Delegar funções de administrador para um grupo administrativo pode conceder a capacidade para criar caixas de correio de outros grupos administrativos numa organização Exchange

Quando delegar a função de administrador do Exchange ou a função Exchange Full Administrator no Microsoft Exchange 2000 Server ou no Microsoft Exchange Server 2003, o utilizador delegado ou grupo poderá criar uma caixa de correio para qualquer utilizador em qualquer grupo administrativo na organização do Exchange.

importante Para caixa de correio-activar uma conta de utilizador, o utilizador ou grupo que tem a função de administrador do Exchange ou função Exchange Full Administrator requer acesso de escrita para determinados atributos na conta de utilizador de destino no serviço de directório do Active Directory.

Este comportamento ocorre quando se verificam as seguintes condições:

• Atribuir o utilizador ou grupo à função Administrador do Exchange ou a função Exchange Full Administrator para um grupo administrativo ou para a organização do Exchange.
• O utilizador ou grupo que tem a função de administrador do Exchange ou função Exchange Full Administrator também com permissões administrativas nas contas de utilizador no Active Directory.Para mais informações sobre a definição de permissões em objectos do Active Directory, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  316792  (http://support.microsoft.com/kb/316792/ ) Permissões mínimas necessárias para executar tarefas relacionadas com o Exchange

O Exchange Administration Delegation Wizard fornece ver apenas a controlo de permissões de acesso todos os grupos administrativos numa organização do Exchange, definir entradas de controlo (ACE) de acesso ao nível da organização. Isto pode fornecer o comportamento que não pretendia para organizações do Exchange com vários grupos administrativos.

importante Recomendamos esta solução alternativa para organizações do Exchange com um pequeno número de grupos administrativos. Para organizações do Exchange com um grande número de grupos administrativos, esta solução alternativa poderá não ser prática uma vez que cada permissão de controlo de acesso tem de ser alterado manualmente. Além disso, se configurar manualmente as permissões de controlo de acesso para grupos administrativos muitas, pode afectar o desempenho do Exchange nos servidores. Esta diminuição do desempenho ocorre devido ao aumento de ACEs que são adicionados às listas de controlo (ACL, Access Control List) de acesso do objecto grupo administrativo do Active Directory. À medida que o número de ACEs aumenta, aumenta o tamanho de uma ACL para o objecto. Estas informações de ACL, Access Control List são armazenadas na cache do DSAccess. A cache do DSAccess tem um limite 32 quilobyte (KB). Se o tamanho total de um atributo para um objecto do Active Directory for maior do que 32.768 bytes, uma redução no desempenho do servidor pode ocorrer porque a cache do DSAccess Exchange não é possível armazenar o atributo.

Nota Exchange Server 2003 Service Pack 1 (SP1) inclui uma cache do DSAccess actualizada que já não tem um limite de 32 KB. Isto acontece porque no Exchange Server 2003 SP1, o componente DSAccess pode interligar uma ou mais memória segmentos em conjunto.

aviso Quando aplica um Negar Deny explícitas numa permissão, Negar explícita tem precedência sobre um permitir é herdada. Isto pode causar o comportamento do controlo de acesso que não é pretendido. Além disso, a configuração manual de ACEs pode causar a conta de utilizador não ter acesso a determinados objectos no Active Directory. Tenha cuidado ao configurar manualmente ACE para garantir que as alterações são totalmente testadas.

Para contornar este comportamento, negar leitura , Executar , permissões de leitura , lista de conteúdo , Propriedades de leitura e objecto de lista de permissões de controlo de acesso nos grupos administrativos que pretende ocultar do administrador local delegado com permissões de operador de conta. Para o fazer, siga estes passos.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

1. Clique em Iniciar , aponte para Todos os programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
   
   importante Para alterar a segurança de um objecto de grupo administrativo, tem de activar a visualização do separador segurança no Exchange administrador do sistema. Para o fazer, siga estes passos:
   1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
   2. Localize e, em seguida, clique na seguinte subchave do registo:
      HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin
   3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
   4. Escreva ShowSecurityPage e, em seguida, prima ENTER.
   5. Na caixa de diálogo Editar valor DWORD , escreva 1 na caixa dados do valor e, em seguida, clique em OK .
   6. Saia do Editor de registo.
2. Do Exchange organização listar no Exchange System Manager, clique com o botão direito do rato o grupo administrativo que pretende e, em seguida, clique em Propriedades .
3. Clique no separador segurança .
4. Na lista nomes de grupo ou utilizador , faça clique sobre o grupo ou o nome de utilizador que pretende.
5. Na coluna da lista de permissões Negar , clique para seleccionar as caixas de verificação seguintes e, em seguida, clique em OK :
   • Ler
   • Executar
   • permissões de leitura
   • conteúdo da lista
   • Propriedades de leitura
   • objecto de lista
6. Saia do Exchange System Manager.

Quando utiliza o Exchange Administration Delegation Wizard para delegar uma função de administrador do Exchange a um grupo administrativo, Exchange Administration Delegation Wizard adiciona permissões de controlo de acesso de ver apenas administrador do Exchange para o utilizador ou grupo à organização do Exchange.

As permissões de controlo de acesso que são concedidas utilizando a administração Delegation Wizard do Exchange, em seguida, são herdadas por qualquer grupo administrativo na organização do Exchange. Um administrador do Exchange tem de ter Ler , Executar , permissões de leitura , lista de conteúdo , Propriedades de leitura e permissões de objecto de lista para fornecer funcionalidade administrativa. Para um administrador do Exchange gerir um grupo administrativo, as permissões não devem ser removidas.

Para mais informações sobre a administração delegada, consulte a documentação técnica "Procedimentos recomendados para delegar a administração do Active Directory". Para obter esta documentação técnica, visite o seguinte Web site da Microsoft:Para obter mais informações sobre como conceder a tarefa Create Mailbox a um utilizador, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre permissões de controlo de acesso e o Exchange, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações relacionadas com este comportamento, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: