在 「 以下列傳送 」 「 後您設定 「 Active Directory 使用者和電腦中的 「 傳送為 」 權限,權限會從使用者物件移除嵌入式管理單元在 Exchange 伺服器

文章翻譯 文章翻譯
文章編號: 907434 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

您明確設定的 身分傳送 恰好在 Active Directory 使用者及電腦嵌入式管理單元 Microsoft Exchange Server 中的使用者物件。不過,「 傳送 」 權限會移除從使用者物件大約一個小時之後設定 傳送 」 權限。

此外,其他您對使用者物件安全性描述元所作的變更可能會移除。比方說可能不再被選取 允許來自傳播到這個物件的父項的可繼承權限] 核取方塊。

如果您的環境,包括 Microsoft Exchange Server 5.5 與正常運作的 Active Directory 連接器 (ADC) 設定為使用 Active Directory 使用者帳戶受保護群組的成員的 Exchange Server 5.5 信箱可能會顯示為 「 自訂 」 在 Exchange Server 5.5 系統管理員程式。

發生的原因

Active Directory 目錄服務有確保受保護群組的成員沒有操作其安全性描述元的程序。如果是受保護群組的成員的使用者帳戶的安全性敘述元不符 AdminSDHolder 物件上的安全性描述元,使用者的安全性描述元是以新的安全性描述元,取自 AdminSDHolder 物件覆寫。

傳送 」 權限委派藉由修改使用者物件的安全性描述元。因此,如果使用者受保護群組成員的變更會覆寫中大約一小時中。

解決方案

我們建議您執行不使用電子郵件之用的受保護群組成員的帳戶。如果您需要提供到受保護群組的權限,我們建議您有兩個 Active Directory 使用者帳戶。這些 Active Directory 帳戶包括一個使用者帳戶新增至受保護的群組和一個用於電子郵件用途的使用者帳戶] 和 [在所有其他時間。

其他可行方案

下列資訊可以幫助您解決 Exchange Server 5.5 信箱出現中為 「 自訂 」 在 Exchange Server 5.5 系統管理員程式中使用者的問題。因應措施會依賴使用者物件複寫到 Active Directory,藉由 Active Directory 連接器 (ADC) 時 SELF 存取控制項目 (ACE) 應該還存在於使用者物件上的事實。

您可以使用 Dsacls.exe 公用程式將移除使用者物件關閉項目。如果要執行這個步驟將] 變更 AdminSDHolder 權限。然後,新增您想要的項目。因為所有項目使用安全性主體 SELF 這項因應措施應該不引進任何安全性問題。

附註您必須執行 Dsacls.exe 公用程式一次,以新增 AdminSDHolder 安全性描述元中遺失一個存取控制項目。比方說如果想新增六個不同的項目您可能會執行公用 Dsacls.exe 程式六次。

下列因應措施 AdminSDHolder 物件的變更。然後,AdminSDHolder 物件會傳播到每個使用者帳戶為受保護群組的成員。請依照下列步驟執行:
  1. 從 Windows 2000 光碟安裝 Microsoft Windows 2000 支援工具。這些工具包括 Dsacls.exe 公用程式。您可以使用 Dsacls.exe 公用程式來檢視、 修改,或在 Active Directory 中的物件移除 ACE。
  2. 建立批次檔,其中包含下列程式碼
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    
    注意 取代"dc = <mydomain>,dc = com"您網域的辨別名稱。
  3. 等候一個小時,因此 Active Directory 有時間重新寫入任何傳播群組成員的所有使用者帳戶的安全性描述元。
  4. ADC 會複寫所做的變更之後的所有使用者都顯示為 「 使用者 」 而不是為 [自訂]。
您可能套用安全性更新 916803]、 [安全性更新 912442,] 或 [日光節約時間更新下列文章 「 Microsoft 知識庫 」 中所述的 Exchange 伺服器:
926666Exchange 2003 Service Pack 2 的 2007 年的日光節約時間變更的更新
如果您執行這項操作您就必須防止 [AdminSDHolder 覆寫到受保護群組上 Blackberry 服務帳戶授與的權限。若要執行此動作建立批次檔案,其中包含下列程式碼:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" 
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
附註 在此批次檔,BlackBerrySA 是 Blackberry 服務帳戶名稱的預留位置。如果您在多個網域中有帳戶,所以您也可以指定命令列中的網域藉由使用下列格式: Domain\BlackberrySA

或者,我們建議您不要使用電子郵件之用的受保護群組成員的帳戶。如果您必須具有指定給受保護群組的權限,我們建議您有兩個 Active Directory 使用者帳戶。這些 Active Directory 帳戶包含新增到受保護群組的一位使用者帳戶和用電子郵件僅供並在所有其他時間的一個使用者帳戶。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。

其他相關資訊

如更多有關如何委派 「 傳送為 」 權限給使用者帳戶的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
281208如何授予 「 以下列傳送 」 「 使用者權利在 Exchange Server 5.5 與 Exchange 2000
如需有關 AdminSDHolder 物件的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
232199描述及 Active Directory AdminSDHolder 物件的更新
817433委派的權限無法使用而繼承已自動停用
AdminSDHolder 物件的位置是,如下所示:
CN = AdminSDHolder CN = 系統,DC = MyDomain,DC = Com
附註取代 DC = MyDomain,DC = Com 在這個路徑中您網域的辨別名稱。

下列清單包含在 Windows 2000 中的受保護的群組:
  • 企業系統管理員
  • 結構描述系統管理員
  • 網域系統管理員
  • 系統管理員
下列清單包含受保護的群組在 Microsoft Windows Server 2003 和 Windows 2000 中套用 Hotfix 327825 之後或之後安裝 Windows 2000 服務套件 4 (SP4):
  • 系統管理員
  • 帳戶操作員
  • 伺服器操作員
  • 列印操作員
  • 備份操作員
  • 網域系統管理員
  • 結構描述系統管理員
  • 企業系統管理員
  • 憑證發行者
下列使用者被視為此外,保護:
  • 系統管理員
  • Krbtgt
如需有關 Hotfix 327825,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
327825新的解析度,對於當使用者屬於多個群組的 Kerberos 驗證的問題

屬性

文章編號: 907434 - 上次校閱: 2007年10月25日 - 版次: 10.4
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
關鍵字:?
kbmt kbexchdirectory kbtshoot kbprb KB907434 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:907434
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com