Scenár
Predstavte si nasledujúcu situáciu:
-
Používate Exchange Server pomocou modelu zdieľané povolenia, ktorá je nainštalovaná na serveri Exchange.
-
Položky prístupových práv, sa vložia do štruktúry služby Active Directory. Exchange Server poskytuje úroveň oprávnení adresár povolenie.
Príčina
Exchange Server je adresár služby aplikácia. Preto musí byť možné zmeniť atribúty, ktoré súvisia s Exchange Server objekty. Toto zahŕňa možnosť úpravy uváženia zoznamy na riadenie prístupu (voliteľných) v niektorých prípadoch. Keďže tieto objekty môžu existovať kdekoľvek v hierarchii domény, Exchange Server pridelí práva k serverom so systémom Exchange Server do koreňového adresára domény. Je to uistite sa, že práva prechádzajú všetky príslušné objekty.
Exchange Server nie v súčasnosti využívajú Dediť iba príznak pri DACL šírenie. To sa nevzťahuje na model Active Directory rozdeliť povolenia. Rozdelenie povolení konfigurácie, Exchange Server použije model povolení, ktoré neposkytuje servery možnosť vytvoriť alebo upraviť autority zabezpečenia v adresári.
Stav
Toto správanie je zámerné. Poskytuje správcom servera Exchange flexibilné spravovanie atribúty objektov servera Exchange, ktorá zodpovedá úlohe správca servera Exchange. Očakáva sa, že Exchange správcom vytvoriť používateľské kontá a poštové schránky, a priradiť objekty typu poštovej schránky poštové schránky prostriedkov alebo zdieľané poštové schránky, ak zdieľané povolenia model so systémom Exchange Server.
Riešenie
Microsoft má vyhodnotiť práva, ktoré poskytuje serverom so systémom Exchange Server a Exchange správca identifikované situáciách. Microsoft zistil, že je možné vykonať zmeny, ktoré znižujú povolení, ktoré sú poskytované v doméne služby Active Directory. Skutočné povolenie zmeny závisia od verzie programu Exchange Server, ktorý používa.
Postup v tejto časti vráti všetky prostredia bežné, obmedzenou adresára povolenia profilu.
Na vyriešenie tohto problému v programe Exchange Server 2013 alebo novšiu verziu, zákazníci by nainštalovať nasledujúcu kumulatívnu aktualizáciu, v závislosti od svojho prostredia:
-
Exchange Server 2019 – Kumulatívna aktualizácia 1
-
Exchange Server 2016 Kumulatívna aktualizácia 12
-
Exchange Server 2013 – Kumulatívna aktualizácia 22
Prostredia, v programe Exchange Server 2013 alebo novšiu verziu sa používa vyžadovať aktualizovaný Kumulatívna aktualizácia manuálne spustiť/PrepareAD všetky služby Active Directory lesa, v ktorom je nainštalovaný Exchange Server alebo v schéme adresárov boli pripravené host servery so systémom Exchange Server. Zákazníci, ktorí používajú viac domén v jednej doménovej tiež musieť spustiť /PrepareDomain všetkých domén v doménovej štruktúre znížiť povolení, ktoré poskytuje správcom servera Exchange a Exchange Server.
Poznámka: /PrepareDomain operácie sa automaticky spustí v doméne služby Active Directory, v ktorom je spustený/PrepareAD . Však to nemusí aktualizovať iných domén v doménovej štruktúre. Z tohto dôvodu by mal správca domény spustiť /PrepareDomain iných domén v doménovej štruktúre. Ďalšie informácie o parametroch /Prepare , ktoré používajú Exchange Server nájdete príprava služby Active Directory a domén na serveri Exchange.
Príprava operácie tieto aktualizované kumulatívnej aktualizácie vykonajte nasledujúce zmeny prostredia služby Active Directory.
Exchange Server 2016 a novšie verzie
AdminSDHolder objekt domény aktualizovaná odstrániť "Povoliť" ACE, ktoré poskytuje skupine "Výmena dôveryhodného podsystému" "Napísať DACL" právo "Skupina" zdedené typy objektov.
Exchange Server 2013 a novšie verzie
"Povoliť" prístup kontroly vstupu (ACE), "Exchange Windows povolenia" skupiny "Napísať DACL" sprava "User" a "INetOrgPerson" zdedené typy objektov sa aktualizujú, aby obsahovali "Dediť iba" príznak v hlavnom objekt domény.
Exchange Server 2010
Zákazníci, ktorí používajú Exchange Server 2010 uplatňovali nasledujúce aktualizácie manuálne pomocou nástroja LDP prostrediu.
-
Spustite nástroj LDP (v políčko Spustiť , zadajte príkaz ldp.exe, a stlačte kláves Enter).
-
Pripojiť k priestoru názvov domén, ktoré chcete aktualizovať. (V ponuke súbor kliknite na položku pripojiť.)
-
Viazať priestor názvov domény pomocou poverení správcu domény. (V ponuke súbor kliknite Bind.)
-
Zobrazenie stromu pomocou base DN zodpovedajúce koreňovom kontexte domény aktualizovať. (V ponuke Zobraziť kliknite na tlačidlo strom.) Napríklad:
-
Otvorte domény zoznamy. (Kliknite pravým tlačidlom na doménu, kliknite na položku Rozšírenéa kliknite na tlačidlo Popisovač zabezpečenia.)
-
Nájsť dva "Povoliť" ACE, že "Napísať DACL" priamo do skupiny "Exchange Windows povolenia" na "User" a "INetOrgPerson" zdedené typy objektov: Poznámka: Do not triediť zoznamu. Tým sa zmení poradie ACL.
-
Upravte každú položku pridať príznak "Dediť iba". Vykonáte to tak, dvakrát kliknite na objekt, vyberte príznak a kliknite na tlačidlo OK.
-
Skontrolujte, či je operácia úspešná na každej eso. Kliknite na tlačidlo Aktualizácia.