Cenário
Considere o seguinte cenário:
-
Você está executando o Exchange Server usando o modelo de permissões compartilhadas que é instalado por padrão para o Exchange Server.
-
Entradas de Controle de Acesso são colocadas na floresta do Active Directory. Isto dá ao Exchange Server um elevado nível de permissão de diretório.
Motivo
O Exchange Server é um aplicativo habilitado para serviços de diretório. Portanto, ele deve ser capaz de modificar atributos relacionados a objetos habilitados para o Exchange Server. Isso inclui a capacidade de modificar DACLs (Listas de Controle de Acesso Discricionário) em algumas instâncias. Como esses objetos podem existir em qualquer lugar na hierarquia de domínios, o Exchange Server concede direitos a servidores que estão executando o Exchange Server na raiz do domínio. Isso é feito para garantir que os direitos sejam passados para todos os objetos aplicáveis.
Atualmente, o Exchange Server não usa o sinalizador Somente Herdar quando a propagação de DACL é avaliada. Isso não se aplica ao modelo de Permissões Divididas do Active Directory. Em uma configuração de permissões divididas, o Exchange Server aplica um modelo de permissões que não concede aos servidores a capacidade de criar ou modificar entidades de segurança no diretório.
Status
Este é o comportamento padrão. Ele fornece aos administradores do Exchange a flexibilidade para gerenciar atributos em objetos do Exchange Server que são consistentes com sua função de administrador do Exchange. Espera-se que os administradores do Exchange sejam capazes de criar caixas de correio e contas de usuário e de reatribuir objetos do tipo de caixa de correio como caixas de correio de recursos ou de caixas de correio compartilhadas se o Exchange Server estiver sendo executado no Modelo de Permissões Compartilhadas.
Resolução
A Microsoft avaliou os direitos concedidos aos servidores que estão executando o Exchange Server e aos administradores do Exchange nos cenários identificados. A Microsoft determinou que é possível fazer alterações que diminuem as permissões concedidas em um domínio do Active Directory. As alterações de permissão real irão variar dependendo da versão do Exchange Server usada.
O procedimento nesta seção retorna todos os ambientes para um perfil de permissão de diretório reduzido e comum.
Para resolver esse problema no Exchange Server 2013 ou em uma versão posterior, os clientes devem instalar a seguinte atualização cumulativa, conforme apropriado para seus ambientes:
-
Exchange Server 2019 – Atualização Cumulativa 1
-
Exchange Server 2016 – Atualização Cumulativa 12
-
Exchange Server 2013 – Atualização Cumulativa 22
Ambientes nos quais o Exchange Server 2013 ou uma versão posterior esteja em uso exigem o pacote de atualização cumulativa para executarem manualmente o comando /PrepareAD em qualquer floresta do Active Directory em que o Exchange Server esteja instalado ou na qual o esquema de diretório tenha sido preparado para hospedar servidores que estejam executando o Exchange Server. Além disso, os clientes que utilizam vários domínios em uma única floresta precisarão executar /PrepareDomain em todos os domínios na floresta para reduzir as permissões que são concedidas ao Exchange Server e aos administradores do Exchange.
Observação A operação /PrepareDomain é executada automaticamente no domínio do Active Directory no qual /PrepareAD é executado. No entanto, ele pode não ser capaz de atualizar outros domínios na floresta. Por esse motivo, um administrador de domínio deve executar /PrepareDomain em outros domínios da floresta.
Para mais informações sobre as opções de /Prepare que são usadas pelo Exchange Server, consulte Preparar o Active Directory e os domínios para o Exchange Server.
As operações de preparação nessas atualizações cumulativas atualizadas fazem as seguintes alterações no ambiente do Active Directory.
Exchange Server 2016 e versões posteriores
O objeto AdminSDHolder no domínio é atualizado para remover a ACE "Permitir" que concede ao grupo "Subsistema Confiável do Exchange" o direito "Gravar DACL" nos tipos de objetos herdados de "Grupo".
Exchange Server 2013 e versões posteriores
A ACE (Entrada de Controle de Acesso) "Permitir" que concede ao grupo "Permissões do Windows para o Exchange" o direito "Gravar DACL" nos tipos de objetos herdados "User" e "INetOrgPerson" é atualizada para incluir o sinalizador "Somente Herdar" no objeto raiz do domínio.
Exchange Server 2010
Os clientes que estejam executando o Exchange Server 2010 devem aplicar as seguintes atualizações manuais ao ambiente usando a ferramenta LDP.
-
Inicie a ferramenta LDP (Na caixa Executar, digite ldp.exe e pressione Enter).
-
Conecte-se ao namespace de domínio que você deseja atualizar. (No menu Arquivo, clique em Conectar.)
-
Vincule-se ao namespace de domínio usando credenciais de administrador de domínio. (No menu Arquivo, clique em Associar.)
-
Visualize a árvore usando o DN base que corresponde à raiz do contexto de domínio a ser atualizado. (No menu Exibir , clique em Árvore.)
Por exemplo: -
Abra Listas de Controle de Acesso ao Domínio. (Clique com o botão direito do mouse em domínio, clique em Avançado e depois clique em Descritor de Segurança.)
-
Localize as duas ACEs "Permitir" que concedem o direito "Gravar DACL" ao grupo "Permissões do Windows para o Exchange" nos tipos de objetos herdados "User" e "INetOrgPerson":
Observação Não classifique a lista. Isso mudará a ordem da ACL. -
Edite cada entrada para adicionar o sinalizador "Somente Herdar". Para fazer isso, clique duas vezes no objeto, selecione o sinalizador e clique em OK.
-
Verifique se a operação foi bem-sucedida em cada ACE. Em seguida, clique em Atualizar.