A felhasználók nem tudnak e-mailt küldeni mobileszközökről vagy megosztott postaládákból az Exchange 2000 Server és az Exchange Server 2003 rendszerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 912918 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft Exchange 2000 Server vagy a Microsoft Exchange Server 2003 rendszerből nem sikerül e-mail üzenetet küldeni, és esetenként az alábbi hibaüzenetek vagy a kézbesítés sikertelenségéről tájékoztató alábbi jelentések jelennek meg.

Hibaüzenetek

  • Acess denied. (A hozzáférés megtagadva.)
  • You do not have sufficient permission to perform this operation on this object. See the folder contact or your system administrator. (Nem rendelkezik a szükséges engedéllyel a művelet elvégzéséhez ezen az objektumon. Forduljon a mappafelelőshöz vagy a rendszergazdához.)
  • Unlisted Message Error. (Listázatlan üzenet.)
  • MAPI_E_NO_ACCESS -2147024891
  • Failed to submit mail message for user USERNAME (HRESULT:-2147024891) Pausing user USERNAME. (Security error - Cannot access the users mailbox.)

    (FELHASZNÁLÓNÉV e-mail üzenetének küldése sikertelen (HRESULT:-2147024891), ezért a(z) FELHASZNÁLÓNÉV fiók felfüggesztésre került. (Biztonsági hiba – Nem érhető el a felhasználó postafiókja.))
  • Resource Not Found. (Az erőforrás nem található.)
Megjegyzés: A hozzáférés megtagadásáról vagy az erőforrás elérhetetlenségéről tájékoztató üzenetet az Outlook Web Access akkor jelenítheti meg, ha meghatalmazott fiókkal jelentkezett be.

Sikertelen kézbesítésről tájékoztató jelentések

  • You do not have permission to send to this recipient. For assistance, contact your system administrator. (Nem rendelkezik engedéllyel ahhoz, hogy ennek a címzettnek üzenetet küldjön. Forduljon segítségért a rendszergazdához.)
  • The message could not be sent using your mailbox. You do not have the permission to send the message on behalf of the specified user.

    (Az üzenet a felhasználó postafiókjával nem küldhető el. Nincs engedélye üzenet küldésére a megadott felhasználó nevében.)
A probléma az alábbi, külső gyártóktól származó termékeket érinti:
  • Research In Motion (RIM) BlackBerry Enterprise Server (BES)
  • Good Technology GoodLink Wireless Messaging
A következő termékeket viszont nem érinti a problémás viselkedésmód:
  • Cisco Unity Unified Messaging
  • Quest Migration Suite for Exchange
  • A Microsoft ExMerge segédprogramja az Exchange rendszerhez
A probléma érintheti továbbá az e-mail üzenetek küldését végző MAPI- és CDO-alapú alkalmazásokat is.

Végül olyan, harmadik felektől származó alkalmazások is érintettek lehetnek, melyek szolgáltatásfiókként küldenek e-maileket. Ebben az esetben a probléma megoldása érdekében ajánlott kapcsolatba lépni a gyártóval. Egyéb tudnivalókat további információkat ismertető szakaszban olvashat.

Fontos: Ha az üzletvitel szempontjából kritikus alkalmazások számára elérhetővé kívánja tenni a küldés másként parancsot, ideiglenes megoldásként örökléssel egy szolgáltatási fiókot biztosíthat a küldés másként parancsnak a kívánt Active Directory-tárolóban vagy akár a teljes tartományban. A művelet részletes ismertetését a című szakaszban találja. A művelet ugyan hatékony megoldást kínál a probléma azonnali elhárítására, az esetleges biztonsági kockázatok miatt azonban mégis ajánlott alaposan megfontolni a végrehajtását. A felhatalmazás révén ugyanis olyan fiókok is megkaphatják a másként küldési engedélyt, melyeket nem szeretett volna felruházni ezzel. Emellett külön tekintettel kell lenni az engedélyre akkor is, ha a felhasználófiókokat másik tárolóba helyezi.

Oka

A probléma a következő feltételek valamelyikének teljesülésekor léphet fel:
  • A levélküldésre használt fiókhoz tartozó postaláda tulajdonosának nevében nincs jogosultsága e-mail üzeneteket küldeni.
  • A számítógépen futó, Service Pack 3 (SP3) szervizcsomaggal frissített Microsoft Exchange 2000 Server rendszer Store.exe fájljának verziója nagyobb 6619.4-nél. A 6619.4-es verzió először a Microsoft Tudásbázis következő cikkében jelent meg:
    915358 Gyorsjavítás érhető el a postaládához teljes hozzáférést nyújtó engedély működésének módosítására az Exchange 2000 Server rendszerben
  • A számítógépen futó, Service Pack 3 (SP3) szervizcsomaggal frissített Microsoft Exchange 2000 Server rendszer Store.exe fájljának verziója nagyobb 6619.4-nél. A 7233.51-es verzió először a Microsoft Tudásbázis következő cikkében jelent meg:
    895949 A levélküldés-delegálási jog módosítása az Exchange 2003 rendszerben
    Ez a javítás nem része a Microsoft Exchange 2003 Service Pack 2 (SP2) szervizcsomagnak. Ha a gyorsjavítás Exchange Server 2003 SP1 szervizcsomagbeli verzióját telepítette, a Service Pack 2 szervizcsomag telepítése után telepíteni kell a gyorsjavítás Service Pack 2 szervizcsomaghoz készült verzióját.
  • Az Exchange Server 2003 SP2 Store.exe fájljának verziószáma legalább 7650.23. A 7650.23-as verzió először a Microsoft Tudásbázis következő cikkében jelent meg:
    895949 A levélküldés-delegálási jog módosítása az Exchange 2003 rendszerben
    Megjegyzés: Ezt a módosítást az Exchange 2000 Server SP3, az Exchange Server 2003 SP1 és az Exchange 2003 SP2 kiszolgáló nem tartalmazza. A módosítás implementálása a fenti szervizcsomagok kiadása után történt, a módosítást azonban valamennyi kiszolgáló támogatja. A módosítást a fenti termékek következő szervizcsomagja tartalmazni fogja.

    Az Exchange Server 2003 SP2 szervizcsomag telepítése után akkor is telepíteni kell az újabb frissítést az új viselkedésmód megőrzése érdekében, ha a frissítés Exchange Server 2003 SP1 rendszerhez készült verzióját korábban már telepítette.

A megoldás

A Store.exe fentebb említettnél korábbi verzióiban a korlátlan postafiók-hozzáférési (Full Mailbox Access) engedély beépített módon tartalmazta a postaláda-tulajdonosként való üzenetküldést. Ez azt jelenti, hogy a korlátlan postafiók-hozzáférési engedéllyel rendelkező fiókok úgy tudtak e-mail üzeneteket küldeni más fiókok nevében, mintha azokat a postaláda tulajdonosa küldte volna.

Sok Microsoft Exchange-felhasználó kérte, hogy a küldés másként (Send As) jogosultság a következő két okból kifolyólag legyen elválasztva a korlátlan postafiók-hozzáférési jogosultságtól:
  • Az e-mailek meghamisításának megakadályozása.
  • A meghatalmazottak által küldött e-mail üzeneteket mindig egyértelműen meg lehessen különböztetni a postaláda tényleges tulajdonosa által küldött levelektől.
Az Exchange információtárának új verzióiban már külön meg kell adni a küldés másként engedélyt ahhoz, hogy a postaláda-tulajdonos nevében lehessen e-mail üzeneteket küldeni. Ez alól az alábbi három eset jelent kivételt:
  • A postaláda tulajdonosa nem kéri, hogy külön meg kelljen adni a küldés másként engedélyt a saját postaládájához.
  • A postaládával társított külső fiók (Associated External Account) beállításaiban a felhasználó nem kéri, hogy külön be kelljen állítani a küldés másként engedélyt.
  • A korlátlan postafiók-hozzáférési engedéllyel rendelkező meghatalmazott fiók nem kéri, hogy külön meg kelljen adni a küldés másként engedélyt.
A kivételekről a „További információ” szakaszban talál részletesebb információkat.

Az ezektől különböző összes olyan fiók esetén, mely részleges vagy teljes hozzáféréssel rendelkezik egy postaládához, külön be kell állítani a postaláda tulajdonosi fiókjára vonatkozó küldés másként engedélyt ahhoz, hogy a postaláda tulajdonosaként küldhessenek e-mail üzenetet. Ebbe a körbe azon alkalmazások szolgáltatásfiókjai is beletartoznak, melyek mobileszközök felhasználóinak küldenek e-mail üzeneteket, vagy más hasonló levélküldési funkciókat végeznek.

A szolgáltatásfiók küldés másként engedélyét a postaládákat birtokló felhasználóobjektumok esetén egyenként kell megadni, vagyis arra nincs mód, hogy a küldés másként engedélyt egy Exchange kiszolgálóra vagy egy adatbázis-objektumra vonatkozóan biztosítsa, és ezzel az adatbázis minden egyes postaládájához megadja az engedélyt..

Ennek oka, hogy a küldés másként engedély egy olyan Active Directorybeli engedély, ami mindig csak arra az Active Directory-objektumra vonatkozik, melyhez megadták. Ha egy Exchange-adatbázishoz állít be küldés másként engedélyt, akkor az adatbázisra biztosítja azt, azon felhasználókhoz azonban nem, akiknek postaládájuk van a szóban forgó adatbázisban.

Megjegyzés: A fogadás másként (Receive As) engedély Exchange-adatbázisban történő kiosztása funkcionálisan megegyezik a korlátlan postafiók-hozzáférési engedély összes adatbázisbeli postaládának való kiosztásával. A fogadás másként engedélyt működési szempontból ez különbözteti meg a küldés másként engedélytől.

A küldés másként engedély esetén ugyanis az engedély csak az adatbázis-objektumra vonatkozik, az adatbázisbeli postaládákra nem. A fogadás másként engedélyt ezzel szemben automatikusan öröklik az adatbázis postaládái.

