避免指派信箱给以下属于 Microsoft Active Directory™ 目录服务安全性组的使用者或是组:
系统管理员
体系结构系统管理员
网域系统管理员
企业系统管理员
除此之外,不要使用使用者或组帐号运行通用使用者工作,例如访问信箱。换句话说,最好不要指定信箱给拥有系统管理使用权限的帐户。
藉着不指定信箱给拥有使用权限的帐户,您可以避免由「特别权限提升」所生成对安全上的攻击。举例来说,在一次权限提升攻击中,当组 X 添加网域管理者组并且允许组 Y 更改在组 X 中的访问控制列表 (ACLs) 时,就会出现安全上的漏洞。在这种情况下,组 Y 的使用者可以让自己变为组 X 的成员,因此也就可转变成为网域系统管理者组的一员。
为了帮忙防卫这类的安全问题,系统管理者帐户以及这些安全组成员的帐户不被允许继承权限。在 [安全] 这个组的标签或帐户的属性页上,您可以看见 [允许从父系继承权限来传递对象] 核取方块未被勾选。另外,如果您勾选了这个核取方块,Microsoft Windows® 2000 系统工作会很快地自动清除它。清除这个核取方块是 Windows 2000 为防止骇客玩弄安全性和不当地增加其使用权限至系管理者的层级的功能之一。
这种不能继承设置的副作用在于,假设您试着指定一个信箱给系统管理者帐户,您就再也不能够登录或解析这个信箱了。另外要注意的是,在 Exchange System Manager 中,虽然系统管理者帐户可以有一个 Exchange 2000 的别名和一个 Exchange 2000 信箱,但是不能有电子邮件地址。如果 [允许从父系继承权限来传递对象] 核取方块没有勾选的话,收信者更新服务就只能更新电子邮件地址和几种其他的属性,而没有权限更新对象。
