תרחיש
שקול את התרחיש הבא:
-
אתה מפעיל את Exchange Server באמצעות מודל הרשאות משותפות המותקן כברירת מחדל עבור Exchange Server.
-
ערכי בקרת Access נכנסות ביער של Active Directory. פעולה זו מעניקה Exchange Server רמת הרשאה ספריה עם הרשאות מלאות.
סיבה
Exchange Server הוא יישום זמין שירותי הספריות. לכן, עליו להיות מסוגל לשנות תכונות הקשורות לאובייקטי התומכים ב- Exchange Server. זה כולל את היכולת לשנות לפי שיקול דעת Access רשימות בקרת (Dacl) במקרים מסוימים. מאחר אובייקטים אלה יכולים להתקיים בכל מקום בהיררכיית התחום, Exchange Server מעניקה זכויות לשרתים שבהם פועל Exchange Server בבסיס של התחום. פעולה זו נעשית כדי לוודא כי הזכויות עוברת הלאה לכל האובייקטים הישימים.
Exchange Server כעת תבצע שימוש בירושה רק דגל בעת הפצת DACL המוערך. פעולה זו אינה חלה על מודל הרשאות פיצול של ספריה פעילה. בתצורה הרשאות פיצול, Exchange Server חל מודל הרשאות לא להעניק שרתי את היכולת ליצור או לשנות מנהלי אבטחה בספריה.
מצב
אופן פעולה זה הוא מכוון. הוא מספק למנהלי Exchange הגמישות לנהל תכונות על אובייקטים של Exchange Server עקביים עם תפקידו כמנהל מערכת Exchange. מנהלי מערכת של Exchange צפויים כדי שניתן יהיה ליצור חשבונות משתמשים ותיבות דואר, והקצה מחדש אובייקטים מסוג תיבת הדואר תיבות דואר של משאבים או תיבות דואר משותפות אם Exchange Server פועלת במודל הרשאות משותפות.
פתרון
Microsoft יש להעריך את הזכויות המוענקות לשרתים שבהם פועל Exchange Server וכדי למנהלי Exchange בתרחישים שזוהה. Microsoft קבעה שניתן לבצע שינויים להנמיך את ההרשאות המוענקות בתוך תחום של Active Directory. השינויים בהרשאות בפועל ישתנו בהתאם הגירסה של שרת Exchange המשמש.
ההליך בסעיף זה מחזיר סביבות כל פרופיל הרשאה ספריה משותפת, מופחתת.
כדי לפתור בעיה זו ב- Exchange Server 2013 או גירסה מתקדמת יותר, על לקוחות להתקין את העדכון המצטבר הבאים, בהתאם לסביבה שלהם:
-
חילופי 2019 שרת – העדכון המצטבר 1
-
החלפת השרת 2016 – העדכון המצטבר 12
-
החלפת השרת 2013 – העדכון המצטבר 22
סביבות שבהן 2013 שרת Exchange או גירסה מתקדמת יותר נמצא בשימוש לדרוש את חבילת העדכון המצטבר מעודכן באופן ידני לבצע /PrepareAD ביער של Active Directory שבו מותקן Exchange Server או שבה יש סכימת הספריה היה מוכן מארח לשרתים שבהם פועל Exchange Server. בנוסף, לקוחות מפעילים מספר קבוצות המחשבים ביער אחד יהיה עליך להפעיל /PrepareDomain בכל התחומים ביער כדי להנמיך את ההרשאות המוענקות לשרת Exchange ולמנהלי מערכת של Exchange.
הערה הפעולה /PrepareDomain מופעל באופן אוטומטי בקבוצת המחשבים של Active Directory שבו מופעל /PrepareAD . עם זאת, ייתכן שהוא לא יוכל לעדכן אחרים קבוצות המחשבים ביער. מסיבה זו, על מנהל תחום להפעיל /PrepareDomain בתחומים אחרים ביער. לקבלת מידע נוסף אודות בוררי /Prepare בהם נעשה שימוש על-ידי שרת Exchange, ראה הכנת Active Directory ותחומים עבור Exchange Server.
פעולות הכן בעדכונים אלה המצטברת מעודכנת לבצע את השינויים הבאים בסביבת Active Directory.
החלפת השרת 2016 וגירסאות מאוחרות יותר
ניתן לעדכן את האובייקט AdminSDHolder בתחום כדי להסיר את "אפשר" ACE שמעניקה הקבוצה "Exchange מהימנים מערכת המשנה" את "לכתוב DACL" ישירות על סוגי אובייקטים "קבוצה" בירושה.
החלפת השרת 2013 וגירסאות מאוחרות יותר
"אפשר" Access לפקד ערך (ACE) שמעניקה "הרשאות Windows Exchange" לקבץ את "לכתוב DACL" הזכות "משתמש" ו- "INetOrgPerson" בירושה סוגי אובייקטים מעודכן כדי לכלול דגל "יורשים בלבד" על האובייקט בסיס התחום.
שרת Exchange 2010
לקוחות המפעילים את Exchange Server 2010 צריך להחיל את העדכונים ידני הבאים לסביבה שלהם על-ידי שימוש בכלי LDP.
-
התחל בכלי LDP (ב תיבת הפעלה , סוג ldp.exe, ולאחר מכן הקש Enter).
-
לחבר טווח השמות של קבוצת המחשבים שברצונך לעדכן. (בתפריט קובץ , לחץ על התחבר).
-
לאגד טווח השמות של קבוצת המחשבים באמצעות אישורי מנהל תחום. (בתפריט קובץ , לחץ על איגוד.)
-
להציג את העץ באמצעות DN הבסיס המתאים לבסיס של הקשר התחום שיש לעדכן. (בתפריט תצוגה , לחץ על עץ). לדוגמה:
-
פתיחת רשימות בקרה של Access תחום. (לחץ לחיצה ימנית על קבוצת מחשבים, לחץ על מתקדםולאחר מכן לחץ על מתאר אבטחה).
-
למצוא את שני "אפשר" קודמים לערכי Ace שמעניקים "DACL לכתוב" מימין לקבוצה "הרשאות Windows Exchange" "המשתמש" וסוגי אובייקט "INetOrgPerson" שעברו בירושה:
-
לערוך כל ערך כדי להוסיף דגל "יורשים בלבד". כדי לעשות זאת, לחץ פעמיים על האובייקט, לחץ על הדגל ולאחר מכן לחץ על אישור.
-
ודא כי הפעולה בהצלחה על כל אס. לאחר מכן, לחץ על עדכן.