A két engedély közötti különbség pontosabb megértéséhez úgy gondoljon egy adatbázis postaládáinak összességére, mint egy postaláda mappáinak együttesére. Ha teljes hozzáféréssel rendelkezik az adatbázishoz, az adatbázis teljes tartalmához is hozzáférhet, beleértve a postaládákat.

A küldés másként engedély az Active Directorybeli felhasználói objektum identitására vonatkozik, nem az adatbázisban tárolt postaládákra. E-mailek küldésekor az e-mailt a rendszer nem egy postaládából vagy adatbázisból küldi, hanem egy felhasználótól. Ez a felhasználó a postaláda tulajdonosa mellett egy küldés másként engedéllyel rendelkező másik fiók is lehet.

A postaláda-tulajdonos nevében történő levélküldési engedélyt az alábbi módon állíthatja be:
  1. Indítsa el az Active Directory – felhasználók és számítógépek beépülő modult.
  2. Ellenőrizze, hogy a Nézet menü Advanced Features (Speciális szolgáltatások) parancsa be van-e jelölve. Ha nincs bejelölve, a felhasználófiók-objektumok tulajdonságpaneljein nem fog megjelenni a Security (Biztonság) lap.
  3. Nyissa meg a postaláda tulajdonosához tartozó felhasználói fiók tulajdonságpaneljét.
  4. Kattintson a Security fülre.
  5. Ha a küldés másként engedéllyel felruházandó fiók még nem szerepel a csoportok és felhasználók neveiből álló listában, vegye fel.
  6. A Permissions (Engedélyek) táblázatban jelölje be az Allow for the “Send As” (Küldés másként engedély megadása) jelölőnégyzetet, miután a táblázat felett kijelölte azt a felhasználót, akinek az engedélyt szeretné megadni.
  7. Kattintson az OK gombra.
  8. Indítsa újra a Microsoft Exchange Information Store szolgáltatást az érintett Exchange kiszolgálón.
Megjegyzés: Ha nem indítja újra a Microsoft Exchange Information Store szolgáltatást, a szolgáltatás az alábbi albeállításkulcsban megadott értéknek megfelelően frissíti engedély-gyorsítótárát az új engedélyek érvénybe léptetéséhez:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem


Azonosítónév: Mailbox Cache Age Limit
Típus: REG_DWORD
Alap: Decimális
Érték: A postaláda adatgyorsítótárának élettartama (perc)
A beállításjegyzékbeli bejegyzés alapértelmezett értéke 120 perc (két óra). A bejegyzés módosítása esetén újra kell indítania a Microsoft Exchange Information Store szolgáltatást.

Megjegyzés: A túlságosan alacsony időkorlát az Exchange kiszolgáló teljesítményére is hatással lehet.

Több fiók együttes felruházása a küldés másként engedéllyel

A cikk végén egy parancsfájlmintát talál, mely egy Active Directory címtár-szolgáltatási tartományban megkeresi az összes olyan korlátlan postafiók-hozzáférési engedéllyel rendelkező fiókot, mely nem rendelkezik másként küldési engedéllyel. Ezek ugyanis azok a jellemzői a szolgáltatás- és erőforrásfiókoknak, amit a biztonsági metódusokban tett változás érint. A parancsfájl előállít egy exportfájlt, amit ellenőrizhet és módosíthat, majd importálással megadhatja a küldés másként engedélyt minden olyan fióknak, melynek szüksége van rá.

A küldés másként engedély örökléssel is beállítható egy Active Directory-tartomány vagy egy tároló minden felhasználóobjektumán. E módon azonban olyan objektumokra is megadhatja ezt az engedélyt, melyek számára nem szerette volna. Emellett pedig a tárolóból áthelyezett objektumokra vonatkozó engedély az áthelyezés után elveszhet. Ez a módszer ezért nem ajánlott, és olyan biztonsági kérdéseket vet fel, melyeket a módszer alkalmazása előtt feltétlenül mérlegelni kell.

A küldés másként engedély megadása egy fiókhoz egy Active Directory-tartomány vagy -tároló minden felhasználóobjektuma számára:
  1. Indítsa el az Active Directory – felhasználók és számítógépek beépülő modult.
  2. Ellenőrizze, hogy a Nézet menü Advanced Features (Speciális szolgáltatások) parancsa be van-e jelölve. Ha nincs bejelölve, a tartomány- és tárolóobjektumok tulajdonságpaneljein nem fog megjelenni a Security (Biztonság) lap.
  3. Nyissa meg a tartomány vagy a tároló tulajdonságpaneljét, és kattintson a Security fülre.
  4. Kattintson az Advanced (Speciális) gombra.
  5. Ha az érintett fiók nincs a listában, az Add (Hozzáadás) gombra kattintva vegye fel, majd jelölje ki. Ha a fiók már a listában van, kattintson rá duplán.
  6. Az Applies Onto (Érvényességi kör) listában jelölje ki a User Objects (Felhasználóobjektumok) elemet.
  7. Biztosítsa a fiók számára a Send As engedélyt.
  8. Kattintson az OK gombokra, míg be nem zárt minden panelt és nem mentett minden módosítást.
Megjegyzés: A cikkben közzétett parancsfájl örökölt engedélyekkel dolgozik, így ha másként küldési engedélyt e megoldással biztosítja, az engedélyt örökléssel megszerző fiókok a parancsfájl számára láthatatlanok lesznek. Ha később ezeket a fiókokat is fel szeretné dolgozni a parancsfájllal, előbb el kell távolítania az örökölt másként küldési engedélyt.

Az adminSDHolder-alapú védett fiókokra vonatkozó speciális szabályok

Ha a parancsfájllal tartománygazdai szerepkört betöltő postaláda-tulajdonosnak kívánja biztosítani a küldés másként engedélyt, az engedély nem lép érvénybe. A tartománygazdai jogosultságokkal rendelkező és az adminSDHolder-alapú védett fiókok esetén kifejezetten ellenjavallt engedélyezni a jogosultságot.

Az adminSDHolder objektum egy olyan fióksablon, mely széles körű rendszergazdai jogosultságokat biztosít az Active Directoryhoz. A nem kívánt jogosultságemelések megelőzése érdekében az adminSDHolder objektum által védett fiókoknak ugyanazokkal a hozzáférési jogosultságokkal kell rendelkezniük, melyekkel az adminSDHolder objektum rendelkezik.

Ha módosítja az adminSDHolder objektumra vonatkozó engedélyeket vagy jogosultságokat egy védett fiókban, egy háttérfolyamat néhány percen belül visszavonja a módosításokat. Ha például küldés másként engedélyt biztosít egy tartománygazda-objektumhoz egy alkalmazási szolgáltatásfióknak, a háttérfolyamat automatikusan visszavonja az engedélyt.

Ennélfogva az alkalmazási szolgáltatásfiókok csak az adminSDHolder objektum módosítása után kaphatnak küldés másként engedélyt az adminSDHolder objektummal védett fiókokhoz. Az adminSDHolder objektum módosításával a védett fiókok hozzáférési engedélyeit is módosítja. Az adminSDHolder objektumot csak azt követően módosítsa, hogy alaposan és teljes körűen mérlegeli a módosítással járó biztonsági kérdéseket.

Postaláda társítása egy adminSDHolder objektummal védett fiókkal:
  1. Indítsa el az Active Directory – felhasználók és számítógépek beépülő modult.
  2. Ellenőrizze, hogy a Nézet menü Advanced Features (Speciális szolgáltatások) parancsa be van-e jelölve. Ha nincs bejelölve, a felhasználófiók-objektumok tulajdonságpaneljein nem fog megjelenni a Security (Biztonság) lap.
  3. Hozzon létre egy normál felhasználói fiókot, mely postaláda-tulajdonos lesz.
  4. Az Exchange kiszolgálón társítson egy postaládát ezzel a fiókkal.
  5. Nyissa meg az új postaláda-tulajdonosi fiók tulajdonságpaneljét.
  6. Az Exchange Advanced (Speciális Exchange-beállítások) táblázatban biztosítson teljes postafiók-hozzáférési engedélyt a védett rendszergazdai fióknak.
  7. A Security lapon biztosítson Send As engedélyt a védett rendszergazdai fiókhoz.
  8. Kattintson az OK gombokra a postaláda-tulajdonos objektum tulajdonságpaneljének bezárásához.
  9. A jobb gombbal kattintson a postaláda-tulajdonos fiókobjektumra, és kattintson a Disable Account (Fiók letiltása) parancsra, hogy a fiók használatával ne lehessen bejelentkezni semmilyen módon.
Az adminSDHolder-alapú védett fiókokról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
907434 A „Send As” engedély Active Directory – felhasználók és számítógépek beépülő modulból történő konfigurálása után a rendszer törli az Exchange kiszolgáló felhasználóobjektumának „Send As” engedélyét (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
318180 Az AdminSDHolder szál kihat a terjesztési csoportok tranzitív tagjaira (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
817433 A delegált engedélyek nem érhetők el és az öröklődés automatikusan letiltódik (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
306398 Az AdminSDHolder objektum kihat a korábbi rendszergazdai fiókok engedélyeinek delegálására (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A BlackBerry Enterprise Server rendszerre vonatkozó speciális feladatok

1. feladat: Meggyőződés arról, hogy a BlackBerry Enterprise Server különálló, egyedi fiókként fut

Győződjön meg arról, hogy a BlackBerry Enterprise Server olyan különálló fiók, amely kifejezetten felügyeleti feladatokat hajt végre. Alapértelmezés szerint e fiók neve „BESAdmin”.

Ha a BlackBerry Enterprise Server rendszer felügyeletére már létrehozott egy különálló fiókot, folytassa a 2. feladattal.

Amennyiben nem rendelkezik különálló fiókkal, hozzon létre egyet, és használja ezt a fiókot felügyeleti feladatok végrehajtására. Erről a BlackBerry Enterprise Server megfelelő verziójához tartozó webhely nyújt bővebb felvilágosítást.

