Das Recht "DACL schreiben" für die Gruppe "Exchange Enterprise Servers" sollte aus dem Stamm der Domäne entfernt werden
[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]
Letztes Änderungsdatum des Themas: 2009-08-12
Wenn Sie Microsoft Exchange Server Analyzer ausführen, untersucht das Tool die Exchange-Topologie und ermittelt, ob Servercomputer mit Exchange Server 2003 oder Exchange 2000 vorhanden sind. Wenn die Umgebung zuvor eine Exchange-Organisation im gemischten Modus war und der letzte Computer mit Exchange 2003 oder Exchange 2000 aus der Organisation entfernt wurde, generiert das Tool die folgende Warnmeldung:
The Write DACL inherit (group) right for the Exchange Enterprise Servers group should be removed from the root of the domain. (Das Vererbungs(gruppen)recht "DACL schreiben" für die Gruppe "Exchange Enterprise Servers" sollte aus dem Stamm der Domäne entfernt werden.) |
Wenn Sie den Befehl Setup /PrepareDomain mit früheren Versionen von Exchange als Exchange 2007 Service Pack 1 (SP1) ausführen, erteilt das Setupprogrammen allen Servercomputern mit Exchange im Stamm der Domäne das Recht Berechtigungen ändern. Dieses Verhalten lässt verborgene Verteilergruppenmitgliedschaften zu. Da Exchange 2007 jedoch keine verborgenen Verteilergruppenmitgliedschaften unterstützt, ist dieses Recht in einer reinen Exchange 2007-Organisation nicht erforderlich. Außerdem ermöglicht das Recht Berechtigungen ändern jedem Benutzer, der ein lokaler Administrator ist, das Ändern der Gruppenmitgliedschaft jeder Gruppe in jeder Domäne in der Gesamtstruktur, selbst in der Stammdomäne. In einer reinen Exchange 2007-Organisation wird empfohlen, das Recht Berechtigungen ändern aus der Gruppe Exchange Enterprise Servers zu entfernen.
So entfernen Sie das Recht "Berechtigungen ändern"
Starten Sie die Exchange-Verwaltungsshell.
Führen Sie den folgenden Befehl aus:
Remove-ADPermission "dc=<Domain>" -user "<RootDomain>\Exchange Enterprise Servers" -AccessRights WriteDACL -InheritedObjectType Group
Weitere Informationen
Weitere Informationen zum Cmdlet Remove-ADPermission finden Sie im Thema "Remove-ADPermission" (https://go.microsoft.com/fwlink/?linkid=81786).