Scenariusz
Rozpatrzmy następujący scenariusz:
-
Exchange Server są uruchomione przy użyciu modelu uprawnienia udostępnionych jest instalowany domyślnie dla Exchange Server.
-
Wpisy kontroli dostępu, są wprowadzane do lasu usługi Active Directory. Daje to Exchange Server podniesionym poziomie uprawnień w katalogu.
Przyczyna
Exchange Server to aplikacja włączone usługi katalogu. W związku z tym musi być w stanie modyfikować atrybuty, które są związane z obiektów z włączoną obsługą Exchange Server. Obejmuje to możliwość modyfikowania listy kontroli dostępu (DACL) w niektórych przypadkach. Ponieważ obiekty te mogą znajdować się gdziekolwiek w hierarchii domeny, Exchange Server udziela praw do serwerów z systemem Exchange Server w katalogu głównym domeny. Ma to, aby upewnić się, że takie uprawnienia są przekazywane do wszystkich odpowiednich obiektów.
Exchange Server nie ma obecnie korzystać z Dziedziczą tylko flagi propagacji DACL jest oceniany. Nie dotyczy modelu uprawnienia podziału w usłudze Active Directory. W dzielonej konfiguracji uprawnień Exchange Server dotyczy modelu uprawnień, które nie udziela serwery zdolność do tworzenia lub modyfikowania podmiotów zabezpieczeń w katalogu.
Stan
To zachowanie jest zgodne z projektem. Administratorzy programu Exchange zapewnia elastyczność zarządzania atrybutów obiektów Exchange Server, które są zgodne z ich roli jako administratora programu Exchange. Administratorzy programu Exchange mają być w stanie utworzyć konta użytkowników i skrzynki pocztowe i przypisać obiekty typu skrzynki pocztowej jako skrzynek pocztowych zasobów lub udostępnionych skrzynek pocztowych, jeśli Exchange Server jest uruchomiony w modelu udostępnionym uprawnień.
Rozwiązanie
Microsoft oceniła praw, które są przyznawane na serwerach z systemem Exchange Server oraz Administratorzy programu Exchange w określonych scenariuszach. Firma Microsoft ustaliła, że jest możliwe wprowadzenie zmian, które obniżają uprawnienia, które są przyznawane w ramach domeny usługi Active Directory. Zmiany uprawnień rzeczywistych zależą od wersji programu Exchange Server, który jest używany.
W procedurze w tej sekcji zwraca wszystkie środowiska do wspólnej, obniżonych katalogu profilu uprawnień.
Aby rozwiązać ten problem na 2013 Exchange Server lub nowszym, klienci powinni zainstalować następującej aktualizacji zbiorczej, odpowiednio do ich środowiska:
-
Exchange Server 2019 – Zbiorcza aktualizacja 1
-
Exchange Server 2016 – 12 aktualizacji zbiorczej
-
Exchange Server 2013 — Aktualizacja zbiorcza 22
Pakiet aktualizacji zbiorczej zaktualizowane ręcznie wykonać/preparead w dowolnym lesie usługi Active Directory, w którym Exchange Server jest zainstalowany, lub w którym znajduje się schemat katalogu wymagają środowiskach 2013 Exchange Server lub nowszym jest w użyciu zostały przygotowane do serwerów hosta z systemem Exchange Server. Dodatkowo klienci, którzy wykorzystują wiele domen w jeden las będzie trzeba uruchamiać /PrepareDomain we wszystkich domenach w lesie, aby obniżyć uprawnienia, które są przypisywane do Exchange Server i Administratorzy programu Exchange.
Uwaga Operacja /PrepareDomain jest uruchamiana automatycznie w domenie usługi Active Directory, w którym jest uruchamiane/preparead . Jednak to nie można zaktualizować innych domen w lesie. Z tego powodu administrator domeny należy uruchomić /PrepareDomain w innych domenach w lesie. Aby uzyskać więcej informacji na temat przełączników /Prepare , które są używane przez Exchange Server zobacz Przygotowanie usługi Active Directory i domen dla Exchange Server.
Operacje przygotowania w te aktualizacje zbiorcze zaktualizowaną wprowadzić następujące zmiany do środowiska usługi Active Directory.
Exchange Server 2016 i nowsze wersje
Obiekt AdminSDHolder w domenie jest aktualizowany do usunięcia wpisu kontroli dostępu, który udziela grupie "Programu Exchange zaufany podsystem" "Napisz DACL" "Zezwalaj" na "Grupa" dziedziczone typy obiektów.
Exchange Server 2013 i nowsze wersje
Aby dołączyć flagę "Dziedziczą tylko" na obiekcie domeny katalogu głównego jest aktualizowany "Zezwalaj" wpisu kontroli dostępu (ACE), przyznając "Exchange systemu Windows uprawnienia" grupy "Napisz DACL" prawo do "Użytkownika" i "INetOrgPerson" dziedziczone typy obiektów.
Exchange Server 2010
Klienci korzystający z programu Exchange Server 2010 stosuje następujące aktualizacje ręczne ich środowiska przy użyciu narzędzia LDP.
-
Uruchomienie narzędzia LDP (w pole Uruchom , wpisz ldp.exei naciśnij klawisz Enter).
-
Podłącz do obszaru nazw domeny, który chcesz zaktualizować. (W menu plik kliknij polecenie Połącz).
-
Powiązanie nazw domeny przy użyciu poświadczeń administratora domeny. (W menu plik kliknij polecenie Bind).
-
Umożliwia wyświetlenie drzewa za pomocą bazowa nazwa Wyróżniająca, który odnosi się do katalogu głównego kontekstu domeny mają być aktualizowane. (W menu Widok kliknij polecenie drzewo). Na przykład:
-
Otwieranie listy kontroli dostępu do domeny. (Kliknij prawym przyciskiem myszy domenę, kliknij przycisk Zaawansowane, a następnie kliknij Deskryptora zabezpieczeń.)
-
Znajdź dwa asy "Zezwalaj", które przyznają "Napisz DACL" prawo do grupy "Uprawnienia systemu Windows Exchange" na "Użytkownika" i "INetOrgPerson" dziedziczone typy obiektów:
-
Edytować każdy wpis, aby dodać flagę "Dziedziczą tylko". Aby to zrobić, kliknij dwukrotnie obiekt, wybierz odpowiednią flagę, a następnie kliknij OK.
-
Sprawdź, czy operacja powiodła się na każdy wpis ACE. Następnie kliknij przycisk Aktualizuj.
