Reduzieren der erforderlichen Berechtigungen zum Ausführen von Exchange Server mithilfe des Modells für gemeinsam genutzte Berechtigungen

Gilt für: Exchange Server 2010Exchange Server 2013Exchange Server 2016 Mehr

Szenario


Stellen Sie sich folgendes Szenario vor:
  • Sie führen Exchange Server mithilfe des Modells für gemeinsam genutzte Berechtigungen aus, das standardmäßig für Exchange Server installiert wird.
  • Zugriffssteuerungseinträge werden zur Active Directory-Gesamtstruktur hinzugefügt. Auf diese Weise erhält Exchange Server erhöhte Verzeichnisberechtigungen.

Ursache


Exchange Server ist eine für Verzeichnisdienste aktivierte Anwendung. Deshalb muss es möglich sein, Attribute im Zusammenhang mit für Exchange Server aktivierten Objekten zu ändern. Hierzu zählt die Möglichkeit, in bestimmten Situationen besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) zu ändern. Diese Objekte können überall in der Domänenhierarchie vorhanden sein. Servern, die Exchange Server auf der Domänenstammebene ausführen, erteilt Exchange Server deshalb Rechte. Dadurch soll sichergestellt werden, dass die Rechte an alle entsprechenden Objekte weitergegeben werden.
Exchange Server nutzt derzeit das Flag Inherit Only (Nur erben) nicht, wenn die DACL-Weitergabe ausgewertet wird. Das Active Directory-Modell für geteilte Berechtigungen ist nicht davon betroffen. Bei einer Konfiguration mit geteilten Berechtigungen wendet Exchange Server ein Berechtigungsmodell an, das es Servern nicht erlaubt, Sicherheitsprinzipale im Verzeichnis zu erstellen oder zu ändern.

Status


Dieses Verhalten ist beabsichtigt. Es bietet Exchange-Administratoren die Flexibilität, Attribute in Exchange Server-Objekten zu verwalten, die der Rolle als Exchange-Administrator entsprechen. Exchange-Administratoren sollen in der Lage sein, Benutzerkonten und Postfächer zu erstellen sowie Postfachtypobjekte als Ressourcenpostfächer oder freigegebene Postfächer erneut zuzuweisen, falls Exchange Server mithilfe des Modells für gemeinsam genutzte Berechtigungen ausgeführt wird.

Lösung


Microsoft hat die Rechte ausgewertet, die Servern, auf denen Exchange Server ausgeführt wird, sowie Exchange-Administratoren in den genannten Szenerien erteilt werden. Microsoft hat festgestellt, dass Änderungen vorgenommen werden können, durch die die Berechtigungen gesenkt werden, die innerhalb einer Active Directory-Domäne erteilt werden. Die tatsächlichen Berechtigungsänderungen hängen von der verwendeten Exchange Server-Version ab.

Mit dem in diesem Abschnitt beschriebenen Verfahren werden alle Umgebungen auf ein übliches, reduziertes Verzeichnisberechtigungsprofil zurückgesetzt.

Zur Behebung dieses Problems unter Exchange Server 2013 oder einer höheren Version sollten Kunden das folgende kumulative Update entsprechend ihrer Umgebung installieren:

Für Umgebungen, in denen Exchange Server 2013 oder eine höhere Version verwendet wird, ist das aktualisierte kumulative Updatepaket erforderlich, um /PrepareAD manuell in jeder Active Directory-Gesamtstruktur auszuführen, in der Exchange Server installiert ist oder in der das Verzeichnisschema für Hostserver vorbereitet wurde, die Exchange Server ausführen. Darüber hinaus müssen Kunden, die mehrere Domänen in einer einzigen Gesamtstruktur verwenden, /PrepareDomain in allen Domänen der Gesamtstruktur ausführen, um die Berechtigungen zu senken, die Exchange Server und Exchange-Administratoren erteilt werden.

Hinweis /PrepareDomain wird automatisch in der Active Directory-Domäne ausgeführt, in der /PrepareAD ausgeführt wird. Möglicherweise können jedoch andere Domänen in der Gesamtstruktur nicht aktualisiert werden. Deshalb sollte ein Domänenadministrator /PrepareDomain in anderen Domänen in der Gesamtstruktur ausführen.

Weitere Informationen zu den von Exchange Server verwendeten Optionen für /Prepare finden Sie unter Vorbereitung von Active Directory und Domänen für Exchange Server.

Durch die vorbereitenden Schritte in diesen aktualisierten kumulativen Updates werden die folgenden Änderungen an der Active Directory-Umgebung vorgenommen.

Exchange Server 2016 und höhere Versionen

Das Objekt „AdminSDHolder“ in der Domäne wird aktualisiert, um den Zugriffssteuerungseintrag (ACE) „Allow“ (Zulassen) zu entfernen, mit dem der Gruppe „Exchange Trusted Subsystem“ (Vertrauenswürdiges Subsystem von Exchange) das Recht „Write DACL“ (DACL schreiben) in den vererbten Objekttypen „Group“ (Gruppe) erteilt wird.

Exchange Server 2013 und höhere Versionen

Der Zugriffssteuerungseintrag (ACE) „Allow“ (Zulassen), mit dem der Gruppe „Exchange Windows Permissions“ (Exchange Windows-Berechtigungen) das Recht „Write DACL“ (DACL schreiben) für die vererbten Objekttypen „User“ und „INetOrgPerson“ erteilt wird, wird aktualisiert, um das Flag „Inherit Only“ (Nur erben) im Domänenstammobjekt einzubeziehen.

Exchange Server 2010

Kunden, die Exchange Server 2010 ausführen, sollten mit dem LDP-Tool die folgenden manuellen Updates auf ihre Umgebung anwenden.

  1. Starten Sie das LDP-Tool.
  2. Stellen Sie eine Verbindung mit dem Domänennamespace her, den Sie aktualisieren möchten.
  3. Stellen Sie mithilfe der Domänenadministrator-Anmeldeinformationen eine Bindung zum Domänennamespace her.
  4. Zeigen Sie die Struktur an, indem Sie den Basis-DN verwenden, der dem zu aktualisierenden Domänenkontextstamm entspricht. Beispiel:

    Strukturansicht

     
  5. Suchen Sie die beiden Zugriffssteuerungseinträge (ACEs) „Allow“ (Zulassen), mit denen der Gruppe „Exchange Windows Permissions“ (Exchange Windows-Berechtigungen) das Recht „Write DACL“ (DACL schreiben) für die vererbten Objekttypen „User“ und „INetOrgPerson“ erteilt wird:

    Sicherheitsdeskriptor

     
  6. Bearbeiten Sie jeden Eintrag, um das Flag „Inherit Only“ (Nur erben) hinzuzufügen. Doppelklicken Sie dazu auf das Objekt, wählen Sie das Flag aus, und klicken Sie anschließend auf OK.

    Zugriffssteuerungseintrag

     
  7. Vergewissern Sie sich, dass der Vorgang für jeden ACE erfolgreich ausgeführt wurde. Klicken Sie anschließend auf Update (Aktualisieren).

    Sicherheitsdeskriptor