändern. In der folgenden Abbildung wird ein Beispiel der ausführlichen Windows 2000Berechtigungsinformationen dargestellt, die angezeigt werden können. Ausführliche Ansicht von Windows 2000-Berechtigungen 42 Anzeigen von Berechtigungen für den Zugriff auf Attribute von E-Mail-aktivierten Ordnern In diesem Thema wird erläutert, wie mithilfe des Exchange-System-Managers Berechtigungen für das Öffentliche Ordner-Objekt im Microsoft Active DirectoryVerzeichnisdienst angezeigt werden können. 43 Bevor Sie beginnen Es wird empfohlen, die im Folgenden angezeigten Einstellungen mit ihren Standardwerten zu verwenden. Der Hauptzweck der Sicherheitsbeschreibung des Proxyobjekts in Active Directory besteht darin, den Exchange-Diensten den Zugriff auf das Objekt zu gewähren und gleichzeitig andere Zugriffe auf das Objekt einzuschränken. Verfahren So zeigen Sie Berechtigungen für den Zugriff auf Attribute eines E-Mail-aktivierten Ordners an 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf den anzuzeigenden Ordner, und klicken Sie anschließend auf Eigenschaften. 2. Klicken im Dialogfeld Eigenschaften auf die Registerkarte Berechtigungen, und klicken Sie dann auf Verzeichnisrechte. Die erste Registerkarte Berechtigungen eines E-Mail-aktivierten Öffentlichen Ordners 44 In Exchange verfügbare Berechtigungen In den folgenden Abschnitten werden die verschiedenen Berechtigungen aufgeführt, die in Microsoft® Exchange verfügbar sind. Detailliertere Informationen zu den meisten dieser Berechtigungen (z. B. ihre hexadezimalen Zugriffsmaskenwerte) finden Sie im Exchange Server 2003 TechCenter oder in der Microsoft Windows® 2000- und Active Directory®Verzeichnisdienstdokumentation im Microsoft Platform SDK. Spezielle Berechtigungen Exchange verwendet zur Steuerung des Zugriffs auf Postfächer intern spezielle Berechtigungen in Kombination mit den einleitenden Prüfungen, die ausgeführt werden. 45 Exchange verwendet diese Berechtigungen nicht in Sicherheitsbeschreibungen. In der folgenden Tabelle sind diese postfachspezifischen Berechtigungen aufgeführt. Postfachspezifische Berechtigungen Exchange-Berechtigungen Mitgliedsberechtigungen oder WindowsEntsprechungen fsdpermUserDeleteMailbox DELETE fsdpermUserMailboxOwner fsdpermUserSendAs fsdpermUserPrimaryUser (Wird in Verbindung mit der Hauptkonto-SID in Active Directory verwendet.) sdpermUserGenericRead STANDARD_RIGHTS_READ sdpermUserGenericExecute STANDARD_RIGHTS_EXECUTE sdpermUserGenericWrite STANDARD_RIGHTS_WRITE fsdpermUserDeleteMailbox sdpermUserGenericAll STANDARD_RIGHTS_ALL FsdpermUserMailboxOwner FsdpermUserSendAs fsdpermUserPrimaryUser In der Windows NT-Sicherheitsbeschreibung verwendete Berechtigungen In der folgenden Tabelle werden die Berechtigungen aufgeführt, die in der Microsoft Windows NT®-Sicherheitsbeschreibung verwendet werden. Weitere Informationen zu diesen Berechtigungen finden Sie unter dem Thema "Security" im Abschnitt "Key Tasks" des Microsoft Exchange Software Development Kit (SDK). Berechtigungen für Postfachordner und Öffentliche Ordner Die in der Windows NT-Sicherheitsbeschreibung eines Ordners verwendeten Berechtigungen sind unabhängig davon, ob sich der Ordner in einem Postfach oder in einer Öffentlichen Ordner-Hierarchie befindet, identisch. In den folgenden Tabellen werden diese 46 Berechtigungen aufgeführt (die in der Tabelle "In Ordnersicherheitsbeschreibungen verwendete Windows-Standardberechtigungen" aufgeführten Berechtigungen sind überall in Windows 2000 für Objekte verfügbar). In der folgenden Tabelle sind Exchange-spezifische Berechtigungen mit einem Sternchen (*) gekennzeichnet. Ordnerberechtigungen Anzeigename Berechtigung Beschreibung Inhalt auflisten fsdrightListContents Mit FILE_LIST_DIRECTORY identisch. Der Vertrauensnehmer darf Dateiinhalte auflisten. Element erstellen fsdrightCreateItem Mit FILE_ADD_FILE identisch. Der Vertrauensnehmer darf eine Datei zu einem Ordner hinzufügen. Container erstellen fsdrightCreateContainer Mit FILE_ADD_SUBDIRECTOR Y identisch. Der Vertrauensnehmer darf einen Unterordner hinzufügen. Eigenschaft lesen fsdrightReadProperty Mit FILE_READ_EA identisch. Eigenschaft schreiben fsdrightWriteProperty Mit FILE_WRITE_EA identisch. Attribute lesen fsdrightReadAttributes Mit FILE_READ_ATTRIBUTES identisch. Für die zukünftige Verwendung reserviert. Attribute schreiben fsdrightWriteAttributes Mit FILE_WRITE_ATTRIBUTES identisch. Für die zukünftige Verwendung reserviert. Eigene Eigenschaft schreiben fsdrightWriteOwnProperty* Der Vertrauensnehmer darf seine eigenen Elemente ändern. 