L'autorisation « Envoyer en tant que » est supprimée d'un objet utilisateur après sa configuration dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans Exchange Server

Traductions disponibles Traductions disponibles
Numéro d'article: 907434 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Vous configurez explicitement l'autorisation Envoyer en tant que d'un objet utilisateur dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans Microsoft Exchange Server Toutefois, l'autorisation Envoyer en tant que est supprimée de l'objet utilisateur environ une heure après que vous l'avez configurée.

En outre, d'autres modifications apportées au descripteur de sécurité de l'objet utilisateur peuvent être supprimées. Par exemple, la case à cocher Permettre aux autorisations pouvant être héritées du parent d'être propagées à cet objet peut ne plus être activée.

Si votre environnement inclut Microsoft Exchange Server 5.5 et un connecteur ADC (Active Directory Connector) activé, les boîtes aux lettres Exchange Server 5.5 configurées pour utiliser des comptes d'utilisateurs Active Directory qui sont membres de groupes protégés peuvent apparaître comme « PERSONNALISÉE » dans le programme Administrateur d'Exchange Server 5.5.

Cause

Le service d'annuaire Active Directory comprend un processus pour assurer que les descripteurs de sécurité des membres de groupes protégés ne sont pas manipulés. Si un descripteur de sécurité d'un compte d'utilisateur qui est membre d'un groupe protégé ne correspond pas au descripteur de sécurité sur l'objet AdminSDHolder, le descripteur de sécurité de l'utilisateur est remplacé par un nouveau descripteur de sécurité provenant de l'objet AdminSDHolder.

L'autorisation Envoyer en tant que est déléguée en modifiant le descripteur de sécurité d'un objet utilisateur. Par conséquent, si un utilisateur est membre d'un groupe protégé, la modification est écrasée en une heure environ.

Remarque Vous pouvez également rencontrer ce problème si vous avez délégué un rôle à un utilisateur dans Exchange. Par exemple, vous rencontrez ce problème si l'un des rôles suivants est attribué à un compte d'utilisateur :
  • Administrateur Exchange - Affichage seul
  • Administrateur Exchange
  • Administrateur intégral Exchange

Résolution

Microsoft recommande de ne pas utiliser de comptes qui sont membres de groupes protégés pour la messagerie électronique. Si vous avez besoin des autorisations affectées à un groupe protégé, il est recommandé de disposer de deux comptes d'utilisateurs Active Directory. Un des comptes d'utilisateur Active Directory est ajouté à un groupe protégé et l'autre est utilisé pour la messagerie électronique et pour tout le reste.

Contournement

Les informations suivantes peuvent vous permettre de contourner le problème dans lequel les boîtes aux lettres Exchange Server 5.5 apparaissent en tant que « PERSONNALISÉE » pour l'utilisateur dans le programme Administrateur Exchange Server  5.5. La solution de contournement repose sur le fait que les entrées de contrôle d'accès SELF doivent être présentes sur l'objet utilisateur lorsque celui-ci est répliqué vers Active Directory par le connecteur ADC.

Vous pouvez utiliser l'utilitaire Dsacls.exe pour ajouter les entrées retirées des objets utilisateur. Pour cela, modifiez les autorisations AdminSDHolder, puis ajoutez les entrées souhaitées. Étant donné que toutes les entrées utilisent l'entité de sécurité SELF, cette solution de contournement ne devrait pas présenter de problèmes de sécurité.

Remarque Vous devez exécuter l'utilitaire Dsacls.exe une fois pour ajouter chaque entrée de contrôle d'accès manquante dans le descripteur de sécurité AdminSDHolder. Par exemple, si vous souhaitez ajouter six entrées différentes, vous pouvez exécuter l'utilitaire Dsacls.exe à six reprises.