A BlackBerry Enterprise Server 4.0 vagy a BlackBerry Enterprise Server 4.1 használata esetén keresse fel a BlackBerry következő webhelyét:
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=9174704&sliceId=&dialogID=11024244&stateId=1 0 11020632
A BlackBerry Enterprise Server 3.6 használata esetén keresse fel a BlackBerry következő webhelyét:
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB04334&sliceId=SAL_Public&dialogID=11016727&stateId=1 0 11020358

2. feladat: Meggyőződés arról, hogy a BlackBerry Enterprise Server szolgáltatásfiókja rendelkezik a megfelelő engedélyekkel

Ellenőrizze, hogy a BlackBerry Enterprise Server szolgáltatásfiókja rendelkezik-e a megfelelő engedélyekkel.

Megjegyzés: Ha a fiók egy tartományban van, győződjön meg róla, hogy a fiók csak a Tartományi felhasználók csoport tagja. Tartományvezérlőn lévő fióknak a beépített Rendszergazdák csoport tagjának kell lennie.
  1. A BlackBerry Enterprise Server rendszert futtató számítógépen kövesse az alábbi lépéseket:
    1. Győződjön meg róla, hogy a fiók a Helyi rendszergazdák csoport tagja.
    2. Rendelje a „Helyi bejelentkezés” és a „Bejelentkezés szolgáltatásként” engedélyeket a fiókhoz.
  2. Biztosítsa az Exchange View-Only Administrator (Csak olvasási jogokkal bíró Exchange-rendszergazda) engedélyeket a felügyeleti csoport szintjén. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az Exchange System Manager programban kattintson jobb gombbal az első Exchange Server felügyeleticsoport-névre, majd kattintson a Delegate Control (Delegálás vezérlése) elemre.
    2. Érdemes tudni, hogy a listában úgy szerepel a BlackBerry Enterprise Server szolgáltatásfiók, hogy az rendelkezik a csak olvasási jogokkal bíró Exchange-rendszergazda szerepkörrel.
  3. Biztosítsa a „Küldés másként", a „Fogadás másként" és az „Administer Information Store" (Felügyeleti információtár) engedélyeket a kiszolgálói szinten minden egyes Exchange Server kiszolgáló esetében. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az Exchange System Manager programban kattintson jobb gombbal az első Exchange Server felügyeleticsoport-névre, majd bontsa ki a Servers (Kiszolgálók) csoportot.
    2. Kattintson jobb gombbal egy Exchange Server kiszolgálóra, majd kattintson a Properties (Tulajdonságok) parancsra, végül a Security (Biztonság) fülre.
    3. A felső ablaktáblában jelölje ki a BlackBerry Enterprise Server szolgáltatásfiókot. Az alsó ablaktáblában győződjön meg róla, hogy a „Küldés másként", a „Fogadás másként" és a „Felügyeleti információtár" engedélyek engedélyezve vannak.
    4. A 3/b és a 3/c lépéseket ismételje meg minden Exchange Server kiszolgáló esetében.
  4. Biztosítsa a „Küldés másként", a „Fogadás másként" és a „Felügyeleti információtár" engedélyeket a postafiók-tároló részére. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az Exchange System Manager programban kattintson jobb gombbal az első Exchange felügyeleti csoport nevére, majd bontsa ki a Servers (Kiszolgálók) csoportot.
    2. Bontsa ki az első postaláda-tároló csoportot, és kattintson jobb gombbal mindegyik postaláda-tárolóra, majd kattintson a Properties (Tulajdonságok) parancsra, végül a Security (Biztonság) fülre.
    3. A felső ablaktáblában jelölje ki a BlackBerry Enterprise Server szolgáltatásfiókot. Az alsó ablaktáblában győződjön meg róla, hogy a „Küldés másként", a „Fogadás másként" és a „Felügyeleti információtár" engedélyek engedélyezve vannak.
    4. A 4/b és a 4/c lépéseket ismételje meg minden Exchange Server kiszolgáló esetében.
  5. Az Active Directory – felhasználók és számítógépek beépülő modulban kövesse az alábbi lépéseket:
    1. Kattintson a jobb gombbal arra a felhasználóra, amelyikhez engedélyeket kíván hozzáadni, majd kattintson a Tulajdonságok parancsra.
    2. A Biztonság lapon hozza létre a BlackBerry Enterprise Server szolgáltatásfiókot, majd jelölje be a Küldés másként jelölőnégyzetet.
Ha nem Exchange Server 2003 rendszert futtat, folytassa a 3. feladattal.

3. feladat: A BlackBerry Enterprise Server gyorsítótárának kiürítése

Az Information Store szolgáltatás engedély-gyorsítótárának kiürítéséhez indítsa újra a Blackberry eszközhöz kapcsolódó szolgáltatásokat és a Microsoft Exchange Information Store szolgáltatást. Az Information Store szolgáltatás újraindítását követően újra kell indítani a RIM Blackberry eszközhöz kapcsolódó szolgáltatásokat ahhoz, hogy az Exchange Information Store szolgáltatásban biztosítani tudja a „BESAdmin” fióknak az újonnan felvett Send As engedélyt.

A Blackberry-kiszolgáló követelményeiről a BlackBerry alábbi webhelyén tájékozódhat:
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB04707&sliceId=SAL_Public&dialogID=3016166&stateId=0%200%202441763

További információ

Az Exchange-postaládák és mappák hozzáférési engedélyeit az Active Directory és a Microsoft Exchange-adatbázisok közösen kezelik. Ugyan mindkét engedélytípust az Active Directory felhasználókezelési konzolján kell beállítani, a különböző típusú engedélyek két különböző helyen tárolódnak.

Ha egy objektumra vonatkozó engedélyt a Security lapon állít be, az egy Active Directorybeli jogosultság lesz, míg az Exchange Advanced Mailbox Rights lapon beállított engedélyek az Exchange-adatbázis engedélyei lesznek. Ennélfogva ha megpróbál hozzáférni egy Mailbox Rights (Postaláda-jogosultságok) laphoz, amikor a felhasználó adatbázisa nem érhető el, akkor az alábbi hibaüzenet jelenik meg:
The Microsoft Information Store service is unavailable. (Az információtár-szolgáltatás nem érhető el.)
Az Exchange Advanced Mailbox Rights lapon beállított társított külső fiók engedély ugyanakkor nem az Exchange-adatbázisban tárolódik. A társított külső fiók engedély nem tekinthető valódi engedélynek, mivel az egyszerűen az msExchMasterAccountSID Active Directory-attribútum beállítására szolgál. Az msExchMasterAccountSID attribútum önmagában nem egy engedély, azonban más engedélyek működését szabályozza. Az msExchMasterAccountSID attribútumról további információt a társított külső fiókokat ismertető szakaszban talál.

Megjegyzés: Az msExchMailboxSecurityDescriptor Active Directory-attribútum az eredő postaláda-jogosultságok részhalmazának biztonsági másolata. Ezt az attribútumot az Exchange használja különböző célokra. Az msExchMailboxSecurityDescriptor attribútumot a rendszer mindig úgy frissíti, hogy értéke egyezzen a tényleges aktuális eredő engedélyekkel, ha a rendszergazdák a támogatott felületeken keresztül végzik a jogosultságok társítását.

Ha azonban egy rendszergazda közvetlenül módosítja az msExchMailboxSecurityDescriptor attribútumot, a módosítások nem lesznek továbbítva az Exchange információtárához, és a módosítások így nem is lépnek érvénybe. Mivel nem garantálható, hogy az attribútum minden pillanatban szinkronban van a tényleges postaláda-jogosultságokkal, azok írására és olvasására nem javasolt az msExchMailboxSecurityDescriptor attribútumot használni.

A Microsoft Tudásbázis kapcsolódó cikke:
310866 Az Exchange Server 2003 és az Exchange 2000 Server információtárában tárolt postaládákra vonatkozó jogosultságok beállítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A korlátlan postafiók-hozzáférési engedély egy Exchange-adatbázisban definiált engedély, míg küldés másként engedély egy Active Directorybeli engedély. Az Exchange Store.exe fájlnak a cikkben leírt módosítása előtt a küldés másként engedély beállításakor az Exchange nem vizsgálta, hogy a küldő rendelkezik-e már korlátlan postafiók-hozzáférési engedéllyel.

Megjegyzés: A küldés másként engedély a korlátlan postafiók-hozzáférési engedély hiányában is biztosítható. Ilyen helyzetekben az Exchange mindig a küldés másként engedély meglétét ellenőrizte.

A másként küldési engedély korlátlan postafiók-hozzáférési engedélybe való befoglalása lehetővé tette az Exchange kiszolgálók rendszergazdáinak, hogy saját maguknak érvényes másként küldési engedélyeket biztosítsanak az általuk felügyelt kiszolgáló minden postaládájához. Erre az adott módot, hogy eredően teljes hozzáférésük volt a teljes felügyelt Exchange-adatbázishoz. A küldés másként engedély korlátlan postafiók-hozzáférési engedélytől történő elválasztása révén mostantól az Active Directory rendszergazdái meggátolhatják ezt a folyamatot, mivel a küldés másként engedély egy Active Directory-engedély, nem pedig az Exchange által tárolt engedélyek egyike. A folyamatot így tehát nem feltétlenül az Exchange rendszergazdái szabályozzák.

Postaláda-tulajdonosok

Postaláda-tulajdonosnak minősülnek azok az Active Directorybeli felhasználói fiókok, melyek msExchMailboxGUID attribútuma egy postaláda globálisan egyedi azonosítóját (GUID) tartalmazza. Egy erdőben csak egyetlen fiók msExchMailboxGUID attribútuma hordozhatja egy adott postaláda globálisan egyedi azonosítójának értékét. Ha megpróbál egy második tulajdonost is létrehozni ugyanazzal a globálisan egyedi azonosítóval,.az Active Directory egy hibaüzenet kíséretében megtagadja a műveletet.

