應該從網域的根目錄移除 Exchange Enterprise Servers 群組的寫入 DACL

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2009-08-12

Microsoft Exchange Server Analyzer 工具在執行時會檢查 Exchange 拓撲,以判定是否有任何的 Exchange Server 2003 或 Exchange 2000 伺服器存在。如果先前的環境是混合模式 Exchange 組織,而且最後一部 Exchange 2003 或 Exchange 2000 伺服器已從組織中移除,此工具就會產生下列警告訊息:

 

應該從網域的根目錄移除 Exchange Enterprise Servers 群組的寫入 DACL 繼承 (群組) 權限。

當您使用 Exchange 2007 Service Pack 1 (SP1) 之前的 Exchange 版本來執行 Setup /PrepareDomain 命令時,安裝程式會將網域根目錄的「修改權限」權限授與所有的 Exchange 伺服器。這個行為可允許隱藏通訊群組成員。然而,因為 Exchange 2007 不支援隱藏通訊群組,所以純 Exchange 2007 組織不需要這個權限。此外,「修改權限」權限可讓任何身分為本機系統管理員的使用者修改樹系中任何網域 (包含根網域) 內的任何群組之群組成員。在純 Exchange 2007 組織中,建議您移除 Exchange Enterprise Servers 群組的「修改權限」權限。

移除「修改權限」權限
  1. 啟動 Exchange 管理命令介面。

  2. 執行下列命令:

    Remove-ADPermission "dc=<Domain>" -user "<RootDomain>\Exchange Enterprise Servers" -AccessRights WriteDACL -InheritedObjectType Group
    

如需 Remove-ADPermission 指令程式的相關資訊,請參閱<Remove-ADPermission>主題 (http://go.microsoft.com/fwlink/?linkid=81786)。

 
顯示: