locked
Domain Admins e Maiboxes Rights RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Olá pessoal,
    preciso de uma solução que impeça um usuário Domain Admin de ler os e-mail de outro usuário dentro de um domínio com Exchange 2003.

    Por default, os Domain Admins NAO possuem essa permissão, mas conseguem garantir a si próprios esse direito apenas indo nas Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights.

    A princípio, tenho pensado em negar o usuário Domain Admin de alterar as permissões dentro de (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights), mas infelizmente todas minhas tentativas falharam.

    Algúem consegue me auxiliar?

    Muito obrigado

    Tauer
    terça-feira, 9 de novembro de 2010 17:43

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Não,

    O Exchange Server 2003 trata de forma diferente de permissões de pasta, a permissão que sempre prevalece é a permissão concedida por objeto.
    Neste link do Anderson Patricio, fala um pouco sobre isso,
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=193

    Mas em relação ao Delegate Control, vc pode reduzir o acesso do Grupo Domain Admin e conceder acesso de Exchange Full Administrator para os usuarios que vc precisar.

     

    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:42
    Moderador

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Tauer,

    Vc pode usar o Delegate Control no System Manager do Exchange 2003,

    Mas não aconselho vc a alterar os acessos do usuario que fez instalação do Exchange em sua rede, pois pode ser que vc precise usar novamente.

    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:06
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Olá Jonathan,

    eu utilizei o Delegate Control do System Manager e coloquei um dos usuário como View-Only Administrator. Mesmo assim, ele consegue alterar as permissões do usuário no AD (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights) e consequentemente, se colocar para visualizar a Mailbox desse usuário.

    Abraço!

    Tauer
    terça-feira, 9 de novembro de 2010 18:21
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    O Exchange Server compara as permissões do usuário, e concede a permissão mais elevada.
    Como ele faz parte de Domain Admin ele concede a permissão mais elevada.

    Por isso, vc precisa usar o Delegate Control para o Grupo Domain Admin

    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:28
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Não seria a permissão mais restritiva?
    Tauer
    terça-feira, 9 de novembro de 2010 18:30
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Não,

    O Exchange Server 2003 trata de forma diferente de permissões de pasta, a permissão que sempre prevalece é a permissão concedida por objeto.
    Neste link do Anderson Patricio, fala um pouco sobre isso,
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=193

    Mas em relação ao Delegate Control, vc pode reduzir o acesso do Grupo Domain Admin e conceder acesso de Exchange Full Administrator para os usuarios que vc precisar.

     

    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:42
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Jonathan,

    Fiz os testes em meu ambiente.

    Mesmo colocando os Domain Admins como View-Only Administrators, e reiniciando o Information Store, os Domain Admin ainda conseguem alterar as permissões do usuário (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights)

    Tauer
    terça-feira, 9 de novembro de 2010 19:00
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Tenta fazer o  Delegate Control com um Usuário especifico.
    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 19:09
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Também fiz, e não funcionou
    Acho que o que estou tentando fazer é muito perigoso e pode causar algum dano ao ambiente.

    As tarefas executadas por Domain Admin podem ser feitas por Delegação de Controle. Dessa forma, vou retirar os usuários do grupo Domain Admin e delegar as atividades no AD.

    Tauer
    quarta-feira, 10 de novembro de 2010 10:49
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Isso é o ideal,

    Eu imaginei que vc não pudesse retirar esses usuarios do grupo Domain admin por algum outro motivo.

    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    quarta-feira, 10 de novembro de 2010 12:39
    Moderador