Il diritto "Invia come" viene rimosso da un oggetto utente dopo la configurazione di tale diritto nello snap-in Utenti e computer di Active Directory in Exchange Server

Traduzione articoli Traduzione articoli
Identificativo articolo: 907434 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Il diritto Invia come viene configurato in modo esplicito in relazione a un oggetto utente dello snap-in Utenti e computer di Active Directory in Microsoft Exchange Server. Tuttavia il diritto Invia come viene rimosso dall'oggetto utente all'incirca un'ora dopo la configurazione.

Potrebbero inoltre essere rimosse altre modifiche apportate al descrittore di protezione nell'oggetto utente. Ad esempio la casella di controllo Consenti propagazione delle autorizzazioni ereditabili dall'oggetto padre a questo oggetto potrebbe non essere pi¨ selezionata.

Se si dispone di un ambiente che include Microsoft Exchange Server 5.5 e Active Directory Connector (ADC) funzionante, le cassette postali di Exchange Server 5.5 configurate per l'utilizzo degli account utente di Active Directory che sono membri di gruppi protetti potrebbero essere visualizzate come "Personalizzata" nel programma di amministrazione di Exchange Server 5.5.

Cause

Il servizio directory di Active Directory dispone di un processo che assicura che non vengano manipolati i descrittori di protezione dei membri dei gruppi protetti. Se un descrittore di protezione per un account utente membro di un gruppo protetto non corrisponde al descrittore di protezione nell'oggetto AdminSDHolder, il descrittore di protezione dell'utente viene sovrascritto con un nuovo descrittore che deriva dall'oggetto AdminSDHolder.

Il diritto Invia come viene delegato modificando il descrittore di protezione di un oggetto utente. Di conseguenza, se l'utente Ŕ membro di un gruppo protetto, la modifica viene sovrascritta in circa un'ora.

Nota Questo problema si verifica anche se Ŕ stato delegato un ruolo a un utente in Exchange. Si verifica ad esempio se a un account utente Ŕ stato assegnato uno dei seguenti ruoli:
  • Amministratore di Exchange solo visualizzazione
  • Amministratore di Exchange
  • Amministratore completo di Exchange

Risoluzione

?╚ consigliabile non utilizzare account membri di gruppi protetti per i messaggi di posta elettronica. Se sono necessari i diritti concessi a un gruppo protetto, Ŕ consigliabile disporre di due account utente di Active Directory. Questi account di Active Directory comprendono un account utente aggiunto a un gruppo protetto e un account utente utilizzato per i messaggi di posta elettronica e in tutti gli altri casi.

Workaround

Le informazioni riportate di seguito possono essere utili per ovviare al problema per il quale le cassette postali di Exchange Server 5.5 vengono visualizzate come "PERSONALIZZATE" per l'utente nel programma di amministrazione di Exchange Server 5.5. La soluzione si basa sul fatto che le voci di controllo dell'accesso (ACE, Access Control Entries) SELF devono essere presenti nell'oggetto utente nel momento della replica dell'oggetto in Active Directory da Active Directory Connector (ADC).

?╚ possibile utilizzare l'utilitÓ Dsacls.exe per aggiungere le voci che vengono eliminate dagli oggetti utente. Per effettuare questa operazione, modificare le autorizzazioni AdminSDHolder. Aggiungere quindi le voci desiderate. Dato che tutte le voci utilizzano l'identitÓ di protezione SELF, questa soluzione non introduce alcun problema di protezione.

Nota ?╚ necessario eseguire l'utilitÓ Dsacls.exe una volta per aggiungere la voce di controllo dell'accesso mancante dal descrittore di protezione AdminSDHolder. Se, ad esempio, si desidera aggiungere sei voci diverse, Ŕ possibile eseguire l'utilitÓ Dsacls.exe sei volte.

La soluzione riportata di seguito modifica l'oggetto AdminSDHolder. L'oggetto AdminSDHolder viene quindi propagato a ciascun account utente membro di un gruppo protetto. Attenersi alla seguente procedura:
  1. Installare gli strumenti di supporto di Microsoft Windows 2000 dal CD di Windows 2000. Questi strumenti comprendono l'utilitÓ Dsacls.exe. ?╚ possibile utilizzare l'utilitÓ Dsacls.exe per visualizzare, modificare o rimuovere le voci di controllo dell'accesso negli oggetti in Active Directory.
  2. Creare un file batch che contiene il codice riportato di seguito.
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Nota Sostituire "dc=<mydomain>,dc=com" con il nome distinto del dominio.
  3. Attendere un'ora per fare in modo che in Active Directory vi sia tempo sufficiente per riscrivere il descrittore di protezione di tutti gli account utente membri di tutti i gruppi propagati.
  4. Dopo la replica delle modifiche da parte di Active Directory Connector, tutti gli utenti vengono visualizzati come "utente" invece che come "Personalizzata".
╚ possibile applicare l'aggiornamento della protezione 916803, l'aggiornamento della protezione 912442 o l'aggiornamento per l'ora legale per Exchange Server descritto nel seguente articolo della Microsoft Knowledge Base:
926666 Aggiornamento delle modifiche per il passaggio all'ora legale nel 2007 relativo a Exchange 2003 Service Pack 2
In tal caso occorre impedire ad AdminSDHolder di sovrascrivere le autorizzazioni accordate a un account dei servizi BlackBerry nei gruppi protetti. Per effettuare questa operazione, utilizzare la seguente riga di comando con DSACLS:
dsacls "cn=adminsdholder,cn=system,dc=dominio,dc=com" /G "\BlackBerrySA:CA;Send As"
Nota In questo comando BlackBerrySA Ŕ un segnaposto per il nome dell'account del servizio BlackBerry. Se si dispone di account in pi¨ domini, Ŕ anche possibile specificare il dominio nella riga di comando utilizzando il formato seguente: Dominio\BlackberrySA.

In alternativa Ŕ consigliabile non utilizzare account membri di gruppi protetti per i messaggi di posta elettronica. Se sono necessari i diritti concessi a un gruppo protetto, Ŕ consigliabile disporre di due account utente di Active Directory. Questi account di Active Directory comprendono un account utente aggiunto a un gruppo protetto e un account utente utilizzato per i messaggi di posta elettronica e in tutti gli altri casi.

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati nella sezione "Le informazioni in questo articolo si applicano a" del presente articolo.

Informazioni

Per ulteriori informazioni sulla delega dei diritti "Invia come" a un account utente, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
281208 Concessione di diritti "Invia come" a un utente di Exchange Server 5.5 e di Exchange 2000
Per ulteriori informazioni sull'oggetto AdminSDHolder, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
232199 Descrizione e aggiornamento dell'oggetto AdminSDHolder di Active Directory
817433 Le autorizzazioni delegate non sono disponibili e l'ereditarietÓ viene disattivata automaticamente
Il percorso dell'oggetto AdminSDHolder Ŕ il seguente:
CN=AdminSDHolder,CN=System,DC=Dominio,DC=Com
Nota Sostituire DC=Dominio,DC=Com in questo percorso con il nome distinto del dominio.

L'elenco riportato di seguito contiene i gruppi protetti in Windows 2000:
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
L'elenco riportato di seguito contiene i gruppi protetti in Microsoft Windows Server 2003 e in Windows 2000 dopo l'applicazione dell'hotfix 327825 o dopo l'installazione di Windows 2000 Service Pack 4 (SP4):
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
I seguenti utenti sono inoltre considerati protetti:
  • Amministratore
  • Krbtgt
Anche gli account utente e i gruppi a cui sono stati delegati i ruoli indicati di seguito in Exchange sono considerati protetti:
  • Amministratore di Exchange solo visualizzazione
  • Amministratore di Exchange
  • Amministratore completo di Exchange
Per ulteriori informazioni sull'hotfix 327825, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
327825 Nuova soluzione per i problemi con l'autenticazione Kerberos quando gli utenti appartengono a molti gruppi

ProprietÓ

Identificativo articolo: 907434 - Ultima modifica: lunedý 26 novembre 2007 - Revisione: 7.1
Le informazioni in questo articolo si applicano a
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Chiavi:á
kbtshoot kbprb kbexchdirectory KB907434
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com