如何設定跨樹系管理

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2010-09-20

本主題說明如何使用 Setup.com 來啟用跨樹系管理。如果您在某個樹系中擁有必須管理不同樹系中 Microsoft Exchange Server 2007 的使用者帳戶,則可使用此程序。請於下列案例中使用此程序:

  • 資源樹系是一種常見案例,在此案例中,您擁有一個未包含任何 Exchange 伺服器的樹系 (使用者帳戶樹系),以及另一個供 Exchange 組織使用的樹系。
  • 具有多個 Exchange 樹系的傳統跨樹系案例則為另一種案例,在此案例中,您可能想讓某樹系中的使用者管理兩個樹系中的 Exchange。或者,您可能想讓某樹系中的使用者管理另一個樹系中的 Exchange,而不是同時管理兩個樹系。

若要管理 Exchange 伺服器、內容及收件者,則必須委派系統管理員下列其中一個 Exchange 系統管理員角色的成員資格:

  • Exchange 組織系統管理員
  • Exchange 公用資料夾系統管理員
  • Exchange 收件者系統管理員
  • Exchange 僅檢視管理
note附註:
Exchange 2007 的量產發行 (RTM) 版本中沒有 Exchange 公用資料夾系統管理員角色,此角色是在 Exchange 2007 Service Pack 1 (SP1) 中引進的。

但是,您無法將來自不同樹系的使用者新增至 Exchange 系統管理員角色。若要使用樹系 A 中的使用者帳戶來管理樹系 B 中的 Exchange 2007 伺服器,您必須執行下列步驟:

  1. 如果角色尚不存在,請在樹系 A 中建立平行的 Exchange 系統管理員角色。
  2. 使用 Setup.com 時加上 ForeignForestFQDN 參數,將樹系 B 中物件的權限授與樹系 A 的角色。
  3. 將樹系 A 中的使用者加入樹系 A 中新建立的平行 Exchange 系統管理員角色。

開始狀態 - 啟用跨樹系管理 階段 1:啟用跨樹系管理 階段 2:啟用跨樹系管理 階段 3:啟用跨樹系管理

important重要事項:
設定跨樹系管理之後,便不支援使用某個樹系中的使用者帳戶,在另一個樹系中執行任何 Exchange 安裝動作。例如,不支援使用某樹系中的使用者帳戶,在另一個樹系中新增伺服器角色、移除伺服器角色或復原伺服器,即使您已將該使用者帳戶設定為可跨樹系管理也一樣。
note附註:
若要建立 Exchange 系統管理員角色,您必須使用 [Active Directory 使用者和電腦] 來建立群組。您需針對群組範圍選取 [萬用],並針對群組類型選取 [安全性]。如需相關資訊,請參閱權限考量

開始之前

請確定這兩個樹系的樹系功能等級皆為 Microsoft Windows Server 2003。如需 Active Directory 功能等級的相關資訊,請參閱功能等級背景資訊

在兩個樹系間建立雙向的樹系信任關係。如需詳細步驟,請參閱為信任的雙方建立雙向的樹系信任。您需要這個信任,才能設定跨樹系管理。如果您正處於資源樹系案例中,當您完成此程序以設定跨樹系管理之後,即可將信任降級為單向信任,如此 Exchange 樹系便會信任使用者帳戶樹系。請注意,您仍然需要雙向信任,以用於資料夾共用。

note附註:
請確定信任類型是 [樹系],而不是 [外部]。

在下列程序中,樹系 A 是含有需管理另一個樹系中 Exchange 2007 伺服器之使用者帳戶的樹系。樹系 B 則為含有樹系 A 中使用者將管理之 Exchange 2007 伺服器的樹系。

若要在樹系 A 中執行此程序的步驟,則必須將下列成員資格委派給您所使用的帳戶:

  • 樹系 A 中 Enterprise Admins 群組的成員資格

若要在樹系 B 中執行此程序的步驟,則必須將下列成員資格委派給您所使用的帳戶:

