Право "Надіслати як" видалено з об'єкту користувача після налаштування права "Надіслати як" в оснастці "Користувачі і комп'ютери Active Directory" на сервері Exchange

Переклади статей Переклади статей
Номер статті: 907434 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

ОЗНАКИ

Явно виконано налаштовування права Надіслати як в об'єкті користувача в оснастці "Користувачі і комп'ютери Active Directory" на сервері Microsoft Exchange. Однак право Надіслати як видаляється з об'єкту користувача через годину після налаштування права Надіслати як.

Крім того, інші зміни, зроблені в дескрипторі безпеки об'єкту користувача, можуть бути видалені. Наприклад, прапорець Дозволити поширення успадкованих дозволів з батьківського на цей об'єкт може бути не встановлено.

У середовищі, яке включає Microsoft Exchange Server 5.5 і з'єднувач Active Directory Connector (ADC), поштові скриньки Exchange Server 5.5, налаштовані на використання облікових записів користувачів Active Directory, які є членами захищених груп, у програмі Exchange Server 5.5 Administrator можуть відображатися як "CUSTOM".

ПРИЧИНА

Служба каталогів Active Directory має процес, який гарантує незмінність дескрипторів безпеки для членів захищених груп. Якщо дескриптор безпеки для облікового запису користувача, який є членом захищеної групи, не відповідає дескриптору безпеки в об'єкті AdminSDHolder, дескриптор безпеки користувача замінюється на новий дескриптор безпеки з об'єкту AdminSDHolder.

Право Надіслати як надається після зміни дескриптору безпеки об'єкту користувача. Проте якщо користувач є членом захищеної групи, через годину зміна перезаписується.

РОЗВ'ЯЗАНН

Рекомендується для потреб електронної пошти не використовувати облікові записи, які є членами захищених груп. Якщо необхідно користуватися правами, які надаються захищеній групі, рекомендується мати два облікові записи користувачів служби Active Directory. Одним з цих облікових запис Active Directory буде обліковий запис користувача, доданий до захищеної групи, а другий буде використовуватися для електронної пошти та загальних потреб.

ОБХІДНИЙ ШЛЯХ

Нижченаведені відомості допоможуть під час усунення проблеми, коли поштові скриньки Exchange Server 5.5 в програмі Exchange Server 5.5 Administrator відображаються як "CUSTOM". Методика полягає в тому, що, коли виконується реплікація об'єкту користувача до служби Active Directory за допомогою з'єднувача Active Directory Connector (ADC), у об'єкті користувача мають бути присутні елементи керування доступом (ACE).

Щоб додати елементи, виділені з об'єктів користувача, можна скористатися службовою програмою Dsacls.exe. Для цього змініть дозволи AdminSDHolder. Потім додайте потрібні елементи. Завдяки тому, що всі елементи використовують принципал безпеки SELF, ця методика не повинна створювати проблем з безпекою.

Примітка. Службову програму Dsacls.exe потрібно запускати для додавання кожного з елементів керування доступом, відсутніх у дескрипторі безпеки AdminSDHolder. Наприклад, якщо треба додати 6 різних елементів, необхідно запустити службову програму Dsacls.exe шість разів.

Наступна методика змінює об'єкт AdminSDHolder. Потім об'єкт AdminSDHolder поширюється на кожний обліковий запис користувача, який належить до захищеної групи. Виконайте такі дії:
  1. Інсталюйте засоби підтримки Microsoft Windows 2000 з компакт-диску Windows 2000. Серед цих засобів є службова програма Dsacls.exe. Службову програму Dsacls.exe можна використовувати для перегляду, зміни або видалення ACE для об'єктів у службі Active Directory.
  2. Створіть пакетний файл, який містить такий код:
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    Примітка. Замініть "dc=<mydomain>,dc=com" на ім'я свого домену.
  3. Зачекайте годину, доки служба Active Directory перезапише дескриптор безпеки усіх облікових записів користувачів, які є членами розповсюджених груп.
  4. Після реплікації змін з'єднувачем ADC усі користувачі з'являються як "user" замість "CUSTOM".
Можна застосувати поновлення безпеки 916803, поновлення безпеки 912442 або поновлення переходу на літній час для сервера Exchange Server, описане в статті бази знань Microsoft Knowledge Base:
926666 Поновлення для змін переходу на літній час в 2007 р. у пакеті поновлення 2 для Exchange 2003 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
У разі виконання цих дій потрібно запобігти перезаписуванню дозволів AdminSDHolder, які надаються обліковому запису служб BlackBerry в захищених групах. Створіть пакетний файл з таким кодом:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
Примітка. У цьому пакетному файлі BlackBerrySA замініть на ім'я облікового запису служби BlackBerry. Якщо облікові записи є в багатьох доменах, можна визначити домен в командному рядку, використовуючи наступний формат :Домен\BlackberrySA.

Рекомендується не використовувати для потреб електронної пошти облікові записи, які є членами захищених груп. Якщо необхідно користуватися правами, які надаються захищеній групі, рекомендується мати два облікові записи користувачів служби Active Directory. Одним з цих облікових запис Active Directory буде обліковий запис користувача, доданий до захищеної групи, а другий буде використовуватися для електронної пошти та загальних потреб.

СТАН

Корпорація Майкрософт підтвердила існування цієї неполадки в продуктах Майкрософт, перелічених у розділі "Застосовується до".

ДОДАТКОВІ ВІДОМОСТІ

Докладніше про делегування користувачеві прав "Надіслати як" див. у статті бази знань Microsoft Knowledge Base:
281208 Надання користувачеві права "Надсилати як" в Exchange Server 5.5 і Exchange 2000 (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
Докладніше про об'єкт AdminSDHolder див. у наступних статях бази знань Microsoft Knowledge Base:
232199 Опис і поновлення об'єкту AdminSDHolder служби Active Directory (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
817433 Делеговані дозволи недоступні та успадкування автоматично вимикається (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
Розташування об'єкту AdminSDHolder наступне:
CN=AdminSDHolder,CN=System,DC=Мій_домен,DC=Com
Примітка. Замініть DC=Мій_домен,DC=Com в цьому шляху на ім'я свого домену.

Наступні захищені групи використовуються у Windows 2000:
  • Адміністратори підприємства
  • Адміністратори схеми
  • Адміністратори домену
  • Адміністратори
Наступні захищені групи використовуються у Microsoft Windows Server 2003 та Windows 2000 після застосування виправлення 327825 або після інсталяції пакету поновлення 4 (SP4) для Windows 2000:
  • Адміністратори
  • Оператори облікових записів
  • Оператори сервера
  • Оператори друку
  • Оператори архивації
  • Адміністратори домену
  • Адміністратори схеми
  • Адміністратори підприємства
  • Видавці сертифікатів
Крім того, захищеними вважаються наступні користувачі:
  • Адміністратор
  • Krbtgt
Докладніше про виправлення 327825 див. у статті бази знань Microsoft Knowledge Base:
327825 Нове вирішення проблем з автентифікаціею Kerberos, які виникають, коли користувачі належать до багатьох груп (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Властивості

Номер статті: 907434 - Востаннє переглянуто: 26 листопада 2007 р. - Редакція: 9.1
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Ключові слова: 
kbtshoot kbprb kbexchdirectory KB907434

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com