Overview

O Exchange Server 2010 quando instalado por padrão vem configurado como Shared Permissions (Permissões compartilhadas) que basicamente permite que o usuário que administre o Exchange também possa fazer alterações em objetos do Active Directory e a grande maioria das empresas utiliza e não ve problema com este processo. No entanto o Exchange também suporta Active Directory split permissions e também RBAC split permissions.

Solução

Todos objetos que são criados utilizando a interface do Exchange Server seja ela Exchange Management Console, Exchange Management Shell ou Exchange Control Panel são criados com o nome do servidor Exchange Server, um bom exemplo é a criação de um novo mailbox no Exchange Server 2010 que vai acarretar uma série de eventos no Domain Controller (4720, 4738, 4724, 4738 e 4722) e se olharmos o Security ID vai ser o nome do Exchange Server e não do usuário logado. Para encontrar realmente quem fez a criação do usuário o Search-AdminAuditLog precisa ser utilizado (isto será assunto para um outro Tutorial aqui no portal AndersonPatricio.org).

O que acontece quando o Active Directory split permissions está habilitado?

Basicamente nenhuma tarefa de gerenciamento de objetos do Active Directory pode ser feita pelo Exchange e tem que ser feita através das ferramentas de gerenciamento do Active Directory, e isto inclui: gerenciamento de usuários, contatos, grupos. No exemplo abaixo estamos tentando criar uma nova caixa no Exchange Server Management Console.

Se tentarmos fazer o gerenciamento de um grupo, o erro será mostrado a seguir:

Quando habilitamos a funcionalidade todos os cdmlets relacionados as atividades acima são removidos com isto segregamos o permissionamento definitivamente. Isso é otimo para empresas que possuem times de administração do Active Directory e outros times para Exchange, ou ainda, empresas que precisam ver nos logs quem estão sendo criados sem a utilização

Habilitando o Active Directory split permissions..

A configuração do Active Directory split permissions veio a partir do Service Pack 1 do produto e pode ser ativada durante a instalação do produto através da opção Apply Active Directory split permissions security model to the Exchange Organization como mostrado na figura abaixo quando estamos criando a organização Exchange.

Também é possível habilitar tal opção a qualquer hora utilizando o setup.com

Setup.com /PrepareAD /ActiveDirectorySplitPermissions:True

O resultado desta operação na arquitetura do exchange será uma nova OU (Organization Unit) chamada Microsoft Exchange Protected Groups e dentro dela o grupo Exchange Windows Permissions será movido e o grupo Exchange Trusted Subsystem não será mais parte deste grupo.

As permissões em nível de domínio também serão removidas do grupo Exchange Windows Permissions.

Após fazer esta operação todos os servidores Exchange precisam ser reiniciados e dependendo do tamanho da rede a replicação do Active Directory tem que surtir efeito antes do reinício dos servidores de sites remotos.

Conclusão

Neste Tutorial mostramos como habilitar o Active Directory split permissions em uma organização com Exchange Server 2010 SP1 ou superior.

Comentários

Neste espaço você pode utilizar sua rede social preferida para adicionar dicas e/ou qualquer informação adicional para ajudar a comunidade relacionado a este Tutorial.