Skenario
Pertimbangkan skenario berikut:
-
Anda menjalankan Exchange Server dengan menggunakan Model izin berbagi yang diinstal secara default untuk Exchange Server.
-
Entri kontrol akses dimasukkan ke dalam hutan direktori aktif. Ini memberikan Exchange Server ditinggikan tingkat izin direktori.
Penyebab
Exchange Server adalah direktori aktif layanan aplikasi. Oleh karena itu, harus dapat mengubah atribut yang berkaitan dengan objek diaktifkan di Exchange Server. Ini termasuk kemampuan untuk mengubah kewenangan daftar kontrol akses (DACLs) pada beberapa contoh. Karena objek ini dapat ada di mana saja di hierarki domain, Exchange Server hibah hak untuk server yang menjalankan Exchange Server di akar domain. Hal ini dilakukan untuk memastikan bahwa hak yang disampaikan kepada semua objek yang dapat diterapkan.
Exchange Server tidak sedang memanfaatkan Mewarisi hanya bendera saat DACL penyebaran dievaluasi. Hal ini tidak berlaku untuk model izin terpisah direktori aktif. Konfigurasi izin terpisah, Exchange Server yang berlaku model izin yang tidak memberi server kemampuan untuk membuat atau mengubah prinsip keamanan di direktori.
Status
Perilaku ini merupakan bagian dari rancangan. Administrator Exchange menyediakan fleksibilitas untuk mengelola atribut pada objek Exchange Server yang konsisten dengan peran mereka sebagai Exchange administrator. Administrator Exchange diharapkan untuk dapat membuat akun pengguna dan kotak pesan, dan menetapkan ulang kotak surat-jenis objek sebagai kotak surat sumber daya atau kotak surat bersama jika Exchange Server berjalan dalam Model izin berbagi.
Pemecahan Masalah
Microsoft telah dievaluasi hak yang diberikan untuk server yang menjalankan Exchange Server dan administrator Exchange dalam skenario diidentifikasi. Microsoft telah ditentukan bahwa dimungkinkan untuk membuat perubahan yang lebih rendah izin yang diberikan dalam domain direktori aktif. Perubahan izin aktual akan berbeda-beda tergantung pada versi Exchange Server yang digunakan.
Prosedur di bagian ini kembali semua lingkungan ke profil izin direktori umum, rendah.
Untuk mengatasi masalah ini di Exchange Server 2013 atau versi yang lebih baru, pelanggan harus menginstal pemutakhiran kumulatif berikut, yang sesuai untuk lingkungan:
-
Exchange Server 2019- pemutakhiran kumulatif 1
-
Exchange Server 2016- pembaruan kumulatif 12
-
Exchange Server 2013 – pembaruan kumulatif 22
Lingkungan di mana Exchange Server 2013 atau versi yang lebih baru yang digunakan memerlukan paket pembaruan kumulatif terbaru untuk secara manual menjalankan /PrepareAD di hutan direktori aktif apa pun di mana Exchange Server diinstal atau yang memiliki skema direktori telah disiapkan untuk host server yang menjalankan Exchange Server. Selain itu, pelanggan yang menggunakan banyak domain di hutan tunggal harus menjalankan /PrepareDomain di semua domain di hutan untuk izin yang diberikan untuk Exchange Server dan administrator Exchange yang lebih rendah.
Catatan Operasi /PrepareDomain secara otomatis berjalan di domain direktori aktif di mana /PrepareAD dijalankan. Namun, ini mungkin tidak dapat memperbarui domain lainnya di hutan. Untuk alasan ini, domain administrator harus menjalankan /PrepareDomain pada domain lainnya di hutan. Untuk informasi lebih lanjut tentang switch /Prepare yang digunakan oleh Exchange Server, lihat mempersiapkan direktori aktif dan domain untuk Exchange Server.
Operasi mempersiapkan di pembaruan kumulatif ini diperbarui buat perubahan berikut untuk lingkungan direktori aktif.
Exchange Server 2016 dan versi yang lebih baru
AdminSDHolder objek pada domain diperbarui untuk menghapus "Izinkan" ACE yang memberikan grup "Exchange terpercaya subsistem" DACL"menulis" di "Grup" mewarisi jenis objek.
Exchange Server 2013 dan versi yang lebih baru
"Izinkan" Access Control entri (ACE) yang memberikan "Exchange Windows izin" grup "Menulis DACL" hak untuk "User" dan "INetOrgPerson" mewarisi jenis objek diperbarui untuk memasukkan "Mewarisi hanya" bendera di domain akar objek.
Exchange Server 2010
Pelanggan yang menjalankan Exchange Server 2010 harus menerapkan pembaruan manual berikut untuk lingkungan dengan menggunakan alat LDP.
-
Mulai alat LDP (dalam kotak Jalankan , ketik ldp.exe, dan kemudian tekan Enter).
-
Sambungkan ke namespace domain yang ingin Anda perbarui. (Pada File menu, klik Connect.)
-
Mengikat domain namespace dengan menggunakan kredensial Domain Admin. (Pada File menu, klik mengikat.)
-
Melihat pohon menggunakan DN dasar yang sesuai untuk akar konteks domain yang akan diperbarui. (Pada menu tampilan , klik pohon.) Misalnya:
-
Daftar kontrol akses terbuka Domain. (Klik kanan domain, klik lanjut, dan kemudian klik Deskriptor keamanan.)
-
Temukan Ace "Izinkan" dua yang memberi "Menulis DACL" hak untuk grup "Exchange Windows izin" pada "User" dan "INetOrgPerson" mewarisi objek jenis:
-
Edit setiap entri untuk menambahkan bendera "Mewarisi hanya". Untuk melakukannya, klik dua kali objek, pilih bendera, dan kemudian klik OK.
-
Verifikasikan bahwa operasi berhasil di AS masing-masing. Kemudian, klik pemutakhiran.