Ha egy fiók számára postaládát állít be, vagy egy leválasztott postaládát egy Active Directory-fiókhoz csatol, a postaláda globálisan egyedi azonosítóját a rendszer automatikusan beállítja a fiókban. A rendszergazdáknak csak elvétve szükséges közvetlenül beállítani a globálisan egyedi azonosítókat, és e kivételektől eltérő esetekben nem is javasolt ezt tenniük.

Társított külső fiókok

Az Exchange egyik szokásos konfigurációja az Exchange telepítése egy erőforráserdőben. Az erőforráserdő a rendszerben postaládával rendelkező felhasználófiókokat tartalmazó erdőtől különböző erdő. Ez problémát jelent, mivel az msExchMailboxGUID attribútum csak az Exchange kiszolgálóval azonos erdőben lévő objektumokon állítható be.

A probléma megoldása a postaláda engedélyezése az Exchange kiszolgálót tartalmazó erdő egyik fiókjában. Azután e fiókot csatolni kell egy másik erdő vagy egy Microsoft Windows NT 4 rendszerű tartomány másik fiókjához. Ezt a társított külső fiók engedély teszi lehetővé. A társított külső fiók engedéllyel csak egyetlen fiók ruházható fel, és a választott fióknak másik erdőből kell származnia.

A társított külső fiók engedély beállításakor a postaláda-tulajdonos fiókjához tartozó msExchMasterAccountSID attribútum értéke felveszi a külső fiók biztonsági azonosítójának (SID) értékét. Tehát ez valójában nem engedély, hanem egy kényelmes módszer az msExchMasterAccountSID attribútum értékének beállítására. Az msExchMasterAccountSID attribútum beállítása után az értékül adott biztonsági azonosítóhoz tartozó külső fiók ugyanolyan hozzáférést az Exchange rendszerben, mintha tényleges postaláda-tulajdonos fiók lenne.

Fontos megjegyezni, hogy ez csak az Exchange rendszerbeli hozzáférésre vonatkozik, az Active Directorybeli hozzáférést nem érinti. A várt működés érdekében a postaláda-tulajdonos fiók számára célszerű mindenféle bejelentkezést letiltani a társított külső fiók engedély beállítása után.
300456 Az ügyfelek engedélyei és meghatalmazásai beállításuk után nem őrződnek meg az Exchange 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Meghatalmazási forgatókönyvek

A meghatalmazott vagy delegált olyan felhasználó, aki részleges vagy teljes hozzáférést kapott egy másik postaládához, továbbá feljogosították arra, hogy e postaláda tulajdonosának nevében e-mail üzeneteket küldhessen. A delegálás egyik szokásos esete, hogy egy vezető titkárának meghatalmazotti hozzáférést biztosítanak a vezető naptárához. A meghatalmazott rendszerint olvasni és módosítani is tudja a naptárt. A meghatalmazott gyakran az e-mail üzenetekre is tud válaszolni a vezető nevében.

A meghatalmazotti hozzáférés megadásának módja a delegált felvétele a postaláda-tulajdonos publicDelegates attribútumában tárolt többértékű listába. Az ebben az attribútumban felsorolt felhasználók levélküldési (Send on Behalf Of) engedéllyel rendelkeznek a postaláda-tulajdonos postaládájához. Ha ezek a megbízottak olyan üzeneteket küldenek, melyek Feladó mezőjében a tulajdonos neve szerepel, akkor az e-mail Feladó mezőjében a
<Meghatalmazott neve> postaláda-tulajdonos <nevében> felirat olvasható.
Az e-mail üzenetet ilyen esetben a rendszer a meghatalmazottól, és nem a postaláda-tulajdonostól vagy a postaláda-tulajdonosként küldi.

A levélküldési és meghatalmazási engedélyek megadására két felület használható:
  • A levélküldési engedély beállítható a postaláda-tulajdonos objektum Exchange General (Általános Exchange-beállítások) párbeszédpaneljén.
  • A Microsoft Outlook alkalmazásban a Meghatalmazottak párbeszédpanelen végezhető el a művelet.
Mindkét eljárás a publicDelegates attribútumot értékét módosítja. Az Outlook alkalmazásban azonban kijelölhetők a delegálandó mappák is. Végül az Outlook alkalmazásban az egyes mappák tulajdonságpaneljén közvetlenül is kiosztható a meghatalmazotti jogosultság.

Egyes esetekben előfordulhat, hogy az Outlook alkalmazásból nem állítható be a publicDelegates attribútum.
329622 A levélküldési jog nem delegálódik a hozzáférés delegálásával az Outlook alkalmazásban (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Ha meghatalmazotti hozzáférést biztosít postaládájához, a meghatalmazott akkor is élhet a levélküldési joggal, ha egyetlen postaládamappához sem biztosított neki hozzáférést. A meghatalmazottak alapvető engedélye a levélküldési engedély. A postaládamappák hozzáférésének engedélyei ettől különböző, a delegálási engedéllyel mellett külön megadandó engedélyek.

A meghatalmazottak rendszerint azokat az egyes mappákat fogják használni a Microsoft Outlook alkalmazásban, melyekhez engedélyeket biztosított nekik. Az engedély megadásához mutasson az Outlook Fájl menüjének Megnyitás parancsára, és kattintson a Más felhasználó mappája parancsra.

A meghatalmazottak is megnyithatják postaládáját, ha megnyitandó postaládaként felveszik Outlook-profiljuk Speciális lapjának listájába. Ekkor postaládája meg fog jelenni a meghatalmazott mappalistáján. Ez a módszer postaládája minden olyan mappájához hozzáférést nyújt, melynek elérését engedélyezte a meghatalmazott számára.

Előfordulhat, hogy egyes esetekben azt szeretné, hogy a meghatalmazottak levélküldési, más esetekben pedig küldés másként engedéllyel rendelkezzenek. E két engedély megadásának módja a meghatalmazottak számára:
  • Biztosítson korlátlan postafiók-hozzáférési engedélyt a meghatalmazottnak. Ezt az Outlook alkalmazásban nem tudja megtenni – ezt az Active Directory rendszergazdái végezheti el a postaláda-tulajdonosi fiókban. Még ha Tulajdonos engedélyt is biztosít postaládája minden fiókjához, az sem lesz egyenértékű a korlátlan postafiók-hozzáférési engedéllyel.
  • Ne biztosítson küldés másként engedélyt a meghatalmazottnak, ellenkező esetben a meghatalmazott által küldött e-mail üzenetek mindegyike a küldés másként engedély szerint fog továbbítódni, és a meghatalmazott nem fog tudni élni a levélküldési engedély nyújtotta lehetőséggel.
E forgatókönyv szerint a meghatalmazottnak saját postaládáiba kell bejelentkezni, ha a levélküldési engedély szerint kíván levelet küldeni. Ha a delegált mappákban lévő üzeneteket válaszolják meg vagy továbbítják, az üzenet automatikusan a levélküldési engedély szerint (vagyis a meghatalmazó nevében) továbbítódik. Ha azonban a meghatalmazott új üzenetet hoz létre, a meghatalmazott nevét kell beírnia az üzenet Feladó mezőjébe ahhoz, hogy az ő nevében küldje a levelet.

Attól függetlenül, hogy csak egyes mappákat nyitottak meg, vagy megnyitandó postaládaként beállítva a teljes postaládát, a meghatalmazott nevében küldött e-mailek mind a levélküldési engedély szerint továbbítódnak, ha saját postaládájuk az elsőleges postaláda az éppen használt Outlook-profilban.

Ha egy meghatalmazott postaláda-tulajdonosként szeretne e-mail üzenetet küldeni, be kell jelentkeznie a meghatalmazó postaládájába. Ehhez olyan Outlook-profilra van szüksége, mely csak a meghatalmazott postaládáját nyitja meg. A bejelentkezés és a kijelentkezés közötti időben a meghatalmazottak által küldött e-mail üzenetek mind úgy lesznek továbbítva, mintha a meghatalmazó küldte volna őket.

A korlátlan postafiók-hozzáférési engedéllyel rendelkező, de küldés másként engedéllyel nem rendelkező felhasználók megkeresése

Az e szakaszban ismertetett parancsfájlminta egyszerre egy Active Directory-tartományban tudja megkeresni azokat a felhasználói fiókokat, melyek korlátlan postafiók-hozzáférési engedélyt kaptak ugyan egy postaládához, másként küldési engedélyt azonban nem.

Fontos: Az engedélyek módosítása előtt tanulmányozza a cikk Meghatalmazottal rendelkező postaláda-tulajdonosok szakaszát.

A parancsfájl három üzemmódja:
  • Exportálási üzemmód (Export): Ebben az üzemmódban lista készíthető azokról a felhasználókról, akik korlátlan postafiók-hozzáférési engedéllyel rendelkeznek, de a Küldés másként művelet végrehajtásához szükséges engedéllyel nem. A listát a Jegyzettömbben vagy bármilyen más szövegszerkesztőben ellenőrizheti, és törölheti belőle azokat a fiókokat, akiknek nem szeretne küldés másként engedélyt biztosítani.
  • Importálási üzemmód (Import): Ebben az üzemmódban importálhatja azon felhasználók listáját, akik rendelkeznek korlátlan postafiók-hozzáférési engedéllyel, és emellett a Küldés másként művelet végrehajtásához szükséges engedélyt is szeretné biztosítani számukra. Fontos megjegyezni, hogy a parancsfájllal nem lehet egyszerre korlátlan postafiók-hozzáférési és küldés másként engedélyt biztosítani a fióknak – utóbbit csak azok kaphatják meg, akik az előbbivel már rendelkeznek.
  • Teljes körű beállítás (SetAll): Ebben az üzemmódban a tartomány minden korlátlan postafiók-hozzáférési engedéllyel rendelkező fiókjának megadhatja a Küldés másként művelet végrehajtásához szükséges engedélyt. A parancsfájl az exportálási üzemmódban előállítottéval azonos formátumú naplófájlt készít. Ez az üzemmód egyenértékű az exportálási és importálási módok futtatásával, ha közben nem módosítja az exportfájlt.
Megjegyzés: A parancsfájlnak nincs visszavonási funkciója.

