Làm thế nào trao đổi ẩn nhóm thành viên trong Active Directory

Dịch tiêu đề Dịch tiêu đề
ID của bài: 253827 - Xem sản phẩm mà bài này áp dụng vào.
Bung tất cả | Thu gọn tất cả

Ở Trang này

TÓM TẮT

Exchange 2000 sử dụng một mô tả bảo mật Windows 2000 để hạn chế quyền truy cập vào nhóm thành viên. Active Directory Connector (ADC) và người nhận dịch vụ Cập Nhật đang chịu trách nhiệm cho việc cập nhật các trình mô tả bảo mật cho các nhóm đã ẩn thành viên.

THÔNG TIN THÊM

Exchange Server 5.5 có dịch vụ thư mục riêng của mình, do đó, nó là trách nhiệm xác định như thế nào người dùng có thể duyệt qua các thuộc tính và những người có quyền đọc hoặc ghi các đặc tính nhất định. Điều này cho phép trao đổi máy chủ 5,5 để xác định có hay không một ai đó có thể thấy các thành viên của một nhóm vì mã đó cho thấy rằng thuộc tính thông qua tin nhắn Application Programming Interface (MAPI) hoặc Lightweight Directory Access Protocol (LDAP) mà chạy qua hệ thống bảo mật Exchange Server 5.5.

Thay đổi 2000, Active Directory thế thư mục Exchange Server, do đó, hệ thống an ninh cho các truy vấn LDAP thuộc về Windows 2000. Windows 2000 cho phép bạn kiểm soát quyền truy cập vào nhiều tầng lớp, trong đó có thiết đặt cấp phép trên một thuộc tính duy nhất. Vì lý do đó, Exchange 2000 sử dụng mô tả bảo mật Windows 2000 để kiểm soát những người không và không có quyền xem các thành viên của một nhóm.

Với Exchange 2000 và Windows 2000, bạn phải mất một số biện pháp phòng ngừa để đảm bảo rằng quyền được thiết lập đúng. Ví dụ, tất cả các máy chủ Exchange 2000 được cài đặt trong tổ chức của bạn cần sự cho phép để xem các thành viên nhóm, ngay cả khi các Ẩn thành viên tùy chọn cho nhóm này được kích hoạt. Nếu không, các máy chủ không thể mở rộng thành viên nhóm và cung cấp tin nhắn gửi đến nhóm đó.

Để cung cấp cho người sử dụng Exchange 2000 và quản trị viên bảo mật tối đa có thể, Exchange 2000 phụ thuộc vào ADC và dịch vụ Cập Nhật của người nhận để đảm bảo rằng các quyền này được thiết lập đúng.

Xử lý các danh sách phân phối nhân rộng từ Exchange Server 5,5

Nếu bạn đang cài đặt Exchange 2000 trong một tô pô hỗn hợp, với một hoặc nhiều máy tính Exchange Server 5.5, bạn cần ADC để nhân rộng mục của bạn từ thư mục Exchange Server 5.5 Active Directory và ngược lại. Vì lý do này, nếu bạn sao chép một danh sách phân phối (DL) đó ẩn trong Exchange Server 5.5, các thành viên cần được ẩn trong Active Directory là tốt.

Để thực hiện việc này, khi ADC sao chép một DL ẩn từ Exchange Server 5.5, nó phát hiện rằng các ẩn-dl-thành viên thuộc tính trong thư mục Exchange Server 5.5 được đặt thành TRUE, và nó tem một tập hợp các mục điều khiển truy nhập (ACEs) trên mô tả bảo mật trong Active Directory. Những ACEs sẽ trong một định dạng không kinh điển, có nghĩa là ít nhất một từ chối ACE sẽ làm theo một ACE được phép.

Để xác định an ninh hiệu trưởng có quyền đọc hoặc viết thành viên, ADC lần đọc các msExchServerGlobalGroups thuộc tính từ các tổ chức container mục Active Directory, và chiết xuất danh sách các định danh bảo mật (SIDs) sẽ bao gồm phần mô tả bảo mật, không kinh điển. Điều này cho phép tất cả các máy tính Exchange Server để truy cập vào nhóm Aelodaeth, bất kể cho dù các thành viên bị ẩn.

Hãy xem xét ví dụ sau. Tổ chức của bạn có một số máy chủ Exchange 2000 trong hai lĩnh vực khác nhau, DomA và DomB. Exchange 2000 Setup tạo ra hai nhóm, đặt tên là "doma\domain exservers", và "domb\domain exservers." Các msExchServerGlobalGroups thuộc tính sẽ chứa hai giá trị, nó sẽ là SIDs những hai nhóm.

Mô tả bảo mật cuối cùng của nhóm đó, sau khi ADC sao chép nó vào thư mục hoạt động sẽ:

Thu gọn bảng nàyBung rộng bảng này
ACE #LoạiQuyềnSID
1Được phépTài khoản của đọc/ghiDomA\Domain EXServers
2Được phépTài khoản của đọc/ghiDomB\Domain EXServers
3Bị từ chốiTài khoản của đọc/ghiMọi người
4TMộtB
...
N-1XCD
NYEF

ADC sẽ thêm người đầu tiên để ACE thứ ba trong bảng ở trên. Vì vậy, khi các hệ thống phụ Windows Security đánh giá quyền này, nó sẽ cấp cho cả hai "tên miền EXServers" quyền để đọc và viết các thành viên, nhưng không ai khác.

