Kịch bản

Hãy xem xét tình huống sau:

  • Bạn đang chạy Exchange Server bằng cách sử dụng các mô hình quyền chia sẻ được cài đặt mặc định cho Exchange Server.

  • Mục nhập kiểm soát truy cập được đưa vào nhóm Active Directory. Điều này cho Exchange Server độ cao cho phép thư mục.

Nguyên nhân

Exchange Server là ứng dụng hỗ trợ dịch vụ thư mục. Do đó, nó phải có khả năng thay đổi thuộc tính liên quan đến các đối tượng hỗ trợ Exchange Server. Điều này bao gồm khả năng thay đổi tùy Access Control danh sách (DACLs) trong một số trường hợp. Vì các đối tượng có thể tồn tại ở bất cứ đâu trong miền, Exchange Server cho phép quyền máy chủ đang chạy Exchange Server gốc miền. Điều này được thực hiện để đảm bảo rằng quyền được chuyển cho tất cả các đối tượng phù hợp.

Exchange Server không hiện làm cho việc sử dụng Kế thừa chỉ đánh dấu khi DACL truyền được đánh giá. Điều này không áp dụng cho mô hình Active Directory chia quyền. Cấu hình quyền chia, Exchange Server áp dụng mô hình cấp phép không cấp chủ khả năng tạo hoặc sửa đổi bảo mật hiệu trong thư mục.

Trạng thái

Hoạt động này là theo thiết kế. Cung cấp người quản trị Exchange linh hoạt để quản lý các thuộc tính đối tượng Exchange Server phù hợp với vai trò người quản trị Exchange. Người quản trị Exchange sẽ có thể tạo tài khoản người dùng và hộp thư và gán các đối tượng loại hộp thư hộp thư tài nguyên hoặc hộp thư dùng chung nếu Exchange Server đang chạy trong mô hình quyền chia sẻ.

Giải pháp

Microsoft đã đánh giá các quyền được cấp cho máy chủ đang chạy Exchange Server và quản trị viên Exchange trong các trường hợp được xác định. Microsoft đã xác định có thể thực hiện thay đổi thấp hơn các quyền được cấp trong miền Active Directory. Thay đổi quyền thực tế sẽ khác nhau tuỳ thuộc vào phiên bản của Exchange Server được sử dụng.

Quy trình trong phần này trở lại tất cả các môi trường hình quyền thư mục chung, giảm.

Để giải quyết vấn đề này trên Exchange Server 2013 hoặc phiên bản mới hơn, khách hàng nên cài đặt bản Cập Nhật tích luỹ sau, tuỳ theo môi trường:

Yêu cầu môi trường mà Exchange Server 2013 hoặc phiên bản mới hơn sử dụng gói Cập Nhật tích luỹ Cập Nhật theo cách thủ công, thực hiện /PrepareAD trong bất kỳ nhóm Active Directory mà Exchange Server được cài đặt hoặc sơ đồ thư mục có chuẩn bị sẵn sàng để lưu trữ máy chủ đang chạy Exchange Server. Ngoài ra, khách hàng sử dụng nhiều tên miền trong một nhóm cần phải chạy /PrepareDomain trong tất cả các lĩnh vực trong nhóm giảm quyền được cấp cho Exchange Server và quản trị viên Exchange.

Lưu ý Hoạt động /PrepareDomain tự động chạy trong miền Active Directory mà /PrepareAD đang chạy. Tuy nhiên, nó có thể không thể cập nhật các tên miền khác trong nhóm. Vì lý do này, quản trị viên miền nên chạy /PrepareDomain trong tên miền khác trong nhóm. Để biết thêm chi tiết về chuyển /Prepare được sử dụng Exchange Server, hãy xem chuẩn bị Active Directory và miền cho Exchange Server.

Các hoạt động chuẩn bị các bản Cập Nhật tích lũy Cập Nhật thay đổi sau môi trường Active Directory.

Exchange Server 2016 và phiên bản mới hơn

Đối tượng AdminSDHolder trên miền được Cập Nhật để loại bỏ "Cho phép" ACE cấp "Hệ thống tin cậy Exchange" nhóm "Ghi DACL" phải loại đối tượng "Nhóm" kế thừa.

Exchange Server 2013 và phiên bản mới hơn

"Cho phép" truy cập điều khiển mục (ACE) đã cấp "Cho phép Windows Exchange" nhóm "Ghi DACL" phải "Người dùng" và "INetOrgPerson" kế thừa loại đối tượng được Cập Nhật để bao gồm các dấu hiệu "Kế thừa chỉ" đối tượng gốc miền.

Exchange Server 2010

Khách hàng đang chạy Exchange Server 2010 nên áp dụng bản Cập Nhật thủ công sau cho môi trường bằng cách sử dụng công cụ LDP.

  1. Bắt đầu công cụ LDP (trong hộp chạy , loại ldp.exe, và sau đó nhấn Enter).

  2. Kết nối với tên miền mà bạn muốn Cập Nhật. (Trên menu tệp , bấm kết nối.)

  3. Liên kết với tên miền bằng cách sử dụng thông tin đăng nhập quản trị tên miền. (Trên menu tệp , bấm vào liên kết.)

  4. Xem cây DN cơ sở tương ứng vào thư mục gốc của bối cảnh miền được Cập Nhật. (Trên menu xem , nhấp vào cây.) Ví dụ: Cây xem

  5. Danh sách kiểm soát truy cập mở miền. (Bấm chuột phải vào vùng, bấm nâng cao, và sau đó nhấp vào Mô tả bảo mật.) Danh sách kiểm soát truy nhập tên miền

  6. Tìm các ace "Cho phép" hai cấp "Ghi DACL" phải "Cho phép Windows Exchange" nhóm "Người dùng" và "INetOrgPerson" kế thừa đối tượng loại: Mô tả bảo mậtChú ý Do không sắp xếp danh sách. Điều này sẽ thay đổi bộ ACL.

  7. Chỉnh sửa từng mục để thêm cờ "Kế thừa chỉ". Để thực hiện việc này, bấm đúp vào đối tượng, chọn cờ và sau đó bấm OK. Mục kiểm soát truy cập

  8. Xác minh rằng thao tác đã thành công trên mỗi ACE. Sau đó bấm Cập Nhật. Mô tả bảo mật

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×