Exchange Server의 Active Directory 사용자 및 컴퓨터 스냅인에서 "다른 사람 이름으로 보내기" 권한을 구성하면 사용자 개체에서 "다른 사람 이름으로 보내기" 권한이 제거된다

기술 자료 번역 기술 자료 번역
기술 자료: 907434 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

Microsoft Exchange Server의 Active Directory 사용자 및 컴퓨터 스냅인에 있는 사용자 개체에 다른 사람 이름으로 보내기 권한을 명시적으로 구성합니다. 그러나 다른 사람 이름으로 보내기 권한을 구성한 후 약 1시간 정도 후에 사용자 개체에서 다른 사람 이름으로 보내기 권한이 제거됩니다.

또한 사용자 개체의 보안 설명자에서 변경한 다른 내용도 제거될 수 있습니다. 예를 들어, 상속 가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음 확인란이 더 이상 선택되어 있지 않을 수도 있습니다.

Microsoft Exchange Server 5.5 및 작동하는 ADC(Active Directory Connector)를 포함하는 환경에 있는 경우 보호되는 그룹의 구성원인 Active Directory 사용자 계정을 사용하도록 구성된 Exchange Server 5.5 사서함이 Exchange Server 5.5 관리자 프로그램에서 "사용자 지정"으로 나타날 수 있습니다.

원인

Active Directory 디렉터리 서비스에는 보호되는 그룹의 구성원에게 조작된 보안 설명자가 없는지 확인하는 프로세스가 있습니다. 보호되는 그룹의 구성원인 사용자 계정에 대한 보안 설명자가 AdminSDHolder 개체의 보안 설명자와 일치하지 않는 경우 사용자의 보안 설명자를 AdminSDHolder 개체에서 가져온 새 보안 설명자로 덮어쓰게 됩니다.

다른 사람 이름으로 보내기 권한은 사용자 개체의 보안 설명자를 수정하여 위임됩니다. 따라서 사용자가 보호되는 그룹의 구성원인 경우 약 1시간 내에 변경 내용을 덮어쓰게 됩니다.

해결 방법

전자 메일 목적으로 보호되는 그룹의 구성원인 사용자 계정을 사용하지 않는 것이 좋습니다. 보호되는 그룹에 부여된 권한이 필요한 경우에는 두 개의 Active Directory 사용자 계정을 사용하는 것이 좋습니다. 이러한 Active Directory 계정에는 보호되는 그룹에 추가된 사용자 계정 하나와 전자 메일 목적으로 항상 사용되는 사용자 계정 하나가 포함됩니다.

해결 과정

다음 정보는 Exchange Server 5.5 관리자 프로그램의 사용자에게 Exchange Server 5.5 사서함이 "사용자 지정"으로 나타나는 문제를 해결하는 데 도움이 될 수 있습니다. 해결 방법은 사용자 개체가 ADC(Active Directory Connector)에 의해 Active Directory로 복제될 때 사용자 개체에 SELF ACE(액세스 제어 항목)가 나타나야 한다는 사실에 따른 것입니다.

Dsacls.exe 유틸리티를 사용하여 사용자 개체에서 제거되는 항목을 추가할 수 있습니다. 이렇게 하려면 AdminSDHolder 권한을 변경한 다음 원하는 항목을 추가합니다. 모든 항목에서 보안 주체 SELF를 사용하기 때문에 이 해결 방법으로 인해 보안 문제가 발생하지 않습니다.

참고 Dsacls.exe 유틸리티를 한 번 실행하여 AdminSDHolder 보안 설명자에 없는 액세스 제어 항목 하나를 추가해야 합니다. 예를 들어, 여섯 개의 다른 항목을 추가하려는 경우 Dsacls.exe 유틸리티를 여섯 번 실행해야 할 수 있습니다.

다음 해결 방법에서는 AdminSDHolder 개체를 변경합니다. 그런 다음 AdminSDHolder 개체는 보호되는 그룹의 구성원인 각 사용자 계정으로 전달됩니다. 다음 단계를 수행하십시오.
  1. Windows 2000 CD에서 Microsoft Windows 2000 지원 도구를 설치합니다. 이 도구에는 Dsacls.exe 유틸리티가 포함되어 있습니다. Dsacls.exe 유틸리티를 사용하여 Active Directory에 있는 개체의 ACE를 보고, 수정하고, 제거할 수 있습니다.
  2. 다음 코드가 포함된 배치 파일을 만듭니다.
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    참고 "dc=<mydomain>,dc=com"을 도메인의 고유 이름으로 바꾸십시오.
  3. Active Directory에서 보호되는 그룹의 구성원인 모든 사용자 계정의 보안 설명자를 다시 작성할 수 있도록 한 시간 정도 기다립니다.
  4. ADC에서 변경 내용을 복제한 후 모든 사용자는 "사용자 지정" 대신 "사용자"로 나타납니다.
보안 업데이트 916803, 보안 업데이트 912442 또는 다음 Microsoft 기술 자료 문서에서 설명하는 Exchange Server의 일광 절약 시간제 업데이트를 적용해야 할 수 있습니다.
926666 Exchange 2003 서비스 팩 2의 2007년 일광 절약 시간제 변경 사항에 대한 업데이트
이러한 업데이트를 적용하는 경우 보호되는 그룹의 BlackBerry 서비스 계정에 부여된 권한으로 AdminSDHolder를 덮어쓰지 않도록 해야 합니다. 이렇게 하려면 다음 코드가 포함된 배치 파일을 만듭니다.
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
참고 이 배치 파일에서 BlackBerrySA는 BlackBerry 서비스 계정의 이름을 나타내는 자리 표시자입니다. 여러 도메인에 계정이 있는 경우 명령줄에서 Domain\BlackberrySA 형식을 사용하여 도메인을 지정할 수도 있습니다.

또는 전자 메일 목적으로 보호되는 그룹의 구성원인 사용자 계정을 사용하지 않는 것이 좋습니다. 보호되는 그룹에 부여된 권한을 가져야 하는 경우 두 개의 Active Directory 사용자 계정을 사용하는 것이 좋습니다. 이러한 Active Directory 계정에는 보호되는 그룹에 추가된 사용자 계정 하나와 전자 메일 목적으로 항상 사용되는 사용자 계정 하나가 포함됩니다.

현재 상태

Microsoft는 "본 문서의 정보는 다음의 제품에 적용됩니다." 절에 나열한 제품에서 이 문제를 확인했습니다.

추가 정보

"다른 사람 이름으로 보내기" 권한을 사용자 계정에 위임하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
281208 XADM: Exchange Server 5.5와 Exchange 2000에서 사용자에게 "다른 사람 이름으로 보내기" 권한을 부여하는 방법
AdminSDHolder 개체에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
232199 Active Directory AdminSDHolder 개체에 대한 설명 및 업데이트
817433 위임된 사용 권한을 사용할 수 없으며 상속이 자동으로 해제된다
AdminSDHolder 개체의 위치는 다음과 같습니다.
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com
참고 이 경로의 DC=MyDomain,DC=Com을 도메인의 고유 이름으로 바꾸십시오.

Windows 2000에서 보호되는 그룹의 목록은 다음과 같습니다.
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
Microsoft Windows Server 2003 및 Windows 2000에서 핫픽스 327825를 적용하거나 Windows 2000 서비스 팩 4(SP4)를 설치한 후에 보호되는 그룹 목록은 다음과 같습니다.
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
또한 다음과 같은 사용자도 보호되는 것으로 간주됩니다.
  • Administrator
  • Krbtgt
핫픽스 327825에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
327825 사용자가 여러 그룹에 속해 있는 경우의 Kerberos 인증 문제에 대한 새로운 해결 방법

속성

기술 자료: 907434 - 마지막 검토: 2008년 4월 30일 수요일 - 수정: 10.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
키워드:?
kbexchdirectory kbtshoot kbprb KB907434

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com