Сценарій
Розглянемо таку ситуацію:
-
За допомогою спільних модель дозволів, установлений за промовчанням для Exchange Server з Exchange Server.
-
Елементи керування доступом введені в лісі Active Directory. Це дає Exchange Server, підвищені рівні, каталог права.
Причина
Exchange Server-це додаток, з підтримкою служби каталогів. Таким чином, необхідно змінити атрибути, пов'язані з об'єктами, включений до сервера Exchange Server. Це стосується, можна змінювати додаткові доступ до керування списки (DACLs), у деяких випадках. Через те, що ці об'єкти можуть існувати в будь-якому місці в доменній ієрархії, Exchange Server, надає право на серверах, які працюють з Exchange Server у кореневому домені. Це зробити, щоб переконатися, що права передаються на всіх відповідних об'єктів.
Exchange Server не зараз використати на Успадковувати лише позначає під час обчислення DACL розповсюдження. Це не стосується моделі Active Directory розділити дозволи на доступ. У конфігурація розділеного дозволи в Exchange Server застосовується моделі дозволів, які не надавати серверів, можливість створювати або змінювати безпеки принципи в каталозі.
Стан
Така поведінка передбачена. Надає адміністраторів Exchange дозволяє керувати атрибути для Exchange Server об'єкти, які відповідають його ролі лише адміністратор Exchange. Адміністратори Exchange як очікується, щоб мати можливість створювати облікові записи користувачів і поштові скриньки а також призначити об'єктів поштової скриньки поштові скриньки ресурсів або спільні поштові скриньки, дозволи спільного модель під керуванням Exchange Server.
Спосіб вирішення
Корпорація Майкрософт має оцінка, правами, які надаються для серверів, які працюють з Exchange Server і адміністраторів Exchange, у випадках, визначені. Корпорація Майкрософт визначила, що це можна зробити зміни, які нижче дозволів, які надаються в рамках домену Active Directory. Зміни до фактичного, може змінюватися залежно від використовуваної версії Exchange Server, який використовується.
Процедуру, описану в цьому розділі повертає всі середовищ загальні, обмежених каталогів дозвіл профілю.
Щоб вирішити цю проблему в Exchange Server 2013 або пізнішої версії, користувачам потрібно інсталювати такий сукупний пакет оновлень відповідно до свого оточення:
-
Exchange Server 2019 – сукупний пакет оновлень 1
-
Exchange Server 2016- сукупний пакет оновлень 12
-
Exchange Server 2013 – Сукупне оновлення 22
Середовищах, в яких Exchange Server 2013 або пізнішої версії є використання, потребують оновлений сукупного пакета оновлень вручну виконати /PrepareAD в будь-який лісу Active Directory, коли сервер Exchange установлено або має каталог схеми підготовлено сервери, які працюють з Exchange Server. Крім того, користувачі, які використовують кілька доменів в одному лісі, потрібно виконати /PrepareDomain у всіх доменах, в лісі, знизити дозволи, які мають дозвіл на сервері Exchange Server, так і для адміністраторів Exchange.
Примітка. /PrepareDomain операції, автоматично запускається домену Active Directory, запускається /PrepareAD . Однак, це може бути можливість оновлення інших доменів в лісі. З цієї причини адміністратор домену слід запускати /PrepareDomain в доменах, в лісі. Щоб отримати додаткові відомості про /Prepare перемикачі, які використовуються на сервері Exchange див. підготувати службу Active Directory та домени, для Exchange Server.
Підготовка операції в цих оновлено, сукупний пакет оновлень, внесіть такі зміни в середовищі Active Directory.
Exchange Server 2016 та пізніші версії
Об'єкт AdminSDHolder в домені, буде оновлено для видалення "Дозволити" ACE, які надає група "Exchange надійних підсистема", "Запис DACL" на "Групи" успадкували типи об'єктів.
Exchange Server 2013 та пізніші версії
На "Дозволити" доступ до керування запис (ACE), який надає "Exchange Windows дозволи" групи "Запис DACL" право "Користувач" і "INetOrgPerson", успадковані типи об'єктів буде оновлено включити позначку "Успадковувати лише" об'єкт кореневого домену.
Exchange Server 2010
Користувачі, які працюють з Exchange Server 2010 слід застосовувати такі оновлення вручну їх середовищі за допомогою LDP. exe.
-
Почати з LDP. exe (у вікні, запустіть , типу, ldp.exeта натисніть клавішу Enter).
-
Підключення до домену простору імен, який потрібно оновити. (У меню " файл ", натисніть кнопку підключити.)
-
Зв'язати у просторі імен домену за допомогою до адміністратора в домені, облікові дані. (У меню " файл ", натисніть кнопку зв'язати.)
-
Переглянути дерево у базі DN, який відповідає до кореневої папки в контексті домену, потрібно оновити. (У меню " вигляд ", клацніть дерево). Наприклад:
-
Відкрити домену списки керування доступом. ( Домену, клацніть правою кнопкою миші, Додатковоі виберіть Дескриптор безпеки).
-
Знайти двох записами "Дозволити", які, що надають "Запис DACL", безпосередньо до групи "Exchange-Windows-дозволи", "Користувач" і "INetOrgPerson", успадковані типи об'єктів: Примітка Чи не сортування у списку. Це змінить порядку список керування Доступом.
-
Редагувати кожен запис, щоб додати позначку "Успадковувати лише". Для цього двічі клацніть об'єкт, встановіть позначку і натисніть кнопку OK.
-
Переконайтеся, що операцію виконано на кожному ACE. Клацніть оновлення.