Der Sicherheitsgruppe Everyone wird nicht das Recht verweigert, Öffentliche Ordner der obersten Ebene zu erstellen

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2006-12-04

Microsoft® Exchange Server Analyzer fragt den Active Directory®-Verzeichnisdienst ab, um zu ermitteln, ob die Sicherheits-ID (SID) für die Sicherheitsgruppe Everyone im ntSecurityDescriptor des Exchange-Organisationsobjekts aufgelistet ist. Wenn Exchange Server Analyzer feststellt, dass die SID für die Sicherheitsgruppe Everyone im ntSecurityDescriptor des Organisationsobjekts vorhanden ist, wird eine Warnung angezeigt. Diese Warnung gibt an, dass der Gruppe Everyone nicht die Berechtigung verweigert wurde, Öffentliche Ordner der obersten Ebene zu erstellen.

In Exchange 2000 Server ist die Berechtigung zum Erstellen von Öffentlichen Ordnern der obersten Ebene in der Standardeinstellung festgelegt. Wenn jedoch die Exchange Server 2003-Version von ForestPrep oder die Exchange Server 2007-Version von PrepareAD ausgeführt wird, wird der Sicherheitsgruppe Everyone der Zugriff zum Erstellen von Öffentlichen Ordnern der obersten Ebene verweigert. Die Verweigerungsfunktion wurde als Sicherheitsmaßnahme implementiert. Wenn Sie zulassen, dass die Sicherheitsgruppe Everyone Öffentliche Ordner der obersten Ebene erstellt, wird Ihre Organisation möglicherweise anfälliger für DOS-Angriffe (Denial of Service).

Deshalb besteht die optimale Methode darin, der Sicherheitsgruppe Everyone die Berechtigung zum Erstellen von Öffentlichen Ordnern der obersten Ebene zu verweigern. Wenn Sie Exchange Server 2003 oder Exchange Server 2007 einsetzen, sollten Sie die Exchange Server 2003-Version von ForestPrep bzw. die Exchange Server 2007-Version von PrepareAD ausführen. Sie können die Exchange Server 2003-Version von ForestPrep in einer Exchange 2000 Server-Umgebung ausführen. Durch nachfolgende Installationen von Exchange 2000 Server werden die Berechtigungen so zurückgesetzt, dass für die Sicherheitsgruppe Everyone das Erstellen von Öffentlichen Ordnern zugelassen wird.

Wenn Sie weder über Exchange Server 2003 noch über Exchange Server 2007 verfügen, können Sie diese Berechtigung manuell festlegen. Beachten Sie, dass durch nachfolgende Installationen von Exchange 2000 Server diese Berechtigung zurückgesetzt wird. Daher muss nach jeder Installation von Exchange 2000 Server diese Berechtigung manuell konfiguriert werden. Bevor Sie diese Berechtigung festlegen können, müssen Sie im Exchange-System-Manager das Anzeigen der Registerkarte Sicherheit aktivieren, indem Sie beispielsweise der Registrierung auf dem Exchange Server-Computer den Eintrag ShowSecurityPage hinzufügen.

Wichtig:
Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Stellen Sie vor dem Bearbeiten der Registrierung sicher, dass Sie für den Fall eines Problems mit dem Wiederherstellungsprozess für die Registrierung vertraut sind. Weitere Informationen zum Wiederherstellen der Registrierung finden Sie im Hilfethema „Wiederherstellen der Registrierung“ in Regedit.exe oder Regedt32.exe.

So fügen Sie der Registrierung den Eintrag „ShowSecurityPage“ hinzu

1. Öffnen Sie einen Registrierungs-Editor (z. B. Regedit.exe oder Regedt32.exe).

2. Navigieren Sie zu: HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

3. Klicken Sie auf Bearbeiten, klicken Sie auf Neu, und klicken Sie dann auf DWORD-Wert.

4. Geben Sie für den neuen Wertnamen ShowSecurityPage ein, und drücken Sie dann die EINGABETASTE.

5. Doppelklicken Sie auf ShowSecurityPage, geben Sie im Feld Datenwerte den Wert 1 ein, und klicken Sie dann auf OK.

So verweigern Sie der Sicherheitsgruppe Everyone manuell das Recht zum Erstellen von Öffentlichen Ordnern der obersten Ebene in einer Exchange 2000 Server-Umgebung

1. Öffnen Sie den Exchange-System-Manager.

2. Klicken Sie mit der rechten Maustaste auf den Namen der Organisation, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie auf der Eigenschaftenseite für die Organisation auf die Registerkarte Sicherheit.

4. Wählen Sie auf der Registerkarte Sicherheit unter Gruppen- und Benutzernamen den Eintrag Everyone aus. Führen Sie im Feld mit den Berechtigungen für Everyone einen Bildlauf nach unten zu der Berechtigung zum Erstellen von Öffentlichen Ordnern der obersten Ebene aus, deaktivieren Sie in der Spalte Zulassen das Kontrollkästchen, und klicken Sie dann auf Übernehmen.

Machen Sie sich vor dem Bearbeiten der Registrierung mit den entsprechenden Vorgängen vertraut. Lesen Sie dazu den Microsoft Knowledge Base-Artikel 256986, „Beschreibung der Microsoft Windows-Registrierung“ (https://go.microsoft.com/fwlink/?linkid=3052&kbid=256986).

Weitere Informationen zum Ausführen von Exchange Server 2003 ForestPrep finden Sie im Bereitstellungshandbuch für Exchange Server 2003 unter https://go.microsoft.com/fwlink/?LinkId=47569.

Weitere Informationen zum Ausführen von Exchange Server 2007 PrepareAD finden Sie unter "Vorbereiten von Active Directory und Domänen" (https://go.microsoft.com/fwlink/?LinkId=78453).

Weitere Informationen dazu, wie der Sicherheitsgruppe Everyone das Recht zum Erstellen von Öffentlichen Ordnern der obersten Ebene in Exchange 2000 Server verweigert wird, finden Sie im Knowledge Base-Artikel 328808 „HOW TO: Remove User Permission from the Create Top-Level Public Folder in Exchange 2000“ unter https://go.microsoft.com/fwlink/?LinkId=3052&kbid=328808.