La solution de contournement suivante modifie l'objet AdminSDHolder. Ensuite, l'objet AdminSDHolder est propagé à chaque compte d'utilisateur qui est membre d'un groupe protégé. Procédez comme suit :
  1. Installez les outils de support Microsoft Windows 2000 à partir du CD-ROM Windows 2000. Ces outils comprennent l'utilitaire Dsacls.exe. Vous pouvez utiliser l'utilitaire Dsacls.exe pour afficher, modifier ou supprimer des entrées de contrôle d'accès sur des objets dans Active Directory.
  2. Créez un fichier de commandes qui contient le code suivant :
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Remarque Remplacez « dc=<mydomain>,dc=com » par le nom unique de votre domaine.
  3. Patientez une heure pour qu'Active Directory redéfinisse le descripteur de sécurité de tous les comptes d'utilisateurs qui sont membres des groupes propagés.
  4. Après que les modifications ont été répliquées par le connecteur ADC, tous les utilisateurs apparaissent comme « Utilisateur » plutôt que « PERSONNALISÉE ».
Vous pouvez appliquer la mise à jour de sécurité 916803 ou 912442, ou la mise à jour des modifications de l'heure d'été pour Exchange Server décrite dans l'article de la Base de connaissances Microsoft :
926666Mise à jour des modifications de l'heure d'été en 2007 pour Exchange 2003 Service Pack 2
Dans ce cas, vous devez empêcher l'objet AdminSDHolder de remplacer les autorisations accordées à un compte de service BlackBerry sur des groupes protégés. Pour cela, utilisez la ligne de commande suivante avec l'utilitaire DSACLS :
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G BlackBerrySA:CA;Send As"
Remarque Dans cette commande, BlackBerrySA est un espace réservé pour le nom du compte de service BlackBerry. Veillez à ne pas ajouter d'espace entre BlackBerrySA et « :CA ».

Une autre solution recommandée consiste à ne pas utiliser de comptes qui sont membres de groupes protégés pour la messagerie électronique. Si vous avez besoin des autorisations affectées à un groupe protégé, il est recommandé de disposer de deux comptes d'utilisateurs Active Directory. L'un des comptes d'utilisateur Active Directory est ajouté à un groupe protégé et l'autre est utilisé pour la messagerie électronique et pour tout le reste.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Plus d'informations

Pour plus d'informations sur la façon de déléguer des autorisations « Envoyer en tant que » à un compte d'utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
281208 Comment faire pour accorder des autorisations « Envoyer en tant que » dans Exchange Server 5.5 et Exchange 2000
Pour plus d'informations sur l'objet AdminSDHolder, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
232199 Description et mise à jour de l'objet AdminSDHolder dans Active Directory
817433 Les autorisations déléguées ne sont pas disponibles et l'héritage est désactivé automatiquement
L'objet AdminSDHolder se trouve à l'emplacement suivant :
CN=AdminSDHolder,CN=System,DC=mon_domaine,DC=Com
Remarque Dans ce chemin d'accès, remplacez DC=mon_domaine,DC=Com par le nom unique de votre domaine.

La liste suivante répertorie les groupes protégés dans Windows 2000 :
  • Administrateurs de l'entreprise
  • Administrateurs du schéma
  • Administrateurs du domaine
  • Administrateurs
La liste suivante comprend les groupes protégés dans Microsoft Windows Server 2003 et dans Windows 2000 après l'application du correctif 327825 ou l'installation de Windows 2000 Service Pack 4 (SP4) :
  • Administrateurs
  • Opérateurs de compte
  • Opérateurs de serveur
  • Opérateurs d'impression
  • Opérateurs de sauvegarde
  • Administrateurs du domaine
  • Administrateurs du schéma
  • Administrateurs de l'entreprise
  • Éditeurs de certificats
Les utilisateurs suivants sont également considérés comme protégés :
  • Administrateur
  • Krbtgt
En outre, les comptes ou les groupes d'utilisateurs qui ont reçu les rôles suivants dans Exchange sont considérés comme protégés :
  • Administrateur Exchange - Affichage seul
  • Administrateur Exchange
  • Administrateur intégral Exchange
Pour plus d'informations sur le correctif 327825, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
327825 Nouvelle résolution des problèmes liés à l'authentification Kerberos qui se produisent lorsque les utilisateurs appartiennent à un grand nombre de groupes

Propriétés

Numéro d'article: 907434 - Dernière mise à jour: lundi 26 novembre 2007 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Mots-clés : 
kbtshoot kbprb kbexchdirectory KB907434
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com