47 Anzeigename Berechtigung Beschreibung Eigenes Element löschen fsdrightDeleteOwnItem Der Vertrauensnehmer darf seine eigenen Elemente löschen. Element anzeigen fsdrightViewItem* Der Vertrauensnehmer darf Elemente anzeigen. Besitzer fsdrightOwner* Der Vertrauensnehmer ist der Besitzer des Ordners. Dieses Recht entspricht der Berechtigung frightsOwner in früheren Versionen von Exchange und ist aus Gründen der Abwärtskompatibilität verfügbar. Kontakt fsdrightContact* Wird nicht für Sicherheit verwendet. Gibt den Benutzer als Kontakt für den Ordner an. Dieses Recht entspricht der Berechtigung frightsContact in früheren Versionen von Exchange und ist aus Gründen der Abwärtskompatibilität verfügbar. - fsdrightReserved1 Mit FILE_DELETE_CHILD identisch. Derzeit nicht verwendet. Hinweis: Die Berechtigungen fsdrightReadProperty und fsdrightReadAttributes stehen im Zusammenhang und werden immer gemeinsam gewährt oder verweigert. Ähnlich werden fsdrightWriteProperty und fsdrightWriteAttributes immer zusammen gewährt oder verweigert. 48 In Ordnersicherheitsbeschreibungen verwendete Windows-Standardberechtigungen Anzeigename Berechtigung Mitgliedsberechtigung oder Windows-Entsprechung Löschen fsdrightDelete DELETE Berechtigungen lesen fsdrightReadControl READ_CONTROL Berechtigungen ändern fsdrightWriteSD WRITE_DAC Besitz übernehmen fsdrightWriteOwner WRITE_OWNER Synchronisieren fsdrightSynchronize SYNCHRONIZE - sdrightsFolderOwner fsdrightWriteProperty fsdrightOwner fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes Berechtigungen für Nachrichten In den Tabellen dieses Abschnitts werden die Nachrichtenberechtigungen aufgeführt. Nachrichtenberechtigungen Anzeigename Berechtigung Mitgliedsberechtigung oder Windows-Entsprechung Nachrichtentext lesen fsdrightReadBody Nur für Nachrichten; mit FILE_READ_DATA identisch. Nachrichtentext schreiben fsdrightWriteBody Nur für Nachrichten; mit FILE_WRITE_DATA identisch. Nachricht anfügen fsdrightAppendMsg Nur für Nachrichten; mit FILE_WRITE_DATA identisch. Wird vom IFS erzwungen. Eigenschaft lesen fsdrightReadProperty Mit FILE_READ_EA identisch. 49 Anzeigename Berechtigung Mitgliedsberechtigung oder Windows-Entsprechung Eigenschaft schreiben fsdrightWriteProperty Mit FILE_WRITE_EA identisch. Ausführen fsdrightExecute Mit FILE_EXECUTE/FILE_TRAV ERSE identisch. Wird vom IFS erzwungen. Attribute lesen fsdrightReadAttributes Mit FILE_READ_ATTRIBUTES identisch. Derzeit nicht verwendet. Attribute schreiben fsdrightWriteAttributes Mit FILE_WRITE_ATTRIBUTES identisch. Derzeit nicht verwendet. Eigene Eigenschaft schreiben fsdrightWriteOwnProperty Nur für Nachrichten. Eigenes Element löschen fsdrightDeleteOwnItem Nur für Nachrichten. Element anzeigen fsdrightViewItem Hinweis: Die Berechtigungen fsdrightReadProperty, fsdrightReadAttributes und fsdrightReadBody stehen im Zusammenhang und werden immer gemeinsam gewährt oder verweigert. Ähnlich werden fsdrightWriteProperty, fsdrightWriteAttributes und fsdrightWriteBody immer zusammen gewährt oder verweigert. Hinweis: Die in den folgenden zwei Tabellen aufgeführten Berechtigungen werden nicht auf der Benutzeroberfläche angezeigt. Sie können aber in benutzerdefinierten Anwendungen verwendet werden. In Nachrichtensicherheitsbeschreibungen verwendete WindowsStandardberechtigungen Anzeigename Berechtigung Mitgliedsberechtigung oder Windows-Entsprechung Löschen fsdrightDelete DELETE 50 Anzeigename Berechtigung Mitgliedsberechtigung oder Windows-Entsprechung Berechtigungen lesen fsdrightReadControl READ_CONTROL Berechtigungen ändern fsdrightWriteSD WRITE_DAC Besitz übernehmen fsdrightWriteOwner WRITE_OWNER Synchronisieren fsdrightSynchronize SYNCHRONIZE Hinweis: In der folgenden Tabelle werden Zugriffsrechte, die zu der Berechtigung sdrightsIgnored gehören, bei der Bestimmung einer kanonischen Exchange-ACL ignoriert. Da diese Rechte vom