Khi bạn mở thư mục người dùng và máy tính Microsoft Management Console (MMC)-theo, và nhấp vào Tính năng nâng cao trên các Xem trình đơn, bạn có thể xem các Bảo mật tab trên mỗi mục. Nếu bạn chọn nhóm có chứa mô tả bảo mật không kinh điển, bạn nhận được thông báo lỗi sau:
Windows không thể chỉnh sửa các cấp phép trên 'myhiddengroup' bởi vì họ đã được viết trong một định dạng không chuẩn bởi ứng dụng khác. Để kích hoạt tính năng chỉnh sửa, bạn phải sử dụng các ứng dụng để khôi phục lại quyền truy cập vào một định dạng chuẩn.
Về cơ bản, hệ thống con bảo mật Windows biết làm thế nào để giải thích các định dạng không kinh điển, nhưng giao diện người dùng không cho phép bạn chỉnh sửa nó. Thậm chí không có người quản trị sẽ được cho phép để xem hoặc chỉnh sửa các thành viên của một nhóm có các hideDLMembership thuộc tính Active Directory bằng đúng sự thật. Để làm điều đó, bạn cần phải là thành viên của nhóm bảo mật "Tên miền EXServers".

Người nhận dịch vụ Cập Nhật

Có hai kịch bản không được địa chỉ của các giải pháp ở trên:
  • Điều gì nếu ADC đang chạy trước khi máy chủ Exchange 2000 đầu tiên được cài đặt?
  • Nếu bạn thêm một miền mới với Exchange 2000 tổ chức của bạn, làm thế nào sẽ nó được thêm vào danh sách các máy chủ trên mô tả bảo mật không kinh điển?
Câu trả lời cho cả hai câu hỏi là dịch vụ Cập Nhật của người nhận.

Dịch vụ Cập Nhật của người nhận có công việc theo dõi thay đổi trên Active Directory và sẽ hành động dựa trên những thay đổi này. Chủ yếu là, nó cho biết thêm, loại bỏ, và sửa đổi địa chỉ e-mail, danh sách địa chỉ và các thuộc tính khác cho kích hoạt thư mục, chẳng hạn như người sử dụng, địa chỉ liên lạc, các nhóm và thư mục công cộng. Nhưng nó cũng biết khi một máy chủ mới hoặc một tên miền mới sẽ được thêm vào mạng.

Cụ thể, nếu bạn thêm một máy chủ Exchange 2000 mới vào một tên miền mà không đã có một máy chủ Exchange 2000, nó sẽ tìm kiếm cho tất cả các nhóm với điều kiện "hideDLMembership = TRUE," và đặt lại mô tả bảo mật để đáp ứng yêu cầu mới cho mô tả bảo mật không kinh điển.

Điều này cũng làm việc cho hướng dẫn sử dụng hoặc chương trình thay đổi bằng cách sử dụng giao diện LDAP. Nếu hideDLMembership thuộc tính được thay đổi thành TRUE hoặc FALSE, người nhận dịch vụ Cập Nhật sẽ nhận thấy rằng, và thêm hoặc loại bỏ phần mô tả bảo mật, không kinh điển. Điều này cho phép các công ty để viết ứng dụng riêng của họ để thay đổi tình trạng của một nhóm thành viên-ẩn mà không làm ảnh hưởng an ninh.

Tránh vấn đề về độ trễ khi sửa đổi ẩn nhóm tình trạng

Dịch vụ Cập Nhật của người nhận có thể mất từ vài giây đến vài phút để xác định một sự thay đổi mới trong Active Directory, tùy thuộc vào các điều kiện. Vì lý do đó, nếu bạn chọn một nhóm bằng cách sử dụng hoạt động thư mục người dùng và máy tính MMC snap-in, phần mở rộng trao đổi cho rằng-theo sẽ cung cấp cho hành động ngay lập tức nếu bạn chọn để ẩn các thành viên của nhóm đó.

Để ẩn thành viên nhóm bằng cách sử dụng hoạt động thư mục người dùng và máy tính MMC snap-in:
  1. Bấm vào nhóm thành viên mà bạn muốn ẩn.
  2. Nhấp chuột phải vào nhóm, và sau đó nhấp vào Công việc trao đổi.
  3. Làm theo thuật sĩ, và nhấp vào Ẩn thành viên.
Cho một môi trường điều khiển một vùng, điều này ngay lập tức sẽ thay đổi mô tả bảo mật của nhóm đó và ngăn chặn bất cứ ai xem thông tin thành viên của nó. Tuy nhiên, đối với một môi trường đa domain điều khiển, bạn phải chờ nhân rộng Active Directory được hoàn thành.

Thuộc tính

ID của bài: 253827 - Lần xem xét sau cùng: 21 Tháng Tám 2011 - Xem xét lại: 2.0
Áp dụng
  • Microsoft Exchange 2000 Server Standard Edition
Từ khóa: 
kberrmsg kbinfo kbmt KB253827 KbMtvi
Máy dịch
QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.
Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:253827

Cung cấp Phản hồi