Delegação de funções de administrador para um grupo administrativo pode conceder a capacidade de criar caixas de correio em outros grupos administrativos em uma organização do Exchange

Quando você delega a função de administrador do Exchange ou a função de administrador pleno do Exchange no Microsoft Exchange 2000 Server ou no Microsoft Exchange Server 2003, o usuário delegado ou grupo pode ser capaz de criar uma caixa de correio para qualquer usuário em qualquer grupo administrativo na organização do Exchange.

importante Para caixa de correio-ativar uma conta de usuário, o usuário ou grupo que tenha a função Exchange Administrator ou a função de administrador total do Exchange requer acesso de gravação à determinados atributos na conta de usuário de destino no serviço de diretório do Active Directory.

Esse comportamento ocorre quando todas as seguintes condições forem verdadeiras:

• Você atribuir o usuário ou grupo a função de administrador do Exchange ou a função de administrador pleno do Exchange para um grupo administrativo ou para a organização do Exchange.
• O usuário ou grupo que possui a função de administrador do Exchange ou a função de administrador pleno do Exchange também tem permissões administrativas em contas de usuário no Active Directory.Para obter mais informações sobre configuração de permissões em objetos do Active Directory, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  316792  (http://support.microsoft.com/kb/316792/ ) Permissões mínimas necessárias para executar tarefas relacionadas ao Exchange

O Assistente de delegação de administração do Exchange fornece acesso permissões de controle somente para exibição para todos os grupos administrativos em uma organização do Exchange, definindo (ACEs) entradas de controle de acesso no nível da organização. Isso pode fornecer um comportamento que não desejava para organizações do Exchange que possuem vários grupos administrativos.

importante Recomendamos esta solução alternativa para organizações do Exchange que possuem um pequeno número de grupos administrativos. Para organizações do Exchange com um número maior de grupos administrativos, essa solução alternativa pode não ser prática porque cada permissão de controle de acesso deve ser alterado manualmente. Além disso, se você configurar manualmente as permissões de controle de acesso para vários grupos administrativos, ele pode afetar o desempenho do Exchange nos servidores. Este degradação do desempenho ocorre devido ao aumento no ACEs adicionada às listas de controle de acesso (ACLs) do objeto do Active Directory grupo administrativo. À medida que o número de ACEs aumenta, aumenta o tamanho de uma ACL para o objeto. Essas informações de ACL são armazenadas no cache de DSAccess. Cache de DSAccess tem um limite de 32 kilobytes (KB). Se o tamanho total de um atributo para um objeto do Active Directory for maior do que 32.768 bytes, uma redução no desempenho do servidor pode ocorrer porque o cache DSAccess do Exchange não pode armazenar o atributo.

Observação Exchange Server 2003 Service Pack 1 (SP1) inclui um cache de DSAccess atualizado que não tem um limite de 32 KB. Isso ocorre porque no Exchange Server 2003 SP1, o componente DSAccess pode encadear um ou mais memória segmentos juntos.

Aviso Quando você aplica um Deny explícito em uma permissão, negar explícita tem precedência sobre uma permitir que é herdada. Isso pode causar comportamento de controle de acesso que não desejava. Além disso, a configuração manual das ACEs pode causar a conta de usuário não tenha acesso a determinados objetos no Active Directory. Tome cuidado ao configurar manualmente ACEs para garantir que as alterações são totalmente testadas.

Para contornar esse comportamento, negar leitura , Executar , permissões de leitura , conteúdo de lista , Propriedades de leitura e permissões de controle de acesso de objeto List nos grupos administrativos que você deseja ocultar do administrador local delegado que tenha permissões de operador de conta do. Para fazer isso, siga estas etapas.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

1. Clique em Iniciar , aponte para Todos os programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
   
   importante Para alterar a segurança em um objeto de grupo administrativo, você deve ativar a exibição da guia segurança no Exchange administrador do sistema. Para fazer isso, execute as seguintes etapas:
   1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
   2. Localize e, em seguida, clique na seguinte subchave do Registro:
      HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin
   3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
   4. Digite ShowSecurityPage e, em seguida, pressione ENTER.
   5. Na caixa de diálogo Editar valor DWORD , digite 1 na caixa dados do valor e, em seguida, clique em OK .
   6. Feche o Editor do Registro.
2. O Exchange o organização lista no Exchange System Manager, clique com o botão direito do mouse o grupo administrativo que você deseja e em seguida, clique em Propriedades .
3. Clique na guia segurança .
4. Na lista nomes de grupo ou usuário , clique no grupo ou o nome de usuário que você deseja.
5. Na coluna Negar da lista de permissões , clique para selecionar as seguintes caixas de seleção e, em seguida, clique em OK :
   • leitura
   • Executar
   • permissões de leitura
   • conteúdo da lista
   • Propriedades de leitura
   • objeto da lista
6. Feche o Exchange System Manager.

Quando você usar o Assistente de delegação de administração do Exchange para delegar uma função de administrador do Exchange para um grupo administrativo, o Assistente de delegação de administração do Exchange adiciona permissões de controle de acesso Exchange View Only Administrator para o usuário ou grupo para a organização do Exchange.

As permissões de controle de acesso que são concedidas usando o Assistente para delegação de administração Exchange, em seguida, são herdadas por qualquer grupo administrativo na organização do Exchange. Um administrador do Exchange deve ter ler , Executar , permissões de leitura , conteúdo de lista , Propriedades de leitura e permissões de objeto de lista para fornecer funcionalidade administrativa. Para um administrador do Exchange gerenciar um grupo administrativo, as permissões não devem ser removidas.

Para obter mais informações sobre a administração delegada, consulte o white paper "Práticas recomendadas para delegar a administração do Active Directory". Para obter este white paper, visite o seguinte site:Para obter mais informações sobre como conceder a tarefa de criar uma caixa de correio para um usuário, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre as permissões de controle de acesso e o Exchange, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações relacionadas a esse comportamento, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: