Сценарий
Да разгледаме следния сценарий:
-
Използвате Exchange Server чрез споделени разрешения модел, който е инсталиран по подразбиране за Exchange Server.
-
Записите за контрол на достъпа се поставят в структура на Active Directory. Това дава Exchange Server повишено ниво на разрешение за директория.
Причина
Exchange Server е приложение за услуги за поддръжка на директория. Следователно трябва да можете да промените атрибутите, които са свързани с Exchange Server с разрешени обекти. Това включва възможността за промяна на потребителски достъп списъци за контрол (DACLs) в някои случаи. Тъй като тези обекти могат да съществуват навсякъде в йерархията на домейна, Exchange Server дава права за сървъри, работещи под Exchange Server в корена на домейн. Това се прави, за да се уверите, че правата са прехвърлени към всички приложими обекти.
Exchange Server не в момента да използват Наследяват само маркира, когато се оценява DACL разпространение. Това не се отнася за модела на Active Directory разделяне разрешения. В конфигурация с разделени разрешения Exchange Server се прилага модел разрешения, който предоставя сървъри възможността да създадете или модифицирате механизми за защита в директорията.
Статус
Това поведение е умишлено. Предлага администратори на Exchange гъвкавост за управление на атрибути на Exchange Server обекти, които са в съответствие с ролята на администратор на Exchange. За да можете да създавате потребителски акаунти и пощенски кутии и прехвърлите обекти кутия тип пощенски кутии за ресурси или споделени пощенски кутии, ако Exchange Server се изпълнява в споделена модел на разрешения се очаква администратори на Exchange.
Решение
Microsoft има оценени права, които са предоставени сървъри, работещи под Exchange Server и Exchange администратори в определени ситуации. Microsoft определи, че е възможно да се промени, които понижават разрешенията, предоставени в домейн на Active Directory. Разрешение за действителните промени се различават в зависимост от версията на Exchange Server, който се използва.
Процедурите в този раздел се връща всички среди често, намалена директория разрешение профил.
За да отстраните проблема на Exchange Server 2013 или по-нова версия, клиентите трябва да инсталирате следната сборна актуализация, според тяхната среда:
-
Exchange Server 2019- сборна актуализация 1
-
Exchange Server 2016- сборна актуализация 12
-
Exchange Server 2013- сборна актуализация 22
Среда, в която се използва Exchange Server 2013 или по-нова версия изискват актуализиран сборния пакет за актуализация ръчно изпълнение /PrepareAD в структура на Active Directory, в който Exchange Server е инсталиран или е схемата на директорията са готови да хост сървъри, работещи под Exchange Server. Освен това потребителите, които използват няколко домейна в една гора трябва да изпълни /PrepareDomain във всички области в гората да снижат разрешенията, предоставени за Exchange Server и за администратори на Exchange.
Забележка: Операцията на /PrepareDomain автоматично стартира в домейн на Active Directory, в която се изпълнява /PrepareAD . Обаче, той може да не успеете да актуализирате други домейни от гората. Поради тази причина домейнов администратор трябва да изпълни /PrepareDomain в други домейни от гората. За повече информация относно ключовете на /Prepare , които се използват от Exchange Server вижте подготовка на Active Directory и домейни за Exchange Server.
Подгответе операции в тези актуализирани сборни актуализации направете следните промени на Active Directory среда.
Exchange Server 2016 и по-нови версии
Обект на AdminSDHolder домейн се актуализира за премахване на "Разреши" ACE издадените "Exchange надеждни подсистемата" групата "напишете DACL" на "Група" наследява типовете обекти.
Exchange Server 2013 и по-нови версии
"Разреши" достъп контрол запис (ACE) издадените "разрешения за Exchange Windows" група "напишете DACL" право на "потребител" и "INetOrgPerson" наследява типовете обекти се актуализира включва флага "Наследи само" на главния обект домейн.
Exchange Server 2010
Клиентите, използващи Exchange Server 2010 спрямо следните актуализации ръчно им среда чрез инструмента LDP.
-
Стартиране на инструмента LDP (в изпълнение тип ldp.exeи след това натиснете Enter).
-
Свързване към домейн имена, които искате да актуализирате. (В менюто файл щракнете върху Свържи се.)
-
Като използвате идентификационни данни на администратор на домейн се свързват с имена на домейни. (В менюто файл , щракнете върху името.)
-
Покажи дървото с помощта на база DN, съответстващ на основата на контекста на домейн да се актуализира. (В менюто изглед щракнете върху дърво.) Например:
-
Отвори домейн списъците за контрол на достъпа. (Щракнете с десния бутон на домейн, щракнете върху Разширении изберете Дескриптор.)
-
Намерете две "Разреши" включеното, които предоставят "Напишете DACL" отдясно "Exchange Windows разрешения" група "потребител" и "INetOrgPerson" наследени типове обекти: ЗабележкаNot сортиране списък. Това ще промени ACL ред.
-
Редактиране на всеки запис да добавите флага "Наследи само". За да направите това, щракнете двукратно върху обекта, изберете флаг и след това щракнете върху OK.
-
Уверете се, че операцията е успешна на всеки ACE. След това щракнете върху актуализация.