文章編號: 812841 - 上次校閱: 2007年2月28日 - 版次: 1.5

通訊群組成員資格後仍然可以看見隱藏成員資格

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

當您隱藏某個通訊群組的成員資格時,從 Pre-Windows 2000 相容的存取] 安全性群組的成員不會隱藏該通訊群組的成員。這表示您的目錄存取的使用者可以檢視物件是的成員藉由檢視 memberOf 屬性的物件上即使隱藏通訊群組的成員資格的群組。

範例John Smith 是名為 MYDL 通訊群組的成員。使用下列 「 Microsoft 知識庫 」 文件中的指示,已正確地隱藏 MYDL 群組成員資格:
253827? (http://support.microsoft.com/kb/253827/ ) Exchange 如何隱藏在 Active Directory 中的群組成員資格
屬於 「 Pre-Windows 2000 相容存取安全性 」 群組的使用者登入時 Exchange Server 電腦,您可以檢視 John Smith 全域通訊清單的內容。 MYDL 列在 成員隸屬] 索引標籤。

附註找不到 [成員隸屬] 索引標籤,請依照下列步驟執行:
  1. 在 Microsoft Outlook 中按一下 [新增]。
  2. 在出現的新郵件視窗,按一下 [ 件者] 按鈕]。
  3. [名稱來源 清單中,按一下 [全域通訊清單
  4. 在 [名稱] 清單中的在名稱上按一下滑鼠右鍵,再按 [內容
  5. 按一下 [成員隸屬] 索引標籤。
回此頁最上方

發生的原因

之所以發生這個問題,是因為隱藏通訊群組成員資格公開給 Pre-Windows 2000 相容存取的成員透過 memberOf 屬性的安全性群組。您在 「 Pre-Windows 2000 相容存取安全性 」 群組包含成員的網域中安裝 Exchange 2000 伺服器時您會收到下列訊息:
「 網域 」 domain.com 」 已識別為不安全的網域,對擁有郵件功能的群組,且具有隱藏 DL 成員。隱藏的 DL 成員資格會公開給成員的內建 Pre-Windows 2000 相容的 Access 安全性群組。這個群組可能擴展 (目的是讓其相容於 Windows 2000 前版伺服器和應用程式的權限的網域升級時了。若要保護這個網域的安全移除任何不需要這個群組的成員。
Pre-Windows 2000 相容的存取] 安全性群組擴展期間 Dcpromo 根據進行權限選項。 如更多有關此程序的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
257988? (http://support.microsoft.com/kb/257988/ ) Dcpromo 權限選項的描述
附註本文也說明如何從 Pre-Windows 2000 相容的存取] 安全性群組中移除 Everyone 群組。請參閱 「 其他資訊 」 一節,以目前發行項 (812841) 如需有關 「 每個人的群組如位於 Pre-Windows 2000 相容存取安全性群組。
回此頁最上方

其他可行方案

如果要解決這個案例中,請依照下列步驟執行:
  1. 新的組織單位或您想要修改在 Active Directory 使用者和電腦的存取權的組織單位中新增通訊群組。
  2. 編輯新的組織單位,若要拒絕讀取權限的使用者或您想要防止檢視通訊群組成員資格的群組屬性。

    附註如果您想要拒絕 Pre-Windows 2000 相容性存取群組 「 讀取 」 權限,請確定先移除 Everyone 群組從 Pre-Windows 2000 相容性存取群組成員資格。如果您不要移除 Everyone 群組,每個人都將被拒絕的 「 讀取 」 權限給通訊群組。

    在某些情況下,您可能必須為先前的伺服器/用戶端提供回溯相容性,作業系統及程式,和您不能移除 Everyone 群組成員資格的 Pre-Windows 2000 相容存取安全性群組。
  3. 通訊群組上按一下滑鼠右鍵,按一下 [Exchange 工作、 按一下 [下一步]、 按一下 [隱藏的成員資格,然後再按一下 [下一步]
  4. 按一下 [下一步],確認選取的群組的安全性描述元會變更以無法檢視,然後按一下 [完成]
  5. 允許足夠的時間的收件者更新服務 (RUS) 複寫所做的變更。或更新 RUS 手動在 「 Exchange 系統管理員 」 中。若要這麼做:
    1. 啟動 Exchange 系統管理員。要執行這項操作、 按一下 [開始]、 指向 [程式集]、 指向 Microsoft Exchange,然後按一下 系統管理員 」
    2. 在您的組織下展開 [收件者,] 然後按一下 [收件者更新服務
    3. 在右窗格中用滑鼠右鍵按一下 [收件者更新] 服務,然後按一下 [立即更新]。
回此頁最上方

其他相關資訊

當您將放群組組織單位中何處您已拒絕的 「 讀取 」 權限至您要保全從其成員資格的社群時,群組不會出現在全域通訊清單 (GAL)。不過,群組成員資格可能仍決定透過輕量型目錄存取通訊協定 (LDAP) 查詢 memberOf 屬性的使用者帳戶上的使用。這項查詢會顯示該使用者是否為隱藏的通訊群組清單的成員。沒有要解決當每個人是 「 Pre-Windows 2000 相容存取安全性 」 群組的一部份時這個屬性顯露方法。

Pre–Windows 2000 相容性 Access 提供必須藉由使用匿名登入存取查詢 Active Directory 的特定程式。程式或服務,可能會藉由使用匿名登入存取查詢目錄包含本機 「 系統 」 帳戶的安全性內容中執行的那些:,例如在下列情況中:
  • 在伺服器上執行 Microsoft Windows NT 4.0 中或外部樹系。
  • 外部樹系信任網域中執行 Windows 2000 的伺服器上
這類程式或服務的範例是 「 路由及遠端存取服務在 Windows NT 4.0 上執行。

在 Active Directory 中群組 Pre–Windows 2000 相容 Access 指派網域的根的讀取權限,也被指派所有的使用者物件、 電腦物件和群組物件上的讀取權限。當您啟用每個人] 群組會新增為 Pre–Windows 2000 相容存取群組成員的特殊 Pre–Windows 2000 相容。因為每個人 」 包含已驗證的使用者和匿名的使用者,以利任何具有網路存取權可以讀取這些物件。啟用此設定時任何擁有網路存取 (不在樹系中帳戶的情況下甚至那一個) 的使用者可以查詢,並找出 Active Directory 使用者、 群組和電腦的相關資訊。如果您沒有需要啟用的 Active Directory 存取 Pre–Windows 2000 相容的程式不要選取此設定在網域控制站升級期間。

選擇隱藏群組成員資格時為 「 拒絕 」 存取控制項目 (ACE) 放 「 成員 」 的屬性上,而,有鑑於此,沒有人可以讀取它。不過,因為 Exchange 2000 伺服器必須有這個屬性的存取,兩個帳戶授權存取 成員 屬性即使隱藏的通訊群組: 「 Exchange 網域伺服器群組 (所有的 Exchange 網域中的伺服器是此群組的成員) 和帳戶操作員群組 (最初空的)。由於典型的使用者不會考慮帳戶操作員群組或 Exchange 伺服器群組 (它應該只包括電腦帳戶),成員資格的成員隱藏。

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
253827? (http://support.microsoft.com/kb/253827/ ) Exchange 如何隱藏在 Active Directory 中的群組成員資格
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
回此頁最上方
關鍵字:?
kbmt kbnofix kbbug kbprb KB812841 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:812841? (http://support.microsoft.com/kb/812841/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。