Cenário
Considere o seguinte cenário:
-
Está a executar o Exchange Server, utilizando o modelo de permissões partilhadas que é instalado por predefinição para o Exchange Server.
-
Entradas de controlo de acesso são colocadas na floresta do Active Directory. Isto dá-servidor do Exchange um elevado nível de permissão de directório.
Causa
Exchange Server é uma aplicação de serviços de directório. Por conseguinte, deve ser possível modificar os atributos que estão relacionados com objectos com-enabled Exchange Server. Isto inclui a capacidade para modificar o controlo de acesso discricionário listas (DACLs) em alguns casos. Uma vez que estes objectos podem existir em qualquer ponto na hierarquia do domínio, o Exchange Server concede direitos para servidores que executem o Exchange Server na raiz do domínio. Isto é feito para se certificar de que os direitos são transferidos para todos os objectos aplicáveis.
Exchange Server não actualmente recorrer a Herdar apenas quando é avaliada a propagação da DACL do sinalizador. Isto não se aplica o modelo de permissões de divisão do Active Directory. Numa configuração de permissões de divisão, Exchange Server, aplica-se um modelo de permissões que não concede a capacidade de criar ou modificar os principais de segurança no directório de servidores.
Estado
Este comportamento ocorre por predefinição. Fornece aos administradores do Exchange a flexibilidade para gerir atributos em objectos do Exchange Server que sejam consistentes com a respectiva função como um administrador do Exchange. Espera-se aos administradores do Exchange para poder criar contas de utilizador e caixas de correio e reatribuir os objectos do tipo de caixa de correio como caixas de correio de recursos ou caixas de correio partilhadas se o Exchange Server está em execução no modelo de permissões partilhado.
Resolução
Microsoft foi avaliada os direitos que são concedidos para servidores que executem o Exchange Server e aos administradores do Exchange nos cenários identificados. A Microsoft determinou que é possível efectuar alterações que diminua as permissões que são concedidas dentro de um domínio do Active Directory. As alterações de permissão real irão variar consoante a versão do Exchange Server que é utilizado.
O procedimento descrito nesta secção devolve todos os ambientes para um perfil de permissão de directório comum, reduzida.
Para resolver este problema no Exchange Server 2013 ou uma versão posterior, os clientes devem instalar a actualização cumulativa seguinte, conforme adequado para o seu ambiente:
-
Exchange Server 2019 – actualização cumulativa 1
-
Exchange Server de 2016 – actualização cumulativa 12
-
Exchange Server 2013 – actualização cumulativa 22
Ambientes onde 2013 de servidor do Exchange ou uma versão posterior está em utilização requerer o pacote de actualização cumulativa actualizado para executar manualmente o /PrepareAD qualquer floresta do Active Directory em que o Exchange Server está instalado ou em que tem o esquema de directório foi preparado para servidores de anfitrião com o Exchange Server. Além disso, os clientes que utilizam vários domínios numa única floresta terão de executar /PrepareDomain em todos os domínios na floresta para diminuir as permissões que são concedidas para o Exchange Server e para os administradores do Exchange.
Nota A operação de /PrepareDomain é executado automaticamente no domínio do Active Directory no qual /PrepareAD é executado. No entanto, poderá não ser possível actualizar outros domínios na floresta. Por este motivo, um administrador de domínio deve executar o /PrepareDomain de outros domínios na floresta. Para mais informações sobre os parâmetros de /Prepare que são utilizadas pelo Exchange Server, consulte a preparar o Active Directory e domínios para o Exchange Server.
As operações de preparar estas actualizações cumulativas actualizadas efectuar as seguintes alterações para o ambiente do Active Directory.
Servidor de 2016 e versões posteriores do Exchange
O objecto AdminSDHolder no domínio é actualizado para remover "Permitir" ACE concede ao grupo "Exchange subsistema fidedigno" a "DACL escrever" para a direita sobre os tipos de objecto "Grupo" herdadas.
Exchange Server 2013 e versões posteriores
"Permitir" Access controlo entrada (ACE) que concede as "permissões de Windows do Exchange" grupo "DACL escrever" direita "Utilizador" e "INetOrgPerson" herdadas tipos de objecto é actualizado para incluir o sinalizador "Herdar apenas" no objecto de raiz de domínio.
Exchange Server 2010
Os clientes que estejam a executar o Exchange Server 2010 devem aplicar as seguintes actualizações manuais ao seu ambiente de trabalho utilizando a ferramenta LDP.
-
Iniciar a ferramenta LDP (na caixa Executar , tipo ldp.exee prima Enter).
-
Ligar ao espaço de nomes de domínio que pretende actualizar. (No menu ficheiro , clique em Ligar.)
-
Associa-se ao espaço de nomes de domínio utilizando credenciais de administrador do domínio. (No menu ficheiro , clique em Ligar.)
-
Visualizar a árvore utilizando o DN base que corresponde à raiz do contexto do domínio ser actualizado. (No menu Ver , clique em árvore.) Por exemplo:
-
Abrir listas de controlo de acesso do domínio. ( Domíniocom o botão direito, clique em Avançadase, em seguida, faça clique sobre o Descritor de segurança.)
-
Localize as ACEs "Permitir" dois que concedem "DACL escrever" direito ao grupo "Exchange permissões do Windows" no "Utilizador" e os tipos de objectos "INetOrgPerson" herdada:
-
Edite cada entrada a adicionar o sinalizador "Herdar apenas". Para tal, duplo clique no objecto, seleccione o sinalizador e, em seguida, clique em OK.
-
Certifique-se de que a operação for bem sucedida em cada ACE. Em seguida, clique em Actualizar.
