Exchange, Active Directory'de Grup üyeliði nasýl gizler

Exchange 2000, grup üyeliðine eriþimi sýnýrlamak için bir Windows 2000 güvenlik tanýmlayýcýsýný kullanýr. Active Directory Baðlayýcýsý (ADC) ve Recipient Update Service Bu üyeliklerini gizlediðiniz gruplarýn güvenlik tanýmlayýcýlarýný güncelleþtirmek için sorumludur.

Exchange Server 5.5, kendi dizin hizmeti sahiptir, bu nedenle, kullanýcýlar öznitelikleri ile nasýl gözatabilirler ve okuma veya belirli özellikleri yazma hakký izni olan kiþiler tanýmlamak için sorumludur. Böylece, Exchange Server 5.5, Exchange Server 5.5 güvenlik sistemi üzerinden ileti uygulama programlama arabirimi (MAPI) veya Basit Dizin Eriþim Protokolü (LDAP), öznitelik gösteren kod geçirmeden çünkü birisi bir grubun üyeliðini görebilirsiniz olup olmadýðýný belirlemek.

Exchange 2000'de, LDAP sorgularýný güvenlik sistemi, Windows 2000'e ait olduðu için Exchange Server dizini, Active Directory deðiþtirir. Windows 2000, tek bir öznitelik ayarý izinleri de dahil olmak üzere, birkaç düzeyde eriþimi denetlemenize olanak verir. Bu nedenle, Exchange 2000, Windows 2000 güvenlik tanýmlayýcýsý kimin yaptýðý ve bir grubun üyelerini görmek için bu hakka sahip deðilse denetlemek için kullanýr.

Exchange 2000 ve Windows 2000'de izinlerinin düzgün ayarlandýðýndan emin olmak için bazý önlemler almalýsýnýz. Örneðin, bu grup Üyeliði Gizle seçeneði etkinleþtirilmiþ olsa bile tüm Exchange 2000 sunucularý kendi kuruluþ gerekli izni Bkz: Grup üyeliðini, yüklü. Aksi halde, bu sunucularýn grup üyeliklerini'ý geniþletin ve bu gruba gönderilen iletiler teslim edemiyor.

Exchange 2000 kullanýcýlara ve yöneticilere, olasý en yüksek güvenliði saðlamak için Exchange 2000 the ADC ve Recipient Update Service Bu izinlerinin düzgün ayarlandýðýndan emin olmak için baðlýdýr.

Daðýtým listeleri Exchange Server 5. 5'ten yinelenmiþ iþleme

Karma topolojisinde, bir veya daha fazla Exchange Server 5.5 bilgisayarý ile Exchange 2000 yüklüyorsanýz, Active Directory ve tersi için Exchange Server 5.5 dizininden girdilerinizi çoðaltmak için bu ADC gerekir. Exchange Server 5. 5'te, gizli bir daðýtým listesine (DL) çoðaltýyorsanýz, bu nedenle Active Directory'de de gizli olmasýný üyeliði gerekir.

ADC, Exchange Server 5. 5'ten bir gizli DL çoðaltma yapýlýrken, bunu için <a0></a0>, Exchange Server 5.5 dizin Gizle dl üyeliði özniteliði TRUE olarak ayarlanýr ve Active Directory'de güvenlik tanýmlayýcýsý, bir eriþim denetim girdileri (ACE) damgalarý algýladýðý. Bu ACE, en az bir ACE'NIN bir izin verilen ACE izleyeceði engellendi; bir kurallý olmayan biçiminde olacaktýr.

Güvenlik ilkeleri okuma veya üyelik yazma iznine sahip belirlemek için <a0></a0>, the ADC Active Directory'de kuruluþ kapsayýcýsýný girdisinden msExchServerGlobalGroups özniteliði okur ve kurallý olmayan bölümü güvenlik tanýmlayýcýsý oluþturan, güvenlik tanýmlayýcýlarýný (Sýd) listesini ayýklar. Bu, üyeliði gizli olup olmamasýna bakmaksýzýn, grup üyeliðine eriþim kazanmak tüm Exchange Server bilgisayarlarýný saðlar.

Aþaðýdaki örneði inceleyin. Kuruluþunuzda birden çok Exchange 2000 sunucusu iki farklý etki alanlarýnda, DomA ve DomB varsa. Exchange 2000 Kur "DomA\Domain EXServers" ve "DomB\Domain EXServers." adýnda, iki grup oluþturur. MsExchServerGlobalGroups özniteliði iki gruplarýn Sýd'leri olacaktýr, iki deðeri içerir.

