XADM: Como obter a acesso à conta de serviço a todas as caixas de correio no Exchange 2000

No Microsoft Exchange Server 5.5, ao atribuir privilégios Service Account Admin no recipiente do site para uma conta do Microsoft Windows, você atribui à conta acesso sem restrição para todas as caixas de correio. No Exchange 2000, não existe conta de serviço e mesmo as contas com direitos administrativos empresariais têm o acesso negado a todas as caixas de correio, por padrão.

Em alguns casos (por exemplo, recuperação offline de todo um banco de dados de caixa de correio), ainda pode ser útil atribuir permissões para todas as caixas de correio sem ter de fazer, explicitamente, uma por uma. Este artigo explica como fazer isso.

Observação Não use esse procedimento em um ambiente de produção para permitir acesso não autorizado aos dados do usuário em violação as diretivas corporativas relacionadas a privacidade e segurança. Implemente um plano de auditoria na sua rede para detectar e registrar o uso impróprio de privilégios de rede pelos administradores do sistema.

Se sua conta de logon for a conta de Administrador, de um membro dos grupos Administradores de domínio ou de Administradores empresariais, você terá acesso negado a todas as caixas de correio que não sejam a sua própria, mesmo se você tiver direitos administrativos totais sobre o sistema do Exchange. Ao contrário do Exchange Server 5.5, todas as tarefas administrativas do Exchange 2000 poderão ser realizadas sem ter que atribuir direitos de administrador suficientes para ler as mensagens de outras pessoas.

Essa restrição padrão pode ser substituída de diversas maneiras, mas, ao fazer isso, deve-se estar de acordo com as diretivas de segurança e privacidade da sua organização. Na maioria do casos, o uso desses métodos é apropriado apenas em um ambiente de servidor de recuperação.

Método Um

Se você NÃO for administrador, ou membro dos grupos Administradores de domínio ou Administradores empresariais, poderá adicionar sua conta aos grupos Exchange Services ou Exchange Domain Servers e terá acesso total a todas as caixa de correio em servidores no domínio.

Observação O grupo Exchange Services pode não existir se você nunca tiver implantado o conector do Active Directory na sua organização.

Método Dois

Para atribuir o acesso da sua conta administrativa por meio do Exchange System Manager para todas as caixas de correio que estiverem em um banco de dados único (independentemente das negações explícitas herdadas), execute estas etapas:

1. Crie um grupo de segurança com escopo apropriado no serviço de diretório do Microsoft Active Directory. Por exemplo, crie um grupo de segurança global chamado EXCHANGE_RECOVERY.
2. Adicione o grupo à conta de usuário (ou contas de usuário) que você deseja usar para acessar a caixa de correio geral para esse grupo de segurança. É necessário fazer logoff e logon novamente antes de sua associação nesse grupo tenha efeito.
3. No Exchange System Manager, atribua a esse grupo de segurança, permissões no objeto de banco de dados que contenha as caixas de correio que você deseja acessar. Se o propósito de atribuir tal acesso for permitir o uso do utilitário ExMerge, atribua permissões Receber como. Também é possível atribuir permissões de Controle total se quiser acesso completo.

Após alterar essas permissões, pode levar algum tempo antes delas terem efeito. Permissões anteriores podem ser armazenadas em cache pelo servidor Exchange local em até 15 minutos. É possível interromper e iniciar o serviço Armazenamento de informações para limpar o cache local. Também é possível interromper e iniciar todos os serviços Exchange para limpar o cache local. Se houver diversos controladores de domínio na floresta do Active Directory, a latência de replicação de domínio também poderá estender o tempo que leva para as alterações na permissão terem efeito. Portanto, ao desenvolver procedimentos de recuperação, é uma boa idéia fazer as alterações de permissão necessárias, o quanto antes no seu processo.