Bagaimana Exchange menyembunyikan keanggotaan grup di Active Directory

Exchange 2000 menggunakan kata kunci Keamanan Windows 2000 untuk membatasi akses ke anggota grup. Konektor direktori aktif (ADC) dan layanan pembaruan penerima yang bertanggung jawab untuk memperbarui ini penjelas keamanan untuk kelompok-kelompok yang telah tersembunyi keanggotaan.

Exchange Server 5.5 memiliki layanan direktori sendiri, sehingga sangat bertanggung jawab untuk menentukan bagaimana pengguna dapat menelusuri atribut dan yang memiliki hak untuk membaca atau menulis sifat-sifat tertentu. Hal ini memungkinkan Exchange Server 5.5 untuk menentukan apakah seseorang dapat melihat keanggotaan grup karena kode yang menunjukkan bahwa atribut melalui pesan Application Programming Interface (MAPI) atau Lightweight Directory Access Protocol (LDAP) melewati sistem keamanan Exchange Server 5.5.

Dalam Exchange 2000, Active Directory menggantikan Exchange Server direktori, sehingga sistem keamanan untuk pertanyaan LDAP milik Windows 2000. Windows 2000 memungkinkan Anda untuk mengontrol akses ke beberapa tingkatan, termasuk pengaturan izin pada atribut tunggal. Untuk alasan itu, Exchange 2000 menggunakan Windows 2000 kata kunci keamanan untuk kontrol yang tidak dan tidak memiliki hak untuk melihat anggota grup.

Dengan Exchange 2000 dan Windows 2000, Anda harus berhati-hati tertentu untuk memastikan bahwa izin ditetapkan dengan benar. Sebagai contoh, semua Exchange 2000 server terinstal di organisasi Anda memerlukan izin untuk melihat keanggotaan grup, bahkan jika Sembunyikan keanggotaan pilihan untuk kelompok ini diaktifkan. Jika tidak, server tersebut tidak dapat memperluas keanggotaan grup dan menyampaikan pesan yang ditujukan ke grup tersebut.

Untuk memberikan administrator Exchange 2000 pengguna dan keamanan maksimum yang mungkin, Exchange 2000 tergantung pada ADC dan layanan pembaruan penerima untuk memastikan bahwa izin ini ditetapkan dengan benar.

Daftar distribusi penanganan direplikasi dari Exchange Server 5.5

Jika Anda menginstal Exchange 2000 pada topologi campuran, dengan satu atau lebih komputer Exchange Server 5.5, Anda perlu ADC untuk mereplikasi entri Anda dari Exchange Server 5.5 direktori ke direktori aktif dan sebaliknya. Untuk alasan ini, jika Anda meniru daftar distribusi (DL) yang tersembunyi di Exchange Server 5.5, keanggotaan perlu disembunyikan dalam Active Directory juga.

Untuk mencapai hal ini, ketika ADC mereplikasi DL tersembunyi dari Exchange Server 5.5, mendeteksi yang keanggotaan dl Sembunyikan atribut dalam direktori Exchange Server 5.5 diatur ke TRUE, dan prangko set entri kontrol akses (ACEs) pada kata kunci keamanan di Active Directory. ACEs mereka akan berada dalam format non-kanonik, yang berarti bahwa setidaknya satu menyangkal ACE akan mengikuti ACE diperbolehkan.

Untuk menentukan yang keamanan pelaku memiliki izin untuk membaca atau menulis keanggotaan, ADC membaca msExchServerGlobalGroups atribut dari organisasi wadah entri di Active Directory, dan ekstrak daftar pengidentifikasi keamanan (Sid) yang akan terdiri dari bagian non-kanonik kata kunci keamanan. Hal ini memungkinkan semua Exchange Server komputer untuk mendapatkan akses ke keanggotaan grup, terlepas dari apakah keanggotaan tersembunyi.

Pertimbangkan contoh berikut. Organisasi memiliki beberapa Exchange 2000 Server di dua berbeda domain, DomA dan DomB. Exchange 2000 penataan membuat dua kelompok, yang bernama "DomA\Domain EXServers", dan "DomB\Domain EXServers". The msExchServerGlobalGroups atribut akan berisi dua nilai, yang akan SIDs kedua kelompok.

