Exchange Enterprise Servers グループの DACL の書き込みはドメインのルートから削除する必要がある
[このトピックの目的は、Exchange Server アナライザ ツールが提起した特定の問題に取り組むことです。解決策を適用する対象は、Exchange Server アナライザ ツールを実行し、その特定の問題が発生しているシステムに限定する必要があります。無料でダウンロードして入手できる Exchange Server アナライザ ツールは、トポロジ内の各サーバーから構成データをリモートで収集し、データを自動的に分析します。生成されるレポートには、構成上の重要な問題点、潜在的な問題点、および製品の各種設定で既定値以外のものが、詳細に記載されます。これらの推奨事項に従うことにより、パフォーマンス、スケーラビリティ、信頼性、およびアップタイムの向上を達成できます。このツールの詳細、または最新バージョンのダウンロードについては、「Exchange Server ベスト プラクティス アナライザ ツール バージョン 2 のダウンロード」(https://go.microsoft.com/fwlink/?linkid=34707) を参照してください。]
トピックの最終更新日: 2009-08-12
Microsoft Exchange Server アナライザ ツールを実行すると、このツールは Exchange トポロジを調べて、Exchange Server 2003 または Exchange 2000 サーバーが存在するかどうかを判断します。環境が以前は混在モードの Exchange 組織であり、最後の Exchange 2003 または Exchange 2000 サーバーが組織から削除されている場合、ツールは次の警告メッセージを生成します。
Exchange Enterprise Servers グループの DACL の書き込みの継承 (グループ) 権利を、ドメインのルートから削除する必要があります。 |
Exchange 2007 Service Pack 1 (SP1) 以前のバージョンの Exchange で Setup /PrepareDomain コマンドを実行すると、セットアップ プログラムは、すべての Exchange サーバーに対して、ドメインのルートでの "アクセス許可の変更" 権限を付与します。この動作により、非表示の配布グループ メンバシップが許可されます。ただし、Exchange 2007 は非表示の配布グループをサポートしていないので、この権限は Exchange 2007 のみの組織では必要ありません。また、"アクセス許可の変更" 権限があれば、ローカル管理者であるユーザーは、ルート ドメインを含めフォレスト内の全ドメインの全グループのグループ メンバシップを変更できます。Exchange 2007 のみの組織では、Exchange Enterprise Servers グループから "アクセス許可の変更" 権限を削除することをお勧めします。
"アクセス許可の変更" 権限を削除するには、次の操作を行います。
Exchange 管理シェルを起動します。
次のコマンドを実行します。
Remove-ADPermission "dc=<Domain>" -user "<RootDomain>\Exchange Enterprise Servers" -AccessRights WriteDACL -InheritedObjectType Group
詳細情報
Remove-ADPermission コマンドレットの詳細については、「Remove-ADPermission」(https://go.microsoft.com/fwlink/?linkid=81786) を参照してください。