Applies ToExchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019

案例

請試想下列案例:

  • 您所執行的 Exchange Server 使用 Exchange Server 預設安裝的共用權限模型。

  • 存取控制項目已放入 Active Directory 樹系中。 這為 Exchange Server 提供提高的目錄權限。

原因

Exchange Server 是啟用目錄服務的應用程式, 因此,必須能夠修改與啟用 Exchange Server 的物件相關的屬性。 這包括在某些情況下修改「判別存取控制清單」(DACL) 的能力。 由於這些物件可以存在於網域階層中的任何位置,因此,Exchange Server 會將權限授與在網域根目錄執行 Exchange Server 的伺服器。 這樣做是為了確保將權限傳遞給所有適用的物件。

Exchange Server 目前不會在評估 DACL 傳用時使用 [僅繼承] 旗標。 這不會套用到 Active Directory 分割權限模型。 在分割權限設定中,Exchange Server 會套用權限模型,該模型不會授與伺服器在目錄中建立或修改安全性主體的能力。

狀態

此行為是原先的設計,可讓 Exchange 系統管理員彈性地管理 Exchange Server 物件上與 Exchange 系統管理員角色一致的屬性。 如果 Exchange Server 以共用權限模型執行,則 Exchange 系統管理員預期應能夠建立使用者帳戶和信箱,並重新指派信箱類型的物件做為資源信箱或共用信箱。

解決方案

在已識別的案例中,Microsoft 已經評估授與執行 Exchange Server 的伺服器的權限,以及授與 Exchange 系統管理員的權限。 Microsoft 已判斷可以進行變更,以降低在 Active Directory 網域內授與的權限。 實際的權限變更會依使用的 Exchange Server 版本而定。

本節中的程序會將所有環境還原為一般、精簡的目錄權限設定檔。

若要解決 Exchange Server 2013 或更新版本中的這個問題,客戶應適時為他們的環境安裝下列累積更新:

使用 Exchange Server 2013 或更新版本的環境需要更新版的累積更新套件,才能在 Exchange Server 安裝所在,或目錄架構已準備要主控 Exchange Server 伺服器的任何 Active Directory 樹系中手動執行 /PrepareAD。 此外,若客戶在單一樹系中採用多個網域,則必須在樹系的所有網域中執行 /PrepareDomain,才能降低授與 Exchange Server 和 Exchange 系統管理員的權限。

注意: /PrepareDomain 作業會自動在 /PrepareAD 執行所在的 Active Directory 網域中執行。 但是,可能無法更新樹系中的其他網域。 因此,網域系統管理員應在樹系的其他網域中執行 /PrepareDomain 如需有關 Exchange Server 所使用 /Prepare 參數的詳細資訊,請參閱準備 Exchange Server 所使用的 Active Directory 和網域

這些更新版累積更新中的準備作業會對 Active Directory 環境進行下列變更。

Exchange Server 2016 和更新版本

更新網域上的 AdminSDHolder 物件,以移除「允許」ACE,該 ACE 授與「Exchange 受信任子系統」群組在 "Group" 繼承物件類型上「寫入 DACL」的權限。

Exchange Server 2013 和更新版本

將授與「Exchange Windows 權限」群組在 "User" 和 "INetOrgPerson" 繼承物件類型上「寫入 DACL」之權限的「允許」存取控制項目 (ACE) 更新,以包含網域根目錄物件上的「僅繼承」旗標。

Exchange Server 2010

若客戶執行 Exchange Server 2010,應使用 LDP 工具,將下列手動更新套用到環境中:

  1. 啟動 LDP 工具 (在 [執行] 方塊中輸入 ldp.exe,然後按下 Enter)。

  2. 連線到您要更新的網域命名空間 (在 [檔案] 功能表上,按一下 [連線])。

  3. 使用網域管理員認證繫結至網域命名空間 (在 [檔案] 功能表上,按一下 [繫結])。

  4. 使用對應至所要更新之網域內容根目錄的基本 DN,檢視樹狀結構 (在 [檢視] 功能表上,按一下 [樹狀結構])。 例如: Tree View

  5. 開啟網域存取控制清單 (以滑鼠右鍵按一下 domain,按一下 [進階],然後按一下 [安全性描述元])。 Domain Access Control Lists

  6. 尋找兩個將 "User" 和 "INetOrgPerson" 繼承物件類型上的「寫入 DACL」權限授與「Exchange Windows 權限」群組的「允許」ACE: Security descriptor注意:請勿排序清單。 這會變更 ACL 順序。

  7. 編輯每個項目,以新增「僅繼承」旗標。 若要執行這項操作,請按兩下物件,選取旗標,然後按一下 [確定] Access Control Entry

  8. 驗證每個 ACE 上的作業是否成功。 然後,按一下 [更新] Security descriptor

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。