Exchange-Informationsspeicher ignoriert werden, bleibt eine ACL, unabhängig von der An- oder Abwesenheit dieser Rechte, kanonisch. Gruppen von Nachrichtenberechtigungen Berechtigung Mitgliedsberechtigung oder WindowsEntsprechung sdrightsNone sdrightsBestAccess MAXIMUM_ALLOWED sdrightsReadOnly GENERIC_READ sdrightsReadWrite GENERIC_READ GENERIC_WRITE sdrightsGenericRead fsdrightReadControl fsdrightReadBody fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize 51 Berechtigung Mitgliedsberechtigung oder WindowsEntsprechung sdrightsGenericWrite fsdrightReadControl fsdrightWriteBody fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg fsdrightCreateItem fsdrightDelete fsdrightCreateContainer fsdrightOwner fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner sdrightsGenericExecute fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightViewItem fsdrightSynchronize 52 Berechtigung Mitgliedsberechtigung oder WindowsEntsprechung sdrightsGenericAll fsdrightDelete fsdrightReadProperty fsdrightWriteProperty fsdrightCreateItem fsdrightCreateContainer fsdrightReadControl fsdrightWriteSD fsdrightWriteOwner fsdrightReadControl fsdrightViewItem fsdrightOwner fsdrightWriteOwnProperty fsdrightDeleteOwnItem fsdrightSynchronize fsdrightExecute fsdrightReserved1 fsdrightReadAttributes fsdrightWriteAttributes fsdrightReadBody fsdrightWriteBody fsdrightSynchronize fsdrightContact sdrightsIgnored fsdrightExecute fsdrightAppendMsg fsdrightContact fsdrightReserved1 53 Abwärtskompatible Nachrichtenberechtigungen Berechtigung Mitgliedsberechtigungen msgrightsGenericRead sdrightsGenericRead sdrightsItems msgrightsGenericWrite sdrightsGenericWrite sdrightsItems msgrightsGenericExecute sdrightsGenericExecute sdrightsItems msgrightsGenericAll sdrightsGenericAll sdrightsItems fldrightsGenericRead sdrightsGenericRead sdrightsFolders fldrightsGenericWrite sdrightsGenericWrite sdrightsFolders fldrightsGenericExecute sdrightsGenericExecute sdrightsFolders fldrightsGenericAll sdrightsGenericAll sdrightsFolders Exchange bietet einen zusätzlichen Steuerwert, EXCHANGE_RM_SET_EXPLICIT_SD, der im Steuerfeld einer Sicherheitsbeschreibung festgelegt werden kann. Im Anschluss kann die Sicherheitsbeschreibung des Objekts vom Administrator explizit festgelegt werden. Weitere Informationen zum Festlegen von EXCHANGE_RM_SET_EXPLICIT_SD finden Sie in der API-Dokumentation von Windows XP. In der administrativen Sicherheitsbeschreibung verwendete Berechtigungen Zusätzlich zu den Windows 2000-Standardberechtigungen wird in Exchange ein Satz erweiterter Berechtigungen definiert, die sich spezielle auf Exchange-Funktionen beziehen. Diese Berechtigungen sind in der folgenden Tabelle aufgeführt. 54 Hinweis: Die Berechtigungen Öffentlichen Ordner erstellen, Öffentliche Ordner der obersten Ebene erstellen und Benannte Eigenschaften im Informationsspeicher erstellen können sowohl auf administrative als auch auf nicht administrative Benutzer Anwendung finden. In Exchange definierte und verwendete erweiterte Berechtigungen Anzeigename Gemeinsamer Name Öffentliche Ordner der Verwaltungsgruppe hinzufügen ms-Exch-Add-PF-To-Admin-Group Exchange-Administrator ms-Exch-Admin-Role-Administrator Exchange-Administrator – Vollständig ms-Exch-Admin-Role-Full-Administrator Exchange-Administrator mit Leserechten für Öffentliche Ordner ms-Exch-Admin-Role-Read-OnlyAdministrator Exchange Öffentlicher Ordner-Dienst ms-Exch-Admin-Role-Service Öffentlichen Ordner erstellen ms-Exch-Create-Public-Folder Öffentliche Ordner der obersten Ebene erstellen ms-Exch-Create-Top-Level-Public-Folder Öffentliche Ordner für E-Mail aktivieren ms-Exch-Mail-Enabled-Public-Folder ACL für Öffentlichen Ordner ändern ms-Exch-Modify-PF-ACL Admin-ACL für Öffentlichen Ordner ändern ms-Exch-Modify-PF-Admin-ACL Aufbewahrungszeit für gelöschte Elemente in Öffentlichen Ordnern ändern ms-Exch-Modify-Public-Folder-Deleted-ItemRetention Ablauf von Öffentlichen Ordner ändern ms-Exch-Modify-Public-Folder-Expiry Kontingente für Öffentliche Ordner ändern ms-Exch-Modify-Public-Folder-Quotas Replikatlisten für Öffentliche Ordner ändern ms-Exch-Modify-Public-Folder-Replica-List Warteschlage für E-Mail-Versand öffnen ms-Exch-Open-Send-Queue