权限组是预定义的权限集,将其授予常用的安全主体并分配给接收连接器。安全主体包括用户、计算机以及安全组。安全主体由安全标识符 (SID) 进行标识。权限组仅用于接收连接器。使用权限组可以简化接收连接器的权限配置操作。PermissionGroups 属性定义可将邮件提交给接收连接器的组或角色以及分配给这些组的权限。在 Exchange 2007 中已经预定义了权限组集,这意味着您无法创建其他权限组。此外,您也无法修改权限组成员或关联的权限。
表 1 列出了可用的权限组,并确定了安全主体以及为接收连接器配置该权限组时所授予的权限。
权限组名称 | 关联的安全主体 (SID) | 授予的权限 |
|---|---|---|
匿名 | 匿名用户帐户 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Ms-Exch-Accept-Headers-Routing |
| ExchangeUsers | 通过身份验证的用户帐户 | Ms-Exch-SMTP-SubmitMs-Exch-SMTP-Accept-Any-RecipientMs-Exch-Bypass-Anti-SpamMs-Exch-Accept-Headers-Routing |
ExchangeServers | 集线器传输服务器 边缘传输服务器 Exchange 服务器(仅限集线器传输服务器) 外部安全服务器 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Any-Recipient Ms-Exch-Accept-Authoritative-Domain-Sender Ms-Exch-Bypass-Anti-Spam Ms-Exch-SMTP-Accept-Authentication-Flag Ms-Exch-Bypass-Message-Size-Limit Ms-Exch-Accept-Headers-Routing Ms-Exch-Accept-Exch50 Ms-Exch-Accept-Headers-Organization(注意:未对外部安全服务器授予此权限。) Ms-Exch-Accept-Headers-Forest(注意:未对外部安全服务器授予此权限。) |
ExchangeLegacyServers | Exchange 旧版 Interop 安全组 | Ms-Exch-SMTP-Submit Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Any-Recipient Ms-Exch-Accept-Authoritative-Domain-Sender Ms-Exch-Bypass-Anti-Spam Ms-Exch-SMTP-Accept-Authentication-Flag Ms-Exch-Bypass-Message-Size-Limit Ms-Exch-Accept-Headers-Routing Ms-Exch-Accept-Exch50 |
合作伙伴 | 合作伙伴服务器帐户 | Ms-Exch-SMTP-Submit Ms-Exch-Accept-Headers-Routing |
使用类型可确定分配给接收连接器的默认权限组,以及可用于会话身份验证的默认身份验证机制。接收连接器会始终响应发件人的请求以使用传输层安全性 (TLS)。
表 2 说明了可用的使用类型和默认设置。
客户端(在边缘传输服务器上不可用) | ExchangeUsers | TLS 基本身份验证加上 TLS 集成的 Windows 身份验证 |
| 自定义 | 无 | 无 |
内部 | ExchangeServers ExchangeLegacyServers(此权限组在边缘传输服务器上不可用。) | Exchange Server 身份验证 |
Internet | AnonymousUsers 合作伙伴 | "无"或"外部安全" |
合作伙伴 | 合作伙伴 | 不适用。与远程域建立相互的 TLS 时,会选择该使用类型。 |
每种使用类型适用于特定的连接方案。请选择默认设置最适合所需配置的使用类型。可以使用 Add-ADPermission cmdlet 和 Remove-ADPermission cmdlet 修改权限。
表 3 列出了常见的连接方案以及适用于每种方案的使用类型。
接收来自 Internet 的电子邮件的边缘传输服务器 | Internet | 安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。 |
| 接收来自 Internet 的电子邮件的集线器传输服务器 | Internet | 建议不使用此配置。 |
接收来自 Exchange Server 2003 或 Exchange 2000 Server 桥头服务器的电子邮件的边缘传输服务器 | 内部 | 在此方案中,将 Exchange 2003 或 Exchange 2000 桥头服务器配置为将边缘传输服务器用作发送连接器的智能主机。 |
接收使用邮局协议 3 (POP3) 或 IMAP4 的客户端应用程序所提交的电子邮件的集线器传输服务器 | 客户端 | 安装集线器传输服务器角色后,将在每台集线器传输服务器上自动创建该接收连接器。默认情况下,将该接收连接器配置为通过 TCP 端口 587 接收电子邮件。 |
接收来自集线器传输服务器的电子邮件的集线器传输服务器 | 内部 | 无须在同一组织内的集线器传输服务器之间配置接收连接器。此使用类型可用来配置跨林的接收连接器。 |
接收来自同一个林中 Exchange 2003 或 Exchange 2000 桥头服务器的电子邮件的集线器传输服务器 | 内部 | 这是一种可选的配置。Exchange 2007 与早期版本 Exchange Server 之间的邮件传输是通过双向路由组连接器来实现的。如果创建连接到 Exchange 2003 路由组或 Exchange 2000 路由组的简单邮件传输协议 (SMTP) 连接器,则必须还要存在一个路由组连接器。 |
