시나리오
다음과 같은 경우를 생각해 볼 수 있습니다.
-
Exchange Server용으로 기본 설치되는 공유 권한 모델을 사용하여 Exchange Server를 실행하고 있습니다.
-
액세스 제어 항목은 Active Directory 포리스트에 추가됩니다. 이렇게 하면 Exchange Server에 상승된 디렉터리 권한이 제공됩니다.
원인
Exchange Server는 디렉터리 서비스 사용이 가능한 응용 프로그램입니다. 따라서 Exchange Server 사용이 가능한 개체 관련 특성을 수정할 수 있어야 합니다. 경우에 따라서는 DACL(임의 액세스 제어 목록)도 수정할 수 있어야 합니다. 이러한 개체는 도메인 계층 구조의 어떤 위치에나 있을 수 있으므로 Exchange Server는 도메인 루트에서 Exchange Server를 실행하는 서버에 권한을 부여합니다. 이렇게 권한이 부여되면 해당하는 모든 개체에 권한이 전달됩니다.
Exchange Server는 현재 DACL 전파를 평가할 때 상속 전용 플래그를 사용하지 않습니다. Active Directory 분할 권한 모델에는 이러한 규칙이 적용되지 않습니다. 분할 권한 구성에서는 Exchange Server가 디렉터리의 보안 주체를 만들거나 수정하는 기능을 서버에 부여하지 않는 권한 모델을 적용합니다.
상태
이것은 정상적인 동작입니다. 이 동작으로 인해 Exchange 관리자는 Exchange 관리자의 역할과 일치하는 Exchange Server 개체에서 특성을 유동적으로 관리할 수 있습니다. Exchange 관리자는 사용자 계정과 사서함을 만들 수 있어야 하며, Exchange Server가 공유 권한 모델에서 실행되는 경우 사서함 유형 개체를 리소스 사서함 또는 공유 사서함으로 다시 할당할 수 있어야 합니다.
해결 방법
Microsoft에서는 확인된 시나리오에서 Exchange Server를 실행하는 서버 및 Exchange 관리자에게 부여되는 권한을 평가했습니다. Microsoft는 Active Directory 도메인 내에서 부여되는 사용 권한을 낮추도록 변경할 수 있음을 확인했습니다. 실제 권한 변경 내용은 사용하는 Exchange Server 버전에 따라 달라집니다.
이 섹션의 절차에서는 모든 환경을 권한이 낮아진 일반 디렉터리 프로필로 되돌립니다.
Exchange Server 2013 이상 버전에서 이 문제를 해결하려는 고객은 다음 중에서 환경에 적합한 누적 업데이트를 설치해야 합니다.
-
Exchange Server 2019 – 누적 업데이트 1
-
Exchange Server 2016 – 누적 업데이트 12
-
Exchange Server 2013 – 누적 업데이트 22
Exchange Server 2013 이상 버전을 사용 중인 환경에서는 Exchange Server가 설치되어 있거나, Exchange Server를 실행 중인 서버를 호스트하기 위해 디렉터리 스키마를 준비한 Active Directory 포리스트에서 업데이트된 누적 업데이트 패키지가 /PrepareAD를 수동으로 실행해야 합니다. 또한 단일 포리스트에 여러 도메인을 포함한 고객은 포리스트의 모든 도메인에서 /PrepareDomain을 실행하여 Exchange Server 및 Exchange 관리자에게 부여된 권한 수준을 낮춰야 합니다.
참고 /PrepareDomain 작업은 /PrepareAD를 실행하는 Active Directory 도메인에서 자동으로 실행됩니다. 하지만 포리스트의 다른 도메인을 업데이트할 수는 없습니다. 그러므로 포리스트 관리자가 포리스트의 다른 도메인에서 /PrepareDomain을 실행해야 합니다.
Exchange Server에서 사용되는 /Prepare 스위치와 관련된 자세한 내용은 Exchange Server용 Active Directory 및 도메인 준비를 참조하세요.
이와 같은 업데이트된 누적 업데이트에서 준비 작업을 수행하면 Active Directory 환경이 다음과 같이 변경됩니다.
Exchange Server 2016 이상 버전
도메인의 AdminSDHolder 개체가 업데이트되어 "Group" 상속 개체 형식에 대한 "DACL 쓰기" 권한을 "Exchange Trusted Subsystem" 그룹에 부여하는 "허용" ACE를 제거합니다.
Exchange Server 2013 이상 버전
"User" 및 "INetOrgPerson" 상속 개체 형식에 대한 "DACL 쓰기" 권한을 "Exchange Windows 권한" 그룹에 부여하는 "허용" ACE(액세스 제어 항목)가 도메인 루트 개체의 "상속 전용" 플래그를 포함하도록 업데이트됩니다.
Exchange Server 2010
Exchange Server 2010을 실행하는 고객은 LDP 도구를 사용하여 다음 수동 업데이트를 환경에 적용해야 합니다.
-
LDP 도구를 시작합니다(실행 상자에 ldp.exe를 입력한 후 Enter 키를 누름).
-
업데이트할 도메인 네임스페이스에 연결합니다. 파일 메뉴에서 연결을 클릭합니다.
-
도메인 관리자 자격 증명을 사용하여 도메인 네임스페이스에 바인딩합니다. 파일 메뉴에서 바인딩을 클릭합니다.
-
업데이트할 도메인 컨텍스트의 루트에 해당하는 기본 DN을 사용하여 트리를 표시합니다. 보기 메뉴에서 트리를 클릭합니다.
예를 들면 다음과 같습니다.
-
도메인 액세스 제어 목록을 엽니다. 도메인을 마우스 오른쪽 단추로 클릭하고 고급을 클릭한 후 보안 설명자를 클릭합니다.
-
"User" 및 "INetOrgPerson" 상속 개체 형식에 대한 "DACL 쓰기" 권한을 "Exchange Windows 권한" 그룹에 부여하는 "허용" ACE 2개를 찾습니다.
참고 목록을 정렬해서는 안 됩니다. 이렇게 하면 액세스 제어 목록의 순서가 변경됩니다. -
각 항목을 편집하여 "상속 전용" 플래그를 추가합니다. 이렇게 하려면 개체를 두 번 클릭하고 플래그를 선택한 다음 확인을 클릭합니다.
-
각 ACE에서 작업이 정상적으로 수행되는지 확인합니다. 그런 후에 업데이트를 클릭합니다.
