Como o Exchange oculta os membros do grupo no Active Directory

Exchange 2000 utiliza um descritor de segurança do Windows 2000 para limitar o acesso a membros do grupo. O Active Directory Connector (ADC) e o serviço Recipient Update Service são responsáveis pela actualizar estes descritores de segurança para grupos que tenham ocultado membros.

Exchange Server 5.5 tem seu próprio serviço de directório, pelo que é responsável pela definição como utilizadores podem navegar através de atributos e que tem o direito de ler ou escrever determinadas propriedades. Assim, Exchange Server 5.5 determinar se é ou não podem ver os membros de um grupo porque o código que mostra esse atributo através de MAPI (Messaging Application Programming Interface) ou (LIGHTWEIGHT Directory Access Protocol) passa o sistema de segurança do Exchange Server 5.5.

No Exchange 2000, o Active Directory substitui o directório do Exchange Server, para que pertence o sistema de segurança para as consultas LDAP para o Windows 2000. Windows 2000 permite-lhe controlar o acesso a vários níveis, incluindo a definição de permissões de um único atributo. Por esse motivo, Exchange 2000 utiliza o descritor de segurança Windows 2000 para controlar quem faz e não tiver o direito de visualizar os membros de um grupo.

Com o Exchange 2000 e Windows 2000, terá de tomar determinadas precauções para garantir que as permissões são definidas correctamente. Por exemplo, todos os servidores de Exchange 2000 instalado em suas necessidades de organização a permissão para ver os membros do grupo, mesmo que a opção Ocultar membros deste grupo esteja activada. Caso contrário, os servidores não é possível expandir a associação a grupos e entregar mensagens endereçadas a esse grupo.

Para atribuir os utilizadores do Exchange 2000 e os administradores a máxima segurança possível, Exchange 2000 depende o ADC e o serviço de actualização de destinatários para garantir que estas permissões são definidas correctamente.

Processamento de listas de distribuição replicadas do Exchange Server 5.5

Se estiver a instalar Exchange 2000 numa topologia mista, com um ou mais computadores do Exchange Server 5.5, terá do ADC para replicar as entradas de directório do Exchange Server 5.5 do Active Directory e vice-versa. Por este motivo, se estiver a replicar uma lista de distribuição (DL) que está oculta no Exchange Server 5.5, os membros terá estar ocultos no Active Directory bem.

Para tal, quando o ADC está a replicar uma DL oculto do Exchange Server 5.5, detecta que o atributo de membros de transferir ocultar no directório do Exchange Server 5.5 estiver definido como TRUE e marca um conjunto de entradas de controlo de acesso (ACE) no descritor de segurança no Active Directory. As ACEs irão estar num formato não canónicos, que significa que pelo menos negado que ACE, Access Control ENTRY seguirá uma ACE permitida.

Para determinar que principais de segurança têm permissão para ler ou escrever membros, o ADC lê o atributo msExchServerGlobalGroups da entrada do contentor de organização do Active Directory e extrai a lista de identificadores de segurança (SID, Security Identifier) que será constituem parte do descritor de segurança não canónicas. Isto permite que todos os computadores de Exchange Server aceder a membros do grupo, independentemente se a associação está oculto.

Considere o seguinte exemplo. A organização tiver vários servidores de Exchange 2000 em dois domínios diferentes, DomA e DomB. O programa de configuração do Exchange 2000 cria dois grupos, denominados "DomA\Domain EXServers" e "DomB\Domain EXServers." O atributo msExchServerGlobalGroups conterá dois valores, que serão o SID desses dois grupos.

O descritor de segurança final desse grupo, depois do ADC o replica para Active Directory será:


O ADC adicionará o primeiro a ACE terceira na tabela acima. Assim, quando o subsistema de segurança do Windows avalia esta permissão, irá concede para ambos os "Domain EXServers" o direito para ler e escrever os membros, mas ninguém.

Quando abrir o snap-in Consola computadores de gestão da Microsoft (MMC) e utilizadores do Active Directory e clique em Funcionalidades avançadas no menu Ver , pode ver o separador segurança de cada movimento. Se seleccionar o grupo que contém o descritor de segurança não canónicas, receberá a seguinte mensagem de erro:
Basicamente, o subsistema de segurança do Windows sabe como interpretar não canónicos formatos, mas a interface de utilizador não lhe permite editá-lo. Nem mesmo o administrador terão permissão para ver ou editar os membros de um grupo que tenha o atributo hideDLMembership no Active Directory igual a VERDADEIRO. Para isso, terá de ser membro do grupo de segurança "Domain EXServers".

O serviço de actualização de destinatários

Existem dois cenários que não são abrangidos pela solução acima:

• O que acontece se o ADC está em execução antes do primeiro servidor do Exchange 2000 está instalado?
• Se adicionar um novo domínio com o Exchange 2000 para a organização, como teria ser adicionado à lista de servidores o descritor de segurança não canónicas?

A resposta para ambas as questões é o serviço de actualização de destinatários.

O serviço de actualização de destinatários tem a tarefa de monitorização de alterações no Active Directory e efectua acções com base nestas alterações. Basicamente, o adiciona, elimina e modifica endereços de correio electrónico, listas de endereços e outros atributos para entradas com correio electrónico, tais como utilizadores, contactos, grupos e as pastas públicas. Mas também sabe quando um novo servidor ou um novo domínio é adicionado à rede.

Especificamente, se adicionar um novo servidor de Exchange 2000 a um domínio que ainda não tiver um servidor do Exchange 2000, este irá procurar todos os grupos com a condição "hideDLMembership = VERDADEIRO," e repor o descritor de segurança para satisfazer os requisitos de novo para o descritor de segurança não canónicas.

Também funciona para manuais ou programação alterações utilizando a interface LDAP. Se o atributo hideDLMembership for alterado para VERDADEIRO ou FALSO, o serviço de actualização de destinatários irá notar que e adicionar ou remover parte do descritor de segurança não canónicas. Isto permite às empresas escrever os seus próprios aplicação para alterar o estado de um grupo oculto membro sem comprometer a segurança.

Evitar problemas de latência quando modificar estado oculto de grupo

O serviço de actualização de destinatários poderá demorar de alguns segundos para alguns minutos para identificar uma alteração de nova no Active Directory, dependendo de várias condições. Por esse motivo, se seleccionar um grupo utilizando o snap-in MMC de computadores e utilizadores do Active Directory, a extensão do Exchange para esse snap-in fornecerá acção imediata se optar por ocultar membros desse grupo.

Para ocultar membros do grupo utilizando o snap-in MMC de computadores e utilizadores do Active Directory:

1. Clique no grupo cujos membros que pretende ocultar.
2. Clique com o botão direito do rato no grupo e, em seguida, clique em Exchange Tasks .
3. Siga o assistente e clique em Ocultar membros .

Para um controlador de domínio de um ambiente, este irá alterar o descritor de segurança desse grupo imediatamente e impedir que alguém visualizar as informações de membros. No entanto, num ambiente multi-domain-controladores, terá de aguardar pela replicação do Active Directory ser concluído.