Applies ToExchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019

สถานการณ์สมมติ

พิจารณาสถานการณ์ต่อไปนี้:

  • คุณกำลังเรียกใช้ Exchange Server โดยใช้รุ่นสิทธิ์การใช้ร่วมกันที่ถูกติดตั้ง โดยค่าเริ่มต้นสำหรับ Exchange Server

  • รายการควบคุมการเข้าถึงจะถูกวางในฟอเรสต์ไดเรกทอรีที่ใช้งานอยู่ ซึ่งทำให้เซิร์ฟเวอร์ Exchange ระดับการยกระดับของสิทธิ์ของไดเรกทอรี

สาเหตุ

เซิร์ฟเวอร์ Exchange จะเป็นไดเรกทอรีที่เปิดใช้งานการบริการแอพลิเคชัน ดังนั้น จะต้องสามารถปรับเปลี่ยนแอตทริบิวต์ที่เกี่ยวข้องกับวัตถุที่เปิดใช้งาน Exchange Server ซึ่งรวมถึงความสามารถในการปรับเปลี่ยนตามความประสงค์ให้เข้าถึงตัวควบคุมรายการ (DACLs) ในบางกรณี เนื่องจากวัตถุเหล่านี้สามารถมีอยู่ที่ใดก็ได้ในลำดับชั้นโดเมน Exchange Server ให้สิทธิ์ไปยังเซิร์ฟเวอร์ที่กำลังเรียกใช้ Exchange Server ที่รากของโดเมน ทำเช่นนี้เพื่อให้แน่ใจว่า สิทธิ์ที่จะผ่านบนวัตถุทั้งหมดที่เกี่ยวข้อง

Exchange Server ในปัจจุบันได้ใช้การสืบทอดเฉพาะของค่าสถานะเมื่อมีการเผยแพร่ DACL จะถูกประเมิน นี้ไม่นำไปใช้กับแบบจำลองสิทธิ์แยกไดเรกทอรีที่ใช้งานอยู่ ในการกำหนดค่าสิทธิ์แยก Exchange Server ใช้แบบจำลองของสิทธิ์ที่อนุญาตให้เซิร์ฟเวอร์สามารถสร้าง หรือปรับเปลี่ยนการรักษาความปลอดภัยในไดเรกทอรี

สถานะ

ลักษณะการทำงานนี้เกิดจากการออกแบบ อีกทั้งผู้ดูแล Exchange มีความยืดหยุ่นในการจัดการแอตทริบิวต์บนวัตถุเซิร์ฟเวอร์ Exchange ที่สอดคล้องกับบทบาทของตนเป็นผู้ดูแลระบบ Exchange ผู้ดูแลระบบ Exchange คาดว่าจะสามารถสร้างบัญชีผู้ใช้และกล่องจดหมาย และมอบหมายวัตถุชนิดกล่องจดหมายเป็นกล่องจดหมายของทรัพยากรหรือกล่องจดหมายที่ใช้ร่วมกันถ้า Exchange Server กำลังทำงานในรูปแบบสิทธิ์ที่ใช้ร่วมกัน

การแก้ไข

Microsoft ได้รับการประเมินสิทธิที่ได้รับสิทธิไป ยังเซิร์ฟเวอร์ที่กำลังเรียกใช้ Exchange Server และผู้ดูแลระบบ Exchange ในสถานการณ์ที่ระบุ Microsoft ตรวจพบว่า จำเป็นต้องทำการเปลี่ยนแปลงที่สิทธิที่ได้รับสิทธิภายในโดเมน Active Directory ต่ำลง เปลี่ยนแปลงสิทธิ์ที่เกิดขึ้นจริงจะแตกต่างกันโดยขึ้นอยู่กับรุ่นของเซิร์ฟเวอร์ Exchange ที่ใช้

ขั้นตอนในส่วนนี้ส่งกลับค่าสภาพแวดล้อมทั้งหมดไปยังโปรไฟล์สิทธิ์ไดเรกทอรีทั่วไป ลดลง

เมื่อต้องการแก้ไขปัญหานี้บน Exchange Server 2013 หรือรุ่นที่ใหม่กว่า ลูกค้าควรติดตั้งปรับปรุงสะสม ต่อไปนี้ตามความเหมาะสมสำหรับสภาพแวดล้อมของตนเอง:

สภาพแวดล้อมที่ 2013 เซิร์ฟเวอร์ Exchange หรือรุ่นที่ใหม่กว่าถูกใช้ต้องมีแพคเกจโปรแกรมปรับปรุงสะสมที่ปรับปรุงแล้วดำเนินการ/PrepareADด้วยตนเองในฟอเรสต์ Active Directory ใด ๆ ที่มีการติดตั้ง Exchange Server หรือที่มีแบบแผนไดเรกทอรี การเตรียมการโฮสต์เซิร์ฟเวอร์ที่กำลังเรียกใช้ Exchange Server นอกจากนี้ ลูกค้าที่จ้างหลายโดเมนในฟอเรสต์เดียวจะมีการเรียกใช้/PrepareDomainในโดเมนทั้งหมดในฟอเรสต์เพื่อลดสิทธิที่ได้รับสิทธิ กับ Exchange Server และผู้ดูแลระบบ Exchange

