Scenariu
Să luăm în considerare următorul scenariu:
-
Utilizând modelul de permisiuni partajate care este instalată în mod implicit pentru Exchange Server care execută Exchange Server.
-
Intrările de Control al accesului sunt puse în pădure Active Directory. Acest lucru vă oferă Exchange Server un nivel ridicat de permisiune de director.
Cauză
Exchange Server este o aplicație directory services activate. De aceea, trebuie să se poată modifica atributele care sunt legate de obiecte de Exchange Server. Aceasta include posibilitatea de a modifica Discretionary Access Control listează (DACLs) în unele cazuri. Deoarece aceste obiecte pot exista oriunde în ierarhia domeniului, Exchange Server acordă drepturi pentru serverele care execută Exchange Server la rădăcina domeniului. Acest lucru este făcut pentru a vă asigura că drepturile sunt transmise către toate obiectele aplicabile.
Exchange Server nu face în prezent utilizarea Moștenesc numai semnalizează când dacl list propagare este evaluată. Acest lucru nu se aplică modelul de Active Directory Split permisiuni. Într-o configurație de permisiuni divizată, Exchange Server se aplică un model de permisiuni care acordă servere capacitatea de a crea sau a modifica principii de securitate în directorul.
Stare
Acest comportament este proiectat. Ea oferă administratorilor Exchange flexibilitate pentru a gestiona atributele obiectelor Exchange Server care sunt compatibile cu rolul de Exchange administrator. Administratorilor Exchange se așteaptă să poată să creați conturi de utilizator și cutiile poștale și reatribui obiectele de tip cutie poștală ca cutiile poștale de resurse sau cutii poștale partajate dacă Exchange Server se execută în modelul de permisiuni partajat.
Rezolvare
Microsoft a evaluat drepturi acordate pentru serverele care execută Exchange Server și administratorilor Exchange în scenarii identificate. Microsoft a stabilit că este posibil să faceți modificări care reduce permisiunile acordate într-un domeniu Active Directory. Modificările permisiunea reale variază în funcţie de versiunea de Exchange Server, care este utilizat.
Procedura din această secțiune returnează toate mediile într-un profil de permisiune de Director obișnuite, redusă.
Pentru a rezolva această problemă pe Exchange Server 2013 sau o versiune ulterioară, clienții trebuie să instalați următoarea actualizare cumulativă, în funcție de mediul lor:
-
Exchange Server 2019 – Actualizare cumulativă 1
-
Exchange Server 2016 – Actualizare cumulativă 12
-
Exchange Server 2013- Actualizare cumulativă 22
Medii în care Exchange Server 2013 sau o versiune mai recentă este în uz necesită pachetul de actualizare cumulativă actualizat pentru a executa manual/preparead în orice pădure Active Directory în care Exchange Server este instalat sau în care schema de Director a fost pregătit să gazdă serverele care execută Exchange Server. În plus, clienții care folosesc mai multe domenii într-o pădure singur va trebui să executați /PrepareDomain în toate domenii în pădure pentru a reduce permisiunile acordate pentru Exchange Server și administratorilor Exchange.
Notă Operațiunea de /PrepareDomain se execută automat în domeniu Active Directory în care se execută/preparead . Cu toate acestea, nu poate fi capabil să actualizeze alte domenii în pădure. De aceea, un administrator de domeniu ar trebui să ruleze /PrepareDomain din alte domenii în pădure. Pentru mai multe informații despre argumentele /Prepare care sunt utilizate de Exchange Server, consultați Prepare Active Directory și domeniile pentru Exchange Server.
Operațiunile de pregătire în aceste actualizări cumulative actualizat următoarele modificări la mediul de Active Directory.
Exchange Server 2016 și versiunile ulterioare
Obiectul AdminSDHolder pe domeniul este actualizat pentru a elimina "Allow" ACE care acordă grupului "Exchange încredere subsistemul" "scrie dacl list" direct "Grupul" moștenite tipuri de obiecte.
Exchange Server 2013 şi versiunile ulterioare
"Allow" Access Control intrare (ACE) care acordă "Exchange Windows permisiunile" de grup "scrie dacl list" direct la "Utilizatori" și "INetOrgPerson" moștenite tipuri de obiecte este actualizat pentru a include semnalizatorul "Moștenesc doar" obiectul rădăcină de domeniu.
Exchange Server 2010
Clienții care execută Exchange Server 2010 se aplică următoarele actualizări manuale mediul lor utilizând instrumentul LDP.
-
Porniți instrumentul LDP (în caseta de Executare , tastați ldp.exeși apoi apăsați Enter).
-
Conectarea la de nume de domeniu pe care doriți să actualizați. (În meniul fișier , faceți clic pe Connect.)
-
Se leagă de nume de domeniu utilizând acreditările de administrator de domeniu. (În meniul fișier , faceți clic pe Bind.)
-
Vizualizați arborele utilizând DN bază care corespunde la rădăcina contextul de domeniu să fie actualizate. (În meniul Vizualizare , faceți clic pe arbore.) De exemplu:
-
Deschidere domeniu listele de Control al accesului. (Faceți clic dreapta pe domeniu, faceţi clic pe Advanced, și apoi faceți clic pe Descriptor de securitate).
-
Găsiți două "Allow" Ace-urilor care acordă "DACL scrie List" direct la grupul "Exchange Windows permisiunile" pe "Utilizatori" și "INetOrgPerson" moștenite obiect tipurile:
-
Editare fiecare intrare pentru a adăuga semnalizatorul "Moștenesc doar". Pentru aceasta, faceți dublu clic pe obiectul, selectați semnalizatorul și apoi faceți clic pe OK.
-
Verificați că operațiunea are succes pe fiecare as. Apoi, faceți clic pe Actualizare.
