Scenario
Considerare lo scenario seguente:
-
È in esecuzione Exchange Server utilizzando il modello di autorizzazioni condiviso per Exchange Server è installato per impostazione predefinita.
-
Le voci di controllo di accesso vengono inserite nella foresta di Active Directory. In questo modo, un elevato livello di autorizzazione di directory di Exchange Server.
Causa
Exchange Server è un'applicazione compatibili con i servizi di directory. Pertanto, deve essere possibile modificare gli attributi relativi agli oggetti abilitati all'utilizzo di Exchange Server. Ciò include la possibilità di modificare gli elenchi di controllo di accesso (DACL) discrezionale in alcuni casi. Poiché questi oggetti possono esistere in qualsiasi punto della gerarchia di dominio, Exchange Server concede i diritti per i server che eseguono Exchange Server nella directory principale del dominio. Questa operazione viene eseguita per assicurarsi che i diritti vengono passati a tutti gli oggetti applicabili.
Exchange Server non attualmente impiegano l'Ereditano solo flag quando viene valutata la propagazione di DACL. Ciò non si applica al modello di divisione autorizzazioni di Active Directory. In una configurazione di autorizzazioni di divisione, Exchange Server si applica un modello di autorizzazioni che non concessa la possibilità di creare o modificare le identità di protezione nella directory server.
Stato
Questo è il comportamento previsto. Fornisce agli amministratori di Exchange la flessibilità necessaria per gestire gli attributi degli oggetti di Exchange Server che sono coerenti con il proprio ruolo in qualità di amministratore di Exchange. Gli amministratori di Exchange devono essere in grado di creare cassette postali e account utente e riassegnare gli oggetti di tipo di cassetta postale come cassette postali delle risorse o delle cassette postali condivise se Exchange Server è in esecuzione nel modello di autorizzazioni condiviso.
Risoluzione
Microsoft ha esaminato i diritti concessi ai server che eseguono Exchange Server e agli amministratori di Exchange negli scenari identificati. Microsoft ha stabilito che è possibile apportare modifiche a ridurre le autorizzazioni concesse all'interno di un dominio Active Directory. Le modifiche alle autorizzazioni effettive variano a seconda della versione di Exchange Server che viene utilizzato.
La procedura descritta in questa sezione restituisce tutti gli ambienti a un profilo di autorizzazioni directory comune, ridotti.
Per risolvere questo problema in Exchange Server 2013 o versione successiva, clienti devono installare l'aggiornamento cumulativo seguente, come appropriato per l'ambiente:
-
2019: aggiornamento cumulativo 1 per Exchange Server
-
Exchange Server 2016 – aggiornamento cumulativo 12
-
Exchange Server 2013 – aggiornamento cumulativo 22
Ambienti in cui Exchange Server 2013 o versione successiva è in uso richiedono il pacchetto di aggiornamento cumulativo aggiornato per eseguire manualmente /PrepareAD un insieme di strutture di Active Directory in cui è installato Exchange Server o in cui è lo schema di directory stato preparato per il server host che eseguono Exchange Server. Inoltre, i clienti che utilizzano più domini in un unico insieme di strutture saranno necessario eseguire /PrepareDomain in tutti i domini nell'insieme di strutture per ridurre le autorizzazioni concesse a Exchange Server e agli amministratori di Exchange.
Nota: L'operazione di /PrepareDomain viene automaticamente eseguita nel dominio di Active Directory in cui viene eseguito /PrepareAD . Tuttavia, risultare aggiornare altri domini della foresta. Per questo motivo, un amministratore di dominio deve essere eseguito /PrepareDomain in altri domini della foresta. Per ulteriori informazioni sulle opzioni di /Prepare utilizzati da Exchange Server, vedere Preparazione di Active Directory e domini per Exchange Server.
Le operazioni di preparazione in questi aggiornamenti cumulativi aggiornati apportare le seguenti modifiche all'ambiente di Active Directory.
Exchange Server 2016 e versioni successive
Oggetto AdminSDHolder nel dominio viene aggiornato per rimuovere "Consenti" ACE che conceda al gruppo "Exchange Trusted Subsystem" "Scrivere DACL" destra su tipi di oggetto ereditato "Group".
Exchange Server 2013 e versioni successive
Il "Consenti" controllo voce accesso (ACE) che concede le "autorizzazioni di Windows Exchange" gruppo "Scrivere DACL" al "Utente" e "INetOrgPerson" ereditato tipi di oggetto viene aggiornato per includere il flag "ereditano solo" sull'oggetto principale del dominio.
Exchange Server 2010
I clienti che eseguono Exchange Server 2010 devono applicare i seguenti aggiornamenti manuali al proprio ambiente utilizzando lo strumento LDP.
-
Avviare lo strumento LDP (nella casella Esegui , tipo ldp.exee quindi premere INVIO).
-
Connettersi a nomi di dominio che si desidera aggiornare. (Menu File , fare clic su Connetti).
-
Associare lo spazio dei nomi di dominio utilizzando le credenziali di amministratore di dominio. (Menu File , fare clic su Associa.)
-
Visualizza la struttura utilizzando il DN di base che corrisponde alla radice del contesto di dominio da aggiornare. (Dal menu Visualizza , fare clic su struttura.) Per esempio:
-
Aprire gli elenchi di controllo di accesso di dominio. (Destro del mouse sul dominio, fare clic su Avanzatee quindi scegliere Il descrittore di protezione.)
-
Individuare il "Consenti" di due voci ACE che concedono "Scrivere DACL" diritto al gruppo "Autorizzazioni di Windows Exchange" in "Utente" e i tipi di oggetto "INetOrgPerson" ereditato:
-
Modificare ogni voce per aggiungere il flag "Ereditano solo". A tale scopo, fare doppio clic sull'oggetto, selezionare il contrassegno e quindi fare clic su OK.
-
Verificare che l'operazione viene completata in ognuna di esse. Quindi, fare clic su Aggiorna.
