如何为Exchange 2007准备活动目录（一）

　前言

　　在您能够安装Exchange 2007之前，您必须准备活动目录服务。下面我们将具体介绍这一过程。

　　介绍

　　安装Exchange 2007可以使用GUI也可以使用命令行方式。在两种方式下，安装过程都需要执行几个任务来准备活动目录。有几个原因来选择使用命令行方式安装。从命令行方式安装允许使用最小权限，通过不同的管理员，在不同的位置和时间，分别执行这些任务，并允许在执行下一个任务之前单独验证每个任务。

　　在安装第一台Exchange 2007之前，将Exchange 2007增加 到已经存在Exchange 2003 或者 Exchange 2000的组织当中，需要完成下面的命令。

　　1. Setup /PrepareLegacyExchangePermissions

　　2. Setup /PrepareSchema

　　3. Setup /PrepareAD

　　4. Setup /PrepareDomain

　　注意：如果您创建一个新的Exchange 2007组织，您只需要从第二步开始执行。

　　这些命令不需要分别运行。例如，如果需要的话，运行Setup /PrepareAD 命令的时候，将同时运行Setup /PrepareSchema和Setup /PrepareLegacyExchangePermissions。然而，在大的或者复杂的环境中，因为管理上的原因，您也许想将Exchange 的安装过程分成几个部分。因为每个Setup /PrepareXX 命令之间相互依赖，在执行下一个任务之前有必要允许完成复制。

　　注意如果您创建了一个新的Exchange 2007组织，您以后不能在添加Exchange 2003或者Exchange 2000。因此如果您更改并且需要例如X.400连接器或者GroupWise连接器，您将不能添加Exchange 2003或者Exchange 2000来提供该功能。如果您有任何废弃的Exchange 2003或者Exchange 2000需要的任何特性要求，请仔细考虑清楚。

　　注意：您可以在一台32位或者64位的处理器的计算机上运行上述操作。要在32位的计算机上运行这些操作，您必须下载32位的Exchange 版本。

　　应用旧版Exchange 权限

　　下面具体介绍需要添加Exchange 2007到一个已经存在Exchange 2003或者Exchange 2000 的组织中的背景、实施、验证的信息。

　　背景

　　下面简单回顾一下，Exchange 2003 或者 Exchange 2000 Recipient Update Service(RUS)是如何被授权去更新活动目录中的对象。属性集是活动目录中属性的集合，每个属性只能是一个单一属性集的成员。活动目录中预定义的Public Information属性集包含象Proxy Addresses和Email Addresses 等属性。Exchange 2003 或者Exchange 2000 RUS 被授权去更新该属性集来设置邮件地址。Exchange 2003 或者 Exchange 2000 DomainPrep 在域级别上授予Exchange Enterprise Servers 组对这些属性集的权限。Exchange 2003 or Exchange 2000 RUS 服务器的计算机账号被添加到Exchange Domain Servers 组，Exchange Domain Servers 组是Exchange Enterprise Servers 组的成员。因此，RUS有权限去修改一个特定域的Public Information属性集上的电子邮件地址。

　　但是一个属性集如何被简单地委派管理，该属性集能够被用来授权去访问一个对象的属性的子集通过设置单个访问控制条目(ACE)而不必设置每个属性的ACE。

　　Exchange 2007 拥有更精确的委派管理角色，比如收件人管理，限制管理员能够执行的任务的范围。为了实现它，Exchange-Information 和Exchange Personal Information属性集被创建当架构被Exchange 2007扩展的时候。这些属性集只包含Exchange 相关的属性，使收件人管理比使用内置的活动目录属性集更精确。因为一个属性只能属于单个属性集，象Proxy Addresses 和 Email Addresses 这些属性，从活动目录Public Information 属性集移动到Exchange-Information 属性集。

　　在Exchange 2007中，激活邮件功能的对象的邮件地址被立刻创建，因此不需要RUS。有挑战的是在共存期间，Exchange 2003 或者Exchange 2000 RUS没有对Exchange-Information和Personal Information 属性集的权限。只要架构被Exchange 2007扩展了，创建任何Exchange 2003 或者Exchange 2000 激活邮件的对象都不能完成。下面我们将具体描述Setup是如何解决该问题。
　执行

　　Setup /PrepareLegacyExchangePermissions 或者Setup /pl 能够在森林中的任何活动目录站点或者域中执行。安装要求从域中的全局编录服务器检查，并确认组织中有遗留的Exchange 服务器(Exchange 2003 或者Exchange 2000)。然后通过查找下面的组来验证域中的Exchange 2003 或者 Exchange 2000 DomainPrep 已经被运行：

　　Exchange Enterprise Servers (EES)

　　Exchange Domain Servers (EDS)

　　注意：不要重命名或者删除这些组

　　安装不需要能够联系森林中的每个域，因为安装从包含EES 和 EDS 组的域中的全局编录服务器处决定。安装只需要能够联系从那里Exchange 2003 或者Exchange 2000 DomainPrep被运行过的域，从那里安装需要执行联系，安装将使用389端口来连接目标域。

　　对已经确认DomainPrep 被运行过，Setup /pl 为每个Exchange 2003或者 Exchange 2000域授予下面的权限：

　　· 在根域中，授权Exchange Enterprise Servers 组对Exchange-Information 属性集的写权限。

　　· 在根域中，授权经过认证的用户对Exchange-Information 属性集的读权限。

　　· 在AdminSDHolder对象上，授权Exchange Enterprise Servers 组对Exchange-Information 属性集的读/写权限，

　　· 在活动目录配置分区中的Exchange 组织容器上，授权Exchange Domain Servers 组对Exchange-Information 属性集的写权限。

　　如果您想从单个位置来执行Setup /pl ，并在所有验证过的目标域中设置权限。您必须使用具有Enterprise Admin权限的用户来运行该命令。如果您不打算使用具有Enterprise Admin权限的用户，您必须将安装任务分成几个步骤。

　　如果活动森林只有单个域，您必须使用这样的账号，在根域中，它具有域管理员权限和Exchange 完全管理员权限。在命令行模式下，运行下面的命令：

　　setup /pl:<根域的完全限定域名>

　　如果活动森林有多个域，您可以指定某个特定的域，在该域中运行Setup /pl。为了运行该命令，您必须使用这样的账号，在该域中，它具有域管理员权限和Exchange 完全管理员权限。在命令行模式下，运行下面的命令：

　　setup /pl:<指定域的完全限定域名>

　　在Exchange 2007 安装之后，如果在一个新增加的域或者已经存在的域中，运行Exchange 2003 或者 Exchange 2000 DomainPrep，您应该再准备旧版Exchange 权限。这样的话，在森林的根域中，使用具有Enterprise Admin 权限的账号运行Setup /pl，或者在您运行DomainPrep的域中，使用具有新域的Domain Admins 和Exchange Organization Administrators 权限的账号，执行execute Setup /pl:<新域的完全限定域名>。如图1所示。

　　图1 Setup /PrepareLegacyExchangePermissions