如何在Exchange Server 2003中为任何邮箱指派服务帐户访问权限
来源:互联网
作者:west263.com
时间:2008-02-23
西部数码-全国虚拟主机10强!40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!
概要
本文讨论如何向任何邮箱授予权限。在要完成像脱机恢复这样的任务时,向任何邮箱授予访问权限会很有用。
小心请不要在生产环境中使用此过程允许未经授权的用户访问用户数据。这样做可能会违反贵公司的隐私和安全政策。请在您的网络上实施一个审核计划,以检测并记录系统管理员对网络管理特权的不当使用。
小心请不要在生产环境中使用此过程允许未经授权的用户访问用户数据。这样做可能会违反贵公司的隐私和安全政策。请在您的网络上实施一个审核计划,以检测并记录系统管理员对网络管理特权的不当使用。
更多信息
在 Microsoft Exchange Server 5.5 中,当您将“站点”容器上的“服务帐户管理”访问权限授予一个 Microsoft Windows 帐户后,也就向该帐户授予了对任何邮箱的无限制访问权限。Microsoft Exchange 2000 Server 和 Exchange Server 2003 中 没有服务帐户,配置具备“企业管理员”权限的帐户也没有访问任何邮箱的权限。
注意在 Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003 中,服务通常在安装他们的电脑的帐户下运行。该帐户是本地系统帐户 (LocalSystem),而其密码由 Windows 2000 或 Windows Server 2003 创建和回收。默认情况下,能够使用该服务帐户来访问 Exchange 邮箱、公共文档夹存储区和其他 Windows 资源,以执行邮件传送和目录同步。 DL.bitsCN.com网管软件下载
假如您的登录帐户是 Administrator 帐户或是 Domain Admins 或 Enterprise Admins 组中的一个成员,就会明确地拒绝您对除您自己的邮箱以外的其他邮箱的访问权,即使您对 Exchange 系统有完全管理权限也是如此。任何 Exchange Server 2003 管理任务都能够在不用向管理员授予足以能够阅读其他人的邮件的情况下执行。
能够使用几种方法覆盖此默认限制,但只有在贵组织的安全和隐私政策允许的情况下,才应这样做。通常,只有在恢复服务器环境中才适合使用这些方法。
注意若要使用方法 1,Exchange Domain Servers 组必须具备“另外接收为”权限。
对管理员显式拒绝权限是在组织对象上通过拒绝“另外接收为”和“另外发送为”权限配置的。对于那些您希望让他们具备完全访问权限的帐户,您能够取消这些拒绝。但请注意,假如某个帐户属于管理员组,则该帐户将仍然无法访问邮箱,这是因为对组的拒绝将优先于授予个别帐户的权限。
注意若要在组织对象上更改安全性,则必须在“Exchange 系统管理器”中强制显示“安全”选项卡。 警告 注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能确保您能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。 若要强制显示“安全”选项卡,请按照下列步骤操作:
注意在 Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003 中,服务通常在安装他们的电脑的帐户下运行。该帐户是本地系统帐户 (LocalSystem),而其密码由 Windows 2000 或 Windows Server 2003 创建和回收。默认情况下,能够使用该服务帐户来访问 Exchange 邮箱、公共文档夹存储区和其他 Windows 资源,以执行邮件传送和目录同步。 DL.bitsCN.com网管软件下载
假如您的登录帐户是 Administrator 帐户或是 Domain Admins 或 Enterprise Admins 组中的一个成员,就会明确地拒绝您对除您自己的邮箱以外的其他邮箱的访问权,即使您对 Exchange 系统有完全管理权限也是如此。任何 Exchange Server 2003 管理任务都能够在不用向管理员授予足以能够阅读其他人的邮件的情况下执行。
能够使用几种方法覆盖此默认限制,但只有在贵组织的安全和隐私政策允许的情况下,才应这样做。通常,只有在恢复服务器环境中才适合使用这些方法。
方法 1
假如您不是 Administrator,或假如您不是 Domain Admins 或 Enterprise Admins 组的成员,可将您的帐户添加到 Exchange Domain Servers 组中。添加之后,您就具备对该域中服务器上的任何邮箱的完全访问权限了。注意若要使用方法 1,Exchange Domain Servers 组必须具备“另外接收为”权限。
方法 2
您能够通过更改“Exchange 系统管理器”树最顶端的组织对象的权限,向 Windows 2000 或 Windows Server 2003 管理员授予对整个组织中任何邮箱的权限。假如您不想授予这样普遍的权限,能够使用本文“方法三”部分中提供的说明仅授予对个别数据库的访问权限。对管理员显式拒绝权限是在组织对象上通过拒绝“另外接收为”和“另外发送为”权限配置的。对于那些您希望让他们具备完全访问权限的帐户,您能够取消这些拒绝。但请注意,假如某个帐户属于管理员组,则该帐户将仍然无法访问邮箱,这是因为对组的拒绝将优先于授予个别帐户的权限。
www.bitsCN.com
注意若要在组织对象上更改安全性,则必须在“Exchange 系统管理器”中强制显示“安全”选项卡。 警告 注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能确保您能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。 若要强制显示“安全”选项卡,请按照下列步骤操作:
| 1. | 单击“开始”,然后单击“运行”。 |
| 2. | 在“打开”框中,键入 regedit,然后按 Enter 键。 |
| 3. | 在注册表编辑器中,找到注册表中的以下子项: HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin |
| 4. | 在“编辑”菜单上,指向“新建”,然后单击“双字节值”。 |
| 5. | 键入 ShowSecurityPage,然后按 ENTER 键。 |
| 6. | 按 Enter 键。 |
| 7. | 在“编辑 DWORD 值”对话框中的“数值数据”框中键入 1,然后单击“确定”。 |
| 8. | 退出注册表编辑器。 |
方法 3
bbs.bitsCN.com若要通过“Exchange 系统管理器”向您的管理帐户授予对单个数据库中任何邮箱的访问权限而不管继承的显式拒绝,请执行以下操作:
| 1. | 启动“Exchange 系统管理器”,然后找到要对其中存储的邮箱具备完全访问权限的数据库。 |
| 2. | 打开此对象的属性,然后单击安全选项卡。 假如看不到“安全”选项卡,请参见上文中有关启用“安全”选项卡的步骤。 |
| 3. | 在该对象上向您的帐户授予完全显式权限,包括“另外接收为”和“另外发送为”权限。 |
bbs.bitsCN.com
更改权限后,您必须注销并重新登录。Microsoft 还建议您停止并重新启动任何 Exchange 服务。假如林中有多个域控制器,则可能还必须要等到目录复制完成。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