Bu grup, the ADC, Active Directory'ye çoðaltýlýr sonra son güvenlik tanýmlayýcýsý olacaktýr:


ADC için yukarýdaki tabloda üçüncü ACE ilk ekleyecektir. Windows Güvenlik alt sistemi bu izin veren, bu nedenle, her iki "etki alaný EXServers" için okuma ve üyeliði, ancak baþka hiç kimse yazma hakký yetkisi verir.

Active Directory Kullanýcýlarý ve Bilgisayarlarý Microsoft Yönetim Konsolu'nu (MMC) ek bileþenini açýn ve Görünüm menüsünde Geliþmiþ Özellikler ' i týklatýn, Güvenlik sekmesi, giriþlerin her birinde görebilirsiniz. Kanonik olmayan güvenlik tanýmlayýcýsýný içeren grubu seçin, aþaðýdaki hata iletisini alýrsýnýz:
Temel olarak, Windows Güvenlik alt sistemi kurallý olmayan biçimlerini yorumlama bilir, ancak kullanýcý arabirimi, düzenlemenize izin vermez. Görmek veya hideDLMembership özniteliði Active Directory'de DOðRU olarak eþit olan bir grubun üyeliðini düzenlemek için yönetici bile izin verilir. Bunu yapmak için "Domain EXServers" güvenlik grubunun üyesi olmanýz gerekir.

Recipient Update Service

Yukarýdaki çözüm giderilmemiþ olan iki senaryo vardýr:

• Ilk Exchange 2000 sunucusu yüklenmeden önce ne ADC çalýþýyor?
• Kuruluþunuzda Exchange 2000 ile yeni bir etki alaný eklerseniz, nasýl, kurallý olmayan bir güvenlik tanýmlayýcýsý sunucularý listesine eklenebilir?

Her iki sorular için yanýt Recipient Update Service ' dir.

Recipient Update Service, Active Directory deðiþiklikleri izleme iþ vardýr ve bu deðiþiklikleri dayalý olan eylemleri gerçekleþtirir. Çoðunlukla, ekler, kaldýrýr ve e-posta adresleri, adres listeleri ve diðer kullanýcýlar, kiþiler, gruplar ve ortak klasörler gibi posta etkinleþtirilmiþ girdileri özniteliklerini deðiþtirir. Ancak, yeni bir sunucu, ayrýca biliyor veya yeni bir etki alaný, aða eklenir.

Bir Exchange 2000 server yüklü olmayan bir etki alanýna yeni bir Exchange 2000 sunucusu eklerseniz, özellikle bu koþul tüm gruplar için arama yapar "hideDLMembership = DOðRU" ve kurallý olmayan güvenlik tanýmlayýcýsýný yeni gereksinimini karþýlamak için güvenlik tanýmlayýcýsý sýfýrlandý.

Bu LDAP arabirimi kullanýlarak el ile veya programlý deðiþiklikler için çalýþýr. HideDLMembership özniteliði DOðRU veya YANLýÞ olarak deðiþtirilirse, Recipient Update Service, fark ekleyin veya kurallý olmayan bölümü güvenlik tanýmlayýcýsý'ný kaldýrýn. Böylece, þirketler, kendi uygulama güvenliði tehlikeye atmadan, üye gizli bir grubun durumunu deðiþtirmek için yazýlamýyor.

Gizli grup durumu deðiþtirme, gecikme sorunlarý önleme

Recipient Update Service birkaç saniye ile Active Directory'de yeni bir deðiþiklik çeþitli koþullara baðlý olarak tanýtmak için birkaç dakika sürebilir. Active Directory Kullanýcýlarý ve bilgisayarlarý MMC ek bileþenini kullanarak bir Grup seçeneðini belirlerseniz, o grubun üyeliðini gizlenmesini seçerseniz bu nedenle, bu ek bileþen için Exchange uzantýsý hemen bir eylem saðlar.

Active Directory Kullanýcýlarý ve bilgisayarlarý MMC ek bileþenini kullanarak Grup üyeliði gizlemek için <a0></a0>:

1. Üyelik, gizlemek istediðiniz grubu týklatýn.
2. Grubu sað týklatýn ve sonra Exchange görevleri) týklatýn.
3. Sihirbazý izleyin ve Üyeliði Gizle'yi týklatýn.

Bir etki alaný denetleyicisi ortamý için bu hemen o grubun güvenlik tanýmlayýcýsýný deðiþtirmek ve herkesin, bir üyelik bilgilerini görüntülemesini engellemek. Ancak, bir çok-domain-denetleyicileri ortamýnda, tamamlanacak, Active Directory çoðaltmasý için beklemeniz gerekir.