Lista de controle de acesso pastas públicas no Exchange

Este artigo descreve como as permissões foram simplificadas no Exchange 2000 Server e Exchange Server 2003.

Listas de controle de acesso (ACLs) no Exchange

ACLs no Exchange são armazenadas diretamente como uma propriedade de pasta, ptagNTSD , que contém os descritores de segurança NT dos usuários ou grupos que podem acessar a pasta.

Caixas de correio no Exchange não são separadas do usuário. Portanto, em vez de permitir acesso a uma pasta com base no nome de domínio da caixa de correio, Exchange controla o acesso a pastas com base na identificação de segurança Microsoft Windows NT do usuário que fizer logon, o que é semelhante à maneira como o NTFS arquivo identificadores do sistema (NTFS) seu controle de acesso. Isso é muito importante. A maioria dos problemas com usuários que não é possível acessar ou ver pastas é causada por problemas com a segurança de Windows NT identificação. Isso pode ser perigoso especialmente em ambientes Exchange 2000 ou Exchange 2003 e Exchange Server 5.5 misto.

Marcas de propriedade ACL nova

Exchange 2000 introduziu duas marcas de propriedade adicionais (ptags) para armazenar informações de segurança (Exchange 2003 mantém esses ptags):

• ptagNTSD ( PR_NT_SECURITY_DESCRIPTOR ) Isso é o conjunto ACL novo, mais sofisticado que é usado pelo Exchange 2000. As permissões estritamente mapeiam para o conjunto de permissões NTFS. Todas as pastas no Exchange 2000 têm esta propriedade.
  
  
• ptagAdminNTSD ( PR_ADMIN_SECURITY_DESCRIPTOR ) Essas são as permissões de administrador em uma pasta. Por padrão, eles não são definidos nas pastas individuais, mas são herdados da pasta raiz. No entanto, se você definir permissões de administrador específicas em uma pasta, essa propriedade é adicionada e replicada com essa pasta.

Exibindo ACLs no Exchange System Manager

Se a pasta for uma pasta MAPI, as permissões como MAPI são exibidas quando você exibir as permissões de cliente.

Para exibir o NT "pura" permissões de descritor de segurança (NTSD) em uma pasta MAPI:

1. Abra o Exchange System Manager e selecione a MAPI pasta que você deseja exibir.
2. Pressione e mantenha pressionada a tecla CTRL e, em seguida, clique em permissões .

Observação Não-MAPI pastas (TLH de aplicativo) sempre mostrar as permissões NTSD brutas.

Não usar o Windows Explorer ou pressione a tecla CTRL e clique permissões no Exchange System Manager (o procedimento para exibir permissões que é descrito neste artigo) para definir permissões de pasta MAPI. Se você fizer isso, você poderá perder a capacidade de modificar as permissões por meio de clientes MAPI e o Exchange System Manager.

Problemas de permissões do MAPI

Em MAPI nível superior hierarquia (TLH), você não pode misturar as ferramentas que você usar para definir permissões em pastas. Ferramentas compatíveis com MAPI, como Exchange System Manager ou Microsoft Outlook definir MAPI TLH permissões propriamente ditas. Se você definir as permissões usando o Windows Explorer ou definir as permissões no Exchange System Manager quando você exibir as permissões NTSD, você pode quebrar as permissões do MAPI na pasta e não será mais possível modificar as permissões por meio de MAPI. Se os clientes tentam modificar as permissões, eles receberá a seguinte mensagem de erro:

Para exibir as permissões de cliente em uma pasta, incluindo o proprietário da pasta:

1. Abrir o Exchange System Manager e, em seguida, selecione uma pasta pública.
2. Clique em Propriedades e, em seguida, clique em Client Permissions .

Quando você clique em Client Permissions no Exchange System Manager ou definir permissões de cliente usando o cliente Outlook, o Editor de ACL MAPI ser iniciado.

No entanto, se você pressionar e mantiver a tecla CTRL enquanto você clique em Propriedades da pasta pública no Exchange System Manager e em seguida, clique em Client Permissions , você obtém o NTSD para o proprietário em vez da MAPI permissões. Quando você pressione e mantenha pressionada a tecla CTRL e, em seguida, clique em Client Permissions , inicia o Editor de ACL do Windows NT.

Você pode exibir as mesmas informações exibindo os descritores de segurança NT para a pasta pública na unidade M. Essas são as permissões NTSD brutas em uma pasta MAPI.

Embora no Exchange 2000 e posterior, você pode definir segurança em pastas públicas na hierarquia de pasta pública usando o Exchange System Manager, Outlook e a versão do Windows Explorer do Windows 2000, essas ferramentas não são intercambiáveis. Windows Explorer usa o formato de ACL do Windows 2000 para definir as permissões de segurança (NTSD permissões) na MAPI hierarquia de pasta pública, mas Exchange System Manager e Outlook usam o formato MAPI ACL. Sistema de armazenamento Microsoft na Web pode interpretar corretamente ambos os formatos ACL, mas as ferramentas não são intercambiáveis porque quando você alterar configurações de permissões em uma pasta pública de MAPI usando o Editor de ACL MAPI no Exchange System Manager ou no Outlook), as alterações feitas são gravadas para o sistema de arquivos instaláveis do Exchange. Em contraste, se estiver usando o Editor de ACL do Windows NT para alterar configurações de permissões em uma pasta pública de MAPI (pressionando a tecla CTRL e, em seguida, clicando em Client Permissions ou diretamente da unidade M através do Windows Explorer), o sistema de arquivos instaláveis do Exchange não gravar novamente as permissões de MAPI.

Porque as ferramentas são não intercambiáveis, se você modificar as permissões NSTD de uma pasta pública de MAPI pressionando a tecla CTRL e clicando em Client Permissions no editor de ACL do Windows NT, você pode definir permissões de cliente para pastas públicas não usando o ESM ou Outlook. Microsoft recomenda que você use apenas o Exchange System Manager ou o cliente Outlook para editar a segurança na hierarquia de pasta pública de MAPI.Para obter informações adicionais sobre como resolver problemas que podem ocorrer quando você modificar o NTSD em permissões para pastas públicas MAPI do Exchange 2000 (em outras palavras, quando você usar Windows Explorer na unidade M para modificar as permissões), clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Observação Esse problema não ocorre em hierarquias de pasta pública de finalidade geral (também chamadas de hierarquias de pasta de aplicativo).