Сценарий
Рассмотрим следующий сценарий.
-
Exchange Server выполняются с помощью модели общего разрешения, устанавливаемого по умолчанию для Exchange Server.
-
Записи управления доступом помещаются в лесу Active Directory. Это обеспечивает повышенный уровень разрешений каталога Exchange Server.
Причина
Exchange Server — это приложение-службы каталогов. Таким образом необходимо иметь возможность изменять атрибуты, связанные с поддержкой Exchange Server объекты. Это включает возможность изменять списки управления доступом (DACL) в некоторых случаях. Так как эти объекты могут присутствовать в любом месте в иерархии домена, Exchange Server предоставляет права на серверах под управлением Exchange Server в корне домена. Это позволяет убедиться в том, что права передаются все соответствующие объекты.
Exchange Server не делает в настоящее время используется Только наследование флаг при вычислении распространения списка DACL. Это не относится к модели Active разрешений для разделения каталогов. В расщепленной конфигурации разрешений Exchange Server применяется модель разрешений, не предоставляйте серверов возможность создать или изменить участников безопасности в каталоге.
Статус
Данное поведение является особенностью. Администраторы Exchange обеспечивает гибкость для управления атрибутами объектов Exchange Server, согласующиеся с их роль администратора Exchange. Администраторы Exchange должны иметь возможность создавать учетные записи пользователей и почтовые ящики и передать тип почтового ящика ресурса почтовые ящики или общие почтовые ящики если Exchange Server работает в общей модели разрешений.
Решение
Майкрософт было оценено права, предоставленные серверами под управлением Exchange Server и администраторов Exchange в определенных сценариях. Корпорация Майкрософт считает, что это можно вносить изменения, уменьшите разрешения, которые предоставлены в пределах домена Active Directory. Фактическое разрешение изменения зависят от версии Exchange Server, который используется.
Процедура, описанная в этом разделе возвращает профиль общего, ограниченной каталог разрешения во всех средах.
Для решения этой проблемы в Exchange Server 2013 или более поздней версии, пользователи должны установить накопительное обновление, в зависимости от среды:
-
Exchange Server 2019 — Накопительное обновление 1
-
Exchange Server 2016 — Накопительное обновление 12
-
Exchange Server 2013 — Накопительное обновление 22
Среды, в которых Exchange Server 2013 или более поздней версии используется в требуется обновленный накопительный пакет обновления вручную выполнять хозяин схемы в лес Active Directory в котором установлен Exchange Server или в которой имеет схемы каталога были подготовлены к хост-серверы под управлением Exchange Server. Кроме того пользователи используют несколько доменов в одном лесу придется запускать /PrepareDomain во всех доменах в лесу, чтобы понизить разрешения, предоставленные для Exchange Server и для администраторов Exchange.
Примечание. /PrepareDomain операция автоматически выполняется в домене Active Directory, в котором находится/PrepareAD . Тем не менее его нельзя будет обновлять других доменов в лесу. По этой причине администратор домена должен быть запущен /PrepareDomain в другие домены в лесу. Дополнительные сведения о параметрах /Prepare , которые используются Exchange Server подготовки Active Directory и доменов для Exchange Serverсм.
Подготовка операции в эти обновленные накопительные обновления внесите следующие изменения в среду Active Directory.
Exchange Server 2016 и более поздних версий
Объект AdminSDHolder домена обновляется удаляемого элемента управления ДОСТУПОМ, предоставляющую группе «Надежные подсистемы Exchange» «Записать DACL» «разрешить» на «Группы» унаследованные типы объектов.
Exchange Server 2013 и более поздних версий
«Разрешить» управления запись ДОСТУПОМ, предоставляющую «Разрешений Windows Exchange» группе «Записать DACL» право «Пользователь» и «INetOrgPerson» унаследованные типы объектов будет обновлен для включения флага «Только наследование» корневого объекта домена.
Exchange Server 2010
Пользователи, работающие с Exchange Server 2010 следует следующие обновления вручную в своей среде с помощью средства LDP.
-
Начало средство LDP (в поле выполнить , тип ldp.exeи нажмите клавишу Ввод).
-
Подключиться к пространству имен домена, которую требуется обновить. (В меню файл щелкните подключение).
-
Привяжите к пространству имен домена с помощью учетных данных администратора домена. (В меню файл щелкните Bind.)
-
Просмотр дерева с помощью base DN, соответствующий корневой контекст домена для обновления. (В меню Вид щелкните дерево). Например:
-
Откройте списки управления доступом в домене. (Щелкните правой кнопкой мыши домен, нажмите кнопку Дополнительнои выберите Дескриптор безопасности.)
-
Найти два «Разрешить» разрешающими «Записать DACL» право группе «Разрешений Windows Exchange» на «Пользователь» и «INetOrgPerson» унаследованные типы объектов: Примечание Выполните сортировку списка . Это изменит порядок ACL.
-
Изменение каждой записи для добавления флага «Только наследование». Чтобы сделать это, дважды щелкните объект, установите флажок и нажмите кнопку ОК.
-
Убедитесь, что операция выполнена успешно, для каждой записи управления ДОСТУПОМ. Нажмите кнопку Обновить.