Дата последнего изменения раздела: 2006-12-04

Средство анализатора сервера Microsoft® Exchange запрашивает службу каталогов Active Directory®, чтобы определить, указан ли в атрибуте ntSecurityDescriptor объекта организации Exchange идентификатор безопасности (SID) для группы «Все». Если анализатор сервера Exchange обнаруживает, что в объекте организации ntSecurityDescriptor присутствует идентификатор безопасности для группы «Все», на экран выводится предупреждение. Это предупреждение означает, что группе безопасности «Все» разрешено создавать общие папки верхнего уровня.

В Exchange 2000 Server по умолчанию предоставляется право на создание общих папок верхнего уровня. Однако при запуске операции ForestPrep сервера Exchange Server 2003 или PrepareAD сервера Exchange Server 2007, группе безопасности «Все» будет запрещено создание общих папок наивысшего уровня. Этот запрет был реализован как мера безопасности. Предоставление группе безопасности «Все» права на создание общих папок верхнего уровня делает организацию уязвимой к атакам с отказом в облуживании.

Таким образом, рекомендуется лишить группу безопасности «Все» права создавать общие папки верхнего уровня. При работе с сервером Exchange Server 2003 или Exchange Server 2007 рекомендуется запускать версию ForestPrep для сервера Exchange Server 2003 или версию PrepareAD для сервера Exchange Server 2007 соответственно. Команду ForestPrep версии Exchange Server 2003 можно выполнять в среде Exchange 2000 Server. Однако последующие установки Exchange 2000 Server восстанавливают конфигурацию, разрешающую группе «Все» создавать общие папки верхнего уровня.

При отсутствии сервера Exchange Server 2003 или Exchange Server 2007 можно настроить данное разрешение вручную. Не забывайте, что последующие установки Exchange 2000 Server отменят эту настройку. Таким образом, необходимо вручную настраивать это разрешение после каждой установки Exchange 2000 Server. Прежде чем настраивать разрешение, необходимо включить отображение вкладки «Безопасность» в системном диспетчере Exchange. Это можно сделать, добавив запись «ShowSecurityPage» в реестр на компьютере с Exchange Server.

Важно!
Эта статья содержит сведения о редактировании реестра. Перед редактированием реестра убедитесь, что вы знаете, как восстановить реестр в случае возникновения неисправности. Сведения о восстановлении реестра см. в разделе справки «Восстановление реестра» файла Regedit.exe или Regedt32.exe.
Чтобы добавить в реестр запись «ShowSecurityPage»
  1. Откройте редактор реестра, например Regedit.exe или Regedt32.exe.

  2. Перейдите к разделу реестра: HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

  3. В меню Правка последовательно выберите Создать, Параметр DWORD.

  4. Введите новое имя записи, введите ShowSecurityPage, а затем нажмите клавишу ВВОД.

  5. Дважды щелкните ShowSecurityPage, введите 1 в поле Значение и нажмите кнопку ОК.

Чтобы вручную запретить группе безопасности «Все» создавать общие папки верхнего уровня в среде Exchange 2000 Server
  1. Откройте системный диспетчер Exchange

  2. Щелкните правой кнопкой мыши имя_организации и выберите Свойства.

  3. На странице Свойства имя_организации откройте вкладку Безопасность.

  4. На вкладке Безопасность в поле Группы или пользователи выберите Все. В поле Разрешения для всех выполните прокрутку до разрешения Создание общей папки верхнего уровня, снимите флажок в столбце Разрешить и нажмите кнопку Применить.

Сведения, с которыми следует ознакомиться до редактирования реестра, а также сведения по редактированию реестра см. в базе знаний Майкрософт в статье 256986, посвященной описанию реестра Microsoft Windows (может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=3052&kbid=256986).

Дополнительные сведения по выполнению команды ForestPrep в Exchange Server 2003 см. в руководстве по развертыванию Exchange Server 2003 (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=47569).

Дополнительные сведения о запуске команды PrepareAD сервера Exchange Server 2007 см. в статье «Подготовка службы Active Directory и доменов» по адресу http://go.microsoft.com/fwlink/?LinkId=78453 (на английском языке).

Дополнительные сведения о том, как запретить создание общей папки верхнего уровня для группы безопасности «Все» в Exchange 2000 Server см. в статье 328808 базы знаний Майкрософт, посвященной отключению разрешения «Создание общей папки верхнего уровня» для пользователей в Exchange 2000 (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=328808).