Scenario
Neem het volgende scenario:
-
Exchange Server wordt uitgevoerd op basis van de gedeelde machtigingen die standaard voor Exchange Server is geïnstalleerd.
-
ACE-vermeldingen worden in het Active Directory-forest gebracht. Dit geeft een verhoogd niveau van de machtiging map Exchange Server.
Oorzaak
Exchange Server is een directory services-toepassing. Daarom moet het mogelijk zijn voor het wijzigen van kenmerken die zijn gekoppeld aan objecten van Exchange Server ingeschakeld. Dit omvat de mogelijkheid Discretionary Access Control Lists (DACL's) in sommige gevallen. Omdat deze objecten overal in de domeinhiërarchie voorkomen kunnen, geeft Exchange-Server het recht op servers waarop Exchange Server wordt uitgevoerd in de hoofdmap van het domein. Dit is gedaan om ervoor te zorgen dat de rechten aan alle toepasselijke objecten worden doorgegeven.
Exchange Server op dat moment maakt geen gebruik van de Overnemen alleen markeren als het doorgeven van de DACL wordt geëvalueerd. Dit geldt niet voor het model met machtigingen voor Active Directory splitsen. Exchange Server in een configuratie met gesplitste machtigingen van toepassing is een model met machtigingen die u verleent geen servers kunnen maken of wijzigen van beveiligings-principals in Active directory.
Status
Dit gedrag is inherent aan het ontwerp. Beheerders van Exchange biedt de flexibiliteit bij het beheren van kenmerken op de Exchange Server-objecten die consistent met hun rol als beheerder van Exchange zijn. Exchange-beheerders worden kunnen gebruikersaccounts en postbussen maken en objecten van het type Postvak toewijzen als resourcepostbussen of gedeelde postvakken als Exchange Server wordt uitgevoerd in het gedeelde machtigingen Model verwacht.
Oplossing
Microsoft heeft de rechten die zijn toegekend aan servers waarop Exchange Server en Exchange-beheerders in de geïdentificeerde scenario's worden geëvalueerd. Microsoft heeft vastgesteld dat deze worden gewijzigd dat het verlagen van de machtigingen die zijn toegewezen in Active Directory-domein. De wijzigingen in de werkelijke machtigingen zijn afhankelijk van de versie van Exchange Server die wordt gebruikt.
De procedure in deze sectie wordt een algemene, verminderde directory machtiging profiel alle omgevingen.
U lost dit probleem op Exchange Server 2013 of een latere versie, moeten klanten voor hun omgeving de volgende cumulatieve update installeren:
-
Exchange Server-2019: cumulatieve Update 1
-
Exchange Server 2016: cumulatieve Update 12
-
Exchange Server 2013: cumulatieve Update 22
Omgevingen waarin Exchange Server 2013 of een latere versie gebruikt wordt is het bijgewerkte cumulatieve updatepakket /PrepareAD handmatig uitvoeren in een Active Directory-forest waarbij Exchange Server is geïnstalleerd of waarop het directory-schema is vereist is naar hostservers waarop Exchange Server wordt voorbereid. Klanten die gebruikmaken van meerdere domeinen in een forest moet ook /PrepareDomain uitvoeren in alle domeinen in het forest om de machtigingen die zijn toegekend aan de Exchange Server en Exchange-beheerders lager.
Opmerking De werking van de /PrepareDomain wordt automatisch uitgevoerd in de Active Directory-domein waarin de /PrepareAD wordt uitgevoerd. Echter, het niet mogelijk andere domeinen in het forest bijwerken. Om deze reden moet een domeinbeheerder /PrepareDomain in andere domeinen in het forest uitvoeren. Zie Active Directory voorbereiden en -domeinen voor Exchange Servervoor meer informatie over de schakelopties die worden gebruikt door Exchange Server voor /Prepare .
De prepare-bewerkingen in deze bijgewerkte cumulatieve updates aanbrengen de volgende wijzigingen aan de Active Directory-omgeving.
Exchange Server 2016 en latere versies
Het AdminSDHolder-object in het domein bijgewerkt 'Toestaan' ACE waarmee de groep "Exchange vertrouwd subsysteem" "Schrijven DACL" verwijderen rechts op de objecttypen "Groep" overgenomen.
Exchange Server 2013 en latere versies
De 'Toestaan' post ACE (Access Control) dat verleent de 'Exchange Windows-machtigingen"groep"Schrijven DACL"recht op de 'gebruiker' en 'INetOrgPerson' objecttypen overgenomen wordt bijgewerkt met de vlag 'Alleen overnemen' op het hoofdobject voor het domein.
Exchange Server 2010
Klanten met Exchange Server 2010 gelden de volgende handmatige updates voor hun omgeving met behulp van het hulpprogramma LDP.
-
Start het LDP-hulpprogramma (In het vak uitvoeren , type ldp.exeen druk op Enter).
-
Verbinding maken met de naamruimte van het domein dat u wilt bijwerken. (Klik in het menu bestand op verbinding maken.)
-
Binden aan de naamruimte van het domein met referenties voor domeinbeheerder. (Klik op verbindenin het menu bestand .)
-
De structuur bekijken met behulp van de basis-DN die overeenkomt met de hoofdmap van het domeincontext moet worden bijgewerkt. (Klik in het menu Beeld op structuur.) Bijvoorbeeld:
-
Open domein toegangsbeheerlijsten. (Met de rechtermuisknop op het domein, klikt u op Geavanceerden klik vervolgens op Security Descriptor).
-
Zoek de twee 'Toestaan' ACE's die 'DACL schrijven' verlenen aan de groep 'Exchange Windows-machtigingen' op de 'gebruiker' en 'INetOrgPerson' overgenomen objecttype:
-
Elke vermelding wilt toevoegen, de vlag 'Alleen overnemen' bewerken. Hiertoe dubbelklikt u op het object en selecteer de markering.
-
Controleer of de bewerking is geslaagd op elke ACE. Klik vervolgens op bijwerken.