Metabase-Eigenschaften lesen ms-Exch-Read-Metabase-Properties Öffentliche Ordner aus der Administratorgruppe entfernen ms-Exch-Remove-PF-From-Admin-Group Informationsspeicher verwalten ms-Exch-Store-Admin Benannte Eigenschaften im Informationsspeicher erstellen ms-Exch-Store-Create-Named-Properties 55 Anzeigename Gemeinsamer Name Status des Informationsspeichers anzeigen ms-Exch-Store-Visible Senden als Send-As Empfangen als Receive-As Umwandlung zwischen MAPI- und Windows-Berechtigungen Wie unter "Reihenfolgen von ACEs in der ACL" in Details des Zugriffssteuerungsprozesses in Exchange beschrieben, wandelt Exchange Windows 2000-Berechtigungen routinemäßig in und aus MAPI-Berechtigungen um. In diesem Abschnitt sind die MAPI-Berechtigungen aufgeführt, die von Exchange 2003 verwendet werden. Außerdem wird demonstriert, wie Berechtigungen von Exchange von dem einen Format in das andere umgewandelt werden. Verfügbare MAPI-Berechtigungen In den Tabellen dieses Abschnitts werden die MAPI-Berechtigungen aufgeführt, die von Exchange 2003 verwendet werden. Lediglich die in der ersten Tabelle aufgeführten Berechtigungen stehen auf der Benutzeroberfläche zur Verfügung. Die in der zweiten Tabelle aufgeführten Berechtigungen können programmgesteuert verwendet werden. In der Benutzeroberfläche verfügbare MAPI-Berechtigungen Anzeigename Berechtigung Elemente lesen frightsReadAny Elemente erstellen frightsCreate Elemente bearbeiten: Eigene frightsEditOwned Elemente löschen: Eigene frightsDeleteOwned Elemente bearbeiten: Alle frightsEditAny Elemente löschen: Alle frightsDeleteAny Unterordner erstellen frightsCreateSubfolder Ordnerbesitzer frightsOwner Ordnerkontakt frightsContact (nicht Bestandteil von rightsAll) 56 Anzeigename Berechtigung Ordner sichtbar frightsFolderVisible Programmgesteuert verfügbare MAPI-Berechtigungen Berechtigung Mitgliedsberechtigungen rightsNone Keine rightsReadOnly frightsReadAny rightsReadWrite frightsReadAny frightsEditAny rightsAll Alle Konvertieren in MAPI-Berechtigungen Mithilfe des folgenden Prozesses werden Windows 2000-Berechtigungen von Exchange in MAPI-Berechtigungen konvertiert. 1. Konvertieren der Nachrichten-ACEs gemäß der Beschreibung in der folgenden Tabelle. Nachrichten-ACEs Exchange 2003-Berechtigungen MAPI-Berechtigungen fsdrightReadProperty frightsReadAny fsdrightWriteOwnProperty frightsEditOwned fsdrightWriteProperty frightsEditAny fsdrightDeleteOwnItem frightsDeleteOwned fsdrightDelete frightsDeleteAny 2. Konvertieren der Ordner-ACEs gemäß der Beschreibung in der folgenden Tabelle. 57 Ordner-ACEs Exchange 2003-Berechtigungen MAPI-Berechtigungen fsdrightCreateContainer frightsCreateSubfolder fsdrightContact frightsContact Wenn alle Rechte des Ordnerbesitzers vorhanden sind: frightsOwner fsdrightWriteProperty fsdrightOwner fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem fsdrightCreateItem frightsCreate 3. Gültig für Ordner und Nachrichten: Wenn fsdrightViewItem vorhanden ist, wird es in frightsVisible umgewandelt. 4. Sicherstellen, dass die konvertierten Berechtigungen intern konsistent sind, durch Vornahme der folgenden zusätzlichen Änderungen: Wenn frightsDeleteAny gewährt ist, wird ebenfalls frightsDeleteOwned gewährt. Wenn frightsEditAny gewährt ist, wird ebenfalls frightsEditOwned gewährt. Wenn frightsReadAny oder frightsOwner gewährt ist, wird ebenfalls frightsVisible gewährt. Konvertieren aus MAPI-Berechtigungen Mithilfe des folgenden Prozesses werden MAPI-Berechtigungen von Exchange in Windows 2000-Berechtigungen konvertiert. Wichtig: Exchange überschreibt die vorhandenen Sicherheitsbeschreibungs-ACEs mit den neu konvertierten ACEs. Unabhängig davon, ob die MAPI-Benutzeroberfläche zum Ändern der Berechtigungen verwendet wurde oder ob die ACEs von einem koexistierenden Server mit Exchange 5.5 repliziert wurden, wird dieselbe Konvertierung vorgenommen. Wenn die ACEs von Exchange 5.5 repliziert wurden, 58 beginnt die Konvertierung mit dem einleitenden Schritt der Konvertierung des Exchange 5.5-DN (Distinguished Name) des Benutzers oder der Gruppe in eine Windows 2000-Sicherheits-ID. 1. Aufgliedern des MAPI-ACE in zwei ACEs. Einen OI/IO-ACE (Object-Inherit/Inherit-Only) (für Nachrichten; wird bei Ordnern ignoriert) Einen CI-ACE (Container-Inherit) (für Ordner; wird bei Nachrichten ignoriert) 2. Konvertieren der Berechtigungen in den ACEs gemäß der Beschreibung in der folgenden Tabelle. 