A parancsfájl által igényelt engedélyek

A parancsfájl futtatásához a postaláda-tulajdonosi fiókokat tartalmazó erdőre vonatkozó rendszergazdai jogosultságokkal rendelkező fiókkal kell bejelentkezni. Erdők közötti rendszergazdai jogosultságokkal rendelkező fiók használata esetén előfordulhat, hogy a parancsfájl nem fog megfelelően működni. A parancsfájl emellett abban az esetben sem működik, ha a postaláda-tulajdonosi fiókokat tartalmazó erdőtől eltérő erdőhöz csatlakozó munkaállomásról futtatja azt.

A megfelelő feltételek esetén a parancsfájlt egyetlen bejelentkezési munkamenetben több rendszergazdai fiókról is futtathatja a RunAs.exe parancs használatával. Ez az eljárás akkor bizonyulhat hasznosnak, ha több szegmensből álló Active Directory- és Exchange-engedélyekkel rendelkezik, és egy fiók sem képes valamennyi Exchange kiszolgálót vagy Active Directory-tartományt kezelni. A parancsfájl különböző rendszergazdai fiókokkal történő futtatásához külön parancssort nyithat meg. Tekintse át az alábbi példát:
RunAs.exe /user:tartomány\fiók CMD.EXE
Megjegyzés: A parancsfájlt egy időben nem ajánlott több példányban futtatni ugyanazon tartomány feldolgozásához.

Az alábbi lista az exportfájl mezőit ismerteti. A mezők ismertetésbeli sorrendje azonos az exportfájlbeli sorrendjükkel.
  • A postaláda-tulajdonos megjelenítendő neve

    Ez a mező akár több sort is elfoglalhat. Ez akkor fordul elő, ha több másik fiók is korlátlan postafiók-hozzáférési engedéllyel rendelkezik ugyanahhoz a fiókhoz.
  • Korlátlan postafiók-hozzáférési engedéllyel rendelkező, de küldés másként engedéllyel nem rendelkező fiók tartománya és bejelentkezési neve

    Ugyanaz a fiók több alkalommal is megjelenhet a fájlban, ha a fiók több postaládához is rendelkezik hozzáférési engedéllyel. Jó eséllyel ilyen fiókok az alkalmazási szolgáltatásfiókok, illetve a több postaláda-erőforrást kezelő felhasználók fiókjai.
  • Korlátlan postafiók-hozzáférési engedéllyel rendelkező, de küldés másként engedéllyel nem rendelkező fiók megjelenítendő neve

    Ez a mező a felhasználók azonosítását teszi egyszerűbbé.
  • A postaláda-tulajdonosi fiók meghatalmazotti állapota

    Ha a postaláda tulajdonosa rendelkezik meghatalmazottakkal, a mező értéke „Has Delegates”, ellenkező esetben pedig „No Delegates”.
  • A postaláda-tulajdonosi fiókok engedélyezett vagy letiltott állapota

    A mező az erőforrás- vagy kereszterdős postaládafiókok azonosításához nyújt segítséget. Ezek rendszerint letiltott fiókok.
  • A postaláda-tulajdonosi fiók teljes megkülönböztető neve

    A mező a postaláda-tulajdonosi fiókot tároló tartomány és tárolóobjektum azonosítását teszi egyszerűbbé.
  • A postaláda-tulajdonos postaláda-adatbázisának teljes megkülönböztető neve

    A mező tartalmazza a postaládát tároló adatbázis, tárolási csoport, kiszolgáló és felügyeleti csoport nevét.
Az alábbi példában a „KüldésreNemJogosult” bejelentkezési nevű felhasználó korlátlan postafiók-hozzáférési engedéllyel rendelkezik, de küldés másként engedélye nincs a „Tulajdonos” postaládához:
"""Tulajdonos""""""Tartomány\Tulajdonos""""""KüldésreNemJogosult""""""Enabled"""[... további mezők]

A parancsfájl konfigurálása a rendszergazdai munkaállomáson

A parancsfájl az Exchange kezelőfelületén keresztül kommunikál az Exchange kiszolgálókkal. A parancsfájlt ezért egy Exchange kiszolgálón vagy olyan munkaállomáson kell futtatni, melyen telepítve van az Exchange System Administrator alkalmazás.

Az exportfájl módosítása

Az exportfájl egy Unicode kódolású szövegfájl, így a különböző nyelvek karakterkészletei nem okoznak problémát. Egyes szövegszerkesztők azonban helytelenül jelenítik vagy módosítják, esetleg ANSI vagy ASCII kódolásban mentik a fájlt. A Microsoft Windows XP, a Microsoft Windows 2000 és a Microsoft Windows 2003 Jegyzettömbje helyesen kezeli a Unicode-fájlokat. A Microsoft Excel szintén alkalmas a feladatra..

A kimeneti fájl egy tabulátorkarakterekkel tagolt fájl, melyben az egyes mezőket három-három idézőjel veszi körül. Ezek szerepe, hogy az Excel alkalmazást használók számára kiszámíthatóbbá tegyék az importálási és exportálási funkciót. Az Excel a háromszoros idézőjeleket egyszeres idézőjelekre cseréli, és a Unicode formátumú mentéskor visszaállítja őket háromszoros idézőjelekre. Az alábbiak az exportfájl Excel alkalmazásbeli helyes megnyitásának és mentésének módját tárgyalják.

Az exportfájlok az Excel nélkül, a Find.exe vagy a Findstr.exe segédprogrammal is szűrhetők. E két eszköz a Windows részét képezi, és egy fájlnak csak azon sorait foglalják be kimenetükbe, melyek tartalmaznak egy adott szót – vagy azokat, melyek az adott szót nem tartalmazzák. Ha például listát szeretne készíteni a fájlban található azon postaláda-tulajdonosokról, akik delegálták levélküldési jogukat, mindkét alábbi paranccsal létrehozhat egy olyan fájlt, mely csak a „Has Delegates” (delegáló) karakterláncot tartalmazó sorokat tartalmazza:
Find.exe “Has Delegates” EredetiFájl.txt > Delegálók.txt

Findstr.exe /C:”Has Delegates” EredetiFájl.txt >HasDelegates.txt
Ha a fentivel szemben a levélküldési jogukat nem delegáló postaláda-tulajdonosok körét szeretné meghatározni, a /V kapcsolót kell használnia, mely a keresett szavakat nem tartalmazó sorokat helyezi a parancs kimenetébe. Az alábbi parancsok mindegyike olyan szövegfájlt készít, mely a „Has Delegates” karakterláncot nem tartalmazó sorokat tartalmazza:
Find.exe “No Delegates” EredetiFájl.txt>NemDelegálók.txt

Find.exe /V “Has Delegates” EredetiFájl.txt > NemDelegálók.txt

Findstr.exe /C:”No Delegates” EredetiFájl.txt > NemDelegálók.txt

Findstr.exe /V /C:”Has Delegates” EredetiFájl.txt > NemDelegálók.txt
A parancsok a korlátlan postafiók-hozzáférési engedéllyel rendelkező, de a másként küldési engedéllyel nem rendelkező alkalmazási szolgáltatásfiókok listáját tartalmazó fájl előállítására is alkalmasak. A /I kapcsoló megadása esetén a parancsok nem tesznek különbséget a kis- és nagybetűk között:
Find.exe /I “tartomány\Szolgáltatásfiók” EredetiFájl.txt > Szolgáltatásfiók.txt

Findstr.exe /I /C:”tartomány\Szolgáltatásfiók” EredetiFájl.txt>Szolgáltatásfiókok.txt
Megjegyzés: Ha Find.exe programmal hozza létre a szűrt fájlt, utólag el kell távolítania a Find.exe által a fájl elejére helyezett fejlécet.

Ne használjon helyettesítő karaktereket tartalmazó fájlnevet (például *.*) a Findstr.exe segédprogrammal. Helyettesítő karakterek használata esetén a kimeneti fájl valamennyi sora tartalmazni fogja a fájlnevet. A Find.exe vagy Findstr.exe segédprogrammal való szűrést követően a kimeneti fájl áttekintésével ajánlott meggyőződni arról, hogy a fájl a kívánt fiókokat tartalmazza.

Az alábbi példában a „Jogosultsághiányos” bejelentkezési nevű felhasználó rendelkezik korlátlan postafiók-hozzáférési engedéllyel, de küldés másként engedélye nincs a „Tulajdonos” postaládához.
"""Tulajdonos""" """Tartomány\Tulajdonos""" """Jogosultsághiányos""" """Has Delegates""" """Enabled""" [... további mezők] 

Meghatalmazottal rendelkező postaláda-tulajdonosok

A korlátlan postafiók-hozzáférési engedéllyel rendelkező meghatalmazottak esetében többnyire nem szükséges a küldés másként engedély kiosztása. Ha az ilyen meghatalmazottak közvetlenül a postaláda-tulajdonos postafiókjába jelentkeznek be, használhatják a küldés másként parancsot. Az Outlook meghatalmazotti szolgáltatásainak használatakor (további postafiókok vagy más felhasználók postafiókjának megnyitása esetén) a program meghatalmazottként küldi az üzeneteket.

A küldés másként engedélyt csak akkor ajánlott kiosztani a meghatalmazottaknak, ha azt szeretné, hogy az adott meghatalmazott mindig a postafiók tulajdonosaként küldje az üzeneteket, ne pedig a postafiók tulajdonosának meghatalmazottjaként. Keressen rá az exportfájlban a „Has Delegates” kifejezésre, majd állapítsa meg, hogy az abban található ilyen típusú meghatalmazottak valóban a postaláda-tulajdonosok meghatalmazottjai-e.

