如何为Exchange 2007准备活动目录（二）

核心提示： 图6 Microsoft Exchange security groups对一个新的组织，您必须一个组织名称，如何为Exchange 2007准备活动目录（二）(4)，该名称立即被应用，安装将不会创建一个占位符对象，但是，给本地域组设置的权限足以让服务启动，当第一台服务器被安装的时候该对象可以被

图6 Microsoft Exchange security groups

对一个新的组织，您必须一个组织名称，该名称立即被应用。安装将不会创建一个占位符对象，当第一台服务器被安装的时候该对象可以被重命名，就象在Exchange 2003 中一样。

在活动目录配置分区中，Setup /p 创建下面这些容器：

· Exchange Administrative Group (FYDIBOHF23SPDLT)

· Exchange Routing Group (DWBGZMFD01QNBJR)

这些容器只包含Exchange 2007 服务器。

Setup /p 导入 Rights.ldf文件，它添加Exchange-Information 扩展过的权限，要查看该扩展过的权限，运行Ldp.exe，执行下面的步骤：

1. 点击”Connection”，然后点击” Connect"(保留服务器为空)，点击OK。

2. 点击 “ Connection”，然后点击 “Bind” (保留凭据为空)，点击OK。

3. 点击View，然后点击Tree，展开Configuration，展开Extended-Rights，然后选择Exchange-Information，在Ldp.exe的右边栏中显示下面这些信息：

· dn: CN=Exchange-Information,CN=Extended-Rights,

· changetype: ntdsSchemaAdd

· displayName: Exchange Information

· objectClass: controlAccessRight

· rightsGuid: 1F298A89-DE98-47b8-B5CD-572AD53D267E

· validAccesses: 48

您也可以查看域的security descriptors，滑动鼠标找到rightsGUID 1F298A89-DE98-47b8-B5CD-572AD53D267E。在前面，当您验证Setup /PrepareLegacyExchangePermissions 步骤的时候，该对象类型为Unknown。在Rights.ldf 文件被导入后，在使用Ldp.exe查看的时候，Exchange-Information 扩展权限的访问控制条目(ACE)不在显示为Unknown。如图7所示。

图7 Object Ace Type is Exchange-Information

在活动目录根域分区中，Setup /p 创建下面这些容器：

· 在一个新的组织中，Setup /p 创建Microsoft Exchange System Objects 容器。

· Microsoft Exchange System Objects 容器上的objectVersion 属性保存着DomainPrep 级别。

· 对于Exchange 2007，objectVersion 是10628。

· 在域容器和Microsoft Exchange System Objects 上，授权Exchange Admin 权限。

· 创建Exchange Install Domain Servers group，并将它添加到根域中的Exchange Servers USG 组。如图8所示。

当一台Exchange 2007 server 被安装了，该计算机账号被添加到Exchange Servers USG 组，早缺省情况下，它位于根域中。如果服务器被安装在不同的域中，在安装的时候，Exchange 服务也许无法启动因为Exchange Servers 成员关系没有被复制到本地域。当安装一台Exchange 2007 服务器，安装将计算机账号添加到本地域组Exchange Install Domain Servers和 Exchange Servers组。但是，给本地域组设置的权限足以让服务启动。

Setup /p 为Exchange Servers group授予seSecurityPrivilege (管理审计和安全日志) 权限。