接收来自集线器传输服务器的电子邮件的边缘传输服务器 | 内部 | 安装边缘传输服务器角色后,将自动创建一个配置为接受来自所有域的电子邮件的接收连接器。您可以创建另一个连接器,并将其配置为仅接收来自 Exchange 组织的电子邮件。 |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内集线器传输服务器的电子邮件 | 自定义 | |
适用于一个林内的集线器传输服务器的跨林接收连接器,它可接收来自另一个林内的 Exchange 2003 或 Exchange 2000 桥头服务器的电子邮件 | 自定义 | |
接收来自第三方邮件传输代理的电子邮件的集线器传输服务器 | 内部 | 指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为"基本身份验证"或"外部安全"。 |
接收来自第三方邮件传输代理的电子邮件的边缘传输服务器 | 自定义 | 使用 Add-AdPermission cmdlet 设置扩展权限。指定 IP 地址范围以接受来自这些地址的邮件,并将身份验证机制设置为"基本身份验证"。也可以选择"内部"使用类型并将"外部安全"设置为身份验证方法。如果选择此选项,则无须配置其他权限。 |
接收来自外部中继域的电子邮件的边缘传输服务器 | 自定义 | 边缘传输服务器可以接受来自外部中继域的电子邮件,然后将电子邮件中继到目标收件人域。指定 IP 地址范围以接受来自这些地址的邮件,设置适用的身份验证机制,然后使用 Add-AdPermission cmdlet 设置扩展的权限。 |
接收来自某个域(您已经与之建立了相互 TLS 身份验证)的电子邮件的边缘传输服务器 | 合作伙伴 | 只有满足下列条件,才能正常进行相互 TLS 身份验证: DomainSecureEnabled 参数的值已设置为 $True。 AuthMechanism 参数的值含有 TLS 且不能含有 External。 Get-TransportConfig cmdlet 中的 TLSReceiveDomainSecureList 参数至少包含一个由此接收连接器提供服务的域。为相互 TLS 身份验证配置的域不支持通配符 (*)。还必须在相应的发送连接器上,以及在 Get-TransportConfig cmdlet 的 TLSSendDomainSecureList 参数值中定义相同的域。 |
接收来自 Microsoft Exchange Hosted Services 服务器的连接的边缘传输服务器 | 自定义 | Exchange 托管服务服务器可以充当外部权威服务器。若要使用"外部安全"身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 ExchangeServers。 |
接收来自 Exchange Hosted Services 服务器的连接的集线器传输服务器 | 自定义 | Exchange 托管服务服务器可以充当外部权威服务器。若要使用"外部安全"身份验证机制,请使用 Set-ReceiveConnector cmdlet 将 PermissionGroup 参数设置为 ExchangeServers。 |
为接收连接器指定权限组时,会将接收连接器权限分配给安全主体。某个安全主体与接收连接器建立会话时,接收连接器权限将决定是否接受该会话以及如何处理收到的邮件。
表 4 说明了可以分配给安全主体的接收连接器权限。
您可使用 Exchange 管理控制台或在 Exchange 命令行管理程序中结合使用 PermissionGroups 参数与 Set-ReceiveConnector cmdlet 来设置接收连接器的权限。若要修改接收连接器的默认权限,还可以使用 Add-AdPermission cmdlet。
ms-Exch-SMTP-Submit | 必须为会话授予此权限,否则会话无法将邮件提交给此接收连接器。如果会话不具备此权限,则 MAIL FROM 和 AUTH 命令将失败。 |
| ms-Exch-SMTP-Accept-Any-Recipient | 此权限允许会话通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送给所接受域中收件人的邮件。 |
ms-Exch-SMTP-Accept-Any-Sender | 此权限允许会话绕过发件人地址欺骗检查。 |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender | 此权限允许电子邮件地址位于权威域中的发件人与该接收连接器建立会话。 |
ms-Exch-SMTP-Accept-Authentication-Flag | 此权限允许 Exchange 2003 服务器提交来自内部发件人的邮件。Exchange 2007 会将这些邮件识别为内部邮件。发件人可以声明这些邮件为"受信任"的邮件。通过匿名提交而进入 Exchange 系统的邮件将通过 Exchange 组织进行中继,但此标志处于不受信任的状态。 |
ms-Exch-Accept-Headers-Routing | 此权限允许会话提交收到的所有标头均完整无缺的邮件。如果未授予此权限,则服务器将删除收到的所有标头。 |
ms-Exch-Accept-Headers-Organization | 此权限允许会话提交所有组织标头均完整无缺的邮件。组织标头均以"X-MS-Exchange-Organization-"作为开头。如果未授予此权限,则接收服务器将删除所有组织标头。 |
ms-Exch-Accept-Headers-Forest | 此权限允许会话提交所有林标头均完整无缺的邮件。林头全部以"X-MS-Exchange-Forest-"开头。如果未授予此权限,则接收服务器将删除所有林标头。 |
ms-Exch-Accept-Exch50 | 此权限允许会话提交含有 XEXCH50 命令的邮件。与 Exchange 2000 及 2003 互操作时,需要使用此命令。XEXCH50 命令提供诸如邮件的垃圾邮件可信度 (SCL) 等数据。 |
ms-Exch-Bypass-Message-Size-Limit | 此权限允许会话提交大小超过为连接器配置的邮件大小限制的邮件。 |
Ms-Exch-Bypass-Anti-Spam | 此权限允许会话绕过反垃圾邮件筛选。 |
