Como o Exchange oculta membros do grupo no Active Directory

Exchange 2000 usa um descritor de segurança do Windows 2000 para limitar o acesso aos membros do grupo. O ADC (Active Directory Connector) e RUS são responsáveis por atualizar esses descritores de segurança para grupos que ocultou membros.

Exchange Server 5.5 possui seu próprio serviço de diretório, portanto, ele é responsável por definir como os usuários podem procurar por meio de atributos e quem tem o direito de ler ou gravar determinadas propriedades. Isso permite que o Exchange Server 5.5 determinar se ou não alguém pode ver os membros de um grupo porque o código que mostra que o atributo por meio de MAPI (Messaging Application Programming Interface) ou (LIGHTWEIGHT Directory Access Protocol) passa o sistema de segurança do Exchange Server 5.5.

No Exchange 2000, Active Directory substitui o diretório do Exchange Server, portanto, o sistema de segurança para consultas LDAP pertence para o Windows 2000. Windows 2000 lhe permite controlar o acesso a vários níveis, incluindo permissões de configuração em um único atributo. Por esse motivo, o Exchange 2000 usa o descritor de segurança Windows 2000 para controlar quem faz e não tem o direito de ver os membros de um grupo.

Com o Exchange 2000 e o Windows 2000, você deve tomar certas precauções para garantir que as permissões são definidas corretamente. Por exemplo, todos os servidores do Exchange 2000 instalado em sua organização precisam de permissão para ver os membros do grupo, mesmo se a opção Ocultar membros para este grupo é ativada. Caso contrário, esses servidores não é possível expandir a associação de grupo e entregar as mensagens endereçadas a esse grupo.

Para que os usuários do Exchange 2000 e os administradores a máxima segurança possível, Exchange 2000 depende o ADC e o serviço de atualização de destinatário para garantir que essas permissões estão definidas corretamente.

Tratamento de listas de distribuição replicadas do Exchange Server 5.5

Se você estiver instalando o Exchange 2000 em uma topologia mista, com um ou mais computadores Exchange Server 5.5, será necessário o ADC para replicar suas entradas do diretório do Exchange Server 5.5 para o Active Directory e vice-versa. Por esse motivo, se você está replicando uma lista de distribuição (DL) que está ocultos no Exchange Server 5.5, a associação precisa estar ocultos no Active Directory bem.

Para fazer isso, quando o ADC está replicando uma DL oculta do Exchange Server 5.5, ele detecta que o atributo de associação de dl ocultar no diretório do Exchange Server 5.5 é definido como TRUE, e ele apresenta um conjunto de entradas de controle de acesso (ACEs) no descritor de segurança no Active Directory. Essas ACEs estarão em um formato não canônico, o que significa que pelo menos negado que ACE seguirá uma ACE permitida.

Para determinar quais objetos de segurança tem permissão para ler ou gravar membros, o ADC lê o atributo msExchServerGlobalGroups da entrada de contêiner organização no Active Directory e extrai a lista de identificadores de segurança (SIDs) que será compõem a parte não canônica o descritor de segurança. Isso permite que todos os computadores Exchange Server obter acesso a membros do grupo, independentemente se a associação está oculta.

Considere o exemplo seguinte. Sua organização tem vários servidores Exchange 2000 em dois domínios diferentes, DomA e DomB. Instalação do Exchange 2000 cria dois grupos, chamados "DomA\Domain EXServers" e "DomB\Domain EXServers." O atributo msExchServerGlobalGroups irá conter dois valores, que serão os SIDs desses dois grupos.

O descritor de segurança final desse grupo, após o ADC replica-lo para o Active Directory será:


O ADC irá adicionar o primeiro para a terceira ACE na tabela acima. Portanto, quando o subsistema de segurança do Windows avalia essa permissão, ele concede a ambos os "Domain EXServers" o direito de ler e gravar a associação, mas ninguém mais.

Quando você abrir o snap-in de computadores Microsoft Management Console (MMC) e Active Directory Users e clique em Recursos avançados no menu Exibir , você pode ver a guia segurança em cada entrada. Se você selecionar o grupo que contém o descritor de segurança não canônico, você receber a seguinte mensagem de erro:
Basicamente, o subsistema de segurança do Windows sabe como interpretar formatos não canônicos, mas a interface do usuário não permite que você editá-lo. Nem mesmo o administrador será permitido para ver ou editar a participação de um grupo que possui o atributo hideDLMembership no Active Directory igual a VERDADEIRO. Para fazer isso, você precisará ser um membro do grupo de segurança "Domain EXServers".

O serviço de atualização de destinatário

Há dois cenários que não são endereçados pela solução acima:

• E se o ADC está em execução antes que o primeiro servidor do Exchange 2000 é instalado?
• Se você adicionar um novo domínio com o Exchange 2000 para sua organização, como seria ele adicionados à lista de servidores no descritor de segurança não canônico?

A resposta para as duas perguntas é o serviço de atualização de destinatário.

O serviço de atualização de destinatário tem o trabalho de monitoramento das alterações no Active Directory e executa ações com base nessas alterações. Principalmente, ele adiciona, remove e modifica endereços de email, listas de endereços e outros atributos para entradas habilitados para email, como usuários, contatos, grupos e pastas públicas. Mas ele também sabe quando um novo servidor ou um novo domínio é adicionado à rede.

Especificamente, se você adicionar um novo servidor Exchange 2000 em um domínio que ainda não tiver um servidor do Exchange 2000, ele irá procurar por todos os grupos com a condição "hideDLMembership = verdadeiro," e redefinir o descritor de segurança atendem ao requisito para o descritor de segurança não canônico de novo.

Isso também funciona para manuais ou através de programação alterações usando a interface LDAP. Se o atributo hideDLMembership é alterado para VERDADEIRO ou FALSO, o serviço de atualização de destinatário será Observe que e adicionar ou remover a parte não canônica o descritor de segurança. Isso permite que empresas para escrever seu próprio aplicativo para alterar o status de um grupo membro oculto sem comprometer a segurança.

Evitando problemas de latência ao modificando ocultos status de grupo

O serviço de atualização de destinatário pode levar de alguns segundos para alguns minutos para identificar uma nova alteração no Active Directory, dependendo várias condições. Por esse motivo, se você selecionar um grupo usando o Active Directory Users and Computers MMC snap-in, a extensão do Exchange para esse snap-in fornecerá ação imediata se você optar por ocultar a participação nesse grupo.

Para ocultar membros do grupo usando o snap-in Active Directory Users and Computers MMC:

1. Clique no grupo cuja participação você deseja ocultar.
2. Clique com o botão direito do mouse no grupo e clique em Exchange Tasks .
3. Siga o assistente e clique em Ocultar membros .

Para um ambiente de um controlador de domínio, será imediatamente alterar o descritor de segurança do grupo e impedir que alguém exibindo suas informações de associação. No entanto, para um ambiente de várias domain controladores, você deve aguardar replicação do Active Directory ser concluído.