  • 樹系 B 中 Enterprise Admins 群組的成員資格
note附註:
如果您擁有已具備樹系 A 及樹系 B 中 Enterprise Admins 層級權限的帳戶,則當您執行 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com 命令時,便會自動執行步驟 2 到步驟 7。不過,因為這不表示您將擁有具備這兩個樹系中 Enterprise Admin 層級權限的使用者,我們建議您手動執行步驟 2 到步驟 7,先建立 Exchange 萬用安全性群組,然後利用僅隸屬於樹系 A 中 Enterprise Admins 群組成員的帳戶,將權限指派給樹系 A 中的群組。然後,您可以利用僅隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶,在樹系 B 中執行 Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com
important重要事項:
系統管理員必須以使用者主要名稱 (UPN) 驗證來登入資源樹系中的伺服器。系統管理員也必須確定在樹系信任中註冊任何不常用的 UPN 尾碼,讓他們在登入時具有 Kerberos 票證。需要 Kerberos 票證,才能讓 Exchange 管理工具連線至資源樹系中的組態命名內容。使用 NTLM 驗證 (DOMAIN\USERNAME) 時,如果連至帳戶樹系網域的快取連線不存在,則管理工具中的 LDAP 繫結可能失敗。

程序

Exchange 2007 SP1

設定 Exchange 2007 SP1 中的跨樹系管理

  1. 如果您在傳統的跨樹系案例中、樹系 A 和樹系 B 中都有安裝 Exchange,且您不想讓樹系 A 中將管理樹系 B 中 Exchange 的使用者同時也是樹系 A 的系統管理員,請在樹系 A 中重新命名或移動下列組織單位及群組。

    • Microsoft Exchange 安全性群組
    • Exchange 組織系統管理員
    • Exchange Public Folder Administrators
    • Exchange Recipient Administrators
    • Exchange View-Only Administrators

    若要這麼做,您必須用下列其中一種方法:

    • 重新命名單位或群組
    • 將單位或群組移至不同的組織單位
    • 將單位或群組移至不同的網域

    當您重新命名或移動這些群組之後,這些群組仍然擁有相同的成員資格及權限,而您仍然可以使用隸屬於這些群組之成員的帳戶,來管理樹系 A 中的 Exchange。

    如果您在傳統的跨樹系案例中、樹系 A 及樹系 B 中都有安裝 Exchange,而且您想讓樹系 A 中的使用者同時管理樹系 A 及樹系 B 的 Exchange,請移至步驟 9。

    如果您正處於資源樹系案例中,請繼續執行步驟 2。

  2. 在樹系 A 的根網域中,建立名為 Microsoft Exchange 安全性群組 的新組織單位。如需如何建立組織單位的相關資訊,請參閱建立新的組織單位

  3. 在樹系 A 的 [Microsoft Exchange 安全性群組] 組織單位中,建立下列萬用安全性群組:

    • Exchange 組織系統管理員
    • Exchange Public Folder Administrators
    • Exchange Recipient Administrators
    • Exchange View-Only Administrators

    如需相關資訊,請參閱建立新群組

    note附註:
    請確定為群組範圍選取 [萬用],並為群組類型選取 [安全性]。
  4. 在樹系 A 中執行下列步驟,以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Recipient Administrators] 群組:

    1. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Organization Administrators,然後按一下 [確定]。
    4. 在 [Exchange Recipient Administrators 內容] 頁面上按一下 [確定]。
  5. 在樹系 A 中執行下列步驟,以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Public Folder Administrators] 群組:

    1. 在 [Exchange Public Folders Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Organization Administrators,然後按一下 [確定]。
    4. 在 [Exchange Public Folder Administrators 內容] 頁面上按一下 [確定]。
  6. 在樹系 A 中執行下列步驟,以便將 [Exchange Recipient Administrators] 群組新增到 [Exchange View-Only Administrators] 群組:

    1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Recipient Administrators,然後按一下 [確定]。
    4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。
  7. 在樹系 A 中執行下列步驟,以便將 [Exchange Public Folder Administrators] 群組新增到 [Exchange View-Only Administrators] 群組:

    1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Public Folder Administrators,然後按一下 [確定]。
    4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。
  8. 在樹系 A 的 [Active Directory 使用者和電腦] 中,按一下 [檢視] 功能表上的 [進階功能],然後遵循下列步驟:

