El derecho "Enviar como" se quita de un objeto de usuario después de configurar el derecho "Enviar como" en el complemento Usuarios y equipos de Active Directory en Exchange Server

Seleccione idioma Seleccione idioma
Id. de artículo: 907434 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Configura explícitamente el derecho Enviar como en un objeto de usuario en el complemento Usuarios y equipos de Active Directory en Microsoft Exchange Server. Sin embargo, el derecho Enviar como se quita del objeto de usuario una hora después de haberlo configurado.

Además, se pueden quitar otros cambios realizados en el descriptor de seguridad del objeto de usuario. Por ejemplo, puede que la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto ya no esté activada.

Si su entorno incluye Microsoft Exchange Server 5.5 y un Conector Active Directory (ADC) en funcionamiento, los buzones de Exchange Server 5.5 que estén configurados para utilizar cuentas de usuario de Active Directory y que sean miembros de grupos protegidos pueden aparecer como "CUSTOM" en el programa Administrator de Exchange Server 5.5.

Causa

El servicio de directorios Active Directory tiene un proceso que garantiza que no se manipulen los descriptores de seguridad de los miembros de grupos protegidos. Si el descriptor de seguridad de una cuenta de usuario que es miembro de un grupo protegido no coincide con el del objeto AdminSDHolder, el descriptor de seguridad del usuario se sobrescribe con uno nuevo que se toma del objeto AdminSDHolder.

Es posible delegar el derecho Enviar como modificando el descriptor de seguridad de un objeto de usuario. Por tanto, si el usuario es miembro de un grupo protegido, el cambio se sobrescribe dentro de una hora aproximadamente.

Nota
También experimentará este problema si ha delegado una función a un usuario en Exchange. Por ejemplo, experimentará este problema si una cuenta de usuario tiene asignada una de las funciones siguientes:
  • Administrador con permiso de vista de Exchange
  • Administrador de Exchange
  • Administrador total de Exchange

Solución

Se recomienda que no utilice cuentas que sean miembros de grupos protegidos para correo electrónico. Si necesita los derechos de los que dispone un grupo protegido, se recomienda que tenga dos cuentas de usuario de Active Directory. Estas cuentas de Active Directory incluyen una que se agrega a un grupo protegido y otra que se utiliza para correo electrónico y para todo lo demás.

Solución

La información siguiente le puede ayudar a evitar el problema de que los buzones de Exchange Server 5.5 aparezcan como "CUSTOM" para el usuario en el programa Administrator de Exchange Server 5.5. El problema se evita por el hecho de que las entradas de control de acceso (ACE) de SELF deberían estar presentes en el objeto usuario cuando es replicado en Active Directory por el Conector Active Directory (ADC).

Puede usar Dsacls.exe para agregar las entradas que están perdiendo los objetos usuario. Para ello, cambie los permisos AdminSDHolder. Después, agregue las entradas que desea. Como todas las entradas usan el SELF principal de seguridad, esta manera de evitar el problema no introduce problemas de seguridad.

Nota
Debe ejecutar Dsacls.exe una vez para agregar la entrada de control de acceso que se perdió en el descriptor de seguridad AdminSDHolder. Por ejemplo, si desea agregar seis entradas diferentes, puede ejecutar seis veces la utilidad Dsacls.exe.

La siguiente forma de evitar el problema cambia el objeto AdminSDHolder. Después, el objeto AdminSDHolder se propaga a cada cuenta de usuario que sea miembro de un grupo protegido. Siga estos pasos:
  1. Instale las Herramientas de soporte técnico de Windows 2000 desde el CD de Windows 2000. Dichas herramientas incluyen la utilidad Dsacls.exe. Puede usar la utilidad Dsacls.exe para ver, modificar o quitar las ACE en los objetos de Active Directory.
  2. Cree un archivo por lotes que contenga el código siguiente.
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Nota
    Sustituye "dc=<miDominio>,dc=com" por el nombre distintivo del dominio.
  3. Espere aproximadamente una hora para que Active Directory tenga tiempo para volver a escribir el descriptor de seguridad de todas las cuentas de usuario que son miembros de cualquiera de los grupos propagados.
  4. Después de que el ADC replica los cambios, todos los usuarios aparecen como "user" en lugar de "CUSTOM".
Podría aplicar la actualización de seguridad 916803, la actualización de seguridad 912442 o la actualización del horario de verano para Exchange Server que se describe en el siguiente artículo de Microsoft Knowledge Base:
926666 Actualizar los cambios del horario de verano de 2007 para Exchange 2003 Service Pack 2
Si lo hace, debe impedir que AdminSDHolder sobrescriba los permisos que se otorgaron a una cuenta BlackBerry Services sobre los grupos protegidos. Para ello, cree un archivo por lotes que contenga el código siguiente:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
Nota
En este archivo por lotes, BlackBerrySA es un marcador de posición para el nombre de la cuenta de BlackBerry Service. Si tiene cuentas en varios dominios, también puede especificar el dominio en la línea de comandos utilizando el formato siguiente:Dominio\BlackberrySA.

Alternativamente, le recomendamos que no utilice cuentas que sean miembros de grupos protegidos para correo electrónico. Si necesita los derechos que se conceden a un grupo protegido, se recomienda que tenga dos cuentas de usuario de Active Directory. Estas cuentas de Active Directory incluyen una que se agrega a un grupo protegido y otra que se utiliza para correo electrónico y para todo lo demás.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".

Más información

Para obtener más información acerca de cómo delegar el derecho "Enviar como" a una cuenta de usuario, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
281208 Cómo conceder a un usuario derechos "Enviar como" en Exchange Server 5.5 y Exchange 2000
Para obtener más información acerca del objeto AdminSDHolder, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
232199 Descripción y actualización del objeto AdminSDHolder de Active Directory
817433 Los permisos delegados no están disponibles y la herencia se deshabilita automáticamente
La ubicación del objeto AdminSDHolder es la siguiente:
CN=AdminSDHolder,CN=System,DC=MiDominio,DC=Com
Nota
Reemplace DC=MiDominio,DC=Com en esta ruta de acceso con el nombre completo de su dominio.

La lista siguiente contiene los grupos protegidos en Windows 2000:
  • Administradores de organización
  • Administradores de esquema
  • Administradores de dominio
  • Administradores
La lista siguiente contiene los grupos protegidos en Microsoft Windows Server 2003 y en Windows 2000 después de aplicar la revisión 327825 o después de instalar Windows 2000 Service Pack 4 (SP4):
  • Administradores
  • Operadores de cuentas
  • Operadores de servidores
  • Operadores de impresión
  • Operadores de copia de seguridad
  • Administradores de dominio
  • Administradores de esquema
  • Administradores de organización
  • Publicadores de certificados
Además, se considera protegidos a los usuarios siguientes:
  • Administrador
  • Krbtgt
Para obtener más información acerca de la revisión 327825, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
327825 Nueva solución de problemas con autenticación de Kerberos cuando los usuarios pertenecen a muchos grupos

Propiedades

Id. de artículo: 907434 - Última revisión: lunes, 26 de noviembre de 2007 - Versión: 8.1
La información de este artículo se refiere a:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Palabras clave: 
kbtshoot kbprb kbexchdirectory KB907434

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com