"ส่งเป็น" ขวาถูกเอาออกจากวัตถุที่ผู้ใช้หลังจากที่คุณได้กำหนดค่า "ส่งเป็น" ขวาในผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ลสแนปใน Exchange Server

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 907434 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

คุณได้กำหนดค่านี้ส่งเป็นด้านขวาบนวัตถุผู้ใช้ในที่ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์สแนปอินในเซิร์ฟเวอร์ Microsoft Exchange อย่างไรก็ตาม ในส่งเป็นขวาจะถูกเอาออกจากวัตถุผู้ใช้ประมาณหนึ่งชั่วโมงหลังจากที่คุณกำหนดค่านี้ส่งเป็นด้านขวา

นอกจากนี้ การเปลี่ยนแปลงอื่น ๆ ที่คุณทำกับตัวบอกเกี่ยวกับความปลอดภัยบนวัตถุผู้ใช้ อาจถูกเอาออก ตัวอย่างเช่น การอนุญาตให้สิทธิ์ที่สืบทอดได้จากแม่เพื่อเผยแพร่สู่วัตถุนี้อาจไม่มีเลือกกล่องกาเครื่องหมาย

ในกรณีที่คุณมีสภาพแวดล้อมที่มี 5.5 เซิร์ฟเวอร์ Exchange ของ Microsoft และการทำงาน Active Directory ตัวเชื่อมต่อ (ADC), กล่องจดหมาย Exchange Server 5.5 ที่มีการกำหนดค่าให้ใช้บัญชีผู้ใช้ Active Directory ที่เป็นสมาชิกของกลุ่มที่ได้รับการป้องกัน อาจปรากฏเป็น "กำหนดเอง" ใน Exchange Server 5.5 ผู้ดูแลระบบโปรแกรมได้

สาเหตุ

บริการไดเรกทอรี Active Directory มีกระบวนการที่ทำให้แน่ใจว่า สมาชิกของกลุ่มที่ได้รับการป้องกันไม่มีตัวบอกความปลอดภัยของตน manipulated ถ้าตัวระบุการรักษาความปลอดภัยสำหรับบัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่มที่ได้รับการป้องกันไม่ตรงกับตัวบอกเกี่ยวกับความปลอดภัยบนวัตถุ AdminSDHolder ตัวอธิบายความปลอดภัยของผู้ใช้ถูกเขียนทับ ด้วยตัวอธิบายความปลอดภัยแบบใหม่ที่นำมาจากวัตถุ AdminSDHolder

กระบวนการส่งเป็นขวาถูกมอบ โดยการปรับเปลี่ยนตัวอธิบายความปลอดภัยของวัตถุผู้ใช้ ดังนั้น ถ้าผู้ใช้ที่เป็นสมาชิกของกลุ่มที่ได้รับการป้องกัน การเปลี่ยนแปลงถูกเขียนทับในประมาณหนึ่งชั่วโมง

การแก้ไข

เราขอแนะนำว่า คุณไม่ได้ใช้บัญชีที่เป็นสมาชิกของกลุ่มที่ได้รับการป้องกันสำหรับวัตถุประสงค์ทางอีเมล ถ้าคุณต้องการให้สิทธิ์ที่ afforded ไปยังกลุ่มที่ได้รับการป้องกัน เราขอแนะนำว่า คุณมีสอง Active Directory บัญชีผู้ใช้ บัญชี Active Directory เหล่านี้รวมถึงบัญชีผู้ใช้หนึ่งที่ถูกเพิ่มเข้าในกลุ่มที่ได้รับการป้องกันและบัญชีผู้ใช้หนึ่งที่ใช้สำหรับวัตถุประสงค์ทางอีเมลและอื่น ๆ ทั้งหมดเวลา

การหลีกเลี่ยงปัญหา

ข้อมูลต่อไปนี้จะช่วยให้คุณหลีกเลี่ยงปัญหาที่กล่องจดหมาย Exchange Server 5.5 ปรากฏเป็น "กำหนดเอง" สำหรับผู้ใช้ในโปรแกรมที่ผู้ดูแลระบบ 5.5 เซิร์ฟเวอร์ Exchange วิธีแก้ปัญหาอาศัยข้อเท็จจริงรายการการควบคุมการเข้าถึง SELF (ACEs) ควรจะอยู่บนวัตถุผู้ใช้ว่า เมื่อวัตถุผู้ใช้ถูกจำลองแบบไปยัง Active Directory โดย Active Directory ตัวเชื่อมต่อ (ADC)

คุณสามารถใช้โปรแกรมอรรถประโยชน์ Dsacls.exe เพื่อเพิ่มรายการที่จะถูก stripped ปิดวัตถุผู้ใช้ เมื่อต้องการทำเช่นนี้ เปลี่ยนสิทธิ์ AdminSDHolder จากนั้น เพิ่มรายการที่คุณต้องการ เนื่องจากรายการทั้งหมดที่ใช้การรักษาความปลอดภัย SELF หลัก วิธีแก้ไขปัญหานี้จะไม่ปรากฏปัญหาด้านความปลอดภัย

หมายเหตุ:คุณต้องเรียกใช้โปรแกรมอรรถประโยชน์ Dsacls.exe หนึ่งครั้งเพื่อเพิ่มรายการการควบคุมการเข้าถึงหนึ่งที่หายไปจากตัวบอกเกี่ยวกับความปลอดภัย AdminSDHolder ตัวอย่างเช่น ถ้าคุณต้องการเพิ่มรายการที่แตกต่างกันหก คุณอาจทำงานโปรแกรมอรรถประโยชน์ Dsacls.exe 6 ครั้ง

วิธีแก้ปัญหาต่อไปนี้เป็นการเปลี่ยนแปลงวัตถุ AdminSDHolder แล้ว วัตถุ AdminSDHolder จะแพร่กระจายไปยังแต่ละบัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่มที่ได้รับการป้องกัน ทำตามขั้นตอนต่างๆ ต่อไปนี้::
  1. ติดตั้งเครื่อง Microsoft Windows 2000 มือสนับสนุนจากซีดี Windows 2000 เครื่องมือเหล่านี้มีโปรแกรมอรรถประโยชน์ Dsacls.exe คุณสามารถใช้โปรแกรมอรรถประโยชน์ Dsacls.exe เพื่อดู แก้ไข หรือลบ ACEs บนวัตถุใน Active Directory
  2. สร้างแฟ้มชุดที่ประกอบด้วยรหัสต่อไปนี้
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    หมายเหตุ:แทน " dc = <mydomain>, dc = com " ด้วยชื่อของโดเมนของคุณที่แตกต่าง</mydomain>
  3. รอหนึ่งชั่วโมงเพื่อให้ Active Directory มีเวลาที่จะเขียนตัวบอกเกี่ยวกับความปลอดภัยของบัญชีผู้ใช้ทั้งหมดที่เป็นสมาชิกของกลุ่มใด ๆ propagated
  4. หลังจาก ADC replicates เปลี่ยนแปลง ผู้ใช้ทั้งหมดปรากฏเป็น "ผู้ใช้" แทนที่จะเป็น "ที่กำหนดเอง"
คุณอาจใช้การปรับปรุงการรักษาความปลอดภัย 916803 การปรับปรุงการรักษาความปลอดภัย 912442 หรือปรับปรุงการปรับเวลาตามฤดูกาลสำหรับ Exchange Server ที่อธิบายไว้ในบทความในฐานความรู้ของ Microsoft ต่อไปนี้:
926666การปรับปรุงสำหรับการเลื่อนเวลาตามฤดูกาลในปี 2550 สำหรับ Exchange 2003 Service Pack 2
ถ้าคุณทำเช่นนี้ คุณต้องป้องกัน AdminSDHolder สิทธิที่ได้รับในบัญชีบริการ BlackBerry กลุ่มที่ได้รับการป้องกัน การเขียนทับ To do this, create a batch file that contains the following code:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
หมายเหตุ:In this batch file,BlackBerrySAis a placeholder for name of the BlackBerry Service account. If you have accounts in multiple domains, you can also specify the domain in the command line by using the following format:Domain\BlackberrySA.

Alternatively, we recommend that you do not use accounts that are members of protected groups for e-mail purposes. If you must have the rights that are given to a protected group, we recommend that you have two Active Directory user accounts. These Active Directory accounts include one user account that is added to a protected group, and one user account that is used for e-mail purposes and at all other times.

สถานะ

Microsoft ยืนยันว่าปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์ของ Microsoft ซึ่งมีการระบุไว้ในส่วน "การใช้งาน"

ข้อมูลเพิ่มเติม

For more information about how to delegate "Send As" rights to a user account, click the following article number to view the article in the Microsoft Knowledge Base:
281208How to grant a user "Send As" rights in Exchange Server 5.5 and Exchange 2000
For more information about the AdminSDHolder object, click the following article numbers to view the articles in the Microsoft Knowledge Base:
232199Description and update of the Active Directory AdminSDHolder object
817433Delegated permissions are not available and inheritance is automatically disabled
The location of the AdminSDHolder object is as follows:
CN=AdminSDHolder,CN=System,DC=MyDomain, dc =Com
หมายเหตุ:REPLACEdc =MyDomain, dc =Comin this path with the distinguished name of your domain.

The following list contains the protected groups in Windows 2000:
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • ผู้ดูแล:
The following list contains the protected groups in Microsoft Windows Server 2003 and in Windows 2000 after you apply hotfix 327825 or after you install Windows 2000 Service Pack 4 (SP4):
  • ผู้ดูแล:
  • Account Operators
  • ผู้ปฏิบัติการเซิร์ฟเวอร์:
  • Print Operators
  • Backup Operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
Additionally, the following users are considered protected:
  • ผู้ดูแล
  • Krbtgt
For more information about hotfix 327825, click the following article number to view the article in the Microsoft Knowledge Base:
327825ความละเอียดใหม่สำหรับปัญหาเกี่ยวกับการรับรองความถูกต้อง Kerberos เมื่อผู้ใช้ที่เป็นสมาชิกของกลุ่มจำนวน

คุณสมบัติ

หมายเลขบทความ (Article ID): 907434 - รีวิวครั้งสุดท้าย: 15 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
Keywords: 
kbexchdirectory kbtshoot kbprb kbmt KB907434 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:907434

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com