    1. 在 [Microsoft Exchange 安全性群組] 組織單位上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上,按一下 [進階]。
    3. 在 [權限] 索引標籤上,選取 [權限項目] 清單中的 [Exchange 組織系統管理員],然後按一下 [編輯]。
    4. 在 [物件] 索引標籤的 [套用至] 清單中,選取 [這個物件及所有子物件]。
    5. 在 [權限] 清單中找出 [完全控制],然後按一下以選取 [允許] 核取方塊。
    6. 按一下 [確定]。
    7. 在 [權限] 索引標籤上,選取 [Exchange 收件者系統管理員],然後按一下 [編輯]。
    8. 在 [物件] 索引標籤的 [套用至] 清單中,選取 [這個物件及所有子物件]。
    9. 在 [權限] 清單中找出 [完全控制],然後按一下以選取 [允許] 核取方塊。
    10. 按一下 [確定]。
    11. 在 [權限] 索引標籤上,選取 [Exchange 公用資料夾系統管理員],然後按一下 [編輯]。
    12. 在 [物件] 索引標籤的 [套用至] 清單中,選取 [這個物件及所有子物件]。
    13. 在 [權限] 清單中找出 [完全控制],然後按一下以選取 [允許] 核取方塊。
    14. 按一下 [確定]。
    15. 在 [權限] 索引標籤上,選取 [Exchange 僅檢視管理],然後按一下 [編輯]。
    16. 在 [物件] 索引標籤的 [套用至] 清單中,選取 [這個物件及所有子物件]。
    17. 在 [權限] 清單中找出 [完全控制],然後按一下以選取 [允許] 核取方塊。
    18. 按兩次 [確定]。
  9. 使用隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶登入樹系 B,然後從 [命令提示字元] 視窗中執行下列命令:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    這個命令會確認樹系 A 中是否已建立 Exchange 萬用安全性群組,以及是否已正確指派其權限。在樹系 B 中,此命令會在 Exchange 組態物件上設定 Active Directory 中的存取控制項目 (ACE),這樣在樹系 A 中新建的 Exchange 萬用安全性群組就具有樹系 B 中 Exchange 組態的權限。當您在未使用 ForeignForestFQDN 參數的情況下執行 Setup /PrepareAD 時,此命令會在本機樹系中建立 Exchange 萬用安全性群組,並設定這些群組的權限。加上 ForeignForestFQDN 參數,指定您想要將執行命令所在之樹系中 Exchange 組態的權限,給予外部樹系中的 Exchange 萬用安全性群組。

  10. 若要驗證安裝已順利完成,請執行下列步驟:

    1. 在樹系 B 中的 [Exchange Servers] 萬用安全性群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤的 [群組或使用者名稱] 下,選取 [Exchange Organization Administrators] (<樹系 A 網域\Exchange Organization Administrators>)。
    3. 驗證已針對 [完全控制] 權限選取 [允許]。
    note附註:
    如果安裝因為存取權限不足而失敗,請驗證您已在樹系 A 中正確建立萬用安全性群組、群組的巢狀結構正確,以及 Exchange Organization Administrators 群組對於新組織單位及所有三個新萬用安全性群組已具備完全控制,然後再次執行步驟 9。
  11. 若要使用樹系 A 中的帳戶來管理樹系 B 中的 Exchange,請將樹系 A 中的帳戶加入您在樹系 A 中所建立之一或多個 Exchange 萬用安全性群組。

  12. (選用) 將信任從雙向變更為單向樹系信任。若要這樣做,請刪除含有樹系 A 的現有雙向傳入信任。如需詳細步驟,請參閱移除手動建立的信任

    note附註:
    請確定選取 [是的,同時從本地網域及其他網域移除此信任]。
    note附註:
    您必須保留傳出的信任。
  13. 在樹系 B 的 [Active Directory 使用者和電腦] 中的 [檢視] 功能表上,按一下 [進階功能]。

  14. (選用) 如果您想讓樹系 A 中的收件者系統管理員管理樹系 B 中的使用者,則必須手動為他們指派權限。執行下列步驟:

    1. 在樹系 B 的 [Active Directory 使用者和電腦] 中,於 [使用者] 容器上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上,按一下 [進階]。
    3. 在 [權限項目] 下方,選取 [類型] 為 [允許]、[名稱] 為 [Exchange Recipient Administrators] (<樹系 A 網域\Exchange Recipient Administrators>) 且 [權限] 為 [特殊] 的項目,然後按一下 [編輯]。
    4. 在 [使用者的權限項目] 頁面之 [權限] 下方的 [物件] 索引標籤上,針對下列權限選取 [允許]:[列出內容]、[讀取所有屬性]、[寫入所有屬性]、[讀取權限]、[建立使用者物件]、[刪除使用者物件]。
    5. 按一下 [確定]。
    6. 在 [使用者的進階安全性設定] 頁面上,選取 [允許來自上層的可繼承權限傳播至此物件及所有子物件] 核取方塊,然後按一下 [確定]。
    note附註:
    此步驟提供樹系 A 中的 Exchange Recipient Administrators 群組成員修改樹系 B 中 [使用者] 容器內物件所需的權限。在樹系 B 中執行 Setup /ForeignForestFQDN (步驟 9) 會將樹系 B 之 Exchange 屬性的權限授與樹系 A 中 Exchange 安全性群組使用者,但不會將樹系 B 的 Windows 使用者屬性權限授與這些使用者。
    若要提供權限給樹系 A 中的其他群組,使其能夠修改樹系 B 中 [使用者] 容器內的物件,請在 [使用者的進階安全性設定] 頁面上選取不同的群組。
  15. (選用) 如果您想讓樹系 A 中的系統管理員具備使用樹系 B 中 Exchange 伺服器上之 Exchange 管理主控台及 Exchange 管理命令介面的權限,則必須手動將 Exchange Server 目錄中之 Bin、Public 及 Scripts 目錄的權限授與使用者。執行下列步驟:

    1. 瀏覽至安裝 Exchange 的 Exchange Server 目錄。(依預設,此目錄為 %programfiles%\Microsoft\Exchange Server。)
    2. Bin 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    3. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    4. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    5. Public 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    6. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    7. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    8. Scripts 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    9. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    10. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    note附註:
    若要管理樹系 B 中的 Exchange,樹系 A 中的使用者也必須能夠登入樹系 B 中安裝了 Exchange 或Exchange 管理工具的伺服器。若將樹系 A 中的使用者加入樹系 B 之伺服器上的 Domain Admins 群組或加入其本機 Administrators 群組以便使用者登入樹系 B 中的伺服器,使用者即會具有 Bin、Public 及 Scripts 目錄的 [讀取與執行] 權限。或者,您可提供樹系 A 中之使用者使用 Windows Server 2003 終端機服務元件自遠端登入伺服器的特定權限。

Exchange 2007 RTM

在 Exchange 2007 RTM 版本中設定跨樹系管理

  1. 如果您是傳統的跨樹系案例,樹系 A 和樹系 B 中都有安裝 Exchange,如果您不想讓樹系 A 中將管理樹系 B 中 Exchange 的使用者同時也是樹系 A 的系統管理員,則必須將樹系 A 中下列組織單位及群組重新命名、移至不同的組織單位,或者移至不同網域。

    • Microsoft Exchange 安全性群組
    • Exchange 組織系統管理員
    • Exchange Recipient Administrators
    • Exchange View-Only Administrators

    當您重新命名或移動這些群組之後,這些群組仍然擁有相同的成員資格及權限,而您仍然可以使用隸屬於這些群組之成員的帳戶,來管理樹系 A 中的 Exchange。

    如果您是傳統的跨樹系案例,樹系 A 及樹系 B 中都有安裝 Exchange,而且您想讓樹系 A 中的使用者同時管理樹系 A 及樹系 B 的 Exchange,請繼續執行步驟 7。

    如果您正處於資源樹系案例中,請繼續執行步驟 2。

  2. 在樹系 A 的根網域中,建立名為 [Microsoft Exchange 安全性群組] 的新組織單位。如需建立組織單位的相關資訊,請參閱建立新的組織單位

  3. 在樹系 A 的 [Microsoft Exchange 安全性群組] 組織單位中,建立下列萬用安全性群組:

