Cenário

Considere o seguinte cenário:

  • Você está executando o Exchange Server usando o modelo de permissões compartilhadas que é instalado por padrão para o Exchange Server.

  • Entradas de Controle de Acesso são colocadas na floresta do Active Directory. Isto dá ao Exchange Server um elevado nível de permissão de diretório.

Motivo

O Exchange Server é um aplicativo habilitado para serviços de diretório. Portanto, ele deve ser capaz de modificar atributos relacionados a objetos habilitados para o Exchange Server. Isso inclui a capacidade de modificar DACLs (Listas de Controle de Acesso Discricionário) em algumas instâncias. Como esses objetos podem existir em qualquer lugar na hierarquia de domínios, o Exchange Server concede direitos a servidores que estão executando o Exchange Server na raiz do domínio. Isso é feito para garantir que os direitos sejam passados para todos os objetos aplicáveis.

Atualmente, o Exchange Server não usa o sinalizador Somente Herdar quando a propagação de DACL é avaliada. Isso não se aplica ao modelo de Permissões Divididas do Active Directory. Em uma configuração de permissões divididas, o Exchange Server aplica um modelo de permissões que não concede aos servidores a capacidade de criar ou modificar entidades de segurança no diretório.

Status

Este é o comportamento padrão. Ele fornece aos administradores do Exchange a flexibilidade para gerenciar atributos em objetos do Exchange Server que são consistentes com sua função de administrador do Exchange. Espera-se que os administradores do Exchange sejam capazes de criar caixas de correio e contas de usuário e de reatribuir objetos do tipo de caixa de correio como caixas de correio de recursos ou de caixas de correio compartilhadas se o Exchange Server estiver sendo executado no Modelo de Permissões Compartilhadas.

Resolução

A Microsoft avaliou os direitos concedidos aos servidores que estão executando o Exchange Server e aos administradores do Exchange nos cenários identificados. A Microsoft determinou que é possível fazer alterações que diminuem as permissões concedidas em um domínio do Active Directory. As alterações de permissão real irão variar dependendo da versão do Exchange Server usada.

O procedimento nesta seção retorna todos os ambientes para um perfil de permissão de diretório reduzido e comum.

Para resolver esse problema no Exchange Server 2013 ou em uma versão posterior, os clientes devem instalar a seguinte atualização cumulativa, conforme apropriado para seus ambientes:

Ambientes nos quais o Exchange Server 2013 ou uma versão posterior esteja em uso exigem o pacote de atualização cumulativa para executarem manualmente o comando /PrepareAD em qualquer floresta do Active Directory em que o Exchange Server esteja instalado ou na qual o esquema de diretório tenha sido preparado para hospedar servidores que estejam executando o Exchange Server. Além disso, os clientes que utilizam vários domínios em uma única floresta precisarão executar /PrepareDomain em todos os domínios na floresta para reduzir as permissões que são concedidas ao Exchange Server e aos administradores do Exchange.

Observação A operação /PrepareDomain é executada automaticamente no domínio do Active Directory no qual /PrepareAD é executado. No entanto, ele pode não ser capaz de atualizar outros domínios na floresta. Por esse motivo, um administrador de domínio deve executar /PrepareDomain em outros domínios da floresta.

Para mais informações sobre as opções de /Prepare que são usadas pelo Exchange Server, consulte Preparar o Active Directory e os domínios para o Exchange Server.

As operações de preparação nessas atualizações cumulativas atualizadas fazem as seguintes alterações no ambiente do Active Directory.

Exchange Server 2016 e versões posteriores

O objeto AdminSDHolder no domínio é atualizado para remover a ACE "Permitir" que concede ao grupo "Subsistema Confiável do Exchange" o direito "Gravar DACL" nos tipos de objetos herdados de "Grupo".

Exchange Server 2013 e versões posteriores

A ACE (Entrada de Controle de Acesso) "Permitir" que concede ao grupo "Permissões do Windows para o Exchange" o direito "Gravar DACL" nos tipos de objetos herdados "User" e "INetOrgPerson" é atualizada para incluir o sinalizador "Somente Herdar" no objeto raiz do domínio.

Exchange Server 2010

Os clientes que estejam executando o Exchange Server 2010 devem aplicar as seguintes atualizações manuais ao ambiente usando a ferramenta LDP.

  1. Inicie a ferramenta LDP (Na caixa Executar, digite ldp.exe e pressione Enter).

  2. Conecte-se ao namespace de domínio que você deseja atualizar. (No menu Arquivo, clique em Conectar.)

  3. Vincule-se ao namespace de domínio usando credenciais de administrador de domínio. (No menu Arquivo, clique em Associar.)

  4. Visualize a árvore usando o DN base que corresponde à raiz do contexto de domínio a ser atualizado. (No menu Exibir , clique em Árvore.)
    Por exemplo:

    Modo de exibição de árvore

  5. Abra Listas de Controle de Acesso ao Domínio. (Clique com o botão direito do mouse em domínio, clique em Avançado e depois clique em Descritor de Segurança.)

    Listas de controle de acesso do domínio

  6. Localize as duas ACEs "Permitir" que concedem o direito "Gravar DACL" ao grupo "Permissões do Windows para o Exchange" nos tipos de objetos herdados "User" e "INetOrgPerson":

    Descritor de segurança

    Observação Não classifique a lista. Isso mudará a ordem da ACL.

  7. Edite cada entrada para adicionar o sinalizador "Somente Herdar". Para fazer isso, clique duas vezes no objeto, selecione o sinalizador e clique em OK.

    Entrada de controle de acesso

  8. Verifique se a operação foi bem-sucedida em cada ACE. Em seguida, clique em Atualizar.

    Descritor de segurança

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?

Obrigado pelos seus comentários!

×