A permissão "Enviar como" é removida de um objecto de utilizador após a configuração da permissão "Enviar como" no snap-in 'Utilizadores e computadores do Active Directory' no Exchange Server

Traduções de Artigos Traduções de Artigos
Artigo: 907434 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

O utilizador configura explicitamente a permissão Enviar como num objecto de utilizador, no snap-in Utilizadores e computadores do Active Directory, no Microsoft Exchange Server. No entanto, a permissão Enviar como é removida do objecto de utilizador uma hora depois de configurada.

Além disso, poderão ser removidas outras alterações efectuadas ao descritor de segurança no objecto de utilizador. Por exemplo, a caixa de verificação Deixar que as permissões herdáveis se propaguem para este objecto poderá deixar de estar seleccionada.

Se tiver um ambiente que inclua o Microsoft Exchange Server 5.5 e um conector Active Directory (ADC, Active Directory Connector) operacional, as caixas de correio do Exchange Server 5.5 configuradas para utilizar contas de utilizador do Active Directory que sejam membros de grupos protegidos poderão aparecer como "CUSTOM" no programa de administração do Exchange Server 5.5.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Causa

O serviço de directório do Active Directory tem um processo que garante que os descritores de segurança dos membros de grupos protegidos não serão manipulados. Se um descritor de segurança de uma conta de utilizador que seja membro de um grupo protegido não corresponder ao descritor de segurança do objecto AdminSDHolder, o descritor de segurança do utilizador será substituído por um novo descritor de segurança obtido a partir do objecto AdminSDHolder.

A permissão Enviar como é delegada através da modificação do descritor de segurança de um objecto de utilizador. Por conseguinte, se o utilizador for um membro de um grupo protegido, a alteração é substituída no espaço de uma hora.

Resolução

Recomendamos que não utilize contas que sejam membros de grupos protegidos para correio electrónico. Se necessitar das permissões concedidas a um grupo protegido, recomendamos que tenha duas contas de utilizador do Active Directory. Estas contas do Active Directory incluem uma conta de utilizador que é adicionada a um grupo protegido e uma outra conta de utilizador que é utilizada para correio electrónico e todas as outras operações.

Como contornar

As seguintes informações poderão ajudá-lo a contornar o problema devido ao qual as caixas de correio do Exchange Server 5.5 são apresentadas como "CUSTOM" para o utilizador do programa de administração do Exchange Server 5.5. A medida para contornar o problema depende do facto de as entradas de controlo de acesso (ACEs, access control entries) SELF existirem no objecto de utilizador quando este é replicado para o Active Directory pelo conector Active Directory (ADC, Active Directory Connector).

Pode utilizar o utilitário Dsacls.exe para adicionar as entradas que estão a ser removidas de objectos de utilizador. Para o fazer, altere as permissões de AdminSDHolder. Em seguida, adicione as entradas pretendidas. Uma vez que todas as entradas utilizam o principal de segurança SELF, esta medida para contornar o problema não deverá causar quaisquer problemas de segurança.

Nota: tem de executar uma vez o utilitário Dsacls.exe para adicionar a entrada de controlo de acesso que está em falta no descritor de segurança de AdminSDHolder. Por exemplo, se pretender adicionar seis entradas diferentes, poderá executar o utilitário Dsacls.exe seis vezes.

As seguintes medidas para contornar o problema alteram o objecto AdminSDHolder. Em seguida, o objecto AdminSDHolder é propagado para cada conta de utilizador que seja membro de um grupo protegido. Siga estes passos:
  1. Instale as ferramentas de suporte do Microsoft Windows 2000 a partir do CD do Windows 2000. Estas ferramentas incluem o utilitário Dsacls.exe. Pode utilizar o utilitário Dsacls.exe para ver, modificar ou remover ACEs de objectos no Active Directory.
  2. Crie um ficheiro batch que contenha o seguinte código.
     dsacls "cn=adminsdholder,cn=system,dc=o_meu_domínio,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Nota: substitua "dc=<o_meu_domínio>,dc=com" pelo nome distinto do domínio.
  3. Aguarde uma hora para que o Active Directory reescreva o descritor de segurança de todas as contas de utilizador que sejam membros de quaisquer grupos propagados.
  4. Depois de o ADC replicar as alterações, todos os utilizadores são apresentados como "user" em vez de "CUSTOM".
Poderá aplicar a actualização de segurança 916803, 912442 ou a actualização da hora de Verão para o Exchange Server descrita no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
926666 Actualização para as alterações relativas à hora de Verão de 2007 para o Exchange 2003 Service Pack 2
Se o fizer, tem de evitar que AdminSDHolder substitua as permissões concedidas a uma conta de serviços BlackBerry de grupos protegidos. Para o fazer, crie um ficheiro batch que contenha o seguinte código:
dsacls "cn=adminsdholder,cn=system,dc=o_meu_domínio,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<o_meu_domínio>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=o_meu_domínio,dc=com" /G "\BlackBerrySA:CA;Send As"
Nota: neste ficheiro batch, BlackBerrySA é um marcador de posição da conta de serviços BlackBerry. Se tiver contas em vários domínios, também pode especificar o domínio na linha de comandos utilizando o seguinte formato:Domínio\BlackberrySA.

Como alternativa, recomendamos que não utilize contas que sejam membros de grupos protegidos para correio electrónico. Se necessitar das permissões concedidas a um grupo protegido, recomendamos que tenha duas contas de utilizador do Active Directory. Estas contas do Active Directory incluem uma conta de utilizador que é adicionada a um grupo protegido e uma outra conta de utilizador que é utilizada para correio electrónico e todas as outras operações.

Ponto Da Situação

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Para obter mais informações sobre como delegar permissões "Enviar como" a uma conta de utilizador, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
281208 How to grant a user "Send As" rights in Exchange Server 5.5 and Exchange 2000
Para obter mais informações sobre o objecto AdminSDHolder, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
232199 Description and update of the Active Directory AdminSDHolder object
817433 Delegated permissions are not available and inheritance is automatically disabled
A localização do objecto AdminSDHolder é a seguinte:
CN=AdminSDHolder,CN=System,DC=O_meu_domínio,DC=Com
Nota: substitua DC=O_meu_domínio,DC=Com neste caminho pelo nome distinto do seu domínio.

A lista que se segue contém os grupos protegidos no Windows 2000:
  • Admins da empresa
  • Admins de esquema
  • Admins do domínio
  • Administradores
A lista que se segue contém os grupos protegidos no Microsoft Windows Server 2003 e no Windows 2000 depois de aplicar a correcção 327825 ou depois de instalar o Windows 2000 Service Pack 4 (SP4):
  • Administradores
  • Operadores de contas
  • Operadores de servidor
  • Operadores de impressão
  • Operadores de cópia de segurança
  • Admins do domínio
  • Admins de esquema
  • Admins da empresa
  • Cert Publishers
Além disso, os seguintes utilizadores são considerados protegidos:
  • Administrador
  • Krbtgt
Para obter mais informações sobre a correcção 327825, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
327825 New resolution for problems with Kerberos authentication when users belong to many groups

Propriedades

Artigo: 907434 - Última revisão: 13 de abril de 2007 - Revisão: 9.3
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Palavras-chave: 
kbexchdirectory kbtshoot kbprb KB907434

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com