Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Scenario

Tänk dig följande situation:

  • Du kör Exchange Server med hjälp av den delade behörigheter-modell som installeras som standard för Exchange Server.

  • Åtkomstkontrollposterna övergår till Active Directory-skogen. Exchange Server får en förhöjd nivå av behörighet för katalogen.

Orsak

Exchange Server är ett directory services-aktiverat program. Det måste därför kunna ändra attribut som är relaterade till Exchange Server-aktiverade objekt. Detta inkluderar möjlighet att ändra DACL åtkomstkontrollistor (DACL) i vissa fall. Eftersom dessa objekt kan finnas var som helst i domänhierarkin, beviljar Exchange Server rättigheter till servrar som kör Exchange Server i roten på domänen. Detta görs för att säkerställa att rättigheterna som överförs till alla tillämpliga objekt.

Exchange Server för närvarande gör inte användning av den Ärver bara flagga när DACL spridning beräknas. Detta gäller inte Active Directory delad behörighet-modellen. I en delad behörighet konfiguration gäller Exchange Server en modell för behörigheter som inte ger servrar möjlighet att skapa eller ändra säkerhetsobjekt i katalogen.

Status

Detta är avsiktligt. Exchange-administratörer ger flexibilitet att hantera attribut för Exchange Server-objekt som överensstämmer med deras roll som en Exchange-administratör. Exchange-administratörer förväntas kunna skapa användarkonton och postlådor och tilldela postlådan textobjekt som resurspostlådor eller delade postlådor om Exchange Server körs i delade behörigheter modellen.

Lösning

Microsoft har utvärderats av de rättigheter som ges till servrar som kör Exchange Server och Exchange-administratörer i identifierade scenarier. Microsoft har fastställt att det är möjligt att göra ändringar som att sänker de behörigheter som beviljats inom en Active Directory-domän. De faktiska behörighetsändringar varierar beroende på vilken version av Exchange Server som används.

Proceduren i detta avsnitt returnerar alla miljöer till en profil för gemensamma, minskade directory-behörighet.

Lös problemet i Exchange Server 2013 eller en senare version bör kunder installera den kumulativa uppdateringen för följande, som passar deras miljö:

Miljöer där Exchange Server 2013 eller senare används kräver uppdaterade kumulativa uppdateringspaketet manuellt köra /PrepareAD i en Active Directory-skog som Exchange Server har installerats eller där katalogschemat har beretts värdservrar som kör Exchange Server. Kunder som använder flera domäner i en skog måste dessutom köra /PrepareDomain i alla domäner i skogen att sänka de behörigheter som ges till Exchange Server och Exchange-administratörer.

Obs!  /PrepareDomain -åtgärden körs automatiskt i Active Directory-domän där /PrepareAD körs. Men kanske det inte uppdatera andra domäner i skogen. Av denna anledning bör en domänadministratör köra /PrepareDomain i andra domäner i skogen. Mer information om /Prepare växlar som används av Exchange Server finns i förbereda Active Directory och Exchange Server-domäner.

Förbereda operationer i dessa uppdaterade kumulativa uppdateringar kan du göra följande ändringar för Active Directory-miljö.

Exchange Server 2016 och senare versioner

AdminSDHolder-objektet på domänen uppdateras för att ta bort ”Tillåt” ACE som ger ”Exchange betrott delsystem” grupp ”skriver DACL” på ”gruppen” ärvda objekttyper.

Exchange Server 2013 och senare versioner

Den ”Tillåt” tillgång åtkomstkontrollposter (ACE) som tilldelar ”Exchange Windows behörigheter” gruppen ”skriver DACL” rätt till ”användare” och ”INetOrgPerson” ärvda objekt har uppdaterats med flaggan ”ärver endast” på rot domänobjektet.

Exchange Server 2010

Kunder som använder Exchange Server 2010 bör gälla följande manuella uppdateringar omgivningen med hjälp av LDP-verktyget.

  1. Starta LDP-verktyget (i rutan Kör , Skriv ldp.exe, och tryck på RETUR).

  2. Ansluta till domänens namnområde som du vill uppdatera. (Klicka på AnslutArkiv -menyn.)

  3. Binda till domänens namnområde med hjälp av autentiseringsuppgifter för Domänadministratörer. ( Arkiv -menyn, klicka på Bind.)

  4. Visa trädet med bas-DN som hör till roten för domänen sammanhang som ska uppdateras. (Klicka på trädVisa -menyn.) Till exempel: Trädvy

  5. Öppna åtkomstkontrollistor för domänen. (Högerklicka på domänen, klicka på Avanceratoch på Säkerhetsbeskrivaren.) Åtkomstkontrollistor för domänen

  6. Sök efter de två ”Tillåt” åtkomstkontrollposter som ger ”skriver DACL” höger till gruppen ”behörigheter till Windows Exchange” på ”användare” och ”INetOrgPerson” ärvda objekttyper: SäkerhetsbeskrivareObs! Gör inte sortera listan. Detta ändrar ACL-ordning.

  7. Redigera varje post du lägger till flaggan ”ärver endast”. Genom att dubbelklicka på objektet och välj flaggan. Access Control Entry

  8. Kontrollera att åtgärden har lyckats på varje ACE. Klicka på Uppdatera. Säkerhetsbeskrivare

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×