Como atribuir acesso de conta de serviço a todas as caixas de correio no Exchange Server 2003

Este artigo descreve com conceder permissões para todas as caixas de correio. Conceder acesso a todas as caixas de correio pode ser útil quando está a efectuar tarefas como a recuperação offline.

Atenção: não utilize este procedimento num ambiente de produção para permitir acesso não autorizado a dados de utilizadores. Se o fizer, poderá violar as políticas de segurança e privacidade da empresa. Implemente um plano de auditoria na rede para detectar e registar utilização imprópria de credenciais administrativas de rede por administradores de sistema.

No Microsoft Exchange Server 5.5, quando concede direitos de acesso Service Account Admin no contentor Site a uma conta baseada no Microsoft Windows, concede acesso ilimitado à conta a todas as caixas de correio. No Microsoft Exchange 2000 Server e no Exchange Server 2003, não existe uma conta de serviço, e mesmo às contas com direitos de administrador da empresa são negados direitos de obtenção de acesso a todas as caixas de correio.

Nota: no Microsoft Windows 2000 Server e no Microsoft Windows Server 2003, os serviços são normalmente executados na conta do computador em que estão instalados. Esta conta é a conta de sistema local (LocalSystem), e a palavra-passe é criada e reciclada pelo Windows 2000 ou pelo Windows Server 2003. Por predefinição, pode utilizar esta conta de serviço para obter acesso à caixa de correio do Exchange, aos arquivos de pastas públicas e a outros recursos do Windows para efectuar transferência de correio e sincronização de directórios.

Se a sua conta de início de sessão for a conta de administrador ou for membro do grupo de administradores do domínio ou do grupo de administradores da empresa, ser-lhe-á explicitamente negado o acesso a todas as caixa de correio que não a sua, mesmo que tenha normalmente direitos administrativos totais no sistema do Exchange. Todas as tarefas administrativas do Exchange Server 2003 podem ser efectuadas sem ter de conceder a um administrador direitos suficientes para ler o correio de outras pessoas.

Pode substituir esta restrição predefinida de várias formas, mas faça-o apenas em conformidade com as políticas de segurança e privacidade da empresa. Com frequência, a substituição da restrição predefinida é adequada apenas num ambiente de servidor de recuperação.

Para conceder acesso à sua conta administrativa, através do Exchange System Manager, a todas as caixas de correio de uma única base de dados independentemente de negações herdadas:

1. Inicie o Exchange System Manager e localize a base de dados relativamente à qual pretende ter acesso total às caixas de correio.
2. Abra as propriedades deste objecto e clique no separador Security.
3. Conceda à sua conta permissões totais explícitas sobre o objecto, incluindo as permissões Receive As e Send As.

Depois de efectuar esta alteração, poderá ainda ver permissões Deny e Allow indisponíveis atribuídas à sua conta. As permissões indisponíveis indicam que, por herança, lhe foi negada permissão, mas que herdou permissões a este nível. No modelo de permissões do Windows, permissões concedidas explicitamente têm precedência sobre permissões herdadas. Note que uma permissão Allow at a lower level explícita tem precedência sobre uma permissão Deny from a higher level explícita apenas no objecto em que a definição for configurada, não afectando os objectos subordinados desse objecto. Isto impede que conceda a si próprio permissões, num servidor, para obter acesso a cada base de dados; tem de conceder permissões individualmente nas bases de dados.

Depois de alterar permissões, poderá ter de terminar a sessão e iniciar uma nova. A Microsoft também recomenda que pare e reinicie todos os serviços do Exchange. Se tiver múltiplos controladores de domínio na floresta, poderá ter também de aguardar pela conclusão da replicação de directórios.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):