Zmanjšanje dovoljenja, potrebnega za delovanje Exchange Serverja uporabljate Model dovoljenj v skupni rabi

Velja za: Exchange Server 2010Exchange Server 2013Exchange Server 2016

Scenarij


Oglejte si ta primer:
  • Z uporabo delijo dovoljenja Model, ki je privzeto nameščena za strežnik Exchange Server je nameščen Exchange Server.
  • V gozdu storitve Active Directory dana vnosih nadzora. To daje Exchange Server povišane ravni imenika dovoljenje.

Razlog


Exchange Server je imenik storitev omogočena uporaba. Zato mora biti sposobna spremeniti atribute, ki so povezane z Exchange strežnika omogočen predmetov. To vključuje zmožnost v ublažiti diskrecijske postranski pregled palisada (DACL-je) v nekaterih primerih. Ker ti predmeti lahko obstaja kjerkoli v domenski hierarhiji, Exchange Server podeli pravice do strežnikov, ki je nameščen Exchange Server na korenu domene. To je storiti, da se prepričajte, da pravice prenesejo na vse predmete, ki se uporabljajo.
Exchange Server ne trenutno izkoristiti za Podedujejo samo zastave pri DACL razmnoževanje se oceni. To ne velja za model Active Directory Split dovoljenj. V delih dovoljenja konfiguracijo, Exchange Server uporablja dovoljenja model, ki ne zagotavlja strežnikov zmožnost tvoriti ali ublažiti upravnike varnosti v imeniku.

Stanje


To vedenje je ga modela. Skrbniki Exchangea zagotavlja prožnost upravljanja atributov Exchangeevim strežnikom predmetov, ki so v skladu s svojo vlogo kot skrbnik Exchange. Skrbniki Exchangea se pričakuje, da lahko ustvarite uporabniške račune in nabiralnikov, in znova dodelite vrsto nabiralnika predmetov kot nabiralnike sredstev ali nabiralniki v skupni rabi, če se Exchange Server izvaja v skupni Model dovoljenja.

Rešitev


Microsoft je ocenila pravic, ki so podeljene strežnikov, ki je nameščen Exchange Server in skrbniki Exchangea v opredeljenih primerih. Microsoft je ugotovil, da je mogoče vnesti spremembe, nižje dovoljenja, ki so v domeni Active Directory. Spremembe dejanske dovoljenja je odvisna od različici Exchangeveega strežnika, ki se uporablja.

Postopek v tem delu vrne vseh okoljih skupno, zmanjšano imenika dovoljenje profilu.

Če želite odpraviti težavo, na Exchange Server 2013 ali novejšo različico, stranke namestite naslednji zbirni posodobitvi, kot primerno za njihovo okolje:

Okolja, v katerem Exchange Server 2013 ali novejša različica je v uporabi zahtevajo posodobljeno zbiren modernizirati paket vršiti ročno /PrepareAD v poljuben gozd imenika Active Directory, v katerem je nameščen Exchange Server ali v kateri je imenik sheme bili pripravljeni host strežnikov, ki so z Exchangeevim strežnikom. Poleg tega, stranke, ki zaposlujejo več domen v en gozd hoteti življati teči /PrepareDomain na vseh področjih v gozdu nižje dovoljenja, ki so dodeljena Exchange Server in skrbniki Exchangea.

Opomba /PrepareDomain operacije samodejno zažene v domeni Active Directory, v katerem je teči /PrepareAD . Pa to ne mogli posodobiti drugih domen v gozdu. Iz tega razloga, mora skrbnik domene izvajati /PrepareDomain v drugih domen v gozdu.Če želite več informacij o /Prepare stikala, ki jih uporabljajo Exchange Server, glejte Pripravite Active Directory in domene za strežnik Exchange Server.

Pripravi dejavnosti v teh posodobitev zbiren modernizirati narediti te spremembe v okolju storitve Active Directory.

Exchange Server 2016 in novejše različice

AdminSDHolder predmet na domene se posodablja umakniti "Dovoli" ACE, ki podeljuje "Izmenjava zaupanja vrednega podsistema" skupina "Napisati DACL" na "Skupina" podedoval vrste predmetov.

Exchange Server 2013 in novejše različice

"Dovoli" dostop nadzora vstopa (ACE) ki podeljuje "Izmenjava Windows dovoljenja" skupina "Napisati DACL" desne "Uporabnik", "INetOrgPerson" podedoval vrste predmetov je posodobljen in vključuje "Podedujejo samo" zastave na korenski predmet na domene.

Exchange Server 2010

Stranke, ki je nameščen Exchange Server 2010 uporabljati naslednje učbenik modernizirati svoje okolje z orodjem za TMI.

  1. Začetek LDP orodje (v polje izvajaj , vrsta ldp.exe, in pritisnite tipko Enter).
  2. Povezati imenskega prostora domene, ki ga želite posodobiti. (V meniju Datoteka kliknite vzpostavi povezavo.)
  3. Vežejo na imenski prostor domene z domeno Admin poverilnicami. (Če v meniju Datoteka kliknite veže.)
  4. Ogled drevo z osnovno DN, ki ustreza koren domen okviru posodobiti. (V meniju pogled kliknite drevo.) Na primer:
    Drevesni pogled
  5. Odprta domene seznami za nadzor dostopa. (Desno tipko miške kliknite domeno, kliknite dodatnoin nato kliknite Varnostnega deskriptorja.)
    Domene seznami za nadzor dostopa
  6. Poišči dva ACEs "Dovoli", da "Napisati DACL" desne "Izmenjavo Windows dovoljenja" skupina "Uporabnik" in "INetOrgPerson" podedoval predmet vrste:
    Varnostni deskriptor
    Opomba Se ne razvrsti seznam. To bo spremeniti vrstni red ACL.
  7. Urejanje vsak vnos dodati "Podedujejo samo" zastave. Uganjati to, dvokliknite predmet, izberite zastavo, in nato kliknite v redu.
    Vnos nadzora dostopa
  8. Preverite, ali operacija uspešna na vsako ACE. Kliknite Posodobi.
    Varnostni deskriptor