Scenario
Razmotrite sledeći slučaj:
-
Koristite Exchange Server koristeći deljeni dozvole modelu koji je instaliran po podrazumevanoj vrednosti za Exchange Server.
-
Unosa kontrole pristupa upisuju u šumi Active Directory. Ovo daje Exchange servera je podignutom nivo dozvole direktorijuma.
Uzrok
Exchange Server je aplikacija usluge omogućene direktorijuma. Stoga, mora moći da izmenite atribute koji se odnose na objekte koji je omogućen za Exchange Server. To uključuje mogućnost promjene diskrecione spiskovi za kontrolu pristupa (DACLs) u nekim slučajevima. Jer ovi objekti mogu da postoje bilo gde u hijerarhiji domena, Exchange Server odobrava prava na servere koji koriste Exchange Server u korenu domena. Ovo se radi da se uverim da prava se prosleđuju svih primenljivih objekata.
Exchange Server ne trenutno čini koriste se Samo naslediti Označi kada je izračunat prenošenje DACL. Ovo se ne primenjuje na modelu Active Directory Split dozvole. U Splitu dozvole za konfiguraciju, Exchange Server primenjuje dozvole model koji ne odobrava serveri mogućnost da kreirate ili izmenite bezbednosne principale u direktorijumu.
Status
Ovo ponašanje je tako dizajnirano. Administratori Exchange servera mogu pruža fleksibilnost za upravljanje atribute na Exchange Server objekte koji su u skladu sa njihove uloge kao administrator Exchange servera. Administratori Exchange servera mogu, kako se očekuje, biti u mogućnosti da kreirate korisničke naloge i Poštanske sandučiće, i ponovno dodeljivanje poštansko sanduče-tip objekata kao Poštanske sandučiće resursa ili deljenom poštanskih sandučića ako Exchange Server radi u deljenim dozvolama modelu.
Rešenje
Microsoft je izračunat prava koja su ispunjene serverima na kojima je pokrenut Exchange Server i administratorima Exchange u identifikovanih scenarijima. Microsoft je utvrdio da je moguće da izmene koje spustite dozvole koje su odobrene u okviru domena za Active Directory. Na stvarne izmjene će se razlikovati u zavisnosti od verzije sistema Exchange Server koji se koristi.
Proceduru opisanu u ovom odeljku daje svim životnim sredinama u uobičajene, sveden direktorijuma dozvolu profil.
Da biste rešili ovaj problem na Exchange Server 2013 ili noviju verziju, kupci trebalo bi da instalirate sledeću kumulativnu ispravku, u zavisnosti od svoje okoline:
-
Exchange Server 2019 – Kumulativna ispravka 1
-
Exchange Server 2016 – Kumulativna ispravka 12
-
Exchange Server 2013 – Kumulativna ispravka 22
Okruženjima u kojima Exchange Server 2013 ili novija verzija je u upotrebi zahteva ažurirani Kumulativna ispravka paket ručno izvršiti /PrepareAD u bilo koji Active Directory šume u kojoj instaliran Exchange Server ili u kojoj ima šema direktorijuma Bio je spreman da domaćin serverima na kojima je pokrenut Exchange Server. Pored toga, korisnici koji zapošljavaju više domena u jednoj šumi će, morate pokrenuti /PrepareDomain u sve domene u šumi da spustite dozvole koje su odobrene za Exchange Server i Administratori Exchange servera mogu.
Napomena /PrepareDomain operacija se automatski pokreće u Active Directory domena u kojima je pokrenuti /PrepareAD . Međutim, to možda nećete moći da ažurirate drugih domena u šumi. Iz tog razloga, administrator domena bjezati /PrepareDomain drugih domena u šumi. Za više informacija o parametrima spremite koje koristi Exchange Server, pogledajte pripremi Active Directory i domene za Exchange Server.
Priprema operacije u ažurirani kumulativne ispravke izvršite sledeće promene u okruženju Active Directory.
Exchange Server 2016 i novije verzije
AdminSDHolder objekta na domenu se ažurira uklonite „Dozvoli” as koji odobrava „Exchange pouzdane podsistem” grupe „Pisati DACL” na „Grupe” nasledio tipove objekata.
Exchange Server 2013 i novije verzije
„Dozvoli” Access kontrolu stavka (as) koji odobrava „Exchange Windows dozvole” grupe „Pisati DACL” pravo na „Korisnik” i „INetOrgPerson” nasledio tipovi objekata je ažuriran „Nasledi samo za” zastavu na osnovnom objektu domena.
Exchange Server 2010
Klijenti koji koriste Exchange Server 2010 treba da se primeni sledeći ručnog ažuriranja njihovo okruženje pomoću alatke za LDP.
-
Početak alatku LDP (u polje Pokreni , tip ldp.exe, i zatim pritisnite taster Enter).
-
Povežite prostor za ime domena koji želite da ažurirate. (U meniju datoteka izaberite stavku Poveži se.)
-
Veže za prostor za ime domena koristeći Admin domena akreditive. (U meniju datoteka izaberite povezati.)
-
Prikaz drvo pomoću osnovni DN koja odgovara u korijensku domenu kontekstu ažurirati. (U meniju Prikaz izaberite stavku stabla.) Na primer:
-
Lista kontrole pristupa otvorena domena. (Kliknite desnim tasterom miša domena, izaberite stavku Više opcija, a zatim izaberite Sigurnosni deskriptor.)
-
Pronaći dva asa „Dozvoli” to odobriti „Pisati DACL” u grupi „Exchange Windows dozvole” na „Korisnik” i „INetOrgPerson” nasledio tipova objekata koje:
-
Uređivanje svake stavke da biste dodali zastavicu „Nasledi samo”. Da biste to učinili, dvaput kliknite na objekat, izaberite zastavu i onda kliknite na OK.
-
Proverite da li je operacija uspešno na svaki as. Kliknite na dugme Ažuriraj.
