Associação do grupo de distribuição ainda está visível após você ocultar a associação

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 812841
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sintomas
Quando você oculta os membros de um grupo de distribuição, os membros desse grupo de distribuição não ficam ocultos dos membros do grupo de segurança Acesso compatível anterior ao Windows 2000. Isso significa que os usuários com acesso ao seu diretório podem exibir um grupo que um objeto é um membro do exibindo o atributo memberOf de um objeto, mesmo se a associação do grupo de distribuição está oculta.

exemplo John Smith é um membro de um grupo de distribuição chamado MYDL. Você ocultou a participação em grupo MYDL corretamente usando as instruções no seguinte artigo da Base de dados de Conhecimento Microsoft:
253827Como o Exchange oculta membros do grupo no Active Directory
Quando conectado ao computador do Exchange Server como um usuário que pertence ao grupo de segurança Acesso compatível anterior ao Windows 2000, você pode exibir as propriedades de John Smith da lista de endereços global. MYDL estiver listado no membro de guia.

Observação Para localizar a guia membro de , execute estas etapas:
  1. No Microsoft Outlook, clique em novo .
  2. Na nova janela de mensagem que aparece, clique no botão para .
  3. no Mostrar nomes do clique em Lista de endereços global .
  4. Clique com o botão direito do mouse um nome no lista nome e, em seguida, clique em Propriedades .
  5. Clique na guia membro de .
Causa
Esse problema ocorre porque ocultas de associação do grupo de distribuição é exposta a membros de Pre-Windows 2000 Compatible Access grupo de segurança através do atributo memberOf . Ao instalar o Exchange 2000 Server em um domínio no qual o grupo de segurança Acesso compatível anterior ao Windows 2000 contém membros, você recebe a seguinte mensagem:
O domínio "domain.com" foi identificado como inseguro para grupos habilitados para email com associação oculta da DL. Associação oculta da DL será ser exposta a membros do Pre-Windows 2000 Compatible Access interno de grupo de segurança. Esse grupo pode sido preenchido durante a promoção do domínio com a intenção de permitir que permissões para ser compatível com servidores anteriores ao Windows 2000 e aplicativos. Para proteger este domínio, remova qualquer membros desnecessários desse grupo.
O grupo de segurança Acesso compatível anterior ao Windows 2000 está preenchido durante DCPROMO com base em quaisquer opções de permissões são feitas. Para obter mais informações sobre esse processo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
257988Descrição das opções de permissões de Dcpromo
Observação Este artigo também explica como remover o grupo Todos do grupo de segurança Acesso compatível anterior ao Windows 2000. Consulte a seção “ informações mais ” do artigo atual (812841) para obter mais informações sobre o todos grupo conforme ele reside no Pre-Windows 2000 Compatible Access grupo de segurança.
Como Contornar
Para contornar esse cenário, execute estas etapas:
  1. Adicione o grupo de distribuição para uma nova unidade organizacional ou para uma unidade organizacional que você deseja modificar o acesso no Active Directory Users and Computers.
  2. Edite as propriedades da nova unidade organizacional para negar a permissão de leitura a usuários ou grupos que você deseja impedir que exibam a participação no grupo de distribuição.

    Observação Se você deseja negar acesso de leitura ao grupo de acesso de compatibilidade anterior ao Windows 2000, certifique-se de que primeiro remover o grupo Todos da associação de grupo de acesso de compatibilidade anterior ao Windows 2000. Se você não remover o grupo Todos, todos serão negado acesso de leitura para o grupo de distribuição.