หมายเหตุ  การดำเนินการ/PrepareDomainโดยอัตโนมัติทำงานในโดเมน Active Directory ที่เรียกใช้/PrepareAD อย่างไรก็ตาม ดังกล่าวอาจไม่สามารถปรับปรุงโดเมนอื่นในฟอเรสต์ ด้วยเหตุผลนี้ ผู้ดูแลโดเมนควรเรียกใช้/PrepareDomainในโดเมนอื่นในฟอเรสต์ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสวิตช์/Prepareที่ใช้ โดย Exchange Server ดูจัดเตรียม Active Directory และโดเมนสำหรับ Exchange Server

การเตรียมการดำเนินงานในการปรับปรุงสะสมที่ปรับปรุงแล้วเหล่านี้ทำการเปลี่ยนแปลงต่อไปนี้ไปยังสภาพแวดล้อมของไดเรกทอรีที่ใช้งานอยู่

แลกเปลี่ยน 2016 เซิร์ฟเวอร์และรุ่นที่ใหม่กว่า

ดูแลบริการบนโดเมนมีการปรับปรุงการเอา "อนุญาต" เอที่มอบให้แก่กลุ่ม "อัตราแลกเปลี่ยนที่เชื่อถือได้ระบบย่อย" "เขียน DACL" ขวาบนวัตถุชนิด "จัดกลุ่ม" สืบทอดมา

แลกเปลี่ยนเซิร์ฟเวอร์ 2013 และรุ่นที่ใหม่กว่า

"อนุญาต" เข้าถึงตัวควบคุมรายการ (เอ) ที่มอบให้แก่ "แลกเปลี่ยน Windows สิทธิ์" จัดกลุ่ม "เขียน DACL" ขวาไป "ผู้ใช้" และ "INetOrgPerson" วัตถุชนิดที่สืบทอด ได้มีการปรับปรุงเพื่อรวมสถานะ "สืบทอดเท่านั้น" บนวัตถุรากของโดเมน

Exchange Server 2010

ลูกค้าที่กำลังเรียกใช้ Exchange Server 2010 ควรใช้การปรับปรุงด้วยตนเองต่อไปนี้กับสภาพแวดล้อมของตนเอง โดยใช้เครื่องมือ LDP

  1. เริ่มเครื่องมือ LDP (ในกล่องเรียกใช้ชนิดldp.exeแล้วกดEnter)

  2. เชื่อมต่อกับ namespace โดเมนที่คุณต้องการปรับปรุง (บนเมนูแฟ้มคลิกเชื่อมต่อ)

  3. ผูกกับ namespace โดเมน โดยใช้ข้อมูลประจำตัวของผู้ดูแลโดเมน (บนเมนูแฟ้มคลิกผูก)

  4. ดูแผนภูมิ โดยใช้ DN แบบพื้นฐานที่สอดคล้องกับรากของบริบทโดเมนที่จะอัพเดต (บนเมนูมุมมองคลิกแผนภูมิ) ตัวอย่างเช่น มุมมองแผนภูมิ

  5. เปิดรายการควบคุมการเข้าถึงโดเมน (คลิกขวาที่โดเมนคลิกขั้นสูงและจากนั้น คลิกตัวบอกเกี่ยวกับความปลอดภัย) รายการควบคุมการเข้าถึงโดเมน

  6. ค้นหา "อนุญาต" แต้มสองที่อนุญาต "เขียน DACL" ด้านขวาไปยังกลุ่ม "แลกเปลี่ยนสิทธิ์ Windows" บน "ผู้ใช้" และ "INetOrgPerson" สืบทอดวัตถุชนิด: ตัวบอกเกี่ยวกับความปลอดภัยหมายเหตุ ไม่จัดเรียงรายการ ดำเนินการนี้จะเปลี่ยนใบสั่ง ACL

  7. แก้ไขแต่ละรายการเมื่อต้องการเพิ่มค่าสถานะ "สืบทอดเท่านั้น" เมื่อต้องการทำเช่นนี้ คลิกสองครั้งวัตถุ เลือกค่าสถานะ และจากนั้น คลิกตกลง รายการควบคุมการเข้าถึง

  8. ตรวจสอบว่า การดำเนินงานที่ประสบความสำเร็จในแต่ละเอ แล้ว คลิกปรับปรุง ตัวบอกเกี่ยวกับความปลอดภัย

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย