Applies ToExchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019

情形

请考虑以下情况:

  • 你正在通过使用默认为 Exchange Server 安装的共享权限模型运行 Exchange Server。

  • 将访问控制项放入 Active Directory 林中。 这将为 Exchange Server 提供更高级别的目录权限。

原因

Exchange Server 是启用目录服务的应用程序。 因此,它必须能够修改与启用 Exchange Server 的对象相关的属性。 这包括在某些情况下修改随机访问控制列表 (DACL) 的能力。 由于这些对象可以存在于域层次结构中的任何位置,因此 Exchange Server 将向正在域根目录下运行 Exchange Server 的服务器授予权限。 这样做是为了确保将权限传递给所有适用的对象。

当评估 DACL 传播时,Exchange Server 当前没有使用“仅继承”标志。 这不适用于 Active Directory 拆分权限模型。 在拆分权限配置中,Exchange Server 应用不授予服务器在目录中创建或修改安全主体的能力的权限模型。

状态

此行为是设计使然。它为 Exchange 管理员提供管理 Exchange Server 对象上与 Exchange 管理员角色一致的属性的灵活性。 如果 Exchange Server 正在共享权限模型中运行,则 Exchange 管理员应能够创建用户帐户和邮箱,并将邮箱类型对象重新分配为资源邮箱或共享邮箱。

解决方案

Microsoft 已评估在确定的情形下授予运行 Exchange Server 的服务器和 Exchange 管理员的权限。 Microsoft 已确定可以进行更改以降低 Active Directory 域中授予的权限。 根据所使用的 Exchange Server 版本,实际权限更改将有所不同。

本节中的过程将所有环境返回到简化的通用目录权限配置文件。

若要在 Exchange Server 2013 或更高版本上解决此问题,客户应根据其环境安装以下累积更新:

正在使用 Exchange Server 2013 或更高版本的环境要求安装更新的累积更新程序包,以便在安装了 Exchange Server 或者已准备好目录架构以托管正在运行 Exchange Server 的服务器的任何 Active Directory 林中手动执行 /PrepareAD。 此外,在单个林中使用多个域的客户必须在林中的所有域中运行 /PrepareDomain,以降低授予 Exchange Server 和 Exchange 管理员的权限。

注意 /PrepareDomain 操作自动在运行 /PrepareAD 的 Active Directory 域中运行。 但是,它可能无法更新林中的其他域。 因此,域管理员应在林中的其他域中运行 /PrepareDomain。 有关 Exchange Server 所使用的 /Prepare 开关的更多信息,请参阅为 Exchange Server 准备 Active Directory 和域

这些更新的累积更新中的准备操作会对 Active Directory 环境进行以下更改。

Exchange Server 2016 及更高版本

更新域上的 AdminSDHolder 对象以删除授予“Exchange 受信任子系统”组对“组”继承对象类型的“写入 DACL”权限的“允许”ACE。

Exchange Server 2013 及更高版本

对授予“Exchange Windows 权限”组对“用户”和“INetOrgPerson”继承的对象类型的“写入 DACL”权限的“允许”访问控制项 (ACE) 进行了更新,以包括域根对象上的“仅继承”标志。

Exchange Server 2010

运行 Exchange Server 2010 的客户应使用 LDP 工具将以下手动更新应用于其环境。

  1. 启动 LDP 工具(在“运行”框中,键入 ldp.exe,然后按 Enter)。

  2. 连接到要更新的域命名空间。 (在“文件”菜单上,单击“连接”。)

  3. 使用域管理员凭据绑定到域命名空间。 (在“文件”菜单上,单击“绑定”。)

  4. 使用与要更新的域上下文的根对应的基本 DN 查看树。 (在“视图”菜单上,单击“树”。) 例如: Tree View

  5. 打开域访问控制列表。 (右键单击“域”,单击“高级”,然后单击“安全描述符”。) Domain Access Control Lists

  6. 找到两个将“写入 DACL”权限授予“用户”和“INetOrgPerson”继承的对象类型上的“Exchange Windows 权限”组的“允许”ACE: Security descriptor注意  对列表进行排序。 这将改变 ACL 顺序。

  7. 编辑每个条目以添加“仅继承”标志。 为此,请双击该对象,选择该标志,然后单击“确定”。 Access Control Entry

  8. 验证每个 ACE 上的操作是否成功。 然后,单击“更新”。 Security descriptor

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。