59 Berechtigungen in den ACEs MAPI-Berechtigung Exchange 2003-Berechtigung frightsEditAny Alle gültigen allgemeinen Schreiben-Bits bei Nachrichten (Ausnahme: Löschen) frightsDeleteAny fsdrightDelete frightsEditOwned fsdrightWriteOwnProperty frightsDeleteOwned fsdrightDeleteOwnItem frightsReadAny Alle gültigen allgemeinen Lesen-Bits bei Nachrichten Alle gültigen allgemeinen Ausführen-Bits bei Nachrichten, einschließlich fsdrightViewItem bei Nachrichten Bei Ordner-ACEs wirkt sich dies auf fsdrightViewItem aus. frightsCreateSubfolder fsdrightCreateContainer frightsOwner fsdrightWriteProperty fsdrightOwner fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem frightsContact fsdrightContact frightsVisible Alle gültigen allgemeinen Lesen-Bits bei Ordnern Alle gültigen allgemeinen Ausführen-Bits bei Ordnern fsdrightViewItem 3. Überprüfen, dass die erforderlichen Gewähren/Verweigern-ACE-Paare vorhanden und in der richtigen Reihenfolge sind. 60 Beispiele für den Konvertierungsprozess Mithilfe der folgenden Beispiele wird der Prozess der Konvertierung von Windows 2000Berechtigungen in MAPI-Berechtigungen und wieder zurück veranschaulicht. Als Ausgangspunkt soll eine Sicherheitsbeschreibung eines Ordners im ExchangeInformationsspeicher dienen. Diese Sicherheitsbeschreibung enthält zwei ACEs, die Berechtigungen festlegen, die der Gruppe "FolderUsers" gewährt werden: Ein Ordner-ACE (ein ACE mit dem Kennzeichen CONTAINER_INHERIT_ACE) Ein Nachrichten-ACE (ein ACE mit den Kennzeichen OBJECT_INHERIT_ACE und INHERIT_ONLY_ACE) Zur Vereinfachung des Beispiels gewähren diese ACEs der Gruppe "FolderUsers" alle anwendbaren Berechtigungen. Andernfalls wären zwei zusätzliche ACEs erforderlich, um alle Berechtigungen zu verweigern, die nicht gewährt wurden. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von den zwei ACEs gewährt werden. Von den zwei Gewähren-ACEs der Gruppe "FolderUsers" festgelegte Berechtigungen Berechtigungen im Ordner-ACE Berechtigungen im Nachrichten-ACE fsdrightSynchronize fsdrightSynchronize fsdrightDelete fsdrightDelete fsdrightReadControl fsdrightReadControl fsdrightWriteSD fsdrightWriteSD fsdrightWriteOwner fsdrightWriteOwner fsdrightOwner fsdrightWriteAttributes fsdrightWriteAttributes fsdrightWriteOwnProperty fsdrightViewItem fsdrightDeleteOwnItem fsdrightWriteProperty fsdrightViewItem fsdrightExecute fsdrightWriteProperty fsdrightReserved1 fsdrightExecute fsdrightReadAttributes fsdrightReadAttributes fsdrightListContents fsdrightReadBody fsdrightCreateItem fsdrightWriteBody fsdrightCreateContainer fsdrightAppendMsg 61 Berechtigungen im Ordner-ACE Berechtigungen im Nachrichten-ACE fsdrightReadProperty fsdrightReadProperty Dieses Beispiel konzentriert sich auf den Ordner-ACE. Im Augenblick kann der NachrichtenACE vernachlässigt werden. In der folgenden Tabelle finden Sie die Zuordnung von Windows 2000-Berechtigungen zu den MAPI-Berechtigungen. Beachten Sie, dass in vielen Fällen eine einzige MAPIBerechtigung einer ganzen Gruppe von Windows 2000-Berechtigungen zugeordnet wird und dass einige Windows 2000-Berechtigungen fehlen. Konvertieren von Berechtigungen Windows 2000-Berechtigungen MAPI-Berechtigungen fsdrightOwner frightsOwner fsdrightWriteAttributes fsdrightWriteSD fsdrightWriteOwner (fsdrightViewItem, fsdrightWriteProperty und fsdrightDelete müssen ebenfalls vorhanden sein, damit diese Konvertierung erfolgreich verläuft.) fsdrightViewItem frightsVisible fsdrightWriteProperty frightsEditAny frightsEditOwned fsdrightDelete frightsDeleteAny frightsDeleteOwned fsdrightCreateItem frightsCreate fsdrightCreateContainer frightsCreateSubfolder fsdrightReadProperty frightsReadAny 62 Windows 2000-Berechtigungen MAPI-Berechtigungen fsdrightSynchronize Ignoriert fsdrightReadControl fsdrightExecute fsdrightReserved1 fsdrightReadAttributes fsdrightListContents Der zuvor dargestellt Zuordnungsprozess resultiert in einem Ordner-ACE für die Gruppe "FolderUsers", der MAPI-Berechtigungen gewährt. Zum Umkehren der Konvertierung beginnt Exchange mit der Duplizierung des ACE, um erneut einen Ordner-ACE und einen Nachrichten-ACE zu erzeugen, wie in der folgenden Tabelle dargestellt. Duplizieren von ACEs Ordner-ACE Nachrichten-ACE frightsOwner frightsOwner frightsVisible frightsVisible frightsEditAny frightsEditAny frightsEditOwned frightsEditOwned frightsDeleteAny frightsDeleteAny frightsDeleteOwned frightsDeleteOwned frightsCreate frightsCreate frightsCreateSubfolder frightsCreateSubfolder frightsReadAny frightsReadAny Im nächsten Schritt werden die Berechtigungen von Exchange konvertiert, wie in den folgenden zwei Tabellen dargestellt. 