    Em alguns casos, você pode ter que fornecer compatibilidade com versões anteriores para servidor/cliente anterior de sistemas operacionais e programas, e não é possível remover o grupo Todos da associação de Pre-Windows 2000 Compatible Access grupo de segurança.
  3. Clique com o botão direito do mouse no grupo de distribuição, clique em Exchange Tasks , clique em Avançar , clique em Ocultar membros e em seguida, clique em Avançar .
  4. Clique em Avançar para confirmar que o descritor de segurança do grupo selecionado será alterado para impedir a exibição e, em seguida, clique em Concluir .
  5. Dê tempo suficiente para que o serviço de atualização de destinatário (RUS) para replicar as alterações. Ou então, atualizar o RUS manualmente no Exchange System Manager. Para fazer isso:
    1. Inicie o Exchange System Manager. Para fazer isso, clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
    2. Em sua organização, expanda destinatários e, em seguida, clique em Recipient Update Services .
    3. No painel direito, clique com o botão direito do mouse o serviço de atualização de destinatário e, em seguida, clique em Atualizar agora .
Mais Informações
Quando você coloca um grupo em uma unidade organizacional onde você negou o acesso de leitura para a comunidade que você deseja proteger sua participação do, o grupo não aparecerá na GAL (lista de endereços global). No entanto, os membros do grupo ainda podem ser determinado através do uso de uma consulta LDAP (Lightweight Directory Access Protocol) no atributo memberOf de uma conta de usuário. Esta consulta irá revelar se esse usuário é membro de uma lista de distribuição ocultos. Não é possível para contornar a exposição desse atributo quando todos faz parte do grupo de segurança Acesso compatível anterior ao Windows 2000.

Fornece acesso a versões anteriores ao Windows 2000 compatibilidade para determinados programas devem consultar o Active Directory usando acesso por logon anônimo. Programas ou serviços que podem consultar o diretório usando acesso por logon anônimo incluem os que estão executando no contexto de segurança da conta do sistema local:, tais como nas seguintes situações:
  • Em um servidor executando o Microsoft Windows NT 4.0 em ou fora da floresta.
  • Em um servidor executando o Windows 2000 em um domínio confiante fora da floresta
Um exemplo de como um programa ou serviço é o roteamento e serviço de acesso remoto em execução no Windows NT 4.0.

No Active Directory, o grupo compatíveis com versões anteriores ao Windows 2000 recebe permissões de leitura na raiz do domínio e também recebe as permissões de leitura em todos os objetos de usuário, objetos de computador e objetos de grupo. Quando você habilita a versões anteriores ao Windows 2000 compatibilidade, especial grupo Todos está adicionado como membro do grupo compatíveis com versões anteriores ao Windows 2000. Como todos inclui usuários autenticados e usuários anônimos, qualquer pessoa com acesso à rede pode ler esses objetos. Quando essa configuração estiver ativada, qualquer usuário com acesso à rede (um mesmo sem uma conta na floresta) pode consultar e descobrir informações sobre usuários, grupos e computadores do Active Directory. Se você não tiver programas que exigem acesso de Active Directory habilitado para compatibilidade com versões anteriores ao Windows 2000, não selecione essa configuração durante a promoção de controlador de domínio.

Quando você optar por ocultar membros do grupo, uma ACE (Access Control Entry) “ Negar ” é colocado no atributo “ membro ” e, devido a isso, ninguém pode lê-lo. No entanto, como Exchange 2000 Server deve ter acesso a esse atributo, duas contas recebem acesso para o atributo Member mesmo que o grupo de distribuição é oculta: grupo Exchange Domain Servers A (Exchange todos os servidores no domínio são membros deste grupo) e os operadores de conta de grupo (inicialmente vazio). Porque usuários típicos não são membros do grupo Account Operators ou o grupo de servidores do Exchange (que deve incluir somente contas de computador), a participação é considerado ocultos.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
253827Como o Exchange oculta membros do grupo no Active Directory

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 812841 - Última Revisão: 12/08/2015 01:54:21 - Revisão: 1.5

Microsoft Exchange 2000 Enterprise Server, Microsoft Exchange 2000 Server Standard Edition

  • kbnosurvey kbarchive kbmt kbnofix kbbug kbprb KB812841 KbMtpt
Comentários