Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email文章編號: 253827 - 上次校閱: 2007年3月7日 - 版次: 4.0 Exchange 如何隱藏在 Active Directory 中的群組成員資格
在此頁中結論Exchange 2000 會使用 Windows 2000 安全性描述元來限制存取群組成員資格。[Active Directory 連接器 (ADC)] 和 [收件者更新服務負責更新這些安全性描述元具有隱藏成員資格的群組。 其他相關資訊Exchange Server 5.5 有其自己的目錄服務,所以它會負責定義使用者可以瀏覽屬性的方式與誰有權讀取或寫入某些屬性。這可讓 Exchange Server 5.5,以判斷有人就可以看到一個群組的成員資格,因為顯示透過傳訊應用程式發展介面] (MAPI) 或 「 輕量型目錄存取通訊協定 (LDAP) 該屬性的程式碼通過 Exchange Server 5.5 安全性系統。 在 Exchange 2000,Active Directory 取代 Exchange 伺服器的目錄讓安全性系統的 LDAP 查詢屬於 Windows 2000。Windows 2000 可讓您控制包括單一屬性上的設定權限的幾個等級的存取。基於該原因 Exchange 2000 會使用 Windows 2000 安全性描述元控制不會,而且沒有最右邊才能看到一個群組的成員。 與 Exchange 2000 和 Windows 2000,您必須採取某些預防措施來確保已正確設定權限。比方說所有 Exchange 2000 伺服器都安裝在您的組織需要權限查看群組] 成員資格即使您啟用這個群組的 [隱藏的成員資格] 選項。否則,那些伺服器無法展開群組成員資格,並傳遞郵件寄至該群組。 讓 Exchange 2000 使用者及系統管理員的最大的安全性,Exchange 2000 取決於 ADC] 和 [收件者更新服務],以確保已正確設定這些權限。 從 Exchange Server 5.5 複寫處理通訊群組清單如果您要安裝 Exchange 2000 與一或多個 Exchange Server 5.5 電腦一個混合拓樸中您會需要 ADC 將您的項目從 Exchange Server 5.5 目錄複寫到 Active Directory,反之亦然。基於這個原因如果您要複寫通訊群組清單 (DL),在 Exchange Server 5.5 中隱藏成員資格需要也會隱藏在 Active Directory 中。若要 ADC 從 Exchange Server 5.5 複寫隱藏的 DL 時完成這個,工作,它會偵測 Exchange Server 5.5 目錄中的 [隱藏下載成員資格] 屬性設定為 TRUE,並它 stamps 上安全性描述元在 Active Directory 中的一組的存取控制項目 (ACE)。這些 ACE 會表示至少一個拒絕 ACE 會遵循允許的 ACE 以非標準格式。 若要決定哪一個安全性主體具有讀取或寫入成員資格的權限,ADC 讀取 [從組織容器項目在 Active Directory 中的 [msExchServerGlobalGroups 屬性,並會擷取組成安全性描述元的非標準的一部份的安全性識別碼 (SID) 清單。這可讓所有的 Exchange Server 電腦來存取群組成員資格不論是否隱藏成員資格。 請考慮下列的範例。您的組織在兩個不同網域 DomA 和 DomB 中有數個 Exchange 2000 伺服器。Exchange 2000 安裝程式會建立名為"DomA\Domain EXServers"和 DomB\Domain EXServers 的兩個群組。msExchServerGlobalGroups 屬性會包含將會是這些兩個群組的 SID 的兩個值。 最終的安全性描述元,ADC 會到 Active Directory 複寫之後該群組的會是: 摺疊此表格
ADC 會將第一個加入至上述表格中第三個的 ACE。因此當 Windows 安全性子系統會評估這個使用權限,它將會授予到這兩個 「 網域 EXServers"權限來讀取和寫入成員資格,但其他人一律。 當您開啟 [Active Directory 使用者和電腦 Microsoft 管理主控台 (MMC) 嵌入式管理單元],並按一下 [檢視] 功能表上的 [進階功能 時,您可以看到 [安全性] 索引標籤上的每個項目。如果您選取 [包含非標準的安全性描述元的群組您會收到下列錯誤訊息: Windows 無法編輯 'MyHiddenGroup' 上的權限,因為它們已被其他應用程式寫入以非標準的格式。若要啟用 [編輯],您必須使用應用程式還原為標準格式的權限。 收件者更新服務有兩種由上述方案不負責處理的案例:
收件者更新服務有的監視所作的變更在 Active Directory 上工作,而則根據這些變更的動作。主要,它會加入移除,並修改電子郵件地址、 通訊清單及擁有郵件功能的項目,如使用者、 連絡人、 群組及公用資料夾的其他屬性。但也知道當新的伺服器,否則新網域加入至網路。 特別,如果還沒有 Exchange 2000 伺服器的網域中加入新的 Exchange 2000 伺服器,它會搜尋與條件的所有群組的 「 hideDLMembership = TRUE,"和重設安全性描述元,以符合新的需求為非標準的安全性描述元。 這也適用於手動或以程式設計方式使用 LDAP 介面的變更。如果 hideDLMembership 屬性變更為 TRUE 或 FALSE,收件者更新服務將會注意到,和新增或移除安全性描述元的非標準的一部份。這可讓公司撰寫自己的應用程式變更成員隱藏的群組狀態,而危及安全性。 修改隱藏的群組狀態時,避免延遲問題收件者更新服務可能會花幾秒的時間到幾分鐘的時間來識別新的 Active Directory 變更取決於幾個條件。基於該原因如果您選取群組,使用 [Active Directory 使用者及電腦 MMC 嵌入式管理單元,Exchange 副檔名為該嵌入式管理單元將會提供立即採取行動如果您選擇隱藏該群組的成員資格。若要隱藏群組成員資格,使用 Active Directory 使用者及電腦 MMC 嵌入式管理單元:
這篇文章中的資訊適用於:
 機器翻譯重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。 按一下這裡查看此文章的英文版本:253827?
(http://support.microsoft.com/kb/253827/en-us/
)
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 | 其他資源 其他支援網站社群立即取得協助文章翻譯
|
回此頁最上方
