在"发送为"后在 Active Directory 用户和计算机配置"Send As"权限从一个用户对象中删除右管理单元在 Exchange 服务器

文章编号: 907434 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
展开全部 | 关闭全部

症状

您显式配置 为发送 该用户对象在 Active Directory 用户和计算机的管理单元中 Microsoft Exchange 服务器上的向右。但是,代理发送 权限被从用户对象大约一个小时之后您配置 代理发送 权限。

此外,其他对用户对象安全描述符所做的更改可能会被删除。例如对于可能不会再选择 允许父级安全性将可继承的权限传播给此对象 复选框。

如果您的环境,包括 Microsoft Exchange Server 5.5 和正常运行的活动目录连接器 (ADC) 配置为使用 Active Directory 用户帐户的受保护组成员的 Exchange Server 5.5 邮箱可能显示为惯例在 Exchange Server 5.5 管理员程序。
回到顶端 | 提供反馈

原因

Active Directory 目录服务有一个可确保受保护组中的成员不具有其操作的安全描述符的过程。如果是受保护组的成员的用户帐户的安全描述符与对 AdminSDHolder 对象安全描述符不匹配用户的安全描述符是覆盖取自 AdminSDHolder 对象的一个新的安全描述符。

代理发送 权限委派通过修改用户对象的安全描述符。因此,如果用户是受保护组的成员,则将该更改将覆盖在大约一小时中。
回到顶端 | 提供反馈

解决方案

我们建议您不要使用电子邮件目的的受保护组成员的帐户。如果您需要到受保护组提供的权限,我们建议您有两个 Active Directory 用户帐户。这些活动目录帐户包括添加到受保护组中的一个用户帐户和用于电子邮件目的的一个用户帐户和 $ 在所有其他时间。
回到顶端 | 提供反馈

替代方法

以下信息可以帮助您解决的问题的 Exchange Server 5.5 邮箱显示为"惯例"为用户在 Exchange Server 5.5 管理程序中。解决方法依赖于这一事实 SELF 访问控制项 (ace) 应存在于用户对象上时用户对象复制到 Active Directory 的活动目录连接器 (ADC)。

使用 Dsacls.exe 实用程序,可以添加被去除用户对象的条目。若要执行此操作更改 AdminSDHolder 的权限。将所需的条目。因为所有条目都使用该安全主体的 SELF 此变通方法应不引入任何安全问题。

注意必须一次运行 Dsacls.exe 实用程序,以便添加 AdminSDHolder 安全描述符中缺少一个访问控制项。例如对于如果您想要添加六个不同的项,您可以运行 Dsacls.exe 实用程序六倍。

以下的解决方法更改 AdminSDHolder 对象。然后,AdminSDHolder 对象传播到每个用户帐户的受保护组的成员。请按照下列步骤操作:
  1. 从 Windows 2000 光盘上安装 Microsoft Windows 2000 支持工具。这些工具包括 Dsacls.exe 实用程序。使用 Dsacls.exe 实用程序,可以查看、 修改,或删除在 Active Directory 中的对象上的 ace。
  2. 创建一个批处理文件,其中包含下面的代码 
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
 dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
 dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
 dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
 dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
 dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    注意 替换"dc = <mydomain>,dc = com"与您的域的可分辨名称。
  3. 等待一个小时的时间,以便 Active Directory 具有重写安全描述符传播的任何组的成员的所有用户帐户的时间。
  4. 之后 ADC 复制所做的更改, 的所有用户都显示为"用户"而不是作为"惯例。
您可能应用安全更新 916803、 安全更新 912442,或下面 Microsoft 知识库中相应的文章中描述的 Exchange 服务器的夏时制时间更新:
926666
(http://support.microsoft.com/kb/926666/ )
在 Exchange 2003 Service Pack 2 的 2007 年夏令时更改的更新
如果这样做您必须防止该 AdminSDHolder 覆盖到受保护组上 BlackBerry 服务帐户授予的权限。若要执行此操作创建一个批处理文件,包含下面的代码: 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
注意 在此的批处理文件 BlackBerrySA 为 BlackBerry 服务帐户的名称的占位符。如果您有多个域中的帐户,还可以指定域在命令行中使用以下格式: Domain\BlackberrySA

或者,我们建议您不要使用电子邮件目的的受保护组成员的帐户。如果需要提供的受保护组的权利我们建议您有两个 Active Directory 的用户帐户。这些活动目录帐户包括一个用户帐户添加到一个受保护组中的和用于电子邮件目的以及在所有其他情况下的一个用户帐户。
回到顶端 | 提供反馈

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。
回到顶端 | 提供反馈

更多信息

有关如何委派到用户帐户"Send As"权限的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
281208
(http://support.microsoft.com/kb/281208/ )
如何向用户授予"Send As"权限在 Exchange Server 5.5 和 Exchange 2000
有关 AdminSDHolder 对象的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
232199
(http://support.microsoft.com/kb/232199/ )
说明和 Active Directory AdminSDHolder 对象的更新
817433
(http://support.microsoft.com/kb/817433/ )
委派的权限不可用,并继承被自动禁用
是 AdminSDHolder 对象的位置如下所示:
CN = AdminSDHolder,CN = 系统,DC = MyDomain,DC = Com
注意替换 DC = MyDomain,DC = Com 与您的域的可分辨名称,该路径中。

下面的列表包含在 Windows 2000 中的受保护的组:
  • 企业管理员
  • 架构管理员
  • 域管理员
  • 管理员
应用修补程序 327825 后或在安装 Windows 2000 Service Pack 4 (SP4) 后,以下列表包含在 Microsoft Windows Server 2003 和 Windows 2000 中受保护的组:
  • 管理员
  • 帐户操作员
  • 服务器操作员
  • 打印操作员
  • 备份操作员
  • 域管理员
  • 架构管理员
  • 企业管理员
  • 证书发行商
此外,以下用户被认为是受保护的:
  • 管理员
  • Krbtgt
有关修补程序 327825 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
327825
(http://support.microsoft.com/kb/327825/ )
新的问题时用户属于多个组的 Kerberos 身份验证的分辨率
回到顶端 | 提供反馈

属性

文章编号: 907434 - 最后修改: 2007年10月25日 - 修订: 10.4
这篇文章中的信息适用于:
  • Microsoft Exchange Server 5.5 标准版
  • Microsoft Exchange 2000 Server 标准版
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
关键字:?
kbmt kbexchdirectory kbtshoot kbprb KB907434 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 907434
(http://support.microsoft.com/kb/907434/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端