كيفية إخفاء Exchange عضوية مجموعة في "Active Directory"

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية253827
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
يستخدم Exchange 2000 واصف أمان Windows 2000 لتقييد الوصول إلى عضوية المجموعة. موصل خدمة Active Directory (ADC) و "خدمة تحديث المستلمين" تعتبر مسؤولاً عن تحديث هذه واصفات الأمان للمجموعات التي تم إخفاؤها العضويات.
معلومات أخرى
على Exchange Server 5.5 الخاصة به خدمة الدليل بحيث يكون مسؤولاً عن تعريف كيفية استعراض المستخدمين خلال سمات ومن لديه حق القراءة أو الكتابة خصائص معينة. يسمح هذا Exchange Server 5.5 لتحديد ما إذا كان شخص ما يمكن رؤية عضوية مجموعة لأن التعليمات البرمجية التي تظهر تلك السمة من خلال واجهة برمجة تطبيقات الرسائل (MAPI) أو بروتوكول الوصول لتغيير بيانات الدليل (LDAP) تمر عبر نظام أمان Exchange Server 5.5.

في Exchange 2000، Active يستبدل دليل Exchange Server بحيث ينتمي إليها نظام الأمان من أجل استعلامات LDAP إلى Windows 2000. يتيح Windows 2000 إمكانية التحكم في الوصول إلى عدة مستويات بما في ذلك إعداد الأذونات على سمة واحدة. لهذا السبب، يستخدم Exchange 2000 واصف أمان Windows 2000 إلى عنصر التحكم الذي يقوم ولم يكن لديه الحق في رؤية أعضاء مجموعة.

مع Exchange 2000 وWindows 2000 يجب أن تتخذ احتياطات معينة للتأكد من تعيين الأذونات بشكل صحيح. على سبيل المثال، كافة ملقمات Exchange 2000 المثبتة في حاجة المؤسسة إذن لعرض عضوية المجموعة حتى إذا تم تمكين خيار إخفاء عضوية هذه المجموعة. وإلا، لا تلك الملقمات قم بتوسيع عضوية المجموعة ثم تسليم الرسائل الموجهة إلى تلك المجموعة.

لإعطاء Exchange 2000 للمستخدمين والمسؤولين عن الأمان الأقصى الممكن قم Exchange 2000 استناداً على ADC "خدمة تحديث المستلمين" للتأكد من تعيين هذه الأذونات بشكل صحيح.

معالجة قوائم توزيع منسوخ من Exchange Server 5.5

في حالة تثبيت Exchange 2000 في طبولوجيا مختلطة مع كمبيوتر Exchange Server 5.5 واحد أو أكثر ، تحتاج ADC نسخاً متماثلاً الإدخالات من دليل Exchange Server 5.5 إلى "Active Directory" وكان والعكس بالعكس. لهذا السبب، إذا تم إجراء نسخ متماثل قائمة توزيع (DL) مخفية في Exchange Server 5.5 العضوية يجب أن تكون مخفية في "Active Directory" أيضاً.

لتنفيذ ذلك, عندما يتم النسخ المتماثل ADC DL مخفية من Exchange Server 5.5 ، يكشف تعيين سمة إخفاء dl عضوية في الدليل Exchange Server 5.5 إلى TRUE و فإنه stamps مجموعة من "إدخالات التحكم بالوصول" (ACEs) على واصف الأمان في "Active Directory". ستكون هذه ACEs في تنسيق غير متعارف عليه مما يعني أنه واحد على الأقل رفض ستتبع ACE ACE المسموح بها.

لتحديد أية "أساسيات الأمان" أن يكون لديك إذن قراءة أو كتابة عضوية ADC بقراءة السمة msExchServerGlobalGroups من إدخال حاوية المؤسسة في "Active Directory" ويقوم استخراج قائمة معرفات الأمان (SID) التي سوف تشمل الجزء غير متعارف عليه من واصف الأمان. يسمح هذا لكافة أجهزة الكمبيوتر Exchange Server للوصول إلى عضوية مجموعة بغض النظر عن ما إذا كان مخفياً العضوية.

خذ بعين الاعتبار المثال التالي. لدى المؤسسة الخاصة بك عدة ملقمات Exchange 2000 في اثنين مختلفة المجالات، DomA DomB. إعداد Exchange 2000 بإنشاء مجموعتين المسمى "DomA\Domain EXServers" و "EXServers DomB\Domain." سوف يحتوي على سمة msExchServerGlobalGroups قيمتين والتي سيتم SIDs تلك مجموعتين.

سيتم واصف الأمان الأخيرة هذه المجموعة بعد وإنشاء نسخ ADC متماثلة فإنه "Active Directory":

ACE #نوعلليمينمعرّف الأمان (sid)
1مسموح بهعضو القراءة/الكتابةEXServers DomA\Domain
2مسموح بهعضو القراءة/الكتابةEXServers DomB\Domain
3تم رفضعضو القراءة/الكتابةكل شخص
4tAb
...
N-1xcd
nyef

سيقوم بإضافة ADC الأول ACE الثالث في الجدول أعلاه. حتى عندما بالتقييم الفرعي أمان Windows هذا الإذن, فإنه سيتم منح كل "المجال EXServers" حق القراءة والكتابة العضوية ولكن أحد آخر.

