Permissões do Exchange 2007: Perguntas freqüentes
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2008-01-24
Este tópico responde às perguntas relacionadas à permissão que recebemos desde quando o Microsoft Exchange Server 2007 foi lançado.
Várias respostas descrevem as alterações específicas nas permissões que podem ser feitas para conceder ou desabilitar o acesso. Se você não estiver familiarizado com as ferramentas que podem ser usadas para gerenciar as permissões, consulte Planejando e implantando um modelo de permissões divididas.
As perguntas e as respostas são organizadas em duas seções:
Implantação do Exchange 2007
Gerenciamento do Exchange 2007
Implementação do Exchange 2007
P: Quais permissões eu preciso executar nas etapas de preparação de domínio e floresta?
R: São necessárias as seguintes permissões:
Para executar o comando Setup /PrepareLegacyExchangePermissions, você deve ser membro do grupo de segurança Administradores da Empresa.
Para executar o comando Setup /PrepareSchema, você deve ser membro do grupo de segurança dos Administradores do Esquema e Administradores da Empresa.
Para executar o comando Setup /PrepareAD, você deve ser membro do grupo de segurança Administradores da Empresa.
Para executar o comando Setup /PrepareDomain, setup /PrepareDomain:<FQDN> ou o comando Setup /PrepareAllDomains, você deve ser membro do grupo Administradores da Empresa ou membro do grupo Administradores de Domínio em qualquer domínio que for preparado.
P: O que o /PrepareLegacyExchangePermissions para Exchange 2007 faz?
R: Para obter informações detalhadas, consulte Preparando permissões herdadas do Exchange.
P: Como Setup /PrepareLegacyExchangePermissions determina a lista de domínios a ser atualizada?
R: A tarefa Setup /PrepareLegacyExchangePermissions recupera a lista de domínios na floresta com base na configuração da floresta. A tarefa então se conecta a um servidor de catálogo global e executa uma consulta na partição de nomenclatura de cada domínio. Em seguida, a tarefa determina se o domínio foi preparado para Microsoft Exchange 2000 Server ou Exchange Server 2003 tentando resolver os identificadores de segurança (SID) dos grupos de segurança do Exchange Domain Servers e do Exchange Enterprise Servers. Depois que a tarefa tiver criado uma lista dos domínios que foram anteriormente preparados, a tarefa tentará estabelecer uma sessão LDAP (Lightweight Directory Access Protocol) da configuração de domínio com cada sessão. Se a tarefa puder estabelecer uma sessão, ela definirá a permissão herdada para o domínio. Se a tarefa não puder estabelecer a sessão devido a um problema relacionado a permissões ou porque o domínio não está disponível, ela adicionará esse domínio a uma lista de domínios inacessíveis. Se a lista de domínios inacessíveis contiver algum domínio, a tarefa falhará depois que tiver processado a lista acessível.
Se a tarefa falhar, você deve determinar a estratégia corretiva, tal como a execução da tarefa em um controlador de domínio nesse domínio usando uma conta que possui as credenciais apropriadas, para certificar-se de que o domínio seja atualizado antes de continuar com o restante das etapas de preparação do Exchange 2007 .
P: O que o Setup /PrepareSchema para Exchange 2007 faz?
R: Para obter informações detalhadas, consulte Como preparar o Active Directory e os domínios.
P: O que o Setup /PrepareAD para Exchange 2007 faz?
R: Para obter informações detalhadas, consulte Como preparar o Active Directory e os domínios.
P: O que o Setup /PrepareDomain para Exchange 2007 faz?
R: Para obter informações detalhadas, consulte Como preparar o Active Directory e os domínios. Ele cria o contêiner Objetos do Sistema do Microsoft Exchange no domínio.
Este contêiner é usado para armazenar os objetos de proxy de pasta pública e os objetos do sistema relacionado ao Exchange, como a caixa de correio de repositório de caixas de correio.
O comando Setup /PrepareDomain atribui permissões específicas nesta pasta. Para obter mais informações sobre as permissões específicas concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
O comando Setup /PrepareDomain cria o grupo de segurança global Servidores de Domínio de Instalação do Exchange e o coloca no contêiner Objetos do Sistema do Microsoft Exchange.
Ele adiciona o grupo de segurança global Servidores de Domínio de Instalação do Exchange no grupo de segurança universal de Servidores do Exchange.
Ele atribui as permissões no nível de domínio para o grupo de segurança universal dos Servidores Exchange. Para obter mais informações sobre as permissões específicas concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Ele atribui as permissões no nível de domínio para o grupo de segurança universal Administradores de Destinatários do Exchange. Para obter mais informações sobre as permissões específicas concedidas, consulte Referência de permissões de configuração do Exchange 2007 Server.
Ele atribui ao grupo de segurança universal dos Servidores Exchange a permissão Gerenciar os Logs de Auditoria e de Segurança definidos na unidade organizacional da Diretiva do Controlador de Domínio Padrão.
P: Quando eu tenho que executar o Setup /PrepareDomain para Exchange 2007?
R: O comando Setup /PrepareDomain permite que os administradores de domínio Active Directory preparem seus domínios para os usuários e os servidores do Exchange 2007. Você deve executar o comando Setup /PrepareDomain em cada domínio que conterá o seguinte:
Servidores Exchange 2000, Exchange 2003 ou Exchange 2007
Objetos habilitados para email
Servidores de catálogo global que os componentes de acesso de diretório Exchange podem usar
P: Por que o grupo Servidores Exchange é membro do Grupo de acesso de autorização Windows nos domínios que possuem servidores Exchange ou usuários com caixas de correio do Exchange?
R: Essa alteração foi apresentada com a funcionalidade PrepareDomain no Exchange 2007 Service Pack 1. Ela permite que o Serviço de Transporte do Microsoft Exchange use a coleta de extensão Service-for-User (S4U) Kerberos para realizar verificações de permissão em computadores que não sejam controladores de domínio.
P: Eu observei que Setup /PrepareDomain altera a diretiva do controlador de domínio. Os grupos de segurança universal do Exchange Servers recebem a permissão para gerenciar os logs de auditoria e de segurança. Por que isso é necessário?
R: Para que o processo de armazenamento ofereça suporte para auditoria da caixa de correio, essa permissão é necessária porque permite que o servidor Exchange leia a SACL (System Access Control Lists) no domínio. Se essa permissão for removida, os bancos de dados do servidor Exchange não serão montados. Esse é o único ajuste que o comando Setup /PrepareDomain faz na diretiva do controlador de domínio. Esta diretiva é replicada para outros controladores de domínio através de uma combinação de replicação Active Directory e FRS (Serviço de Replicação de Arquivo).
Dica
Se você implementou outras diretivas nas unidades organizacionais de controlador de domínio, deve adicionar essa permissão a mais alta diretiva aplicável.
Retornar ao início
P: Qual a função desempenhada pelo grupo de segurança Servidores de Domínio de Instalação do Exchange?
R: Quando um servidor Exchange 2007 é instalado, sua conta de computador é adicionada ao grupo de segurança universal de Servidores Exchange. Por padrão, esse grupo é hospedado no domínio raiz da floresta. Se o servidor que você está instalando estiver em um domínio diferente, os serviços do Exchange podem não ser iniciados durante a Instalação porque a replicação do Active Directory não terá replicado o membro dos Servidores Exchange nos servidores de catálogo global que estão localizados no domínio em que você está instalando o Exchange 2007.
A finalidade do grupo de segurança dos Servidores de Domínio de Instalação do Exchange é certificar-se de que durante a Instalação os serviços possam iniciar corretamente sem aguardar pela replicação do Active Directory. A Instalação do Exchange adiciona a conta do computador ao grupo de segurança global de Servidores de Domínio de Instalação do Exchange do domínio local.
P: Posso mover os grupos de segurança padrão do Exchange para outro contêiner ou domínio na floresta?
R: O Exchange 2007 usa um novo conjunto de grupos de segurança para gerenciar o modelo de permissão e para manter a coexistência. Esses grupos são os seguintes:
Servidores Exchange
Administradores Somente para Exibição do Exchange
Administradores da Pasta Pública do Exchange (Novo no Exchange 2007 Service Pack 1)
Administradores de Destinatários do Exchange
Administradores da Organização do Exchange
ExchangeLegacyInterop
Por padrão, esses grupos de segurança estão localizados no domínio raiz na unidade organizacional Grupos de Segurança do Microsoft Exchange. Eles podem ser movidos para diferentes unidades organizacionais e também para outros domínios na floresta. A movimentação dos grupos na floresta é aceita porque esses grupos possuem duas propriedades exclusivas: uma GUID conhecida e um nome diferenciado que podem ser alterados. Ao usar essas duas propriedades e adicioná-las ao atributo otherWellKnownObjects da floresta durante a tarefa Setup /PrepareAD, o Exchange pode encontrar o grupo de segurança em qualquer local na floresta. O serviço de diretório tratará da atualização do nome diferenciado (DN) do objeto quando ele for movido. Dessa maneira, o Exchange não requer um local fixo no diretório.
Retornar ao início
P: Minha empresa não permite permissões herdadas a partir do nível de domínio do Active Directory para contêineres-filho e unidades organizacionais. Isso provocará um problema?
R: O comando Setup /PrepareDomain coloca apenas as entradas de controle de acesso (ACE) para o grupo Servidores Exchange e o grupo Administradores de Destinatários Exchange no nível de domínio. Portanto, se você bloquear a herança, o Microsoft Exchange não conseguirá processar os objetos de usuário. O resultado é que os Administradores de Destinatário não conseguirão configurar destinatários de correio e o Exchange não conseguirá atualizar os atributos apropriados nos objetos.
Após o bloqueio da herança, você terá a opção para Remover ou Copiar as permissões no contêiner selecionado ou unidade organizacional. Se você decidir Copiar as permissões, as ACEs apropriadas serão aplicadas. Se você decidir Remover as permissões, as ACEs apropriadas não serão aplicadas e a configuração do destinatário não funcionará.
Dica
A estrutura de permissão pode mudar nas versões futuras ou nos pacotes de serviço do Microsoft Exchange. Portanto, recomendamos que permita a herança ou, no mínimo, que monitore as alterações de permissão ao implementar as novas versões do Microsoft Exchange para que os contêineres que possuem a herança bloqueada possam ser atualizados corretamente.
Se você deseja definir as permissões manualmente em uma unidade organizacional para que o Exchange 2007 e os destinatários possam processar ou acessar os objetos, você deve atribuir as seguintes permissões:
Atribua ao objeto de segurança Usuários Autenticados a seguinte permissão a todos os tipos de objetos de destinatários na unidade organizacional:
- Acesso de leitura para o conjunto de propriedades de informações do Exchange
Atribua ao grupo Exchange Servers as seguintes permissões a todos os tipos de objetos do destinatário na unidade organizacional:
Acesso de gravação para os seguintes atributos:
groupType
msExchUMPinChecksum
msExchMailboxSecurityDescriptor
publicDelegates
msExchUMSpokenName
msExchUserCulture
userCertificate
msExchMobileMailboxFlags
msExchUMServerWriteableFlags
Acesso de leitura para os seguintes atributos:
garbageCollPeriod
canonicalName
userAccountControl
memberOf
Acesso de leitura para o conjunto de propriedades de informações pessoais do Exchange
Acesso de leitura para o conjunto de propriedades de informações do Exchange
Permissão de Alteração de Senha
Permissão de Permissões de Gravação para os objetos de grupo
Se você estiver operando um ambiente que contém servidores Exchange 2000 ou Exchange 2003, você também terá que atribuir ao grupo de segurança Exchange Enterprise Servers as seguintes permissões para que o Serviço de Atualização de Destinatário do Exchange 2003 possa processar os objetos:
Conteúdo da Lista
Ler Todas as Propriedades
Permissões de Leitura
Informações Públicas de Gravação
Informações Pessoais de Gravação
Informações Exchange de Gravação
displayName de Gravação
groupType de Gravação
A permissão das Permissões de Gravação nos objetos do grupo (essa permissão é necessária para suportar a associação do grupo oculto)
Para certificar-se de que os Administradores de Destinatários do Exchange possam gerenciar os objetos do destinatário na unidade organizacional, você deve atribuir ao grupo de segurança Administradores de Destinatários do Exchange as seguintes permissões:
Acesso de gravação aos seguintes conjuntos de propriedades:
Informações Pessoais do Exchange
Informações do Exchange
Acesso de gravação aos seguintes atributos:
legacyExchangeDN
publicDelegates
showInAddressBook
displayName
garbageCollPeriod
proxyAddresses
adminDisplayName
textEncodedORAddress
mail
displayNamePrintable
Permissão para criar objetos msExchDynamicDistributionList
Direito de usuário de excluir objetos msExchDynamicDistributionList
Controle total sobre objetos msExchDynamicDistributionList
Permissão de Leitura genérica, que inclui permissão de Leitura, Conteúdo da Lista, Objeto da Lista e Leitura de Todas as Propriedades
Você pode definir todas essas permissões utilizando o snap-in ADSI (Interfaces do Serviço Active Directory) Active Directory, DACL (listas de controle de acesso discricionário) ou o cmdlet Add-ADPermission no Shell de Gerenciamento Exchange. Para obter mais informações sobre como definir as permissões no nível da unidade organizacional, consulte Planejando e implantando um modelo de permissões divididas.
Retornar ao início
P: Quais permissões eu preciso para instalar o primeiro servidor Exchange?
R: Assumindo que você tenha executado todas as etapas de preparação de floresta e de domínio, para instalar o primeiro servidor Exchange, é necessário ter logon no Active Directory com as seguintes permissões:
Função Administrador da Organização do Exchange
Membro do grupo Administradores local no servidor de destino do Exchange
Dica
A função Administrador da Organização Exchange é necessária para instalar o primeiro servidor para cada função do servidor Exchange 2007.
P: Quais permissões eu preciso para instalar os servidores adicionais do Exchange?
R: Assumindo que você tenha executado todas as etapas de preparação e que a primeira função do servidor Exchange 2007 tenha sido instalada, para instalar servidores Exchange adicionais da mesma função, você deve ter efetuado logon no Active Directory com as seguintes permissões:
A função Administrador da Organização do Exchange ou ter delegada a permissão para instalar o servidor através do processo de configuração do servidor de Instalação. Para obter mais informações sobre como configurar os objetos do servidor, consulte Como configurar o Exchange 2007 e delegar a instalação.
Membro do grupo Administradores local no servidor de destino do Exchange
P: Como eu delego as permissões para outros administradores para que possam gerenciar diversos serviços do Exchange 2007?
R: Para delegar as permissões para outros usuários, use o seguinte:
O assistente Adicionar Administrador do Exchange no Console de Gerenciamento do Exchange
O cmdlet Add-ExchangeAdministrator no Shell de Gerenciamento do Exchange
Para delegar os administradores adicionais, você deve ter efetuado logon como um usuário que possui a função Administrador da Organização doExchange atribuída.
Retornar ao início
P: Se eu mover as contas do computador Exchange para uma unidade organizacional diferente no Active Directory, isso afetará minhas permissões e delegações do Exchange?
R: Não, o assistente Adicionar Administrador do Exchange atribui permissões no contexto de nomenclatura de configuração do Active Directory, não no contexto de nomenclatura de domínio, que é onde as contas do computador residem. Contudo, você deve reiniciar o serviço Atendedor do Sistema do Microsoft Exchange no servidor Exchange depois que o objeto da conta do computador tiver sido movido. Para obter mais informações sobre o motivo pelo qual você deve reiniciar o servidor Exchange, consulte o artigo da Base de Dados de Conhecimento Microsoft, System Attendant generates Event ID 9186 and Event ID 9187 in Exchange 2000 and in Exchange 2003.
P: Qual é a diferença entre a função Administrador da Organização do Exchange e a função Administrador do Servidor Exchange?
R: Um Administrador da Organização do Exchange pode manipular e alterar as configurações para qualquer objeto Exchange na partição da configuração na organização Exchange.
Um Administrador do Servidor Exchange pode manipular apenas o objeto do servidor Exchange e tudo sob ele, para o qual o administrador tiver a permissão delegada.
P: Se eu conceder a um usuário ou grupo as permissões no nível de organização do Exchange, elas fluirão automaticamente?
R: Sim. As permissões são herdadas, porque elas estão no Exchange 2003.
P: Quais permissões eu preciso para a conta de serviço na configuração do cluster Exchange 2007?
R: A conta de serviço do cluster não requer qualquer permissão de organização do Exchange.
P: Quais permissões eu preciso para instalar o Exchange 2007 em uma configuração de cluster?
R: Para obter mais informações sobre como executar uma instalação delegada de servidores de caixas de correio clusterizadas, consulte Como executar uma instalação delegada de um servidor de caixas de correio em cluster.
Retornar ao início
P: Eu tenho um aplicativo de mensagens de terceiros que requer acesso total à caixa de correio de cada usuário. Com o Exchange Server 5.5, concedermos a uma conta especial as permissões Admin. de Conta de Serviço e, em seguida, informamos ao aplicativo para usar essa conta. Como posso alcançar funcionalidade semelhante no Exchange 2007?
R: A segurança do Exchange 2007 funciona de maneira diferente daquela do Exchange Server 5.5. Na verdade, o Exchange 2007 não usa uma conta de serviço do site. Em vez disso, todos os serviços começam como a conta do computador local.
Se a sua conta de logon for a conta do Administrador, um membro dos Administradores de Domínio raiz, um membro dos grupos Administradores de Empresa ou um membro da função Administradores da Organização do Exchange, será explicitamente negado o acesso a todas as caixas de correio que não estiverem em sua caixa de correio, mesmo se você tiver direitos administrativos totais sobre o sistema Exchange. Todas as tarefas administrativas do Exchange 2007 podem ser executadas sem ter que conceder a um administrador direitos suficientes para ler as mensagens das outras pessoas.
Você pode atingir os resultados que deseja das seguintes maneiras, mas faça isso apenas de acordo com as diretivas de privacidade e segurança da sua organização.
No Shell de Gerenciamento do Exchange, use o seguinte comando para conceder acesso a todas as caixas de correio em um determinado repositório de caixas de correio:
Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As
No Shell de Gerenciamento do Exchange, use o seguinte comando para conceder acesso a uma caixa de correio individual:
Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
Retornar ao início
P: Por que os administradores de domínio podem falsificar as contas de usuário habilitadas para caixa de correio em seus domínios?
R: O Active Directory inclui um conjunto base de permissões que podem ser aplicadas nos objetos no diretório. Em específico, o Active Directory inclui a permissão estendida Enviar Como. Por padrão, o grupo Administradores, o grupo Administradores do Domínio, o grupo Administradores de Empresa e o grupo Operadores de Conta possuem permissões Enviar Como para todos os usuários. As permissões do grupo Administradores e as permissões do grupo Administradores de Empresa são herdadas do nível de domínio. O grupo Operadores de Conta e o grupo Administradores do Domínio recebem permissões explícitas que são baseadas na definição do objeto do usuário que está no esquema Active Directory.
Você talvez queira considerar a implementação de Negar Enviar Como ACE nos administradores para objetos de usuário no domínio. Se você decidir implementar um Negar Enviar Como ACE nos administradores para objetos do usuário no domínio, considere o seguinte:
Um Permitir ACE explícito substituirá um Negar ACE herdado. Isso significa que as ACEs explícitas são aplicadas antes das ACEs herdadas.
Os membros do grupo Administradores do Domínio podem remover o Negar ACE e adicionar um Permitir ACE explícito.
Acrescentar um Negar ACE pode gerar conseqüências adicionais no seu ambiente.
Se implementar um Negar Enviar Como ACE nos administradores para objetos do usuário no domínio colocar o seu ambiente de mensagens em risco, você deve implementar um ou mais dos seguintes:
Limite o número de administradores de domínio no domínio, delegando tarefas específicas. Para obter mais informações, consulte Práticas recomendadas para delegação de administração do Active Directory.
Use a auditoria para monitorar os eventos de logon de conta para as contas que são membros do grupo Administradores do Domínio.
Retornar ao início
P: Por que os membros do grupo Administradores de Empresa e do grupo Administradores de Domínio raiz possuem controle total na organização Exchange?
R: No Exchange 2000 e versões posteriores do Exchange Server, os dados sobre a organização do Exchange não serão armazenados em um diretório separado. O Exchange armazena os dados organizacionais no Active Directory no contexto de nomenclatura de Configuração. Os administradores de floresta, que são membros do grupo Administradores de Empresa ou grupo Administradores de Domínio raiz controlam todos os aspectos do diretório e controlam os dados que estão armazenados no diretório. Os administradores de floresta devem controlar o diretório porque uma única alteração de configuração poderia afetar adversamente a floresta inteira. O contexto de nomenclatura de Configuração e, por herança, a organização Exchange armazenada no contexto de nomenclatura de Configuração, possuem as seguintes permissões:
Administradores de Empresa – Controle Total
Administradores de Domínio Raiz – Ler, Gravar, Criar Todos os Objetos-filhos, Permissões Especiais
Além das permissões herdadas, a Instalação do Exchange adiciona um Negar ACE para Enviar Como e Receber Como para o grupo Administradores de Empresa e grupo Administradores de Domínio raiz. Isso impede que esses administradores acessem e falsifiquem as caixas de correio na floresta. Para obter mais informações, consulte Referência de permissões de configuração do Exchange 2007 Server.
Você não pode remover a herança do nó da organização Exchange no contexto de nomenclatura de configuração. Se os administradores de mensagens não confiarem nos administradores de floresta, os administradores de mensagens devem considerar o isolamento do Exchange em sua própria floresta. Para obter mais informações sobre as opções de implantação, consulte Implantação do Exchange Server 2007.
Se você não puder isolar a organização do Exchange em uma floresta separada, recomenda-se que execute uma ou mais das seguintes tarefas:
Limite o número de administradores de empresa e administradores de domínio no domínio raiz, delegando tarefas específicas. Para obter mais informações, consulte Práticas recomendadas para delegação de administração do Active Directory.
Use a auditoria para monitorar os eventos de logon de conta para as contas que são membros de qualquer grupo privilegiado. Isso inclui o grupo Administradores de Empresa e o grupo Administradores de Domínio raiz.
Utilize a auditoria para monitorar as alterações que ocorrem na parte CN=<Organização do Exchange>,CN=Microsoft Exchange,CN=Serviços,CN=Configuração,DC=<domínio raiz> do diretório.
Retornar ao início
P: Por que os membros do grupo Operadores de Conta podem modificar os grupos de segurança do servidor Exchange?
