Senaryo
Aşağıdaki senaryoyu inceleyin:
-
Exchange Server için varsayılan olarak yüklü olan paylaşılan izinler modelini kullanarak Exchange Server çalıştırıyorsunuz.
-
Erişim denetim girdilerini, Active Directory ormanına yerleştirilir. Bu Exchange Server yükseltilmiş bir dizin izin düzeyini sağlar.
Neden
Exchange dizin hizmeti etkinleştirilmiş bir uygulama sunucusudur. Bu nedenle, Exchange Server etkin nesnelerle ilgili öznitelikleri değiştirmek mümkün olmalıdır. Bu, bazı durumlarda isteğe bağlı erişim denetim listeleri (DACL) değiştirme yeteneğini içerir. Bu nesneler etki alanı hiyerarşisinde herhangi bir yerde bulunabilir çünkü Exchange Server etki alanı kökü Exchange Server çalıştıran sunucular için bir hak vermez. Bu hakları uygulanabilir tüm nesneleri geçirilen olduğunu emin olmak için yapılır.
Exchange Server şu anda yapmaz Sadece devralır DACL yayma değerlendirildiğinde bayrak. Bu Active Directory bölünmüş izinleri modeli için geçerli değildir. Exchange Server bir bölme izinleri yapılandırma sunucuları oluşturma veya değiştirme güvenlik sorumluları dizininde yetkisi olmayan bir izinler modeli uygulanır.
Durum
Bu davranış normaldir. Bu Exchange yöneticilerinin kendi rolüne Exchange yönetici olarak tutarlı Exchange Server nesnelerinin özniteliklerini yönetmek için esneklik sağlar. Exchange yöneticilerinin kullanıcı hesaplarını ve posta kutularını oluşturmak ve paylaşılan izinler modelinde Exchange Server çalışıyorsa, kaynak posta kutusu veya paylaşılan bir posta kutusu posta kutusu türü nesneleri atamak mümkün olması beklenir.
Çözüm
Microsoft verilen hakları Exchange Server çalışan sunuculara ve Exchange yöneticilerinin tanımlanan senaryolarda değerlendirildi. Microsoft, bir Active Directory etki alanı içinde verilen izinleri alt değişiklik yapmak mümkün olduğunu belirledi. Gerçek izin değişiklikleri kullanılan bir Exchange Server sürümüne bağlı olarak değişir.
Bu bölümdeki yordamı tüm ortamlar için ortak, azaltılmış dizin izin profil döndürür.
Exchange Server 2013 veya sonraki bir sürümü bu sorunu gidermek için müşteriler aşağıdaki toplu güncelleştirmeyi kendi ortamınıza uygun şekilde yüklemeniz gerekir:
-
Exchange Server 2019 – Toplu Güncelleştirme 1
-
Exchange Server 2016 – 12 toplu güncelleştirme
-
Exchange Server 2013 – toplu güncelleştirme 22
Exchange Server 2013 veya sonraki bir sürümü kullanımda olduğu ortamlarda el ile Exchange Server yüklü veya dizin şeması bulunduğu bir Active Directory ormanında /PrepareAD yürütmek için güncelleştirilmiş toplu güncelleştirme paketi gerektirir Exchange Server çalıştıran ana sunucuları için hazırlanan edildi. Ayrıca, tek bir orman içindeki birden çok etki alanı kullanan müşteriler, Exchange Server ve Exchange yöneticileri için verilen izinleri düşürmek için ormandaki tüm etki alanlarında /PrepareDomain çalıştırmanız gerekecektir.
Not: /PrepareDomain işlem /PrepareAD çalıştığı Active Directory etki alanında otomatik olarak çalışır. Ancak, bu ormandaki diğer etki alanlarındaki güncelleştirmek mümkün olmayabilir. Bu nedenle, etki alanı yöneticisi, ormandaki diğer etki alanlarındaki /PrepareDomain çalıştırmanız gerekir. Exchange Server tarafından kullanılan /Prepare anahtarları hakkında daha fazla bilgi için bkz: Active Directory hazırlama ve etki alanları için Exchange Server.
Bu güncelleştirilmiş toplu güncelleştirmeler hazırlama işlemleri Active Directory ortamına aşağıdaki değişiklikleri yapın.
Exchange Server 2016 ve sonraki sürümler
AdminSDHolder nesnesi etki alanında sağ "Grup" devralınan nesne türleri üzerinde "izin ver", "Exchange güvenilir alt sistemi" Grup "Yazma DACL" veren ACE kaldırmak için güncelleştirilir.
Exchange Server 2013 ve sonraki sürümler
"İzin ver" erişim denetimi girişi (veren "Yazma DACL" sağ "kullanıcıya" Grup "Exchange Windows izinleri" ve "INetOrgPerson" nesne türleri devralınan ACE) etki alanı kök nesnesi "Yalnızca devralınan" bayrağı içerecek şekilde güncelleştirilmiştir.
Exchange Server 2010
Exchange Server 2010'u çalıştıran müşteriler, kendi ortamı için LDP aracını kullanarak aşağıdaki el ile güncelleştirmelerini uygulamalıdır.
-
Başlangıç LDP aracını (içinde Çalıştır kutusuna, ldp.exeyazın ve ENTER tuşuna basın).
-
Güncelleştirmek istediğiniz etki alanı ad alanına bağlanın. ( Dosya menüsünde, Bağlan' ı tıklatın.)
-
Etki alanı ad alanı için etki alanı yöneticisi kimlik bilgilerini kullanarak bağlayın. ( Dosya menüsünde Bağla' yı tıklatın.)
-
Ağaç etki alanı içeriği güncelleştirilmesi köke karşılık gelen Temel DN kullanarak görüntüleyin. ( Görünüm menüsünde ağaç' ı tıklatın.) Örneğin:
-
Açık etki alanı erişimi denetim listeleri. ( Etki alanınısağ tıklatın, Gelişmiş' i tıklatın ve sonra Güvenlik tanımlayıcısı' nı tıklatın.)
-
"Exchange Windows izinleri" Grup "Kullanıcı" ve "INetOrgPerson devralınan" nesne türleri üzerinde hakkı vermek "Yazma DACL" iki "İzin ver" ACE Bul: Not Yapmak sıralama listesi . Bu ACL sırasını değiştirir.
-
"Yalnızca devralınan" bayrak eklemek için her girdisini düzenleyin. Bunu yapmak için nesneyi çift tıklatın, bayrağı seçin ve Tamam' ı tıklatın.
-
İşlem her ACE başarılı olduğunu doğrulayın. Sonra Güncelleştir' i tıklatın.