帐户操作员和 Active Directory 中的域管理员具有添加和删除组对象的用户的权限 ; 因此,Account Operators 和 Active Directory 中的域管理员可以添加自己到 Exchange Domain Servers 组。 如果域管理员或企业管理员将自己添加到 Exchange Domain Servers 组,它们不能访问邮箱因为没有一个继承的 Deny 访问控制项 (ACE) 的代理接收每个数据库上的权限,这些组的成员。
但是,没有 Account Operators 继承或显式访问控制项 (ACE) 因此 Account Operators 假定对信息存储在 Exchange Domain Servers 组的权限。 因此,从包含 Exchange 2000 服务器的任何域的帐户操作员可以访问所有邮箱。 这些帐户运算符将作为中具有权限添加本身 (或其他人) 域服务器组使其发送,并且接收权限的所有信息都存储数据库。
若要解决此问题,应用 EDSLock.vbs 脚本。 有关其他信息,单击下面,文章编号,以查看 Microsoft 知识库中相应:
应用 EDSLock.vbs 脚本安全 tightens Exchange Domain Servers 组的成员,这样该组的成员没有访问所有邮箱存储和 Exchange 组织中的公用文件夹的权限。
此外,Microsoft 建议以便 Account Operators 只具有此组的读访问权限,管理员都将更改 Exchange Domain Servers 组在默认权限。 如果这样做 Account Operators 无法将添加自己到 Exchange Domain Servers 组。
如果您不希望更改 Exchange Domain Servers 组对邮箱存储和公用文件夹的权限,您可以部署"服务器域",独立于"用户域,然后找到用户域中的有帐户操作员权限的用户。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/9885145/viewspace-1024939/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/9885145/viewspace-1024939/