locked
Domain Admins e Maiboxes Rights RRS feed

  • Pergunta

  • Olá pessoal,
    preciso de uma solução que impeça um usuário Domain Admin de ler os e-mail de outro usuário dentro de um domínio com Exchange 2003.

    Por default, os Domain Admins NAO possuem essa permissão, mas conseguem garantir a si próprios esse direito apenas indo nas Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights.

    A princípio, tenho pensado em negar o usuário Domain Admin de alterar as permissões dentro de (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights), mas infelizmente todas minhas tentativas falharam.

    Algúem consegue me auxiliar?

    Muito obrigado


    Tauer
    terça-feira, 9 de novembro de 2010 17:43

Respostas

  • Não,

    O Exchange Server 2003 trata de forma diferente de permissões de pasta, a permissão que sempre prevalece é a permissão concedida por objeto.
    Neste link do Anderson Patricio, fala um pouco sobre isso,
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=193

    Mas em relação ao Delegate Control, vc pode reduzir o acesso do Grupo Domain Admin e conceder acesso de Exchange Full Administrator para os usuarios que vc precisar.

     


    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:42
    Moderador

Todas as Respostas

  • Tauer,

    Vc pode usar o Delegate Control no System Manager do Exchange 2003,

    Mas não aconselho vc a alterar os acessos do usuario que fez instalação do Exchange em sua rede, pois pode ser que vc precise usar novamente.


    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:06
    Moderador
  • Olá Jonathan,

    eu utilizei o Delegate Control do System Manager e coloquei um dos usuário como View-Only Administrator. Mesmo assim, ele consegue alterar as permissões do usuário no AD (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights) e consequentemente, se colocar para visualizar a Mailbox desse usuário.

    Abraço!


    Tauer
    terça-feira, 9 de novembro de 2010 18:21
  • O Exchange Server compara as permissões do usuário, e concede a permissão mais elevada.
    Como ele faz parte de Domain Admin ele concede a permissão mais elevada.

    Por isso, vc precisa usar o Delegate Control para o Grupo Domain Admin


    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:28
    Moderador
  • Não seria a permissão mais restritiva?
    Tauer
    terça-feira, 9 de novembro de 2010 18:30
  • Não,

    O Exchange Server 2003 trata de forma diferente de permissões de pasta, a permissão que sempre prevalece é a permissão concedida por objeto.
    Neste link do Anderson Patricio, fala um pouco sobre isso,
    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=193

    Mas em relação ao Delegate Control, vc pode reduzir o acesso do Grupo Domain Admin e conceder acesso de Exchange Full Administrator para os usuarios que vc precisar.

     


    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 18:42
    Moderador
  • Jonathan,

    Fiz os testes em meu ambiente.

    Mesmo colocando os Domain Admins como View-Only Administrators, e reiniciando o Information Store, os Domain Admin ainda conseguem alterar as permissões do usuário (Propriedades do Usuário do AD\Exchange Advanced\Mailboxes Rights)


    Tauer
    terça-feira, 9 de novembro de 2010 19:00
  • Tenta fazer o  Delegate Control com um Usuário especifico.
    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    terça-feira, 9 de novembro de 2010 19:09
    Moderador
  • Também fiz, e não funcionou
    Acho que o que estou tentando fazer é muito perigoso e pode causar algum dano ao ambiente.

    As tarefas executadas por Domain Admin podem ser feitas por Delegação de Controle. Dessa forma, vou retirar os usuários do grupo Domain Admin e delegar as atividades no AD.


    Tauer
    quarta-feira, 10 de novembro de 2010 10:49
  • Isso é o ideal,

    Eu imaginei que vc não pudesse retirar esses usuarios do grupo Domain admin por algum outro motivo.


    ATT Jonathan Santos MCP Windows XP e Windows Server 2003
    quarta-feira, 10 de novembro de 2010 12:39
    Moderador