Az exportfájl kizárólag a meghatalmazottak e típusát tartalmazza. A szokásos meghatalmazottak nem rendelkeznek a korlátlan postafiók-hozzáférési engedéllyel. Ha a szokásos meghatalmazottaknak kiosztja a küldés másként engedélyt, a meghatalmazott azt követően minden esetben a postafiók tulajdonosaként küldi az üzeneteket. Ez abban az esetben is igaz, ha a szokásos meghatalmazott nem rendelkezik korlátlan postafiók-hozzáférési engedéllyel. Ha véletlenül oszt ki küldés másként engedélyt egy meghatalmazottnak, az engedélyt a későbbiekben könnyedén visszavonhatja.

Az exportfájl megnyitása az Excel alkalmazásban

  1. Indítsa el az Excel alkalmazást az exportfájl megnyitása előtt.
  2. Nyissa meg a fájlt szövegfájlként. Ekkor elindul a Szövegbeolvasó varázsló.
  3. A varázslóban a következő beállításokat adja meg:
    • Az eredeti adat típusa: Tagolt
    • A beolvasás első sora: 1 1
    • A fájl eredete: Unicode (UTF-8)
    • Határolójelek: Tab
    • Egymást közvetlenül követő határolójelek egynek számítanak: nincs bejelölve
    • Szövegjelölő: " (dupla idézőjel)

Az exportfájl mentése módosítás után az Excel alkalmazásban

  1. Kattintson a Mentés másként gombra.
  2. Adjon új nevet a fájlnak, hogy maradjon egy másolata az eredetiből.
  3. Kattintson a Fájl menü Mentés másként parancsára, adjon nevet a kimeneti fájlnak, és jelölje ki a Fájltípus legördülő lista Unicode szöveg elemét.

A parancsfájl szintaxisa

Ez egy szöveges parancsfájl, amit a Futtatás párbeszédpanel helyett egy parancssori ablakból ajánlott futtatni. Parancssorablak megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.

A hibanaplót és az exportfájlt a parancsfájl a parancssori ablakban aktuális könyvtárba menti. Ezért szükség van rá, hogy legyen fájllétrehozási engedélye a könyvtárban.
A parancssori súgó megjelenítéséhez írja be az alábbi parancsot:
CSCRIPT AddSendAs.vbs
A korlátlan postafiók-hozzáférési engedéllyel rendelkező, de a Küldés másként művelet végrehajtásához szükséges engedéllyel nem bíró tartományi felhasználók listájának exportálásához írja be az alábbi parancsot:
CSCRIPT AddSendAs.vbs [tartományvezérlő neve] –Export Példa: CSCRIPT AddSendAs.vbs VALL-DC-1 –Export
Az exportfájl nevének alakja „Send_As_Export_Ó_PP_MM.txt” lesz.
A módosított exportfájl importálásához írja be a következő parancsot:
CSCRIPT AddSendAs.vbs [tartományvezérlő neve] –Import [fájlnév]


Példa:


CSCRIPT AddSendAs.vbs VALL-TV-1 –Import "Send_As_Export_Ó_PP_SS.txt"

A másként küldés engedély megadása egy tartomány minden olyan felhasználójának postaládájához, akik rendelkeznek korlátlan postafiók-hozzáférési engedéllyel

Megjegyzés: Ha vannak olyan meghatalmazottak is, akik a szervezetben korlátlan postafiók-hozzáférési engedéllyel rendelkeznek, nem ajánlott ezen üzemmód használata. Ebben az üzemmódban ugyanis a meghatalmazottak is küldés másként engedélyt kapnak. Ennek eredménye az lehet, hogy a meghatalmazottak által küldött e-mailek mindegyike a küldés másként jogosultság szerint lesz továbbítva a levélküldési jogosultság helyett. Ennek elkerüléséhez el kell távolítani azon meghatalmazottak küldés másként engedélyét, akik ezt nem szándékosan kapták meg.
CSCRIPT AddSendAs.vbs [tartományvezérlő neve] –SetAll


Példa:


 CSCRIPT AddSendAs.vbs CORP-DC-1 –SetAll
Ebben az üzemmódban készül egy Send_As_Export_H_MM_SS.txt névformátumú exportfájl. A fájlt célszerű megőrizni, mivel megtalálható benne minden módosított fiók. Ha a parancsfájlt másodszorra is futtatja, nem ugyanazt a fióklistát fogja eredményül kapni, mivel az első futtatás során a fiókok megkapták a küldés másként engedélyt.

A parancsfájl futása során bekövetkező hibákat egy Send_As_Errors_Ó_PP_SS.txt névformátumú fájlban menti az algoritmus. A hibafájl nevében szereplő időpont (az Ó_PP_SS alakú dátumbélyeg) a vonatkozó exportfájl dátumbélyegével azonos.

A parancsfájl módosítása

Előfordulhat, hogy a szervezetben vannak olyan fiókok, melyek sok objektumhoz rendelkeznek hozzáféréssel, és hogy ezen engedélyeket nem kívánja módosítani. Csökkentheti az exportfájl méretét, ha a parancsfájl elején található FMA_EXCLUSIVE_LIST változó módosításával kiszűri ezeket a fiókokat. A változó alapértelmezett értéke néhány olyan fiók, melyeket nem célszerű befoglalni a művelet eredményébe. További fiókokat az alábbi szintaxis szerint adhat meg:
& "<Tartomány\Név>" & OUTPUT_DELIMITER
Ha például a változó értéke
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER
akkor ez az alábbi értékre módosítható:
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER & "Tartomany\Szolgaltatas1" & OUTPUT DELIMITER
Az alábbi módosítás révén a "Tartomany\Szolgaltatas1", az "NT AUTHORITY\SELF" és az "NT AUTHORITY\SYSTEM" fiók nem kerül be az exportfájlba. Fontos tudni, hogy a Tartomány\Név argumentumban a kis- és nagybetűk különbözőnek számítanak, és pontosan az eredeti formában kell megadni őket (ahogy az exportfájlban is megjelennének).

További szerkeszthető változó az FMA_EXCLUSIVE_EXSVC, amely az "\Exchange Services" & OUTPUT_DELIMITER alapértelmezett értékkel rendelkezik. Az „Exchange Services” nevű fiókot az Exchange 5.5 és Exchange 2000 áttelepítéses vagy közös üzemű környezetében az Active Directory Connector ruház fel engedélyekkel. Ezt a fiókot több tartományban hozzák létre, és amennyiben nem rejtett, az exportfájlban ismétlődően előfordulhat.

Az FMA_EXCLUSIVE_EXSVC változó csak egy fiókot fogad el értékeként. A fióknévben a kis- és nagybetűk azonosnak számítanak. A megadott fiók nevét a „\” előtagnak kell megelőznie, és a fióknév nem tartalmazhatja annak a tartománynak a nevét, amelyhez tartozik. A fiók rejtett lesz minden tartományban, amelyben létezik.

Ha harmadik féltől származó áttelepítési eszközöket vagy szinkronizálási módszereket használt, a fentitől eltérő lehet a neve annak a több tartományban is definiált fióknak, mely sokféle engedéllyel rendelkezik a felhasználói postaládákat illetően. Ebben az eljárásban az „\Exchange Services” fióknevet helyettesítheti az így kitüntetett fiók nevével.

Tippek és figyelmeztetések

  • Ne törölje a parancsfájl által létrehozott fájlokat. Az információk későbbi hibaelhárítás és művelet-visszavonás céljából igen hasznosak lehetnek. Fontos megjegyezni, hogy miután egy fiók megkapta a küldés másként engedélyt, a parancsfájl későbbi futásaikor nem kerül bele az exportfájlba.
  • Ha egy Exchange kiszolgáló vagy -adatbázis nem működik, a parancsfájl futása lassabb lesz. Ekkor adatbázisok szerint rendezheti a fájlt, és az üzemen kívüli adatbázishoz tartozó sorokat későbbi importálás céljából áthelyezheti egy másik fájlba.
  • A parancsfájl nem foglalja bele az exportfájlba azokat a fiókokat, melyek bejelentkezési neve „$” karakterben vagy „NT AUTHORITY\SYSTEM” karakterláncban végződik. Ezek a rendszerfiókok rendszerint nem igényelnek küldés másként engedélyt, eltávolításuk a listából viszont nagyban csökkenti az exportfájl méretét.
  • Az exportfájlt importálás előtt Unicode formátumra kell alakítani. Ha véletlenül ANSI formátumban mentette az exportfájlt, nyissa meg a Jegyzettömbben, és mentse Unicode formátumban.
  • Ha az importálás nem működik, a hibaelhárításhoz használjon tesztfiókokat és egy egysoros importfájlt. Tesztfiókként egy olyan fiókot érdemes beállítani, melynek van postaládája egy működő Exchange kiszolgálón. A másik tesztfiók számára biztosítani kell a korlátlan postafiók-hozzáférési engedélyt, a küldés másként engedélyt azonban nem.
  • A parancsfájlnak nincs visszavonási funkciója. A parancsfájllal biztosított küldés másként engedélyek eltávolításához saját parancsfájlt kell készíteni, vagy manuálisan kell eltávolítani az engedélyt. A parancsfájl azért nem rendelkezik visszavonási móddal, hogy ne lehessen vele egy szervezet minden felhasználójától megvonni a küldés másként engedélyt.
  • A parancsfájl nem kezeli megfelelően azokat a korlátlan postafiók-hozzáféréssel rendelkező fiókokat, melyeket valamely felhasználói objektumra vonatkozóan külön teljes hozzáféréssel ruháztak fel. A teljes hozzáféréshez hozzátartozik a küldés másként engedély, de a parancsfájl exportálni fogja a fiókot, mintha nem rendelkezne küldés másként engedéllyel. Ez növelheti az exportfájl méretét, de problémát nem okoz, ha a fájl importálása során a parancsfájl ismételten felruházza küldés másként jogosultsággal a jogosultsággal egyébként már rendelkező fiókokat.
  • A parancsfájl nem tudja feldolgozni azokat az Active Directorybeli felhasználói fiókokat, melyek megkülönböztető neve tabulátorkaraktert vagy páratlan számú dupla idézőjelet tartalmaz. A parancsfájl csak a páros számú dupla idézőjelet tartalmazó neveket dolgozza fel helyesen – például:
    "CN=Vezetéknév "Becenév" Utónév,DC=microsoft,DC=com"
  • Az Excel legfeljebb 65 535 sorból álló fájlok kezelésére képes. Ha a kimeneti fájl ennél nagyobb, a fájl Excel programmal való feldolgozásához több részre kell bontania azt.
  • A Send_As_Errors fájlban azok a fiókok találhatók, amelyek esetében az engedélyek olvasásakor vagy írásakor probléma lépett fel. Ha a tartomány más fiókjait megfelelően dolgozta fel a parancsfájl, akkor e fiókok valami olyan közös jellemzővel bírnak, ami megakadályozta feldolgozásukat. Néhány gyakori probléma:
    • A fiókok tulajdonságainak megtekintéséhez vagy módosításához szükséges rendszergazdai engedélyek hiánya.
    • Az Exchange postafiók-tárolója nem fut.
    • A parancsfájl futtatására használt munkaállomás másik tartomány tagja.
    • A használt rendszergazdai fiók másik erdőből származik.
A parancsfájl futtatásához másolja a BEGIN SCRIPT és END SCRIPT karakterláncok közötti sorokat egy szövegszerkesztőbe, például a Jegyzettömbbe. A parancsfájlt mentse AddSendAs.vbs néven. BEGIN SCRIPT
Option Explicit

Dim OUTPUT_DELIMITER
OUTPUT_DELIMITER = """""""" & vbTab & """"""""

'Kizárólagos lista megadása szükséges. Ha a listán szereplő bármely felhasználó számára FMA van megadva, akkor a lista mellőzve lesz.  Ha
módosítani kívánja a listát, ugyanezt a formátumot kövesse. Minden alias
előtt és után egy OUTPUT_DELIMITER értéknek kell állnia
Dim FMA_EXCLUSIVE_LIST
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER
Dim FMA_EXCLUSIVE_EXSVC
FMA_EXCLUSIVE_EXSVC = "\Exchange szolgáltatások" & OUTPUT_DELIMITER

'Engedélytípus: Allow (engedélyezés) vagy Deny (megtagadás)
const ACCESS_ALLOWED_OBJECT_ACE_TYPE  = 5
const ADS_ACETYPE_ACCESS_ALLOWED = &h0
const ADS_ACETYPE_ACCESS_DENIED = &h1

'Örökléshatározó jelzők
const ADS_ACEFLAG_INHERIT_ACE = &h2
const ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE = &h4
const ADS_ACEFLAG_INHERIT_ONLY_ACE = &h8
const ADS_ACEFLAG_INHERITED_ACE = &h10
const ADS_ACEFLAG_VALID_INHERIT_FLAGS = &h1f
const ADS_ACEFLAG_SUCCESSFUL_ACCESS = &h40
const ADS_ACEFLAG_FAILED_ACCESS = &h80

'ADSI-állandók meghatározása
Const ADS_OPTION_SECURITY_MASK = 3
Const ADS_OPTION_REFERRALS	= 1	= 1
Const ADS_SECURITY_INFO_DACL = 4
Const ADS_CHASE_REFERRALS_NEVER = &h00 
Const ADS_CHASE_REFERRALS_SUBORDINATE = &h20 
Const ADS_CHASE_REFERRALS_EXTERNAL = &h40

'kimeneti fájl neve
Const EXPORT_FILE = "Send_As_Export"
Const ERROR_FILE = "Send_As_Errors"

' parancsfájl-mód
const MODE_INVALID = -1 
const MODE_SETALL = 0
const MODE_EXPORT = 1
const MODE_IMPORT = 2
const SETALL = "-SETALL"
const EXPORT = "-EXPORT"
const IMPORT = "-IMPORT"

' argumentumindex
Const ARG_INDEX_MODE = 1
Const ARG_INDEX_DC = 0
Const ARG_INDEX_FILENAME = 2

' oszlopindex az import- és exportfájlban
Const COLUMN_INDEX_USERDISPLAYNAME = 0
Const COLUMN_INDEX_FMAALIAS = 1
Const COLUMN_INDEX_FMADISPLAYNAME = 2
Const COLUMN_INDEX_IFPUBLICDELEGATE = 3
Const COLUMN_INDEX_MAILBOXSTATUS = 4
Const COLUMN_INDEX_USERADSPATH = 5
Const COLUMN_INDEX_HOMEMDB = 6

Const EMPTYSTRING = ""
Const STRNO = "No Delegates"
Const STRYES = "Has Delegates" 
Const MIN_ARG = 2
Const INIT_ARRAY_SIZE = 100

' Microsoft Exchange 
Const EX_MB_SEND_AS_ACCESSMASK  = &H00100
Const EX_FULLMailbox_AccessMask = 1
Const MESO = "Microsoft Exchange System Objects"
Const EX_MB_SEND_AS_GUID = "{AB721A54-1E2F-11D0-9819-00AA0040529B}"

Const ForReading	= 1	= 1
Const ForWriting	= 2	= 2
Const ForAppending	= 8	= 8
Const TristateTrue	= -1	= -1
Const ADS_SCOPE_SUBTREE = 2

Dim objUser
Dim objSDMailBox
Dim objSDNTsecurity
Dim objDACLNTSD
Dim objNewACE

Dim sTrusteeAlias()
Dim sFMADeniedList
Dim sFMAExplicitAllow
Dim fACESendasFound
Dim dArraySize
Dim TotalACE
Dim i
Dim rootDSE
Dim conn
Dim objCommand
Dim objCmdDisplayName
Dim rsUsers
Dim FoundObject
Dim objFSO
Dim objfileImport
Dim objfileExport
Dim objfileError
Dim sImportFilePath
Dim cScriptMode
Dim dArgCount
Dim dArgExpected
Dim sDCServer
Dim sMailboxStatus
Dim sIfPublicDelegate
Dim sFMAUserDisplayName
Dim sExportFileName
Dim sErrorsFileName
Dim msPublicDelegates
Dim fError
Dim fOneError
Dim fFMAAllowed

On Error Resume Next
dArraySize = INIT_ARRAY_SIZE
ReDim Preserve sTrusteeAlias(dArraySize)

dArgCount = Wscript.Arguments.Count 
If ( dArgCount < MIN_ARG ) Then
	DisplaySyntax
End If

err.Clear
fError = False
fOneError = False
cScriptMode = MODE_INVALID
Select Case UCase(WScript.Arguments(ARG_INDEX_MODE))
	Case SETALL 
		cScriptMode = MODE_SETALL
		dArgExpected = ARG_INDEX_MODE + 1
	Case EXPORT 
		cScriptMode = MODE_EXPORT
		dArgExpected = ARG_INDEX_MODE + 1
	Case IMPORT 
		cScriptMode = MODE_IMPORT
		dArgExpected = ARG_INDEX_FILENAME + 1
	Case Else 
		cScriptMode = MODE_INVALID
End Select	
If (cScriptMode = MODE_INVALID Or dArgCount <> dArgExpected) Then
	DisplaySyntax
End If

sDCServer = WScript.Arguments(ARG_INDEX_DC)

CreateOutputFiles

If ( cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT ) Then
	Dim sDomainContainer
	If (cScriptMode = MODE_SETALL) Then
		Dim strInput 
		WScript.StdOut.WriteLine("FIGYELMEZTETÉS: Ha folytatja, a tartomány minden olyan fiókja, amelynek")
		WScript.StdOut.WriteLine("egy adott postafiókhoz korlátlan postaláda-hozzáférési engedélye van")
		WScript.StdOut.WriteLine("a postaláda tulajdonosaként küldés másként engedélyt is kap.")
		WScript.StdOut.WriteLine()
		WScript.StdOut.WriteLine("Ha áttekinti a postaládák listáját a küldés másként engedély megadása előtt,")
		WScript.StdOut.WriteLine("törölje ezt a műveletet és használja a következőt: Parancsfájl export módja.")
		WScript.StdOut.WriteLine()
		WScript.StdOut.Write("Nyomja meg az Y gombot a folytatáshoz, vagy bármely más gombot a törléshez: ") ")
		strInput = WScript.StdIn.ReadLine()
		If (UCase(strInput) <> UCase("Y")) Then
			WScript.Quit
		End If	
	End If
	
	WScript.StdOut.WriteLine()
	WScript.StdOut.WriteLine("""!"" egy objektum feldolgozása során fellépett hibát jelez.")
	WScript.StdOut.WriteLine("     Ellenőrzés: " & sErrorsFilename)
	WScript.StdOut.WriteLine("Indítás...")
	WScript.StdOut.WriteLine()

	err.Clear	
	Set rootDSE = GetObject("LDAP://" & sDCServer & "/RootDSE")
	sDomainContainer = rootDSE.Get("defaultNamingContext")
	WScript.StdOut.WriteLine("A(z) [ " & sDCServer & " ] tartományvezérlő keresése a(z) [ " & sDomainContainer & " ] tartományhoz")
	
	If (err.number <> 0) Then
		WScript.StdOut.WriteLine("A tartomány vagy a tartományvezérlő nem található. A hiba: " & err.Description)
		objfileError.WriteLine("A tartomány vagy a tartományvezérlő nem található. A hiba: " & err.Description)
		WScript.Quit
	End If
			
	err.Clear	
	Set conn = CreateObject("ADODB.Connection")
	Set objCommand = CreateObject("ADODB.Command")
	conn.Provider = "ADSDSOObject"
	conn.Open "ADs Provider"
	If (err.number <> 0) Then
		WScript.StdOut.WriteLine("Nem sikerült kötést létrehozni az Active Directory-kiszolgálóhoz. A hiba: " & err.Description)
		objfileError.WriteLine("Nem sikerült kötést létrehozni az Active Directory-kiszolgálóhoz. A hiba: " & err.Description)
		WScript.Quit
	End If