Kata kunci keamanan terakhir kelompok yang, setelah ADC bereplikasi ke direktori aktif akan:


ADC akan menambah pertama ACE ketiga dalam tabel di atas. Jadi, ketika Windows keamanan subsistem mengevaluasi izin ini, itu akan memberikan kepada kedua "Domain EXServers" hak untuk membaca dan menulis keanggotaan, tapi tidak ada yang lain.

Ketika Anda membuka pengguna direktori aktif dan snap-in konsol manajemen komputer Microsoft (MMC), dan klik Fitur lanjutan pada Lihat menu, Anda dapat melihat Keamanan tab di masing-masing entri. Jika Anda memilih kelompok yang berisi kata kunci non-kanonik keamanan, Anda menerima pesan galat berikut:
Pada dasarnya, subsistem Windows keamanan tahu bagaimana menafsirkan format non-kanonik, tapi antarmuka pengguna tidak membiarkan Anda mengedit. Bahkan tidak administrator akan diizinkan untuk melihat atau mengedit keanggotaan grup yang memiliki hideDLMembership atribut dalam Active Directory yang sama dengan benar. Untuk melakukannya, Anda harus menjadi anggota grup keamanan "Domain EXServers".

Layanan Pembaruan penerima

Ada dua skenario yang tidak ditangani oleh solusi di atas:

• Bagaimana jika ADC menjalankan sebelum pertama Exchange 2000 server terinstal?
• Jika Anda menambahkan domain baru dengan Exchange 2000 untuk organisasi Anda, bagaimana akan ini ditambahkan ke daftar server pada kata kunci non-kanonik keamanan?

Jawaban untuk kedua pertanyaan adalah layanan pembaruan penerima.

Layanan Pembaruan penerima memiliki pekerjaan pemantauan perubahan pada Active Directory dan mengambil tindakan berdasarkan perubahan ini. Terutama, itu menambah, menghapus, dan mengubah alamat e-mail, daftar alamat dan atribut lainnya untuk entri dukungan e-mail, pengguna, kontak, grup, dan folder publik. Tetapi juga tahu ketika server baru atau domain baru ditambahkan ke jaringan.

Secara khusus, jika Anda menambahkan baru Exchange 2000 server untuk domain yang tidak sudah memiliki sebuah Exchange 2000 server, itu akan mencari semua kelompok dengan kondisi "hideDLMembership = TRUE," dan me-reset kata kunci keamanan untuk memenuhi persyaratan baru untuk kata kunci non-kanonik keamanan.

Ini juga bekerja untuk perubahan manual atau program yang menggunakan antarmuka LDAP. Jika hideDLMembership atribut berubah ke TRUE atau FALSE, Layanan Pembaruan penerima akan melihat itu, dan menambahkan atau menghapus bagian non-kanonik kata kunci keamanan. Hal ini memungkinkan perusahaan untuk menulis aplikasi mereka sendiri untuk mengubah status grup tersembunyi anggota tanpa mengorbankan keamanan.

Menghindari Latency masalah ketika mengubah Status grup tersembunyi

Layanan Pembaruan Penerima mungkin mengambil dari beberapa detik untuk beberapa menit untuk mengidentifikasi perubahan baru dalam Active Directory, tergantung pada beberapa kondisi. Untuk alasan itu, jika Anda memilih grup menggunakan Active Directory pengguna dan komputer MMC snap-in, ekstensi Exchange untuk snap-in yang akan memberikan tindakan segera jika Anda memilih untuk menyembunyikan keanggotaan grup tersebut.

Untuk menyembunyikan keanggotaan grup menggunakan Active Directory pengguna dan komputer MMC snap-in:

1. Klik grup yang keanggotaan Anda ingin menyembunyikan.
2. Klik kanan grup, dan kemudian klik Tugas Exchange.
3. Ikuti wizard, dan klik Sembunyikan keanggotaan.

Kontroler domain satu lingkungan, ini akan segera mengubah kata kunci keamanan grup tersebut dan mencegah siapa pun melihat informasi keanggotaan. Namun, untuk lingkungan multi domain controller, Anda harus menunggu untuk replikasi Active Directory untuk diselesaikan.