Appartenance au groupe de distribution est toujours visible lorsque vous masquez l'appartenance

Lorsque vous masquez l'appartenance de groupe de distribution, membres de ce groupe distribution ne sont pas masquées membres du groupe de sécurité Accès compatible pré-Windows 2000. Cela signifie que les utilisateurs disposant d'un accès à votre répertoire peuvent afficher un groupe qui un objet est un membre d'en consultant l'attribut memberOf d'un objet, même si l'appartenance au groupe de distribution est masquée.

exemple John Smith est membre d'un groupe de distribution nommé MYDL. Vous avez correctement masqués l'appartenance au groupe MYDL en suivant les instructions dans l'article suivant de la base de connaissances Microsoft : Lorsque connecté à l'ordinateur Exchange Server en tant qu'utilisateur appartenant au groupe de sécurité Accès compatible pre-Windows 2000, vous pouvez afficher les propriétés de Vincent Lauriat de la liste d'adresses globale. MYDL est répertorié dans le membre d'onglet.

note Pour rechercher l'onglet membre de , procédez comme suit :

1. Dans Microsoft Outlook, cliquez sur Nouveau .
2. Dans la fenêtre message nouvelle qui s'affiche, cliquez sur le bouton À .
3. dans la Afficher les noms de la , cliquez sur liste d'adresses globale .
4. Cliquez avec le bouton droit sur un nom dans la liste nom , puis cliquez sur Propriétés .
5. Cliquez sur l'onglet membre de .

Ce problème se produit car masqué appartenance au groupe de distribution est exposé aux membres de l'accès compatible pré-Windows 2000 groupe de sécurité via l'attribut memberOf . Lorsque vous installez Exchange 2000 Server dans un domaine dans lequel le groupe de sécurité Accès compatible pré-Windows 2000 contient des membres, le message suivant s'affiche :Le groupe de sécurité Accès de compatible pré-Windows 2000 est rempli pendant Dcpromo selon le choix d'autorisations est effectuées. Pour plus d'informations sur ce processus, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : note Cet article explique également comment supprimer le groupe Tout le monde du groupe de sécurité Accès compatible pré-Windows 2000. Reportez-vous à la section ? Plus d'informations ? de l'article en cours (812841) pour plus d'informations sur tout le monde groupe comme il se trouve dans l'accès compatible pré-Windows 2000 groupe de sécurité.

Pour contourner ce scénario, procédez comme suit :

1. Ajouter le groupe de distribution à une nouvelle unité d'organisation ou à une unité d'organisation souhaitée pour modifier l'accès à dans Active Directory utilisateurs et ordinateurs.
2. Modifier les propriétés de la nouvelle unité d'organisation pour refuser l'autorisation lecture aux utilisateurs ou groupes que vous souhaitez empêcher d'afficher l'appartenance au groupe distribution.
   
   note Si vous souhaitez refuser l'accès en lecture au groupe Accès compatibilité Pre-Windows 2000, assurez-vous que vous premier supprimer le groupe Tout le monde de l'appartenance au groupe Accès compatibilité pré-Windows 2000. Si vous ne supprimez pas le groupe Tout le monde, tout le monde est refusé l'accès en lecture au groupe de distribution.
   
   Dans certains cas, vous devrez peut-être fournir compatibilité descendante pour antérieure serveur/client systèmes d'exploitation et les programmes, et vous ne pouvez pas supprimer le groupe Tout le monde de l'appartenance de l'accès compatible pré-Windows 2000 groupe de sécurité.
3. Cliquez avec le bouton droit sur le groupe de distribution, cliquez sur Tâches Exchange , cliquez sur suivant , cliquez sur Masquer l'appartenance et puis cliquez sur suivant .
4. Cliquez sur suivant pour confirmer que le descripteur de sécurité du groupe sélectionné est modifié pour empêcher l'affichage, puis cliquez sur Terminer .
5. Permettre suffisamment de temps le service de mise à jour de destinataire (RUS) pour répliquer les modifications. Ou bien, mettez à jour le RUS manuellement dans le Gestionnaire système Exchange. Pour cela :
   1. Démarrez le Gestionnaire système Exchange. Pour ce faire, cliquez sur Démarrer , pointez sur programmes , pointez sur Microsoft Exchange , puis cliquez sur Gestionnaire système .
   2. Dans votre organisation, développez destinataires , puis cliquez sur Services de mise à jour de destinataire .
   3. Dans le volet droit, cliquez avec le bouton droit sur le service de mise à jour de destinataire, puis cliquez sur Mettre à jour .

Lorsque vous placez un groupe dans une unité d'organisation où vous avez refusé l'accès en lecture à la communauté que vous souhaitez sécuriser ses membres à partir de, le groupe n'apparaît pas dans la liste d'adresses globale (GAL). Toutefois, l'appartenance au groupe peut toujours être déterminé via l'utilisation d'une requête LDAP (Lightweight Directory Access Protocol) sur l'attribut memberOf d'un compte d'utilisateur. Cette requête s'affiche si cet utilisateur est membre d'une liste de distribution masqués. Il n'existe aucun moyen pour contourner l'exposition de cet attribut lorsque tout le monde fait partie du groupe de sécurité Accès compatible pré-Windows 2000.

Pre?Windows 2000 compatibilité Access fournit pour certains programmes qui doivent interroger Active Directory en utilisant l'accès d'ouverture de session anonyme. Les programmes ou services qui peuvent interroger l'annuaire à l'aide d'ouverture de session anonyme accès incluent ceux exécute dans le contexte de sécurité du compte système local:, par exemple dans les scénarios suivants :

• Sur un serveur exécutant Microsoft Windows NT 4.0 dans ou en dehors de la forêt.
• Sur un serveur exécutant Windows 2000 dans un domaine autorisé à approuver en dehors de la forêt

Un exemple de tel un programme ou un service est le routage et le service d'accès distant fonctionnant sous Windows NT 4.0.

Dans Active Directory, le groupe Pre?Windows 2000 compatible avec Access reçoit des autorisations en lecture sur la racine de domaine et est également affecté les autorisations de lecture sur tous les objets utilisateur, les objets ordinateur et objets de groupe. Lorsque vous activez Pre?Windows 2000 compatibilité, le spécial groupe tout le monde est ajouté en tant que membre du groupe Accès compatible de 2000 Pre?Windows. Comme tout le monde inclut les utilisateurs authentifiés et les utilisateurs anonymes, toute personne avec un accès réseau peut lire ces objets. Lorsque ce paramètre est activé, tous les utilisateurs avec un accès réseau (un même sans un compte de la forêt) peuvent interroger et découvrir des informations sur les utilisateurs, groupes et ordinateurs Active Directory. Si vous n'avez pas les programmes qui requièrent accès Active Directory est activé pour la compatibilité de 2000 Pre?Windows, n'activez pas ce paramètre de promotion du contrôleur de domaine.

Lorsque vous choisissez de masquer l'appartenance à un groupe, une entrée de contrôle de ? refuser ? accès (ACE) est placé sur l'attribut ? membre ?, et, de ce fait, personne ne puisse le lire. Cependant, Exchange 2000 Server doit ayant accès à cet attribut, deux comptes autorisés à accéder à l'attribut de membre même si le groupe de distribution est masqué : groupe les serveurs de domaine Exchange (Exchange tous les serveurs dans le domaine sont membres de ce groupe) et les opérateurs de compte de groupe (initialement vide). Parce que les utilisateurs standard ne sont pas membres du groupe Opérateurs de compte ou le groupe Serveurs Exchange (qui doit inclure uniquement les comptes d'ordinateur), l'appartenance est considéré comme masqué.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :