Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Szenario

Stellen Sie sich folgendes Szenario vor:

  • Sie führen Exchange Server mithilfe des Modells für gemeinsam genutzte Berechtigungen aus, das standardmäßig für Exchange Server installiert wird.

  • Zugriffssteuerungseinträge werden zur Active Directory-Gesamtstruktur hinzugefügt. Auf diese Weise erhält Exchange Server erhöhte Verzeichnisberechtigungen.

Ursache

Exchange Server ist eine für Verzeichnisdienste aktivierte Anwendung. Deshalb muss es möglich sein, Attribute im Zusammenhang mit für Exchange Server aktivierten Objekten zu ändern. Hierzu zählt die Möglichkeit, in bestimmten Situationen besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) zu ändern. Diese Objekte können überall in der Domänenhierarchie vorhanden sein. Servern, die Exchange Server auf der Domänenstammebene ausführen, erteilt Exchange Server deshalb Rechte. Dadurch soll sichergestellt werden, dass die Rechte an alle entsprechenden Objekte weitergegeben werden.

Exchange Server nutzt derzeit das Flag Inherit Only (Nur erben) nicht, wenn die DACL-Weitergabe ausgewertet wird. Das Active Directory-Modell für geteilte Berechtigungen ist nicht davon betroffen. Bei einer Konfiguration mit geteilten Berechtigungen wendet Exchange Server ein Berechtigungsmodell an, das es Servern nicht erlaubt, Sicherheitsprinzipale im Verzeichnis zu erstellen oder zu ändern.

Status

Dieses Verhalten ist beabsichtigt. Es bietet Exchange-Administratoren die Flexibilität, Attribute in Exchange Server-Objekten zu verwalten, die der Rolle als Exchange-Administrator entsprechen. Exchange-Administratoren sollen in der Lage sein, Benutzerkonten und Postfächer zu erstellen sowie Postfachtypobjekte als Ressourcenpostfächer oder freigegebene Postfächer erneut zuzuweisen, falls Exchange Server mithilfe des Modells für gemeinsam genutzte Berechtigungen ausgeführt wird.

Lösung

Microsoft hat die Rechte ausgewertet, die Servern, auf denen Exchange Server ausgeführt wird, sowie Exchange-Administratoren in den genannten Szenerien erteilt werden. Microsoft hat festgestellt, dass Änderungen vorgenommen werden können, durch die die Berechtigungen gesenkt werden, die innerhalb einer Active Directory-Domäne erteilt werden. Die tatsächlichen Berechtigungsänderungen hängen von der verwendeten Exchange Server-Version ab.

Mit dem in diesem Abschnitt beschriebenen Verfahren werden alle Umgebungen auf ein übliches, reduziertes Verzeichnisberechtigungsprofil zurückgesetzt.

Zur Behebung dieses Problems unter Exchange Server 2013 oder einer höheren Version sollten Kunden das folgende kumulative Update entsprechend ihrer Umgebung installieren:

Für Umgebungen, in denen Exchange Server 2013 oder eine höhere Version verwendet wird, ist das aktualisierte kumulative Updatepaket erforderlich, um /PrepareAD manuell in jeder Active Directory-Gesamtstruktur auszuführen, in der Exchange Server installiert ist oder in der das Verzeichnisschema für Hostserver vorbereitet wurde, die Exchange Server ausführen. Darüber hinaus müssen Kunden, die mehrere Domänen in einer einzigen Gesamtstruktur verwenden, /PrepareDomain in allen Domänen der Gesamtstruktur ausführen, um die Berechtigungen zu senken, die Exchange Server und Exchange-Administratoren erteilt werden.

Hinweis /PrepareDomain wird automatisch in der Active Directory-Domäne ausgeführt, in der /PrepareAD ausgeführt wird. Möglicherweise können jedoch andere Domänen in der Gesamtstruktur nicht aktualisiert werden. Deshalb sollte ein Domänenadministrator /PrepareDomain in anderen Domänen in der Gesamtstruktur ausführen.

Weitere Informationen zu den von Exchange Server verwendeten Optionen für /Prepare finden Sie unter Vorbereitung von Active Directory und Domänen für Exchange Server.

Durch die vorbereitenden Schritte in diesen aktualisierten kumulativen Updates werden die folgenden Änderungen an der Active Directory-Umgebung vorgenommen.

Exchange Server 2016 und höhere Versionen

Das Objekt „AdminSDHolder“ in der Domäne wird aktualisiert, um den Zugriffssteuerungseintrag (ACE) „Allow“ (Zulassen) zu entfernen, mit dem der Gruppe „Exchange Trusted Subsystem“ (Vertrauenswürdiges Subsystem von Exchange) das Recht „Write DACL“ (DACL schreiben) in den vererbten Objekttypen „Group“ (Gruppe) erteilt wird.

Exchange Server 2013 und höhere Versionen

Der Zugriffssteuerungseintrag (ACE) „Allow“ (Zulassen), mit dem der Gruppe „Exchange Windows Permissions“ (Exchange Windows-Berechtigungen) das Recht „Write DACL“ (DACL schreiben) für die vererbten Objekttypen „User“ und „INetOrgPerson“ erteilt wird, wird aktualisiert, um das Flag „Inherit Only“ (Nur erben) im Domänenstammobjekt einzubeziehen.

Exchange Server 2010

Kunden, die Exchange Server 2010 ausführen, sollten mit dem LDP-Tool die folgenden manuellen Updates auf ihre Umgebung anwenden.

  1. Starten Sie das LDP-Tool (geben Sie in das Feld Ausführen die Zeichenfolge ldp.exe ein, und drücken Sie dann die EINGABETASTE).

  2. Stellen Sie eine Verbindung mit dem Domänennamespace her, den Sie aktualisieren möchten. (Klicken Sie im Menü Datei auf Verbinden.)

  3. Stellen Sie mithilfe der Domänenadministrator-Anmeldeinformationen eine Bindung zum Domänennamespace her. (Klicken Sie im Menü Datei auf Binden.)

  4. Zeigen Sie die Struktur an, indem Sie den Basis-DN verwenden, der dem zu aktualisierenden Domänenkontextstamm entspricht. (Klicken Sie im Menü Ansicht auf Struktur.)
    Beispiel:

    Strukturansicht

  5. Öffnen Sie Domänenzugriffssteuerungslisten. (Klicken Sie mit der rechten Maustaste auf Domäne, klicken Sie auf Advanced (Erweitert), und klicken Sie anschließend auf Security Descriptor (Sicherheitsbeschreibung).)

    Domäne-Zugriffssteuerungslisten

  6. Suchen Sie die beiden Zugriffssteuerungseinträge (ACEs) „Allow“ (Zulassen), mit denen der Gruppe „Exchange Windows Permissions“ (Exchange Windows-Berechtigungen) das Recht „Write DACL“ (DACL schreiben) für die vererbten Objekttypen „User“ und „INetOrgPerson“ erteilt wird:

    Sicherheitsdeskriptor

    Hinweis  Sie sollten die Liste nicht sortieren. Dadurch wird die ACL-Reihenfolge geändert.

  7. Bearbeiten Sie jeden Eintrag, um das Flag „Inherit Only“ (Nur erben) hinzuzufügen. Doppelklicken Sie dazu auf das Objekt, wählen Sie das Flag aus, und klicken Sie anschließend auf OK.

    Zugriffssteuerungseintrag

  8. Vergewissern Sie sich, dass der Vorgang für jeden ACE erfolgreich ausgeführt wurde. Klicken Sie anschließend auf Update (Aktualisieren).

    Sicherheitsdeskriptor

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×