Scénář
Jde o takovouto situaci:
-
Pomocí sdílené oprávnění modelu, který je nainstalován ve výchozím nastavení pro Exchange Server se systémem Exchange Server.
-
Položky řízení přístupu jsou vloženy do doménové struktury služby Active Directory. To poskytuje zvýšené úrovni oprávnění adresáře Exchange Server.
Příčina
Exchange Server je aplikace s podporou služby adresář. Proto musí být schopen změnit atributy, které souvisejí s objekty Exchange Server povoleno. To zahrnuje možnost v některých případech upravovat volitelné seznamy řízení přístupu (DACL). Vzhledem k tomu, že tyto objekty mohou existovat kdekoli v hierarchii domény, Exchange Server udělí práva na serverech se systémem Exchange Server v kořenové doméně. Důvodem je zajistit, že práva jsou předány do všech platných objektů.
Exchange Server nelze využít právě Dědí pouze příznak při vyhodnocování šíření seznamu DACL. To se nevztahuje na model rozdělit oprávnění služby Active Directory. V rozdělené konfigurace oprávnění se vztahuje oprávnění modelu, který neposkytuje možnost vytvořit nebo upravit objekty zabezpečení do adresáře serverů Exchange Server.
Stav
Toto chování je záměrné. Správci serveru Exchange poskytuje flexibilitu při správě atributů objektů Exchange Server, které jsou konzistentní s jejich role jako správce serveru Exchange. Očekává se, že správci serveru Exchange mohli vytvořit uživatelské účty a poštovní schránky a pokud Exchange Server je spuštěn ve sdíleném modelu oprávnění přiřadit objekty typu poštovní schránku jako prostředku poštovní schránky nebo sdílené poštovní schránky.
Řešení
Společnost Microsoft byla vyhodnocena práva, která jsou udělena na serverech se systémem Exchange Server a Exchange správci v určených případech. Společnost Microsoft určila, že je možné provést změny, které nižší oprávnění, která jsou v rámci domény služby Active Directory. Změny skutečných oprávnění se liší v závislosti na verzi Exchange Server, který je používán.
Postup v této části vrátí do profilu oprávnění adresáře common, sníženou všech prostředích.
Chcete-li vyřešit tento problém v Exchange Server 2013 nebo novější verze, Zákazníci by měli nainstalovat následující kumulativní aktualizace v závislosti na prostředí:
-
2019 – kumulativní aktualizace 1 pro Exchange Server
-
2016 – kumulativní aktualizace 12 pro Exchange Server
-
Exchange Server 2013 – kumulativní aktualizace 22
Prostředí, ve kterém Exchange Server 2013 nebo novější se používá požadovat balíček aktualizace kumulativní aktualizace ručně spustit v libovolné doménové struktuře služby Active Directory ve kterém je nainstalován Exchange Server nebo v němž schéma adresáře /PrepareAD byly připraveny hostitelské servery se systémem Exchange Server. Zákazníci, kteří používají více domén v jedné doménové struktuře navíc bude nutné spustit /PrepareDomain ve všech doménách v doménové struktuře na nižší oprávnění, která jsou správci Exchange Server a Exchange Server.
Poznámka: Operace /PrepareDomain se automaticky spustí v doméně služby Active Directory, ve kterém je spuštěn /PrepareAD . Však nemusí být schopen aktualizovat jiných domén v doménové struktuře. Z tohoto důvodu by měl správce domény spustit /PrepareDomain v ostatních doménách v doménové struktuře. Další informace o přepínačích /Prepare , které jsou používány Exchange Server naleznete v tématu Příprava služby Active Directory a domény pro Exchange Server.
Příprava operace v tyto aktualizované kumulativní aktualizace proveďte následující změny do prostředí služby Active Directory.
Exchange Server 2016 a novější verze
Objekt AdminSDHolder domény je aktualizován, aby odebral "Povolit" ACE, který uděluje "Exchange důvěryhodné subsystému" skupiny "Zápis DACL" vpravo na "Skupiny" zděděné typy objektů.
Exchange Server 2013 a novější verze
"Povolit" řízení přístupu položka (ACE), "Systému Windows oprávnění Exchange" skupiny "Zápis DACL" právo na "Uživatel" a "INetOrgPerson" zděděné typy objektů je aktualizován a zahrnuje příznak "Dědí pouze" na kořenový objekt domény.
Exchange Server 2010
Zákazníci používající systém Exchange Server 2010 platit následující ruční aktualizace jejich prostředí pomocí nástroje LDP.
-
Spuštění nástroje LDP (do pole Spustit zadejte ldp.exea potom stiskněte klávesu Enter).
-
Připojte k oboru názvů domény, který chcete aktualizovat. (V nabídce soubor klepněte na příkaz Připojit.)
-
Vytvořit vazbu na obor názvů domény pomocí pověření správce domény. (V nabídce soubor klepněte na příkaz vytvořit vazbu.)
-
Zobrazení stromu pomocí Základní rozlišující název, který odpovídá kořenové kontext domény mají být aktualizovány. (V nabídce Zobrazit klepněte na tlačítko strom.) Například:
-
Otevřete domény seznamy řízení přístupu. (Klepněte pravým tlačítkem na doménu, klepněte na tlačítko Upřesnita potom klepněte na tlačítko Popisovač zabezpečení.)
-
Najděte dvě ESA "Povolit", které udělují "Zápis DACL" vpravo do skupiny "Oprávnění v Exchange systému Windows" na "Uživatel" a "INetOrgPerson" zděděné typy objektů: Poznámka: Provést řazení seznamu . Tím se změní pořadí ACL.
-
Upravte každou položku, chcete-li přidat příznak "Dědí pouze". Chcete-li to provést, poklepejte na objekt a vyberte požadovaný příznak.
-
Ověřte, zda je operace úspěšná na každé eso. Potom klepněte na tlačítko Aktualizovat.