63 Konvertieren des Ordner-ACE MAPI-Berechtigungen Windows 2000-Berechtigungen frightsOwner fsdrightOwner fsdrightWriteProperty fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem frightsVisible fsdrightViewItem fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightReadProperty fsdrightSynchronize frightsEditAny fsdrightReadControl fsdrightWriteBody (wird bei Ordnern ignoriert) fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg (wird bei Ordnern ignoriert) fsdrightCreateItem fsdrightDelete fsdrightCreateContainer fsdrightOwner fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner frightsEditOwned fsdrightWriteOwnProperty (wird bei Ordnern ignoriert) frightsDeleteAny fsdrightDelete 64 MAPI-Berechtigungen Windows 2000-Berechtigungen frightsDeleteOwned fsdrightDeleteOwnItem (wird bei Ordnern ignoriert) frightsCreate fsdrightCreateItem frightsCreateSubfolder fsdrightCreateContainer frightsReadAny fsdrightReadControl fsdrightReadBody (wird bei Ordnern ignoriert) fsdrightListContents fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize fsdrightExecute Konvertieren des Nachrichten-ACE MAPI-Berechtigungen Windows 2000-Berechtigungen frightsOwner fsdrightOwner (wird bei Nachrichten ignoriert) fsdrightWriteProperty fsdrightWriteSD fsdrightDelete fsdrightWriteOwner fsdrightWriteAttributes fsdrightViewItem frightsVisible fsdrightViewItem fsdrightReadControl fsdrightReadAttributes fsdrightExecute fsdrightReadProperty fsdrightSynchronize 65 MAPI-Berechtigungen Windows 2000-Berechtigungen frightsEditAny fsdrightReadControl fsdrightWriteBody fsdrightWriteAttributes fsdrightWriteProperty fsdrightAppendMsg fsdrightCreateItem (wird bei Nachrichten ignoriert) fsdrightDelete fsdrightCreateContainer (wird bei Nachrichten ignoriert) fsdrightOwner (wird bei Nachrichten ignoriert) fsdrightSynchronize fsdrightWriteSD fsdrightWriteOwner frightsEditOwned fsdrightWriteOwnProperty frightsDeleteAny fsdrightDelete frightsDeleteOwned fsdrightDeleteOwnItem frightsCreate fsdrightCreateItem (wird bei Nachrichten ignoriert) frightsCreateSubfolder fsdrightCreateContainer (wird bei Nachrichten ignoriert) frightsReadAny fsdrightReadControl fsdrightReadBody fsdrightListContents (wird bei Nachrichten ignoriert) fsdrightReadAttributes fsdrightReadProperty fsdrightViewItem fsdrightSynchronize fsdrightExecute 66 Die vorangehenden Konvertierungen erzeugen die zwei Gewähren-ACEs, wie in der folgenden Tabelle dargestellt. Von den zwei Gewähren-ACEs der Gruppe "FolderUsers" festgelegte Berechtigungen Berechtigungen im Ordner-ACE Berechtigungen im Nachrichten-ACE fsdrightOwner fsdrightWriteProperty fsdrightWriteProperty fsdrightWriteSD fsdrightWriteSD fsdrightDelete fsdrightDelete fsdrightWriteOwner fsdrightWriteOwner fsdrightWriteAttributes fsdrightWriteAttributes fsdrightViewItem fsdrightViewItem fsdrightReadControl fsdrightReadControl fsdrightReadAttributes fsdrightReadAttributes fsdrightExecute fsdrightExecute fsdrightReadProperty fsdrightReadProperty fsdrightSynchronize fsdrightSynchronize fsdrightWriteBody fsdrightCreateItem fsdrightAppendMsg fsdrightCreateContainer fsdrightWriteOwnProperty fsdrightListContents fsdrightDeleteOwnItem fsdrightReserved1 fsdrightReadBody Der Ordner-ACE und der Nachrichten-ACE gewähren der Gruppe "FolderUsers" im Prinzip alle verfügbaren Berechtigungen, sodass die zwei entsprechenden Verweigern-ACEs nicht benötigt werden. Grundsätzlich handelt es sich bei diesen um dieselben ACEs, die in der Tabelle "Von den zwei Gewähren-ACEs der Gruppe 'FolderUsers' festgelegte Berechtigungen" aufgeführt sind, bevor mit der Konvertierung begonnen wurde. In