    • Exchange 組織系統管理員
    • Exchange Recipient Administrators
    • Exchange View-Only Administrators

    如需相關資訊,請參閱建立新群組

    note附註:
    請確定為群組範圍選取 [萬用],並為群組類型選取 [安全性]。
  4. 在樹系 A 中執行下列步驟,以便將 [Exchange Organization Administrators] 群組新增到 [Exchange Recipient Administrators] 群組:

    1. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Organization Administrators,然後按一下 [確定]。
    4. 在 [Exchange Recipient Administrators 內容] 頁面上按一下 [確定]。
  5. 在樹系 A 中執行下列步驟,以便將 [Exchange Recipient Administrators] 群組新增到 [Exchange View-Only Administrators] 群組:

    1. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [成員] 索引標籤上,按一下 [新增]。
    3. 在 [選擇使用者、電腦或群組] 中,輸入 Exchange Recipient Administrators,然後按一下 [確定]。
    4. 在 [Exchange View-Only Administrators 內容] 頁面上按一下 [確定]。
  6. 在樹系 A 的 [Active Directory 使用者和電腦] 中,按一下 [檢視] 功能表上的 [進階功能],然後執行下列步驟:

    1. 在 [Microsoft Exchange 安全性群組] 組織單位上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上,選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
    3. 在 [Exchange Organization Administrators 的權限] 下,選取 [完全控制],然後按一下 [確定]。
    4. 在 [Exchange Organization Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    5. 在 [安全性] 索引標籤上,選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
    6. 在 [Exchange Organization Administrators 的權限] 下,選取 [完全控制],然後按一下 [確定]。
    7. 在 [Exchange Recipient Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    8. 在 [安全性] 索引標籤上,選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
    9. 在 [Exchange Organization Administrators 的權限] 下,選取 [完全控制],然後按一下 [確定]。
    10. 在 [Exchange View-Only Administrators] 群組上按一下滑鼠右鍵,然後按一下 [內容]。
    11. 在 [安全性] 索引標籤上,選取 [群組或使用者名稱] 下方的 [Exchange Organization Administrators]。
    12. 在 [Exchange Organization Administrators 的權限] 下,選取 [完全控制],然後按一下 [確定]。
  7. 使用隸屬於樹系 B 中 Enterprise Admins 群組成員的帳戶登入樹系 B,然後從 [命令提示字元] 視窗中執行下列命令:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
    

    此命令會驗證樹系 A 中的 Exchange 萬用安全性群組已經建立,而且已正確指派權限。在樹系 B 中,此命令會在 Exchange 組態物件上設定 Active Directory 中的存取控制項目 (ACE),這樣樹系 A 中新建立的 Exchange 萬用安全性群組便會擁有樹系 B 中 Exchange 組態的權限。當您執行 Setup /PrepareAD 而未加上 ForeignForestFQDN 參數時,此命令會在本地樹系中建立 Exchange 萬用安全性群組,並在那些群組上設定權限。加上 ForeignForestFQDN 參數,指定您想要將執行命令所在之樹系中 Exchange 組態的權限,給予外部樹系中的 Exchange 萬用安全性群組。

  8. 若要驗證安裝已順利完成,請執行下列步驟:

    1. 在樹系 B 中的 [Exchange Servers] 萬用安全性群組上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤的 [群組或使用者名稱] 下,選取 [Exchange Organization Administrators] (<樹系 A 網域\Exchange Organization Administrators>)。
    3. 驗證已針對 [完全控制] 權限選取 [允許]。
    note附註:
    如果安裝因為存取權限不足而失敗,請驗證您已在樹系 A 中正確建立萬用安全性群組、群組的巢狀結構正確,以及 Exchange Organization Administrators 群組對於新組織單位及所有三個新萬用安全性群組已具備完全控制,然後再次執行步驟 7。
  9. 若要使用樹系 A 中的帳戶來管理樹系 B 中的 Exchange,請將樹系 A 中的帳戶加入您在樹系 A 中所建立之一或多個 Exchange 萬用安全性群組。

