Acesso ao Exchange Auditing log - Exchange Server 2007

É muito simples conceder permissões de leitura aos logs de auditoria de acesso à mailboxes no Exchange 2007 para aqueles que fazem parte do time de administração do Exchange Server. Mas como conceder permissão à um usuário especifico que faz parte do grupo de auditoria, ou até mesmo uma conta criada especificamente para um auditor externo?

São 2 passos:

1. Coletar o objectSID da conta que receberá a permissão:

Usando o Windows Powershell em uma conta com direitos de leitura desse atributo no AD:

$objUser = New-Object System.Security.Principal.NTAccount("External Auditor")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value

2. Conceder acesso utilizando a chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Exchange Auditing\CustomSD. Essa chave possui o seguinte valor padrão:

O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-3791421668-605469442-898867855-1105)(A;;CCLC;;;S-1-5-21-3791421668-605469442-898867855-1106)(A;;CCLC;;;S-1-5-21-3791421668-605469442-898867855-1107)

 
Devemos adicionar ao final e entre parenteses a permissão desejada de acordo com o formado SDDL. Basicamente temos a seguinte estrutura:

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

No caso do permissionamento do event log, os parametros ace_type, rights e account_sid são suficientes:

ace_type = A (allowed)
rights = 0x1 (read)
account_sid = S-1-5-21-3791421668-605469442-898867855-1154 (sid da conta que receberá a permissão)

Sobre o parâmetro rights, os seguintes valores são possíveis:

0x1 = read
0x2 = write
0x4 = clear

Podemos somar os valores para atribuir mais de uma permissão:

0x3 = read + write
0x7 = read + write + clear

De volta à nova permissão, omitindo os demais parâmetros temos:

(A;;0x1;;;S-1-5-21-3791421668-605469442-898867855-1154)

Agora basta adicionar ao valor já existente para mantermos as permissões padrão adicionando a nova:

O:BAG:SYD:(D;;CCDCLC;;;AN)(D;;CCDCLC;;;BG)(A;;CCDC;;;SY)(A;;CCDC;;;S-1-5-21-3791421668-605469442-898867855-1105)(A;;CCLC;;;S-1-5-21-3791421668-605469442-898867855-1106)(A;;CCLC;;;S-1-5-21-3791421668-605469442-898867855-1107)(A;;0x1;;;S-1-5-21-3791421668-605469442-898867855-1154)

 

É recomendado reiniciar o servidor que recebeu a nova permissão. E obviamente é necessario aplicar essa permissão localmente em cada servidor envolvido no escopo. Aplica-se ao Exchange Server 2007 em Windows 2003 e 2008.

;)