Exchange verfügbare Standardrollen Microsoft® Exchange stellt einen Satz von Standardzugriffsebenen zur Verfügung, die beim Festlegen von Berechtigungen für Objekte im Exchange-Informationsspeicher verwendet werden können. Diese Zugriffsebenen werden als "Rollen" bezeichnet. Sie stehen jedoch in 67 keinem Zusammenhang mit den Rollen, die programmgesteuert im ExchangeInformationsspeicher konfiguriert werden können. In der folgenden Tabelle sind die Standardrollen aufgeführt, die bei der Arbeit mit Öffentlichen Ordner-Anwendungshierarchien verfügbar sind, sowie die zur jeweiligen Rolle gehörenden Berechtigungen. Diese Berechtigungen sind unter "In der Windows NTSicherheitsbeschreibung verwendete Berechtigungen" in In Exchange verfügbare Berechtigungen aufgeführt. Für Ordner in Öffentlichen Ordner-Anwendungshierarchien verwendete Standardrollen Rolle Berechtigungen Besitzer Erstellen Lesen Ändern Alle Elemente und Dateien löschen Unterordner erstellen Berechtigungen ändern (Alle Rechte im Ordner) Veröffentlichender Herausgeber Erstellen Lesen Ändern Alle Elemente und Dateien löschen Unterordner erstellen Herausgeber Erstellen Lesen Ändern Alle Elemente und Dateien löschen Veröffentlichender Autor Erstellen Elemente und Dateien lesen Ändern Eigene Elemente und Dateien löschen 68 Rolle Berechtigungen Autor Erstellen Elemente und Dateien lesen Ändern Eigene Elemente und Dateien löschen Nicht herausgebender Autor Erstellen Elemente und Dateien lesen Eigene Elemente und Dateien löschen Lektor Elemente und Dateien lesen Mitwirkender Elemente und Dateien erstellen (Keine Berechtigungen zum Lesen/Auflisten) Keine (Keine Berechtigungen) In der folgenden Tabelle sind die Standardrollen aufgeführt, die bei der Arbeit mit Postfächern, Ordnern in der Öffentliche Ordner-Standardhierarchie und deren Inhalten verfügbar sind. Die pro Rolle aufgeführten Berechtigungen sind MAPI-Berechtigungen, keine Windows 2000-Berechtigungen. Für Postfachordner und für Ordner in der Öffentliche Ordner-Standardhierarchie verwendete Rollen Rolle Berechtigungen Besitzer frightsOwner frightsCreateSubfolder frightsReadAny frightsCreate frightsEditAny frightsDeleteAny frightsEditOwned frightsDeleteOwned frightsContact frightsVisible 69 Rolle Berechtigungen Veröffentlichender Herausgeber frightsReadAny frightsCreate frightsEditAny frightsDeleteAny frightsEditOwned frightsDeleteOwned frightsCreateSubfolder frightsVisible Herausgeber frightsReadAny frightsCreate frightsEditAny frightsDeleteAny frightsEditOwned frightsDeleteOwned frightsVisible Veröffentlichender Autor frightsReadAny frightsCreate frightsEditOwned frightsDeleteOwned frightsCreateSubfolder frightsVisible Nicht veröffentlichender Autor frightsReadAny (Nicht herausgebender Autor?) frightsCreate frightsDeleteOwned frightsVisible Lektor frightsReadAny frightsVisible Mitwirkender frightsCreate frightsVisible 70 Rolle Berechtigungen Keine RightsNone frightsVisible Benutzerdefiniert? 0x00000000 Vollständig? rightsAll frightsContact Für Postfachspeicher und Informationsspeicher für Öffentliche Ordner erforderliche Mindestberechtigungen Wenn Sie die Standardberechtigungen für Microsoft® Exchange Server 2003Postfachspeicher und -Informationsspeicher für Öffentliche Ordner ändern, müssen Sie sicherstellen, dass die folgenden Mindestberechtigungen erfüllt bleiben: Administratorgruppe Vollzugriff Gruppe "Authentifizierte Benutzer" Lesen und Ausführen, Ordnerinhalt auflisten, Lesen Ersteller-Besitzer Keine Gruppe "Server-Operatoren" Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen, Schreiben Systemkonto Vollzugriff Wenn Sie diese Berechtigungen für die angegebenen Gruppen und Konten nicht beibehalten, treten beim Bereitstellen von Postfachspeichern und Informationsspeichern für Öffentliche Ordner möglicherweise Schwierigkeiten auf. Die folgenden Fehlermeldungen und -ereignisse weisen auf diesen Problemtyp hin: Interner Verarbeitungsfehler. Starten Sie Exchange-System-Manager oder den Microsoft Exchange-Informationsspeicherdienst oder beide erneut. MAPI oder ein nicht angegebener Dienstanbieter. ID-Nr.: 00000476-0000-00000000. Informationsspeicher (2520) Versuch, die minimale E/A-Blockgröße für Datenträger "[Laufwerk:\]" (enthält "[Laufwerk:\]Exchsrvr\Mdbdata\") zu ermitteln, ist mit Systemfehler 5 (0x00000005): "Zugriff verweigert" fehlgeschlagen. Fehler –1032 (0xfffffbf8). 