Jagatud õigused mudeli kasutamisel Exchange Serveri käivitamiseks vajalikke õigusi vähendamine

Stsenaarium

Kujutage ette järgmist stsenaariumi.

  • Teil on Exchange Serveri abil jagatud õigused mudel, mis on vaikimisi installitud Exchange Server.

  • – Access Control Entries pannakse Active Directory metsas. See annab Exchange Serveri kataloogi luba laiendatud taset.

Põhjus

Exchange Server on directory services lubatud rakendus. Seetõttu peab olema võimalik muuta atribuudid, mis on seotud objektide Exchange Serveri lubatud. See hõlmab võime muuta vabalt juurdepääsu kontrolli loetletakse (DACLs) teatud juhtudel. Kuna need objektid võivad esineda kõikjal domeenihierarhias, annab Exchange Serveri serverites, kus töötab Exchange Serveri domeeni root õigused. Seda saab teha veendumaks, et õigusi edasi rakendatav objektidele.

Exchange Server pole praegu kasutada seda Pärida vaid Märgista väärtustamisel DACL levitamine. See ei kehti mudel Active Directory jagatud õigused. Tükeldatud õigused konfiguratsiooni, kehtib Exchange Serveri õigused mudel, mis ei anna serverite võimalus luua ja muuta kataloogi turvalisus põhimõtteid.

Olek

Selline käitumine on ette nähtud. See pakub Exchange administraatorid paindlikkust haldamine atribuute Exchange Serveri objekte, mis on kooskõlas nende rolli Exchange'i administraator. Exchange administraatorid on eeldatavasti luua kasutajakontod ja postkastid ja postkast-tüüpi objektide ressursipostkastide või ühiskasutusega postkastid ümber määrata, kui Exchange Server töötab jagatud õigused mudel.

Lahendus

Microsoft on hinnanud õigused, mis serverites, kus töötab Exchange Serveri ja Exchange administraatorid tuvastatud stsenaariume. Microsoft on määratlenud, et see on võimalik teha muudatusi, mis vähendavad õigused, mis on antud Active Directory domeenis. Tegelik muutmisi sõltuvalt Exchange Serveri, mida kasutatakse versioon.

Selles jaotises toodud protseduuri naaseb levinud, vähendatud directory õiguste profiili kõikides keskkondades.

Exchange Server 2013 või hilisem versioon probleemi ise lahendada, tuleks klientidele installige vastavalt oma keskkonna järgmise koondvärskenduse:

Kasutusel on Exchange Server 2013 või hilisem versioon keskkonnad nõuavad värskendatud kumulatiivse värskenduspaketi käsitsi käivitada/PrepareAD kõik Active Directory metsas Exchange Server on installitud või on directory skeem ole valmis hosti serverites, kus töötab Exchange Server. Lisaks on klientidele, kes kasutavad mitme domeenide ühe metsa kõik õigused, mis on antud Exchange Serveri ja Exchange administraatorid alandada metsa domeenide /PrepareDomain käivitamiseks.

Märkus. /PrepareDomain toiming käivitub automaatselt Active Directory domeeni/PrepareAD käivitada. Siiski ei pruugi olla võimalik uuendada muude domeenide metsa. Seetõttu peab domeeniadministraator peaksid kasutama /PrepareDomain ja muude domeenide metsa. /Prepare lülitid, mida kasutatakse Exchange Serveri kohta lisateabe saamiseks vaadake ette valmistada Active Directory ja domeenid Exchange Server.

Need värskendatud kumulatiivseid värskendusi toimingute ettevalmistamine järgmised muudatused Active Directory keskkonda.

Exchange Server 2016 ja uuemad versioonid

AdminSDHolder objekti domeeni värskendatakse eemaldamiseks "Allow" ACE, mis annab "Exchange usaldusväärse alamsüsteemi" rühma "Kirjutada DACL" õigel "Rühmas" päritud objekti tüüp.

Exchange Server 2013 ja uuemad versioonid

"Allow" Access Control kirje (ACE) mis annab "Exchange Windowsi õiguste" rühmas "Kirjutada DACL" õigus "Kasutaja" ja "INetOrgPerson" päritud objektitüübid värskendatakse lisada domeeni Juurobjekt lipu "Pärivad ainult".

Exchange Server 2010

Kliendid, kes kasutavad Exchange Server 2010 tuleb rakendada käsitsi järgmised värskendused LDP tööriista abil oma keskkonda.

  1. Start LDP tööriista (väljale Käivita , tippige käsk ldp.exe, ja seejärel vajutage sisestusklahvi).

  2. Ühendage domeeni nimeruumi, mida soovite värskendada. (Klõpsake menüü fail käsku Loo.)

  3. Siduda domeeni nimeruumi domeeni administraatori mandaadi abil. (Klõpsake menüü fail käsku siduda.)

  4. Põhiline DN, mis vastab domeeni seoses värskendamist root abil saate vaadata puu. (Menüü Vaade käsku puu.) Näiteks: Puu vaade

  5. Avatud domeeni pääsuloendite. (Paremklõpsake domeeni, klõpsake nuppu Täpsemaltja klõpsake Turbedeskriptor.) Domeeni pääsuloendite

  6. Leia kaks "Allow" ACE, mis annavad "Kirjutada DACL" õigus "Exchange Windowsi õiguste" töörühm "Kasutaja" ja "INetOrgPerson" päritud objekti tüüp: TurbedeskriptorMärkus Kas sordi loendi . See muudab ACL-i tellimus.

  7. Iga kirje "Pärivad ainult" lipu lisamiseks redigeerida. Selleks topeltklõpsake objekti, valige lipp ja seejärel klõpsake nuppu OK. Juurdepääsu juhtimise kirje

  8. Veenduge, et toiming on edukas iga ACE. Klõpsake värskendust. Turbedeskriptor

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×