R: Um grupo privilegiado, como o grupo de segurança Operadores de conta, recebe permissões específicas no Active Directory. Em específico, o grupo de segurança Operadores de Conta recebe permissões Controle Total explícitas para cada objeto na partição de domínio para que o grupo possa gerenciar os objetos.
Você talvez queira considerar a implementação de um Negar entrada de controle de acesso (ACE) para os Operadores de Conta para esses grupos de segurança. Se você decidir implementar um Negar ACE, considere o seguinte:
Os Operadores de Conta recebem controle total, utilizando uma ACE explícita nos objetos no diretório. Isso significa que você deve colocar um Negar ACE explícito em cada grupo que deseja restringir. Lembre-se de que um Permitir ACE explícito substitui um Negar ACE herdado.
Acrescentar um Negar ACE pode gerar conseqüências adicionais no seu ambiente. Para obter mais informações, consulte Planejando e implantando um modelo de permissões divididas.
Se a implementação de um Negar ACE nos Operadores de conta ou em outros grupos privilegiados para os grupos de segurança do Exchange colocar o seu ambiente de mensagens em risco, você deve implementar um ou mais dos seguintes:
Limite o número de Operadores da Conta no domínio, delegando tarefas específicas. Para obter mais informações, consulte Práticas recomendadas para delegação de administração do Active Directory.
Use a auditoria para monitorar os eventos de logon de conta para as contas que são membros do grupo de segurança Operadores de Conta.
Use a auditoria para monitorar as alterações nos grupos de segurança do Exchange.
P: Por que existe uma conta de serviço especial no Exchange Server 5.5, quando os serviços do Exchange 2007 podem ser iniciados como LocalSystem (conta de computador interna)?
R: O Exchange Server 5.5 precisava de uma conta de logon especial para seus serviços devido a uma limitação com o Microsoft Windows NT 4.0. Embora as contas do computador local no Windows NT 4.0 tivessem tokens, elas não tinham credenciais. Portanto, uma conta de computador não pôde ser autenticada em outra. No Windows Server 2003, a autenticação Kerberos é usada e as contas do computador possuem tokens e credenciais.
É mais seguro usar a conta do computador local do que uma conta especificada pelo administrador pelos seguintes motivos:
A senha do computador local é um número hexadecimal aleatório, em vez de uma cadeia de caracteres legíveis por um humano.
A senha do computador local é automaticamente alterada a cada sete dias.
A conta de serviço do Exchange Server 5.5 deve ser excluída das diretivas de bloqueio porque uma tentativa de força bruta efetuar logon poderia desabilitar a conta e encerrar os serviços do Exchange.
Retornar ao início
Gerenciamento do Exchange 2007
P: Quais permissões eu preciso para criar e excluir os usuários do Exchange 2007?
R: Se você for responsável pelo gerenciamento dos usuários e da caixa de correio, deve ter permissões para criar e gerenciar os objetos de destinatário no Active Directory. Por exemplo, você poderia ser um Administrador de Domínio ou Operador de Conta, ou poderia ter acesso delegado a uma unidade organizacional específica. Lembre-se de que os membros das contas privilegiadas de domínio filho também devem ter a função Administrador Somente para Exibição Exchange para gerenciar as propriedades relacionadas às mensagens do Console de Gerenciamento do Exchange e do Shell de Gerenciamento do Exchange. Se você não tiver permissões elevadas, deve ter as seguintes permissões:
A função Administrador de Destinatário do Exchange ou ter sido delegado às permissões apropriadas. Para obter mais informações sobre como delegar a administração do destinatário, consulte Planejando e implantando um modelo de permissões divididas e Considerações sobre permissão.
- Para mover a caixa de correio entre os servidores, o administrador deve ser um Administrador de Organização do Exchange ou ter sido delegado à função Administrador do Servidor Exchange nos servidores de origem e de destino.
As permissões apropriadas na partição de domínio para criar, excluir e gerenciar os objetos em questão.
Além disso, se você gerencia os objetos de pasta pública, recomendamos que a conta de administração, que é a conta com a qual você efetua logon ao manipular os objetos no Console de Gerenciamento do Exchange ou Shell de Gerenciamento do Exchange, seja habilitada para mensagens ou habilitada para caixa de correio. Em alguns casos, pode ocorrer um comportamento estranho na interface do usuário de permissão e erros na resolução do nome de exibição se a conta que administra os objetos de pasta pública não for habilitada para mensagens ou habilitada para caixa de correio.
Para obter mais informações, consulte o tópico "Outros Problemas" na seção "Resolvendo Problemas e Reparando os Problemas de Armazenamento no Exchange Server 2003" de Trabalhando com Armazenamento do Exchange Server 2003.
Retornar ao início
P: Por que preciso de permissões adicionais não fornecidas com a função Administrador de Destinatário do Exchange para executar certas operações em relação às caixas de correio, como alterar o tipo de caixa de correio?
R: Para converter uma caixa de correio de um tipo em outro, devemos fazer várias alterações no Active Directory que podem exigir privilégios elevados que a função Administrador de Destinatário do Exchange não fornece. Um exemplo é o cenário a seguir, em que desejamos converter uma caixa de correio de usuário em uma caixa de correio de sala. As caixas de correio de recurso, por design, são contas de usuário desabilitadas que são habilitadas para caixa de correio, enquanto as caixas de correio de usuário são contas de usuário habilitadas para caixa de correio. Portanto, para converter a caixa de correio de um tipo de UserMailbox
em um tipo de RoomMailbox
, precisamos desabilitar a conta de usuário. Isto exige a alteração do atributo do usuário userAccountControl
do valor 512
(habilitado) para 514
(desabilitado). Além disso, como a conta agora está desabilitada, para que a caixa de correio continue sendo usada, precisamos definir o atributo msExchMasterAccountSID
e aplicar as permissões apropriadas. Neste caso, não estamos atribuindo uma conta vinculada, mas sim o privilégio NT AUTHORITY\SELF ao atributo msExchMasterAccountSID
. Além disso, precisamos assegurar que o privilégio NT AUTHORITY\SELF tenha as permissões adequadas para que o fluxo de mensagens e a caixa de correio não sejam afetados. Fazemos isto de duas maneiras. Primeiro, concedemos ao privilégio NT AUTHORITY\SELF total acesso à caixa de correio, atualizando o descritor de segurança da caixa de correio. Segundo, concedemos ao privilégio NT AUTHORITY\SELF o direito estendido Send-As e o acesso de leitura e gravação ao conjunto de propriedades Informações Pessoais (de forma que publicDelegates
e outros atributos possam ser gerenciados por NT AUTHORITY\SELF).
P: Quais permissões eu preciso para modificar as permissões de caixa de correio de um objeto do usuário?
R: Para modificar corretamente as permissões da caixa de correio através do Shell de Gerenciamento do Exchange, você deve ter as seguintes permissões:
Função Administrador Somente para Exibição do Exchange
Permissão Administrar Armazenamento de Informações concedida no repositório de caixas de correio na qual a caixa de correio reside.
Permissão de gravação concedida no repositório de caixas de correio na qual a caixa de correio reside
P: Quais permissões eu preciso para mover uma caixa de correio entre os armazenamentos de caixa de correio do Exchange?
R: A funcionalidade Mover Caixa de Correio que pode ser acessada a partir do Console de Gerenciamento do Exchange e do Shell de Gerenciamento Exchange efetua logon na caixa de correio de origem e move as pastas e as mensagens para a caixa de correio de destino. Você pode mover as caixas de correio entre os armazenamentos de caixa de correio no mesmo grupo de armazenamento, entre diferentes grupos de armazenamento no mesmo servidor e entre servidores do Exchange. É necessário ter permissões sobre o objeto do usuário no Active Directory para modificar seus atributos de caixa de correio Exchange. Um usuário que é um Operador de Conta terá essas permissões. Você também deve ter as seguintes permissões:
Função do Administrador de Organização do Exchange ou ser delegado à função Administrador do Servidor Exchange nos servidores de caixa de correio Exchange 2007 de origem e de destino.
Dica
Se mover as caixas de correio entre os grupos administrativos em um ambiente misto do Exchange 2007–Exchange 2003, você deve ser delegado à função Administrador Exchange nos grupos administrativos de origem e de destino.
Membro do grupo Administradores na estação de trabalho local ou servidor para criar um perfil MAPI dinâmico
Retornar ao início
P: Quais permissões eu preciso para criar uma nova caixa de correio ou armazenamento de pasta pública ou um grupo de armazenamento em um servidor Exchange 2007?
R: Você deve ter efetuado logon com as seguintes permissões:
Função Administrador de Organização do Exchange ou ser delegado à função Administrador do Servidor Exchange no servidor de caixa de correio Exchange 2007
Dica
Os Administradores do Servidor Exchange não podem criar bancos de dados de pasta pública.
P: Observei que diversos identificadores de segurança (SID) para vários Conectores de Recebimento e Conectores de Envio não são solucionados. Por que isso ocorre?
R: Alguns grupos lógicos que são usados para atribuir as permissões para vários Conectores de Recepção e Conectores de Envio são representados por um SID e não possuem um nome de exibição. Nesses casos, o cmdlet Get-ADPermission apenas produz o SID. Os seguintes SIDs foram definidos no Transporte do Exchange 2007:
Servidores de Transporte de Hub na mesma organização: S-1-9-1419165041-1139599005-3936102811-1022490595-21
Dica
Para autenticação e autorização entre dois servidores de Transporte de Hub no mesmo domínio, a conta do computador que é membro do grupo de segurança de Servidores Exchange é usada.
Servidores de Transporte de Borda Confiáveis: S-1-9-1419165041-1139599005-3936102811-1022490595-22
Servidores de terceiros confiáveis, que atendem ao mesmo domínio ou domínios autoritativos: S-1-9-1419165041-1139599005-3936102811-1022490595-23
Servidores Exchange 2003 na mesma organização: S-1-9-1419165041-1139599005-3936102811-1022490595-24
Servidores de transporte do parceiro: S-1-9-1419165041-1139599005-3936102811-1022490595-10
Retornar ao início
P: Quais permissões eu preciso para pesquisar uma mensagem?
R: Para pesquisar várias caixas de correio usando a tarefa Export-Mailbox, o administrador deve ter as seguintes permissões:
A função Administrador do Servidor Exchange ou superior no servidor de Caixa de Correio de origem e de destino
Membro do grupo Administradores Locais na estação de trabalho local ou servidor no qual a tarefa está sendo executada
P: Quais permissões eu preciso para acompanhar uma mensagem?
R: As seguintes permissões são necessárias para acompanhar uma mensagem:
Para a versão RTM (Versão de Fabricação) do Exchange 2007 Função Administrador do Servidor Exchange ou superior nos servidores Caixa de Correio e Transporte de Hub que a tarefa pode consultar
Novidades no Exchange 2007 Service Pack 1 Função Administrador Somente para Exibição do Exchange ou superior na organização
Administrador local no servidor Transporte de Borda
Administrador local na estação de trabalho na qual a tarefa está sendo executada
Dica
No Exchange 2007 RTM, você deve reiniciar o serviço Pesquisa de Log de Transporte do Microsoft Exchange depois de conceder a função Administrador do Servidor Exchange para um administrador se desejar que o administrador acompanhe as mensagens.
P: Quais permissões eu preciso para executar o Assistente para Solução de Problemas do Exchange?
R: As seguintes permissões são necessárias para executar o Exchange Mail Flow Analyzer:
O Administrador de Domínio ou um membro do grupo BUILTIN\Administradores no servidor Active Directory para enumerar as informações do Active Directory e chamar os provedores do Microsoft WMI (Instrumentação de Gerenciamento do Windows) no controlador de domínio e servidores de catálogo global
Membro do grupo Administradores Locais em cada servidor Exchange para chamar os provedores WMI e acessar o registro e a metabase IIS
Função Administrador Somente para Exibição do Exchange ou superior
As permissões que são necessárias para executar o Exchange Performance Troubleshooting Analyzer são as seguintes:
Usuário do Domínio ou permissões superiores no servidor de catálogo global especificado na etapa de conexões
Membro do grupo Administradores local em cada servidor que está executando o Microsoft Exchange a ser analisado. Essas permissões precisam acessar o WMI, o registro e os dados de desempenho.
As permissões que são necessárias para executar o Exchange Disaster Recovery Analyzer são as seguintes:
Membro do grupo Administradores Locais em cada servidor Exchange para chamar os provedores WMI, acessar o registro e metadados IIS e acessar o banco de dados e arquivos do log de transação e o mecanismo de banco de dados.
Função Administrador do Servidor Exchange ou superior em cada servidor
Retornar ao início
P: Quais permissões eu preciso para executar o Microsoft Exchange Best Practices Analyzer?
R: Para executar o Exchange Best Practices Analyzer, você deve ter as seguintes permissões:
Função Administrador Somente para Exibição do Exchange ou superior
Permissões Administrador de Máquina para enumerar as informações do Active Directory e chamar os provedores WMI nos servidores DC ou GC
Membro do grupo Administradores Locais em cada servidor Exchange para chamar os provedores WMI e acessar o registro e a metabase IIS
P: Quais permissões eu preciso para gerenciar as filas de mensagens?
R: Para gerenciar as filas de mensagens, você deve ter as seguintes permissões:
Nos servidores de Transporte de Borda, você deve ser um membro do grupo local de administradores.
Para Exchange 2007 RTM Nos servidores Transporte de Hub, você deve ser membro da função Administrador do Servidor Exchange ou superior.
Novidades no Exchange 2007 Service Pack 1 Nos servidores de Transporte de Hub, você deve utilizar um membro da função Administrador Somente para Exibição Exchange ou superior para visualizar as filas. Se você deseja manipular as filas, deve ser um membro da função Administrador do Servidor Exchange ou superior.
Retornar ao início