71 Fehler 0xfffffbf8 beim Starten von Speichergruppe [DN der Speichergruppe] im Microsoft Exchange Server-Informationsspeicher. Der MAPI-Aufruf 'OpenMsgStore' ist mit dem folgenden Fehler fehlgeschlagen: Der Microsoft Exchange Server-Computer steht nicht zur Verfügung. Das Netzwerk antwortet nicht, oder der Server wurde für Wartungsarbeiten heruntergefahren. Der MAPI-Anbieter ist fehlgeschlagen. Microsoft Exchange Server-Informationsspeicher ID-Nr.: 8004011d0526-00000000. Es können auch beim Bereitstellen von Informationsspeichern für Öffentliche Ordner Probleme auftreten, wenn Sie die Option Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten für die Öffentliche OrdnerHierarchie deaktiviert haben. Die folgenden Fehlermeldungen weisen auf diesen Problemtyp hin: Der Informationsspeicher konnte nicht bereitgestellt werden, weil die Active DirectoryInformationen noch nicht repliziert wurden. Der Microsoft Exchange-Informationsspeicherdienst konnte das angegebene Objekt nicht finden. ID-Nr.: c1041722 Fügen Sie zum Beheben dieses Problems die erforderlichen Berechtigungen wieder hinzu. Ausführliche Arbeitsschritte finden Sie unter Wiederherstellen der Vererbung von Berechtigungen für eine Öffentliche Ordner-Hierarchie. Wiederherstellen der Vererbung von Berechtigungen für eine Öffentliche Ordner-Hierarchie In diesem Thema wird erläutert, wie die Option Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten für die Öffentliche Ordner-Hierarchie aktiviert wird. Wenn diese Option nicht aktiviert wird, kann der Informationsspeicher für Öffentliche Ordner möglicherweise nicht bereitgestellt werden. Verfahren So stellen Sie die Vererbung von Berechtigungen wieder her 1. Klicken Sie mit der rechten Maustaste auf die MAPI-Struktur für Öffentliche Ordner, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Sicherheit, und aktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte, 72 sofern vererbbar, über alle untergeordneten Objekte verbreiten. Warten Sie nach Abschluss dieses Vorgang, bis die Änderung vom Active DirectoryVerzeichnisdienst auf alle Domänencontroller repliziert wurde. Nach der Replikation der Änderung können Sie den Informationsspeicher wieder bereitstellen. Copyright Die in diesem Dokument enthaltenen Informationen entsprechen der zum Zeitpunkt der Veröffentlichung aktuellen Ansicht der Microsoft Corporation bezüglich der behandelten Themen. Da Microsoft auf wechselnde Marktbedingungen reagieren muss, sollte dies nicht als Verpflichtung seitens Microsoft betrachtet werden. Ferner kann Microsoft keine Gewährleistung für die Richtigkeit der dargestellten Informationen nach dem Veröffentlichungsdatum übernehmen. Dieses White Paper dient nur zu Informationszwecken. MICROSOFT ÜBERNIMMT BEZÜGLICH DER INFORMATIONEN IN DIESEM DOKUMENT KEINE GEWÄHRLEISTUNGEN, SEI SIE AUSDRÜCKLICH, KONKLUDENT ODER GESETZLICH GEREGELT. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Ohne die Urheberrechtsgesetze einzuschränken darf ohne ausdrückliche schriftliche Genehmigung der Microsoft Corporation kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch, mechanisch, durch Fotokopie oder Aufzeichnen, dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw.angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Die Bereitstellung dieses Dokuments erteilt keinerlei Lizenzrechte an diesen Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, ausgenommen, dies wurde explizit durch einen schriftlich festgehaltenen Lizenzvertrag mit der Microsoft Corporation vereinbart. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen sind frei erfunden, soweit dies nicht anders angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen ist rein zufällig und nicht beabsichtigt. © 2006 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync, ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, 73 MSN, Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile, Windows NT und Windows Server System sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.. Alle anderen geschützten Marken gehören dem jeweiligen Eigentümer.