Como atribuir acesso à conta de serviço a todas as caixas de correio no Exchange Server 2003

Esse artigo descreve como conceder permissões a todas as caixas de correio. A concessão de acesso a todas as caixas de correio pode ser útil quando você está realizando tarefas como a recuperação offline.

Cuidado Não use esse procedimento em um ambiente de produção para permitir o acesso não autorizado aos dados dos usuários. Isso pode violar as diretivas de privacidade e de segurança da empresa. Implemente um plano de auditoria na rede para detectar e registrar o uso impróprio de credenciais administrativas de rede pelos administradores do sistema.

No Microsoft Exchange Server 5.5, ao atribuir direitos de acesso Service Account Admin no contêiner Site a uma conta com base no Microsoft Windows, você concede a ela acesso irrestrito a todas as caixas de correio. No Microsoft Exchange 2000 Server e no Exchange Server 2003, não há conta de serviço e mesmo as contas com direitos Enterprise Administrators têm os direitos de acesso a todas as caixas de correio negados.

Observação No Microsoft Windows 2000 Server e no Microsoft Windows Server 2003, os serviços costumam ser executados na conta do computador em que são instalados. Essa é a conta do sistema local (LocalSystem) e a sua senha é criada e reciclada pelo Windows 2000 ou pelo Windows Server 2003. Por padrão, você pode usar essa conta de serviço para obter acesso à caixa de correio do Exchange, aos armazenamentos de pasta pública e a outros recursos do Windows para a realização da transferência de emails e sincronização de diretórios.

Se sua conta de logon for a conta de Administrador, de um membro dos grupos Administradores de domínio ou de Administradores empresariais, você terá acesso negado a todas as caixas de correio que não sejam a sua própria, mesmo se você tiver direitos administrativos totais sobre o sistema do Exchange. Todas as tarefas administrativas do Exchange Server 2003 podem ser realizadas sem a necessidade de conceder a um administrador direitos suficientes para a leitura dos emails de outras pessoas.

Você pode substituir essa restrição padrão de várias formas, mas só faça isso de acordo com as diretivas de privacidade e de segurança da empresa. Normalmente, a substituição da restrição padrão só é adequada em um ambiente do servidor de recuperação.

Para conceder a sua conta administrativa acesso a todas as caixas de correio por meio do Exchange System Manager em um único banco de dados, independentemente das negações herdadas:

1. Inicie o Exchange System Manager e localize o banco de dados ao qual deseja ter acesso total nas caixas de correio.
2. Abra as propriedades do objeto e clique na guia Security.
3. Conceda a sua conta permissões totais explícitas no objeto, inclusive as permissões Receive As e Send As.

Após ter feito esta alteração, você ainda pode ver permissões Deny e Allow atribuídas à conta. As permissões indisponíveis indicam que, por herança, você teve a permissão negada, mas que também herdou permissões nesse nível. No modelo de permissões do Windows, permissões concedidas explicitamente substituem permissões herdadas. Observe que uma permissão Allow at a lower level explícita, só substitui uma permissão Deny from a higher level explícita no único objeto em que a substituição está definida, e não nos objetos filho. Isso impede que você conceda a si próprio as permissões em um servidor para obter acesso a todos os bancos de dados; você deve conceder permissões nos bancos de dados individualmente.

Depois de alterar as permissões, talvez você precise fazer logoff e logon novamente. A Microsoft também recomenda que você pare e reinicialize todos os serviços do Exchange. Se tiver múltiplos controladores de domínio na floresta, você também deverá aguardar a conclusão da replicação do diretório.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: