«Отправить как» право удаляется из объекта пользователя после настройки права «Отправить как» в Active Directory — пользователи и компьютеры оснастки Exchange Server

Переводы статьи Переводы статьи
Код статьи: 907434 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Явно настроить Отправка в виде право на объект пользователя в Active Directory-пользователи и Оснастка компьютеров в Microsoft Exchange Server. Тем не менее Отправка в виде право удаляется из объекта пользователя после того как вы примерно один час Настройка Отправка в виде право.

Кроме того, другие изменения, внесенные в дескриптора безопасности объекта пользователю может быть удален. Например Разрешить наследование разрешений от родительского этого Объект больше не может быть установлен флажок.

Если у вас есть Среда, включающая Microsoft Exchange Server 5.5 и работает Active Directory Connector (ADC), почтовые ящики Exchange Server 5.5 настроен на использование службы каталогов Active Directory учетные записи пользователей, являющихся членами защищен группы может отображаться как «Пользовательский» администратор Exchange Server 5.5 Программа.

Причина

Служба каталогов Active Directory имеется процесс, обеспечивает членам защищенных групп не их безопасности управлять дескрипторами. Если дескриптор безопасности для пользователя, учетная запись, защищенные группу не соответствует дескриптора безопасности на Объект AdminSDHolder, дескриптор безопасности пользователя перезаписывается с новым дескриптор безопасности, который берется из объекта AdminSDHolder.

В Отправка в виде делегировано право путем изменения дескриптора безопасности пользователя объект. Таким образом Если пользователь является членом Защищенная группа, изменение является перезапись примерно один час.

Решение

Рекомендуется не использовать учетные записи членов защищенные групп для электронной почты. Если требуются права гарантиями защищенной группе рекомендуется наличие двух Active Directory учетные записи пользователей. Эти учетные записи Active Directory включают одну учетную запись пользователя защищенные группы и одной учетной записи пользователя, которая используется для электронной почты целей и на всех других случаях.

Временное решение

Следующие сведения могут помочь устранить проблема, в какой Exchange Server 5.5 почтовые ящики отображаются в виде «CUSTOM» для пользователя в программе Exchange Server 5.5 Administrator. Решение основывается на факт, что доступ SELF управления записями (ACE) должна присутствовать на пользователя При репликации объекта пользователя Active Directory путем активного объекта Directory Connector (ADC).

Можно использовать служебную программу Dsacls.exe для добавления операции, которые удаляются из объектов пользователей. Для этого изменения. разрешения AdminSDHolder. Добавьте элементы, которые требуется. Поскольку все операции с помощью безопасности участника SELF, этот способ не следует представляет никаких проблем безопасности.

Примечание Dsacls.exe программу необходимо запустить один раз для добавления одного запись управления доступом не указано в безопасности AdminSDHolder дескриптор. Например если вы хотите добавить шесть различных операций, можно запустить Программа Dsacls.exe шесть раз.

Следующие изменения метода обхода Объект AdminSDHolder. Затем объект AdminSDHolder распространяется на каждого пользователя учетную запись, являющуюся членом защищенные группы. Выполните следующие действия.
  1. Установить средства поддержки Microsoft Windows 2000 из Компакт-ДИСК Windows 2000. Эти средства включают программу Dsacls.exe. Можно использовать DSACLS.exe служебная программа для просмотра, изменения или удаления записи управления доступом для объектов в Active Каталог.
  2. Создайте пакетный файл, содержащий следующий код.
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Примечание Замените "dc =<mydomain>, dc = com" с различающимся именем из домена.</mydomain>
  3. Таким образом, чтобы службы каталогов Active Directory имеет время ожидания час Перепишите дескриптор безопасности всех учетных записей пользователей, являющихся членами распространенный групп.
  4. После ADC реплицирует изменения, отображаются в виде всех пользователей "пользователь" вместо "Custom".
Возможно применение безопасности 916803, безопасности обновления 912442, или переход на летнее время обновления для сервера Exchange, описанное в следующие статьи базы знаний Майкрософт:
статью 926666 Обновление для изменения летнего времени в 2007 г. для пакета обновления 2 (SP2) для Exchange 2003
Если это сделать, необходимо предотвратить AdminSDHolder Перезаписать разрешения, предоставленные учетной записи службы BlackBerry на защищенных групп. Чтобы сделать это, создайте пакетный файл, содержащий Следующий код:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
Примечание В этом пакетном файле BlackBerrySA является местозаполнитель для имени учетной записи службы BlackBerry. Если учетные записи несколько доменов, можно также указать домен в командной строке с помощью следующий формат:Domain\BlackberrySA.

Кроме того, Рекомендуется не использовать учетные записи, которые являются членами защищенных групп для электронной почты. Если необходимо иметь права, которые предоставляются для защищенного Группа, рекомендуется наличие двух учетных записей Active Directory. К ним Учетные записи Active Directory включают одну учетную запись, добавляемая к защищенному группы и одной учетной записи пользователя, используемых для электронной почты и на всех других раз.

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Относится к».

Дополнительная информация

Для получения дополнительных сведения о том, как делегировать права «Отправить как» для учетной записи пользователя, нажмите кнопку следующий номер статьи базы знаний Майкрософт:
281208Как предоставить пользователю «Отправить как» прав в Exchange Server 5.5 и Exchange 2000
Для получения дополнительных сведений о Объект AdminSDHolder, щелкните следующую эти номера для просмотра статьи базы знаний Майкрософт:
232199Описание и обновления объекта Active Directory AdminSDHolder
817433 Делегирование разрешений недоступно, а наследование автоматически отключается
Объект AdminSDHolder расположена как выглядит следующим образом:
CN = AdminSDHolder, CN = System, DC =MyDomainDC =COM
Примечание Замена DC =MyDomainDC =COM по этому пути с различающимся именем вашего домен.

Следующий список содержит защищенные группы в Windows 2000:
  • Администраторы предприятия
  • «Администраторы схемы»
  • Администраторы домена
  • Администраторы
Следующий список содержит защищенные группы в корпорации Майкрософт Windows Server 2003 и Windows 2000 после установки исправления 327825 или Установка Windows 2000 с пакетом обновления 4 (SP4):
  • Администраторы
  • Операторы учета
  • «Операторы сервера»
  • Операторы печати
  • Операторы архива
  • Администраторы домена
  • «Администраторы схемы»
  • Администраторы предприятия
  • Издатели сертификатов
Кроме того, рассматриваются следующие пользователи защищены:
  • Администратор
  • KRBTGT
Дополнительные сведения об исправлении 327825 следующий номер статьи базы знаний Майкрософт:
327825Новый способ устранения проблем с проверкой подлинности Kerberos, когда пользователь входит в несколько групп

Свойства

Код статьи: 907434 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
Ключевые слова: 
kbexchdirectory kbtshoot kbprb kbmt KB907434 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:907434

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com