Cómo asignar acceso de cuenta de servicio a todos los buzones en Exchange Server 2003

Para una versión de Microsoft Exchange 2000 Server de este artículo, vea 262054 .


Resumen

Este artículo describe cómo conceder permisos a todos los buzones. Cuando esté realizando tareas como la recuperación sin conexión, puede ser útil conceder acceso a todos los buzones.

Precaución No utilice este procedimiento en un entorno de producción para permitir el acceso no autorizado a los datos de usuario. Esto puede infringir las directivas de privacidad y seguridad corporativas. Implementar un plan de auditoría en la red para detectar y registrar el uso inadecuado de las credenciales administrativas de red por los administradores del sistema.

Más información

En Microsoft Exchange Server 5.5, cuando se conceden derechos de acceso de administrador de la cuenta de servicio en el contenedor Site a una cuenta basada en Windows de Microsoft, conceder esa cuenta acceso sin restricciones a todos los buzones. En Microsoft Exchange 2000 Server y Exchange Server 2003, no hay ninguna cuenta de servicio y, incluso las cuentas con derechos de administradores de empresa poseen derechos para obtener acceso a todos los buzones.

Nota: En Microsoft Windows 2000 Server y Microsoft Windows Server 2003, servicios normalmente se ejecutan bajo la cuenta del equipo donde están instalados. Esta cuenta es la cuenta de sistema local (LocalSystem) y su contraseña es creada y reciclada por Windows 2000 o Windows Server 2003. De forma predeterminada, puede utilizar esta cuenta de servicio para tener acceso al buzón de Exchange, los almacenes de carpetas públicas y otros recursos de Windows para realizar correo transferencia y sincronización de directorios.

Si su cuenta de inicio de sesión es la cuenta de administrador o es miembro de los grupos Administradores de dominio o administradores de empresa, se le denegará explícitamente el acceso a todos los buzones que no sea suyo, aunque tenga derechos administrativos plenos en el sistema Exchange. Todas las tareas administrativas de Exchange Server 2003 pueden realizarse sin necesidad de conceder a un administrador los derechos suficientes para leer el correo de otras personas.

Puede omitir esta restricción predeterminada de varias maneras, pero es tan sólo de acuerdo con las políticas de seguridad y privacidad de su organización. Con frecuencia, reemplazar la restricción predeterminada sólo es apropiada en un entorno de servidor de recuperación.

Para conceder a la cuenta administrativa acceso a través de Administrador del sistema de Exchange para todos los buzones de una base de datos independientemente de las denegaciones explícitas heredadas:
  1. Inicie el Administrador del sistema de Exchange y, a continuación, busque la base de datos que desea tener acceso total al buzón a.
  2. Abra las propiedades de este objeto y, a continuación, haga clic en el
    Ficha seguridad .
  3. Conceder a su cuenta permisos completos explícitos para el objeto, incluyendo los permisos Recibir como .
Después de haber realizado este cambio, quizás siga viendo disponible
Permisos Denegar y Permitir asignados a su cuenta. Los permisos no disponibles indican que por herencia se le ha denegado permiso, pero que ha heredado permisos en este nivel. En el modelo de permisos de Windows, los permisos concedidos explícitamente reemplazan los permisos heredados. Tenga en cuenta que un permiso Permitir en un nivel inferior explícito reemplaza un permiso Denegar de un nivel superior explícito sólo para el objeto donde se establece el reemplazo, no en los objetos secundarios del objeto. Esto le impide concederse a sí mismo permisos en un servidor para tener acceso a cada base de datos; debe conceder permisos en las bases de datos individualmente.

Después de cambiar los permisos, tendrá que cerrar la sesión y vuelva a iniciarla. Microsoft también recomienda que detenga y reinicie todos los servicios de Exchange. Si tiene varios controladores de dominio del bosque, también tendrá que esperar a la replicación de directorios completar.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

Ficha de seguridad de 259221 no está disponible en todos los objetos en el administrador del sistema

Propiedades

Id. de artículo: 821897 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios