Escenario
Imagine la siguiente situación:
-
Ejecuta Exchange Server con el modelo de permisos compartidos instalado de forma predeterminada para Exchange Server.
-
Se colocan entradas de control de acceso en el bosque de Active Directory. De esta manera, se proporciona a Exchange Server un nivel elevado de permisos de directorio.
Causa
Exchange Server es una aplicación con servicios de directorio habilitados. Por lo tanto, debe poder modificar los atributos relacionados con los objetos con Exchange Server habilitado. Esto incluye la capacidad de modificar las listas de control de acceso discrecional (DACL) Puesto que estos objetos pueden existir en cualquier lugar de la jerarquía del dominio, Exchange Server concede derechos a los servidores que ejecutan Exchange Server en la raíz del dominio. Se hace así para garantizar que los derechos se pasen a todos los objetos aplicables.
Exchange Server no utiliza actualmente la marca Solo heredar cuando se evalúa la propagación de la DACL. Esto no se aplica al modelo de permisos divididos de Active Directory. En una configuración de permisos divididos, Exchange Server aplica un modelo de permisos que no concede a los servidores la capacidad de crear o modificar entidades de seguridad en el directorio.
Estado
Este comportamiento es así por diseño. Proporciona a los administradores de Exchange la flexibilidad de administrar atributos en los objetos de Exchange Server coherentes con su rol de administrador de Exchange. Se espera que los administradores de Exchange puedan crear cuentas de usuario y buzones de correo, así como reasignar objetos de tipo buzón, como los buzones de recursos o compartidos, si Exchange Server se ejecuta con el modelo de permisos compartidos.
Solución
Microsoft ha evaluado los derechos concedidos a los servidores que ejecutan Exchange Server y a los administradores de Exchange en los escenarios identificados. Microsoft ha determinado que es posible realizar cambios que reduzcan los permisos que se concedieron dentro del dominio Active Directory. Los cambios de permisos reales variarán en función de la versión de Exchange Server que se utilice.
El procedimiento de esta sección devuelve todos los entornos a un perfil común de permisos de directorio reducidos.
Para resolver este problema en Exchange Server 2013 o versiones posteriores, los clientes deben instalar la siguiente actualización acumulativa, según sea adecuado para el entorno:
-
Exchange Server 2019 – Actualización acumulativa 1
-
Exchange Server 2016 – Actualización acumulativa 12
-
Exchange Server 2013 – Actualización acumulativa 22
En los entornos en los que Exchange Server 2013 o versión posterior esté en uso, se requiere el paquete de actualizaciones acumulativas actualizado para ejecutar manualmente /PrepareAD en un bosque de Active Directory en el que esté instalado Exchange Server o en el que se haya preparado el esquema de directorio para hospedar servidores que ejecuten Exchange Server. Además, los clientes que empleen varios dominios en un único bosque tendrán que ejecutar /PrepareDomain en todos los dominios del bosque para reducir los permisos que se conceden a Exchange Server y a los administradores de Exchange.
Nota La operación /PrepareDomain se ejecuta automáticamente en el dominio de Active Directory en el que se ejecuta /PrepareAD. Sin embargo, puede que no sea posible actualizar otros dominios del bosque. Por este motivo, un administrador de dominios debe ejecutar /PrepareDomain en otros dominios del bosque.
Para obtener más información sobre los conmutadores de /Prepare que Exchange Server usa, consulte Preparar Active Directory y los dominios para Exchange.
Las operaciones de preparación de estas actualizaciones acumulativas actualizadas realizan los cambios siguientes en el entorno de Active Directory.
Exchange Server 2016 y versiones posteriores
Se actualiza el objeto AdminSDHolder del dominio para quitar la ACE "Permitir" que concede al grupo "Exchange Trusted Subsystem" el derecho "Escribir DACL" en los tipos de objeto heredado "Grupo".
Exchange Server 2013 y versiones posteriores.
La entrada de control de acceso (ACE) "Permitir" que concede al grupo "Exchange Windows Permissions" el derecho "Escribir DACL" para los tipos de objeto heredado "Usuario" e "INetOrgPerson", se actualiza para incluir la marca "Solo heredar" en el objeto raíz del dominio.
Exchange Server 2010
Los clientes que ejecutan Exchange Server 2010 deben aplicar las siguientes actualizaciones manuales a su entorno mediante el uso de la herramienta LDP.
-
Inicie la herramienta LDP (en el cuadro Ejecutar, escriba ldp.exe y luego presione Intro).
-
Conéctese al espacio de nombres del dominio que quiere actualizar. (En el menú Archivo, haga clic en Conectar).
-
Enlace con el espacio de nombres del dominio usando las credenciales de administrador del dominio. (En el menú Archivo, haga clic en Enlazar).
-
Visualice el árbol empleando el DN que corresponde a la raíz del contexto del dominio que se va a actualizar. (En el menú Ver , haga clic en Árbol).
Por ejemplo:
-
Abra las listas de control de acceso al dominio. (Haga clic con el botón derecho en dominio, haga clic en Avanzado y luego en Descriptor de seguridad).
-
Busque las dos ACE "Permitir" que conceden el derecho "Escribir DACL" al grupo "Exchange Windows Permissions" en los tipos de objeto heredado "Usuario" e "INetOrgPerson":
Nota No ordene la lista. Si lo hace, cambiará el orden de la LCA. -
Edite las entradas para añadir la marca "Solo heredar". Para hacerlo, haga doble clic en el objeto, seleccione la marca y, a continuación, haga clic en Aceptar.
-
Compruebe que la operación sea correcta en cada ACE. A continuación, haga clic en Actualizar.
