Artigo: 812841 - Última revisão: quarta-feira, 28 de Fevereiro de 2007 - Revisão: 1.5

Os membros do grupo de distribuição estiver ainda visível depois de ocultar os membros

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Reduzir tudo

Sintomas

Quando oculta os membros de um grupo de distribuição, membros desse grupo de distribuição não estão ocultos dos membros do grupo de segurança Acesso compatível com anterior ao Windows 2000. Isto significa que os utilizadores com acesso ao seu directório podem visualizar um grupo que um objecto é um membro de visualizando o atributo memberOf no objecto, mesmo se os membros do grupo de distribuição estiver oculto.

exemplo João Silva é um membro de um grupo de distribuição denominado MYDL. Os membros do grupo MYDL correctamente tenha ocultado utilizando as instruções no seguinte artigo da base de dados de conhecimento da Microsoft:
253827  (http://support.microsoft.com/kb/253827/ ) Como o Exchange oculta os membros do grupo no Active Directory
Quando sessão iniciada no computador com o Exchange Server como um utilizador que pertença ao grupo de segurança Acesso compatível com anterior ao Windows 2000, pode visualizar as propriedades de João Silva da lista de endereços global. MYDL está listado no membro de separador.

Nota Para localizar o separador de membro de , siga estes passos:
  1. No Microsoft Outlook, clique em Novo .
  2. Na nova janela de mensagem que aparece, clique no botão para .
  3. no Mostrar nomes a partir de , clique em Lista de endereços global .
  4. Com o botão direito do rato num nome na lista nome e, em seguida, clique em Propriedades .
  5. Clique no separador membro de .
Voltar ao topo

Causa

Este problema ocorre porque oculta os membros do grupo de distribuição é exposto a membros do Pre-Windows 2000 Compatible Access grupo de segurança através do atributo memberOf . Quando instalar o Exchange 2000 Server num domínio em que o grupo de segurança Pre-Windows 2000 Compatible Access contém membros, receberá a seguinte mensagem:
O domínio "domain.com" foi identificado como um domínio não seguro para grupos de correio com membros DL ocultos. Membro DL oculto vai ser exposto a membros Pre-Windows 2000 Compatible Access incorporado grupo de segurança. Este grupo pode foram preenchido durante a promoção do domínio com a intenção de permitindo permissões ser compatível com servidores anteriores ao Windows 2000 e aplicações. Para proteger este domínio, remova qualquer desnecessários membros deste grupo.
O grupo de segurança Acesso compatível com anterior ao Windows 2000 é preenchido durante Dcpromo consoante as opções de permissões são efectuadas. Para obter mais informações sobre este processo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
257988  (http://support.microsoft.com/kb/257988/ ) Descrição das opções de permissões Dcpromo
Nota Este artigo também explica como remover o grupo Todos do grupo de segurança Acesso compatível com anterior ao Windows 2000. Consulte a secção ? mais informação ? do artigo actual (812841) para obter mais informações sobre o todos grupo como reside na Pre-Windows 2000 Compatible Access grupo de segurança.
Voltar ao topo

Como contornar

Para contornar este cenário, siga estes passos:
  1. Adicione o grupo de distribuição para uma nova unidade organizacional ou para uma unidade organizacional que pretende modificar o acesso a computadores e utilizadores do Active Directory.
  2. Edite as propriedades da nova unidade organizacional para negar a permissão de leitura aos utilizadores ou grupos que pretende impedir que visualizem os membros do grupo de distribuição.

    Nota Se pretende negar acesso de leitura ao grupo de acesso de compatibilidade de versões anteriores ao Windows 2000, certifique-se que primeiro remova o grupo Todos a partir de membros do grupo de acesso de compatibilidade de versões anteriores ao Windows 2000. Se não remover o grupo Todos (Everyone), todos os utilizadores não terão acesso de leitura ao grupo de distribuição.

    Em alguns casos, poderá ter de fornecer retro-compatibilidade para servidor/cliente anterior sistemas operativos e programas, e não pode remover o grupo todos os membros de Pre-Windows 2000 Compatible Access grupo de segurança.
  3. Clique com o botão direito do rato no grupo de distribuição, clique em Exchange Tasks , clique em seguinte , clique em Ocultar membros e, em seguida, clique em seguinte .
  4. Clique em seguinte para confirmar que o descritor de segurança do grupo seleccionado será alterado para impedir a visualização e, em seguida, clique em Concluir .
  5. Permitir tempo suficiente para o serviço de actualização de destinatários (RUS, Recipient Update Service) para replicar as alterações. Ou, actualizar RUS manualmente no Exchange System Manager. Para o fazer:
    1. Inicie o Exchange System Manager. Para o fazer, clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
    2. Em sua organização, expanda Recipients e clique em Recipient Update Services .
    3. No painel da direita, clique com o botão direito do rato o serviço de actualização de destinatários e, em seguida, clique em Actualizar agora .
Voltar ao topo

Mais Informação

Quando coloca um grupo numa unidade organizacional onde lhe negado acesso de leitura para a comunidade que pretende proteger o membros de, o grupo não é apresentado na lista de endereços global (GAL). No entanto, os membros do grupo ainda podem ser determinado através da utilização de uma consulta (LIGHTWEIGHT Directory Access Protocol) no atributo memberOf de uma conta de utilizador. Esta consulta revela se esse utilizador for membro de uma lista de distribuição ocultos. Não é possível para contornar a expor deste atributo quando todos (Everyone) faz parte do grupo de segurança Acesso compatível com anterior ao Windows 2000.

Fornece acesso de compatibilidade de 2000 Pre?Windows para determinados programas que devem consultar o Active Directory utilizando o acesso de início de sessão anónimo. Programas ou serviços que podem consultar o directório utilizando o acesso de início de sessão anónimo incluem aqueles que executam no contexto de segurança da conta do sistema local:, tal como nos seguintes cenários:
  • Num servidor com o Microsoft Windows NT 4.0 no ou fora da floresta.
  • Num servidor com o Windows 2000 num domínio confiante fora da floresta
Um exemplo de tal um programa ou serviço é o encaminhamento e serviço de acesso remoto em execução no Windows NT 4.0.

No Active Directory, o grupo Pre?Windows 2000 Compatible Access é atribuído permissões de leitura na raiz de domínio e é também atribuído as permissões de leitura de todos os objectos de utilizador, objectos de computador e objectos de grupo. Quando activa Pre?Windows 2000 compatibilidade, especiais grupo Todos é adicionado como membro do grupo Pre?Windows 2000 Compatible Access. Uma vez que todos inclui utilizadores autenticados e os utilizadores anónimos, qualquer pessoa com acesso à rede pode ler estes objectos. Quando esta definição estiver activada, qualquer utilizador com acesso à rede (mesmo um sem uma conta na floresta) pode consultar e identificar informações sobre utilizadores, grupos e computadores do Active Directory. Se não tiver programas que requerem acesso ao Active Directory activado para manter a compatibilidade Pre?Windows 2000, não seleccione esta definição durante a promoção de controlador de domínio.

Quando optar por ocultar membros do grupo, uma entrada de controlo ? negar ? acesso (ACE) é colocado no atributo ? membro ? e, deste modo, ninguém pode lê-la. No entanto, porque Exchange 2000 Server têm de ter acesso a este atributo, duas contas são concedidas acesso ao atributo de membro , apesar do grupo de distribuição está oculta: grupo de servidores de domínio O Exchange (Exchange todos os servidores no domínio são membros neste grupo) e operadores de contas de grupo (inicialmente vazio). Uma vez que utilizadores normais não são membros do grupo Operadores de conta ou o grupo de servidores do Exchange (que só deve incluir as contas de computador), a associação é considerado oculta.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
253827  (http://support.microsoft.com/kb/253827/ ) Como o Exchange oculta os membros do grupo no Active Directory
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
Voltar ao topo
Palavras-chave: 
kbmt kbnofix kbbug kbprb KB812841 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 812841  (http://support.microsoft.com/kb/812841/en-us/ )
Voltar ao topo