應該從網域的根目錄移除 Exchange Enterprise Servers 群組的寫入 DACL

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載，它會從拓撲中的每台伺服器遠端收集組態資料，並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議，您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本，請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間： 2009-08-12

Microsoft Exchange Server Analyzer 工具在執行時會檢查 Exchange 拓撲，以判定是否有任何的 Exchange Server 2003 或 Exchange 2000 伺服器存在。如果先前的環境是混合模式 Exchange 組織，而且最後一部 Exchange 2003 或 Exchange 2000 伺服器已從組織中移除，此工具就會產生下列警告訊息：

當您使用 Exchange 2007 Service Pack 1 (SP1) 之前的 Exchange 版本來執行 Setup /PrepareDomain 命令時，安裝程式會將網域根目錄的「修改權限」權限授與所有的 Exchange 伺服器。這個行為可允許隱藏通訊群組成員。然而，因為 Exchange 2007 不支援隱藏通訊群組，所以純 Exchange 2007 組織不需要這個權限。此外，「修改權限」權限可讓任何身分為本機系統管理員的使用者修改樹系中任何網域 (包含根網域) 內的任何群組之群組成員。在純 Exchange 2007 組織中，建議您移除 Exchange Enterprise Servers 群組的「修改權限」權限。

移除「修改權限」權限

1. 啟動 Exchange 管理命令介面。

2. 執行下列命令：

   Remove-ADPermission "dc=<Domain>" -user "<RootDomain>\Exchange Enterprise Servers" -AccessRights WriteDACL -InheritedObjectType Group