عند فتح "مستخدمي Active Directory" والأداة الإضافية "وحدة التحكم بالإدارة Computers Microsoft (MMC) انقر فوق ميزات متقدمة في القائمة عرض ، يمكنك مشاهدة علامة التبويب أمان على كل إدخال. إذا قمت بتحديد المجموعة التي تحتوي على واصف الأمان غير متعارف عليه تتلقى رسالة الخطأ التالية:
لا يمكن Windows تحرير الأذونات على 'MyHiddenGroup' لأنه قد تم كتابتها بتنسيق غير قياسي قبل تطبيق آخر. لتمكين تحرير يجب عليك استخدام التطبيق لإرجاع الأذونات إلى تنسيق قياسي.
بشكل أساسي, الفرعي أمان Windows يعرف كيفية ترجمة تنسيقات غير متعارف عليه ولكن واجهة المستخدم لا يسمح لك تحريره. سيتم السماح المسؤول ولا حتى على مشاهدة أو تحرير عضوية المجموعة يحتوي على السمة hideDLMembership في "Active Directory" تساوي TRUE. وللقيام بذلك، تحتاج إلى أن تكون عضواً في مجموعة الأمان "مجال EXServers".

خدمة تحديث المستلمين

هناك اثنين من وحدات السيناريو التي لم تتم معالجتها الحل أعلاه:
  • ماذا يحدث إذا كانت قيد التشغيل ADC قبل تثبيت أول ملقم Exchange 2000 ؟
  • إذا قمت بإضافة مجال جديد مع Exchange 2000 إلى المؤسسة كيفية يمكن إضافته إلى قائمة ملقمات على واصف الأمان غير متعارف عليه ؟
تعتبر الإجابة عن الأسئلة كلا "خدمة تحديث المستلمين".

خدمة تحديث المستلمين له مهمة مراقبة التغييرات على "Active Directory" ويستغرق إجراءات تستند إلى هذه التغييرات. بشكل رئيسي ، يضيف ، يزيل ، وتعديل عناوين البريد الإلكتروني قوائم عناوين والسمات الأخرى عن إدخالات تمكين بريد مثل المستخدمين جهات الاتصال والمجموعات المجلدات العمومية. ولكن يعرف أيضاً عند ملقم جديد أو إضافة مجال جديد إلى شبكة الاتصال.

بشكل خاص، إذا قمت بإضافة ملقم Exchange 2000 جديد إلى مجال لا يحتوي مسبقاً على ملقم Exchange 2000 فإنه سيتم البحث عن كافة المجموعات مع الشرط "hideDLMembership = TRUE،" وإعادة تعيين واصف الأمان مع متطلبات جديد للحصول على واصف الأمان غير متعارف عليه.

يعمل هذا أيضاً تغييرات يدوية أو البرمجي باستخدام واجهة LDAP. إذا تم تغيير السمة hideDLMembership إلى TRUE أو FALSE خدمة تحديث المستلمين سيتم ملاحظة أنه ، ثم إضافة أو إزالة الجزء غير متعارف عليه من واصف الأمان. يسمح هذا الشركات كتابة التطبيق الخاصة بهم لتغيير حالة مجموعة مخفية عضو بدون تعريض الأمان للخطر.

تجنب المشاكل اختفاء عند التعديل حالة المجموعة المخفية

قد يستغرق "خدمة تحديث المستلمين" من بضع ثوانٍ إلى عدة دقائق للتعرف على تغيير جديدة في "Active" Directory، اعتماداً على العديد من الشروط. لهذا السبب، إذا قمت بتحديد مجموعة باستخدام Active Directory Users and Computers MMC الأداة الإضافية "،" ملحق Exchange الإضافية التي توفر لك الإجراء الفوري في حالة اختيار إخفاء عضوية هذه المجموعة.

لإخفاء عضوية المجموعة باستخدام الأداة الإضافية Active Directory Users and Computers MMC:
  1. انقر فوق مجموعة عضوية الذي تريد إخفاءه.
  2. انقر بزر الماوس الأيمن فوق المجموعة ومن ثم انقر فوق مهام Exchange.
  3. اتبع المعالج ثم انقر فوق إخفاء العضوية.
للحصول على بيئة تحكم مجال واحدة هذا سوف فوراً تغيير واصف الأمان هذه المجموعة ثم منع أي شخص من عرض معلومات العضوية الخاصة به. ومع ذلك، بالنسبة بيئة multi-domain-تحكم يجب الانتظار حتى النسخ المتماثل لـ "Active Directory" أن انتهاء.
DC XADM exch2kp2w RUS AD

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 253827 - آخر مراجعة: 12/05/2015 18:35:45 - المراجعة: 4.0

Microsoft Exchange 2000 Server Standard Edition, Microsoft Exchange Server 5.5 Service Pack 3, the operating system: Microsoft Windows 2000

  • kbnosurvey kbarchive kbmt kberrmsg kbinfo KB253827 KbMtar
تعليقات