使用共用權限模型時減少執行 Exchange Server 所需的權限

案例

請試想下列案例：

• 您所執行的 Exchange Server 使用 Exchange Server 預設安裝的共用權限模型。

• 存取控制項目已放入 Active Directory 樹系中。 這為 Exchange Server 提供提高的目錄權限。

原因

Exchange Server 是啟用目錄服務的應用程式， 因此，必須能夠修改與啟用 Exchange Server 的物件相關的屬性。 這包括在某些情況下修改「判別存取控制清單」(DACL) 的能力。 由於這些物件可以存在於網域階層中的任何位置，因此，Exchange Server 會將權限授與在網域根目錄執行 Exchange Server 的伺服器。 這樣做是為了確保將權限傳遞給所有適用的物件。

Exchange Server 目前不會在評估 DACL 傳用時使用 [僅繼承] 旗標。 這不會套用到 Active Directory 分割權限模型。 在分割權限設定中，Exchange Server 會套用權限模型，該模型不會授與伺服器在目錄中建立或修改安全性主體的能力。

狀態

此行為是原先的設計，可讓 Exchange 系統管理員彈性地管理 Exchange Server 物件上與 Exchange 系統管理員角色一致的屬性。 如果 Exchange Server 以共用權限模型執行，則 Exchange 系統管理員預期應能夠建立使用者帳戶和信箱，並重新指派信箱類型的物件做為資源信箱或共用信箱。

解決方案

在已識別的案例中，Microsoft 已經評估授與執行 Exchange Server 的伺服器的權限，以及授與 Exchange 系統管理員的權限。 Microsoft 已判斷可以進行變更，以降低在 Active Directory 網域內授與的權限。 實際的權限變更會依使用的 Exchange Server 版本而定。

本節中的程序會將所有環境還原為一般、精簡的目錄權限設定檔。

若要解決 Exchange Server 2013 或更新版本中的這個問題，客戶應適時為他們的環境安裝下列累積更新：

• Exchange Server 2019 – 累積更新 1

• Exchange Server 2016 – 累積更新 12

• Exchange Server 2013 – 累積更新 22

使用 Exchange Server 2013 或更新版本的環境需要更新版的累積更新套件，才能在 Exchange Server 安裝所在，或目錄架構已準備要主控 Exchange Server 伺服器的任何 Active Directory 樹系中手動執行 /PrepareAD。 此外，若客戶在單一樹系中採用多個網域，則必須在樹系的所有網域中執行 /PrepareDomain，才能降低授與 Exchange Server 和 Exchange 系統管理員的權限。

注意： /PrepareDomain 作業會自動在 /PrepareAD 執行所在的 Active Directory 網域中執行。 但是，可能無法更新樹系中的其他網域。 因此，網域系統管理員應在樹系的其他網域中執行 /PrepareDomain。

如需有關 Exchange Server 所使用 /Prepare 參數的詳細資訊，請參閱準備 Exchange Server 所使用的 Active Directory 和網域。

這些更新版累積更新中的準備作業會對 Active Directory 環境進行下列變更。