none
Как запретить exchange 2003 в дочернем домене создавать ящики на exch 2007 корневого домена. RRS feed

  • Вопрос

  • Доброго времени суток:
    Уважаемые знатоки, посоветуйте пожалуйста решение:

    Много-доменная структура в одном лесу, организация exch.
    1) Как запретить создавать ящики дочернего домена на сервере корневого домена (и возможно других дочерних).
    2) Почему из коренвого домена не видно очередь дочернего (а наоборот видно).

    Подробно:
    Domain.ru: exch 2007 + exch 2003.
    Sub1.domain.ru: exch 2003.
    Сервер exch 2003 дочернего домена в своей администратичной группе Subdomain1.
    Один лес, одна организация exch.
    Права не менялись после установки.
    Админ дочернего домена имеет права только на свою адм.гр. Subdomain1 (exch admin),
    На всю организацию exch имеет права тока админ корневого домена.

    1 вопрос)
    Админ дочернего домена почему то может создавать ящики пользователям его домена на сервере exch 2007 корневого домена (ну скажем случайно по обшике).
    В такой ящик у пользователя понятное дело не получается зайти, но сам ящик благополлучно создается (видно в св-вах пользователя и system manager 2003).

    Как вообще запретить создание ящиков на чужом серваке в одной организации exch и почуму это разрешено?


    2 вопрос) Админ дочернего домена (exch 2003) видит очередь сервера в коренвом (exch 2003), а хотелось бы как мимнимум на оборот.  Корневой админ должен видеть в дочернем очередь, а обратно нет. Работает все через VPN, ISA-ISA, других особенностей (и почему так, - только в одну сторону - и не в ту в которую надо) не замечено.

    Как исправить (или хотя бы запретить просмотр очереди админу из дочернего на сервере в корневом)?


    Заранее спасибо!

    • Перемещено Hengzhe Li 12 марта 2012 г. 11:05 forum merge (От:Exchange Server 2007)
    10 марта 2009 г. 13:52

Все ответы

  • В организации Exchange 2003 Delegate Control запускали ? У кого какие права ?

    В Exchange 2007 - ESM - Organization Configuration - у кого какие права ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 6:44
  • В 2007 все группы права по дефолту плюс права на организацию только у administrator (корневого домена). Админ дочернего там нигде не фигурирует.

    В 2003 На уровне организации права FULL у Administrator (корневого домена) + у группы Exchange 2000 Admins (в которой только админы корневого домена).

    На уровне адм.группы дочернего домена - добавляется админ дочернего (просто Exch Admin).


    Счас на всякий случай убрал группу Exch2000 из делегирования 2003 вся организация (но вариатли это поможет в решении данного вопроса).

    То есть по правам все прально вроде, лишних нет. Админ дочернего никуда из этих мест не входит (кроме свой адм.группы со своим сервером), тем не менее ящики на чужом сервер он создавать может... странно.

    Может это так задесигнено? И как бы исправить...
    11 марта 2009 г. 7:23
  • Strogin написал:

    В 2007 все группы права по дефолту плюс права на организацию только у administrator (корневого домена). Админ дочернего там нигде не фигурирует.

    В 2003 На уровне организации права FULL у Administrator (корневого домена) + у группы Exchange 2000 Admins (в которой только админы корневого домена).

    На уровне адм.группы дочернего домена - добавляется админ дочернего (просто Exch Admin).


    Счас на всякий случай убрал группу Exch2000 из делегирования 2003 вся организация (но вариатли это поможет в решении данного вопроса).

    То есть по правам все прально вроде, лишних нет. Админ дочернего никуда из этих мест не входит (кроме свой адм.группы со своим сервером), тем не менее ящики на чужом сервер он создавать может... странно.

    Может это так задесигнено? И как бы исправить...


    На Mailbox Store какие права ?

    В какие группы AD входит алминистратор дочернего домена ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 8:29
  • cognize_ написал:

    На Mailbox Store какие права ?

    В какие группы AD входит алминистратор дочернего домена ?



    У админа дочернего домена на mailbox store корневого стоят след.разрешения (и убрать нельзя, серые, наследуются):
    read, execute, read permit, list conence, rear propert, list object.

    Разве что запрет на запись поставить (но тогда руками придется каждого нового амина дочернего запрешать...)?

    Если они наследуются, то по ходу от свойств организации... а там в delegate control никакого дочернего админа и нет...


    Админ дочернего вообще ни в какие группы корневого не входит. Все по дефолту. Никуда его не добавляли (есс-но, зачем он нам).






    11 марта 2009 г. 10:51
  • Strogin написал:

    cognize_ написал:

    На Mailbox Store какие права ?

    В какие группы AD входит алминистратор дочернего домена ?



    У админа дочернего домена на mailbox store корневого стоят след.разрешения (и убрать нельзя, серые, наследуются):
    read, execute, read permit, list conence, rear propert, list object.

    Разве что запрет на запись поставить (но тогда руками придется каждого нового амина дочернего запрешать...)?

    Если они наследуются, то по ходу от свойств организации... а там в delegate control никакого дочернего админа и нет...


    Админ дочернего вообще ни в какие группы корневого не входит. Все по дефолту. Никуда его не добавляли (есс-но, зачем он нам).







    Какие группы перечислены на закладке member of у администратора из дочернего предприятия ?

    Опишите процесс создания почтового ящика администратором из дочернего домена.

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 13:05
  •  
    cognize_ написал:

    Какие группы перечислены на закладке member of у администратора из дочернего предприятия ?

    Опишите процесс создания почтового ящика администратором из дочернего домена.

     

    Админ дочернего домена входит:

    Администраторы = Дочерний домен \ builtin
    Администраторы домена = Дочерний домен \ users
    Владельцы-создатели груп.полит. = Дочерний домен \ users
    Пользователи домена = Дочерний домен \ users

    Админ дочернего домена на своем exch 2003 (в адм.группе sub.domain) заводит пользователя, говорит создать ему ящик и на этапе указания сервера/хранилища выбирает чужой сервер и это проходит.
    11 марта 2009 г. 13:29
  • Strogin написал:

     

    cognize_ написал:

    Какие группы перечислены на закладке member of у администратора из дочернего предприятия ?

    Опишите процесс создания почтового ящика администратором из дочернего домена.

     

    Админ дочернего домена входит:

    Администраторы = Дочерний домен \ builtin
    Администраторы домена = Дочерний домен \ users
    Владельцы-создатели груп.полит. = Дочерний домен \ users
    Пользователи домена = Дочерний домен \ users

    Админ дочернего домена на своем exch 2003 (в адм.группе sub.domain) заводит пользователя, говорит создать ему ящик и на этапе указания сервера/хранилища выбирает чужой сервер и это проходит.

    Delegate Control на каких серверах запускали ?




    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 13:59