O direito "Enviar Como" é removido de um objeto de usuário após a configuração do direito "Enviar Como" no snap-in Usuários e computadores do Active Directory no Exchange Server

Traduções deste artigo Traduções deste artigo
ID do artigo: 907434 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Você configura diretamente o direito Enviar Como em um objeto do usuário no snap-in Usuários e computadores do Active Directory no Microsoft Exchange Server. No entanto, o direito Enviar Como é removido do objeto do usuário aproximadamente uma hora após a configuração do direito Enviar Como.

Além disso, outras alterações efetuadas no descritor de segurança no objeto do usuário podem ser removidas. Por exemplo: a caixa de seleção Permitir permissões não herdadas do pai para propagar este objeto pode não estar mais marcada.

Se você tem um ambiente que inclui o Microsoft Exchange Server 5.5 e um Active Directory Connector (ADC) em funcionamento, caixas de entrada do Exchange Server 5.5 configuradas para usar contas de usuário do Active Directory integrantes de grupos protegidos podem ser exibidas como "PERSONALIZADAS" no programa Administrador do Exchange Server 5.5.

Causa

O serviço de diretório do Active Directory tem um processo que garante que os integrantes de grupos protegidos não têm seus descritores de segurança manipulados. Se um descritor de segurança de uma conta de usuário integrante de um grupo protegido não corresponder ao descritor de segurança no objeto AdminSDHolder, o descritor de segurança de usuário será substituído por um novo descritor de segurança originário do objeto AdminSDHolder.

O direito Enviar Como é delegado alterando o descritor de segurança de um objeto do usuário. Portanto, se um usuário for integrante de um grupo protegido, a alteração será substituída em aproximadamente uma hora.

Resolução

É aconselhável que você não use contas integrantes de grupos protegidos para propósitos relacionados a email. Se você obtiver os direitos adquiridos para um grupo protegido, é recomendável que você tenha duas contas de usuário do Active Directory. Essas contas do Active Directory incluem, uma conta de usuário adicionada a um grupo protegido e outra conta de usuário usada para propósitos relacionados a emails em todas as outras ocasiões.

Como Contornar

As seguintes informações podem ajudá-lo a solucionar o problema, quando as caixas de entrada do Exchange Server 5.5 são exibidas como "PERSONALIZADAS" para o usuário no programa do administrador do Exchange Server 5.5. A solução alternativa baseia-se no fato de que as entradas de controle de acesso SELF (ACEs) devem estar presentes no objeto do usuário, quando o objeto do usuário for replicado para o Active Directory pelo Active Directory Connector (ADC).

É possível usar o utilitário Dsacls.exe para adicionar entradas sendo retiradas de objetos de usuário. Para fazer isto, altere as permissões do AdminSDHolder. Depois, adicione as entradas desejadas. Como todas as entradas usam o SEL principal de segurança, esta solução alternativa não apresenta nenhum problema de segurança.

Observação Você deve executar o utilitário Dsacls.exe uma vez para adicionar uma entrada de controle de acesso que está faltando do descritor de segurança do AdminSDHolder. Por exemplo: se desejar adicionar seis entradas diferentes, será necessário executar o utilitário Dsacls.exe seis vezes.

A solução alternativa a seguir altera o objeto AdminSDHolder. O objeto AdminSDHolder será propagado para cada conta do usuário integrante de um grupo protegido. Execute as seguintes etapas:
  1. Instale o Ferramentas de Suporte do Microsoft Windows 2000 pelo CD do Windows 2000. Essas ferramentas incluem o utilitário Dsacls.exe. É possível usar o utilitário Dsacls.exe para visualizar, modificar ou remover ACEs em objetos do Active Directory.
  2. Crie um arquivo em lote que tenha o seguinte código:
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Observação Substitua "dc=<meu_domínio>,dc=com" pelo nome exclusivo do seu domínio.
  3. Aguarde uma hora para que o Active Directory tenha tempo de regravar o descritor de segurança de todas as contas de usuário integrantes dos grupos propagados.
  4. Após o ADC replicar as alterações, todos os usuários serão exibidos como "usuário" em vez de "PERSONALIZADO".
É possível que você queira aplicar a atualização de segurança 916803, a atualização de segurança 912442 ou a atualização de horário de verão para o Exchange Server descritos no seguinte artigo da Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
926666 Atualização para alterações do horário de verão em 2007 para o Exchange 2003 Service Pack 2 (SP2)
Para fazer isto, é necessário evitar que o AdminSDHolder substitua permissões concedidas para uma conta do BlackBerry Services em grupos protegidos. Para isso, crie um arquivo em lote que tenha o seguinte código:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
Observação Nesse arquivo em lote, BlackBerrySA é um espaço reservado para o nome da conta do BlackBerry Service. Se você tiver contas em vários domínios, também é possível especificar o domínio na linha de comando usando o seguinte formato:Domain\BlackberrySA.

Como alternativa, é aconselhável que você não use contas integrantes de grupos protegidos para propósitos relacionados a email. Se você obtiver os direitos adquiridos para um grupo protegido, é recomendável que você tenha duas contas de usuário do Active Directory. Essas contas do Active Directory incluem uma conta de usuário adicionada a um grupo protegido e outra conta de usuário usada para propósitos relacionados aos emails em todas as outras ocasiões.

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft que estão listados na seção "Aplica-se a".

Mais Informações

Para obter mais informações sobre como delegar direitos "Enviar Como" para uma conta de usuário, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
281208 Como conceder direitos "Enviar Como" a um usuário no Exchange Server 5.5 e no Exchange 2000
Para obter mais informações sobre o objeto AdminSDHolder, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
232199 Descrição e atualização do objeto AdminSDHolder do Active Directory
817433 Permissões delegadas não estão disponíveis e a herança é desabilitada automaticamente
O local do objeto AdminSDHolder é o seguinte:
CN=AdminSDHolder,CN=System,DC=MeuDomínio, DC=Com
Observação Substitua DC=MeuDomínio, DC=Com neste caminho pelo nome distinto do seu domínio.

A lista a seguir relaciona os grupos protegido no Windows 2000:
  • Administradores de empresa
  • Administradores de esquema
  • Administradores de domínio
  • Administradores
A lista a seguir contém os grupos protegidos no Microsoft Windows Server 2003 e no Windows 2000 após a aplicação da correção 327825 ou após a instalação do Windows 2000 Service Pack 4 (SP4):
  • Administradores
  • Operadores de conta
  • Operadores de servidor
  • Operadores de impressão
  • Operadores de backup
  • Administradores de domínio
  • Administradores de esquema
  • Administradores de empresa
  • Editores de certificados
Além disso, os seguintes usuários são considerados protegidos também:
  • Administrador
  • Krbtgt
Para obter mais informações sobre o hotfix 327825, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
327825 Nova solução para problemas com a autenticação Kerberos quando usuários pertencem a muitos grupos

Propriedades

ID do artigo: 907434 - Última revisão: segunda-feira, 26 de novembro de 2007 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Palavras-chave: 
kbtshoot kbprb kbexchdirectory KB907434

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com