  10. (選用) 將信任從雙向變更為單向樹系信任。若要這樣做,請刪除含有樹系 A 的現有雙向傳入信任。如需詳細步驟,請參閱移除手動建立的信任

    note附註:
    請確定選取 [是的,同時從本地網域及其他網域移除此信任]。
    note附註:
    您必須保留傳出的信任。
  11. 在樹系 B 的 [Active Directory 使用者和電腦] 中的 [檢視] 功能表上,按一下 [進階功能]。

  12. (選用) 如果您想讓樹系 A 中的收件者系統管理員管理樹系 B 中的使用者,則必須手動為他們指派權限。執行下列步驟:

    1. 在樹系 B 的 [Active Directory 使用者和電腦] 中,以滑鼠右鍵一下 [使用者] 容器,然後按一下 [內容]。
    2. 在 [安全性] 索引標籤上,按一下 [進階]。
    3. 在 [權限項目] 下方,選取 [類型] 為 [允許]、[名稱] 為 [Exchange Recipient Administrators] (<樹系 A 網域\Exchange Recipient Administrators>) 且 [權限] 為 [特殊] 的項目,然後按一下 [編輯]。
    4. 在 [使用者的權限項目] 頁面之 [權限] 下方的 [物件] 索引標籤上,針對下列權限選取 [允許]:[列出內容]、[讀取所有屬性]、[寫入所有屬性]、[讀取權限]、[建立使用者物件]、[刪除使用者物件]。
    5. 按一下 [確定]。
    6. 在 [使用者的進階安全性設定] 頁面上,選取 [允許來自上層的可繼承權限傳播至此物件及所有子物件] 核取方塊,然後按一下 [確定]。
    note附註:
    此步驟提供樹系 A 中的 Exchange Recipient Administrators 群組成員修改樹系 B 中 [使用者] 容器內物件所需的權限。在樹系 B 中執行 Setup /ForeignForestFQDN (步驟 7) 會將樹系 B 之 Exchange 屬性的權限授與樹系 A 中 Exchange 安全性群組使用者,但不會將樹系 B 的 Windows 使用者屬性權限授與這些使用者。
    若要提供權限給樹系 A 中的其他群組,使其能夠修改樹系 B 中 [使用者] 容器內的物件,請在 [使用者的進階安全性設定] 頁面上選取不同的群組。
  13. (選用) 如果您想讓樹系 A 中的系統管理員具備使用樹系 B 中 Exchange 伺服器上之 Exchange 管理主控台及 Exchange 管理命令介面的權限,則必須手動將 Exchange Server 目錄中之 Bin、Public 及 Scripts 目錄的權限授與使用者。執行下列步驟:

    1. 瀏覽至安裝 Exchange 的 Exchange Server 目錄。(依預設,此目錄為 %programfiles%\Microsoft\Exchange Server。)
    2. Bin 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    3. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    4. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    5. Public 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    6. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    7. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    8. Scripts 目錄上按一下滑鼠右鍵,然後按一下 [內容]。
    9. 在 [安全性] 索引標籤上,按一下 [新增],然後輸入您想要授與權限的使用者或群組。
    10. 在 [<使用者或群組> 的權限] 下,針對 [讀取與執行] 權限選取 [允許],然後按一下 [確定]。
    note附註:
    若要管理樹系 B 中的 Exchange,樹系 A 中的使用者也必須能夠登入樹系 B 中安裝了 Exchange 或Exchange 管理工具的伺服器。若將樹系 A 中的使用者加入樹系 B 之伺服器上的 Domain Admins 群組或加入其本機 Administrators 群組以便使用者登入樹系 B 中的伺服器,使用者即會具有 Bin、Public 及 Scripts 目錄的 [讀取與執行] 權限。或者,您可提供樹系 A 中之使用者使用 Windows Server 2003 終端機服務元件自遠端登入伺服器的特定權限。

相關資訊

如需從 [命令提示字元] 視窗使用 Setup.com 安裝 Exchange 2007 的相關資訊,請參閱如何以自動模式安裝 Exchange 2007

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.