	Set objCommand.ActiveConnection = conn
	WScript.StdOut.WriteLine("Postaláda-tulajdonos felhasználói fiókjainak keresése a következő helyen: " & sDomainContainer)
	
	objCommand.CommandText  = "<LDAP://" & sDCServer & "/" & sDomainContainer & ">;(&(&(& (mailnickname=*) (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"
	objCommand.Properties("searchscope") = ADS_SCOPE_SUBTREE
	objCommand.Properties("Page Size") = 100
	objCommand.Properties("Timeout") = 30 
	objCommand.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)

	err.Clear	
	Set rsUsers = objCommand.Execute
	If (err.number <> 0) Then
		WScript.StdOut.WriteLine("A postaláda-tulajdonosok keresése sikertelen. A hiba: " & err.Description)
		objfileError.WriteLine("A postaláda-tulajdonosok keresése sikertelen. A hiba: " & err.Description)
		WScript.Quit
	End If

	If (rsUsers.RecordCount = 0) Then
		WScript.StdOut.WriteLine("A postaláda-tulajdonos felhasználói fiókjai nem találhatók az alábbi helyen: " & sDomainContainer & ".")
		objfileError.WriteLine("A postaláda-tulajdonos felhasználói fiókjai nem találhatók az alábbi helyen: " & sDomainContainer & ".")
		fError = True		
	End If

	While Not rsUsers.EOF
		If (fOneError = True) Then
			WScript.StdOut.Write("!")
		Else
			WScript.StdOut.Write(".")
		End If
		fOneError = False
		
		'Minden postaláda-objektum átugrása a Microsoft Exchange System Objects tárolóban
		If (0 = Instr(rsUsers.Fields(0).Value, MESO)) Then
			err.Clear
			Set objUser = GetObject(rsUsers.Fields(0).Value)
			If (err.number <> 0) Then
				objfileError.WriteLine("A(z) " & rsUsers.Fields(0).Value & " felhasználói objektum lekérése sikertelen")
				objfileError.WriteLine("Hiba: " & err.Description)
				fError = True
				fOneError = True
				err.Clear
			End If
			Set objSDMailBox = objUser.MailboxRights
			If (err.number <> 0) Then
				objfileError.WriteLine("A postaláda-jogosultságok lekérése sikertelen: " & rsUsers.Fields(0).Value)
				objfileError.WriteLine("Hiba: " & err.Description)
				fError = True
				fOneError = True
				err.Clear
			End If
			Set objSDNTsecurity = objUser.ntSecurityDescriptor
			If (err.number <> 0) Then
				objfileError.WriteLine("Az NTSD nem érhető el: " & rsUsers.Fields(0).Value)
				objfileError.WriteLine("Hiba: " & err.Description)
				fError = True
				fOneError = True
				err.Clear
			End If
			
			Set objDACLNTSD = Nothing
			If (objUser.AccountDisabled) Then
				sMailboxStatus = "Disabled"
			Else
				sMailboxStatus = "Enabled"
			End If

			'A felhasználó közösRésztvevők listájának lekérdezése
			err.Clear
			msPublicDelegates = objUser.Get("publicDelegates")
			If (err.number <> 0) Then
				'A felhasználónak még nincs megadva közösRésztvevők listája
				sIfPublicDelegate = STRNO
				err.Clear
			Else
				sIfPublicDelegate = STRYES
			End If
			
			err.Clear 			
			FindAllFMAUsers objSDMailBox
			
			If (TotalACE > dArraySize) Then
			'Nagyobb mérettömb hozzárendelésére van szükség
				dArraySize = TotalACE + 1
				ReDim Preserve sTrusteeAlias(dArraySize)
				FindAllFMAUsers objSDMailBox
			End If
			If (err.number <> 0) Then
				objfileError.WriteLine("A következő felhasználó postaláda-jogosultságainak lekérése sikertelen: " & rsUsers.Fields(0).Value)
				objfileError.WriteLine("Hiba: " & err.Description)
				err.Clear
				fError = True
				fOneError = True
			End If
			
			If TotalACE > 0 Then
				Set objDACLNTSD = objSDNTsecurity.DiscretionaryAcl

				For i = 0 to TotalACE - 1 Step 1
					
					Ellenőrizze, hogy az NT biztonsági leíróban szerepel-e már küldés ACE módban
					'Ha szerepel, engedélyezze vagy tagadja meg, a küldés másként engedély hozzáadása nem szükséges
					CheckSendAsACE objDACLNTSD, sTrusteeAlias(i)
					
					'Megjegyzés: A megtagadás elsőbbséggel bír a megengedő bejegyzésekhez képest. 
					'Ha FMA tagad meg ACE-t, ugorja át akkor is, ha találunk FMA által megengedett ACE-t
					IfFMAAllowed(sTrusteeAlias(i) & OUTPUT_DELIMITER)
					If ((fFMAAllowed = True) And (fACESendasFound = 0)) Then
						If cScriptMode = MODE_SETALL Then
							Set objNewACE = CreateObject ("AccessControlEntry")
							objNewACE.AceFlags = 0 
							objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE
							objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK 
							objNewACE.Flags = 1
							objNewACE.ObjectType = EX_MB_SEND_AS_GUID
							objNewACE.Trustee = sTrusteeAlias(i)

							objDACLNTSD.AddAce objNewAce
						End If
			
						'Képviselő (FMA-felhasználó) lekérdezése a megjelenített név lekérése céljából
						Dim rsTrustee
						Dim objTrustee
						Dim dPosition
						Dim sAlias
					
						dPosition = inStr(1, sTrusteeAlias(i), "\")
						sAlias = mid(sTrusteeAlias(i), dPosition + 1)
				
						Set objCmdDisplayName = CreateObject("ADODB.Command")			
						Set objCmdDisplayName.ActiveConnection = conn
						objCmdDisplayName.CommandText  = "<LDAP://" & sDomainContainer & ">;(&(&(& (mailnickname=" & sAlias & ") (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"
						objCmdDisplayName.Properties("searchscope") = ADS_SCOPE_SUBTREE
						objCmdDisplayName.Properties("Page Size") = 100
						objCmdDisplayName.Properties("Timeout") = 30 
						objCmdDisplayName.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)
						
						Set rsTrustee = objCmdDisplayName.Execute				
						Set objTrustee = GetObject(rsTrustee.Fields(0).Value)
						
						If (err.number <> 0) Then
							'Az FMA-felhasználó megjelenítendő nevének lekérdezése sikertelen, használja az aliasát
							sFMAUserDisplayName = sAlias							
						Else
							sFMAUserDisplayName = objTrustee.displayName							
						End If
	
						'exportfájl kimenete
						err.Clear
						objfileExport.WriteLine ("""""""" & objUser.displayName & OUTPUT_DELIMITER & sTrusteeAlias(i) & OUTPUT_DELIMITER & sFMAUserDisplayName & OUTPUT_DELIMITER & sIfPublicDelegate & OUTPUT_DELIMITER & sMailboxStatus & OUTPUT_DELIMITER & rsUsers.Fields(0).Value & OUTPUT_DELIMITER & objUser.homeMDB & """""""")
						If (err.number <> 0) Then
							objfileError.WriteLine("A(z) " & rsUsers.Fields(0).Value & " felhasználó nem adható hozzá az exportfájlhoz. A felhasználó számára kézzel kell megadni az engedélyeket.")
							objfileError.WriteLine("Hiba: " & err.Description)
							err.Clear
							fError = True
							fOneError = True
						End If
						Set objCmdDisplayName = Nothing
						Set rsTrustee = Nothing
						Set objTrustee = Nothing
					End If
				Next
					
				If cScriptMode = MODE_SETALL Then
					err.Clear
					objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
					objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
					objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
					objUser.SetInfo
					If (err.number <> 0) Then
						objfileError.WriteLine("A következő felhasználó ADSI segédprogramjának frissítése nem sikerült: " & rsUsers.Fields(0).Value)
						objfileError.WriteLine("Hiba: " & err.Description)
						err.Clear
						fError = True
						fOneError = True
					End If
				End If

				TotalACE = 0
				Set objSDMailbox = Nothing
				Set objSDNTsecurity = Nothing
				Set objUser = Nothing
				Set objDACLNTSD = Nothing
			End If
		
		End If	
		rsUsers.MoveNext
	Wend
End If

If (cScriptMode = MODE_IMPORT) Then
	Dim sOneRow
	Dim sArraySplit
	Dim objUserItem
	Dim UserPath
	Dim objUserSD
	Dim objUserDACL
	Dim fNeedToAddSendAs
	
	sImportFilePath = WScript.Arguments(ARG_INDEX_FILENAME)

	WScript.StdOut.WriteLine("Ha folytatja, az összes fiók a következő helyen: " & sImportFilePath)
	WScript.StdOut.WriteLine("amely adott postafiókhoz korlátlan postafiók-hozzáférési engedéllyel rendelkezik ")
	WScript.StdOut.WriteLine("a postaláda tulajdonosaként küldés másként engedélyt is kap.")
	WScript.StdOut.WriteLine()
	WScript.StdOut.Write("Nyomja meg az Y gombot a folytatáshoz, vagy bármely más gombot a törléshez: ") ")
	strInput = WScript.StdIn.ReadLine()
	If (UCase(strInput) <> UCase("Y")) Then
		WScript.Quit
	End If	
	WScript.StdOut.WriteLine("Indítás...")
	WScript.StdOut.WriteLine()

	UserPath = EMPTYSTRING		
	err.Clear	
	Set objFSO = CreateObject("Scripting.FileSystemObject")
	Set objfileImport = objFSO.OpenTextFile(sImportFilePath, ForReading, False, TristateTrue)
	If (err.number <> 0) Then
		WScript.StdOut.WriteLine("A(z) " & sImportFilePath & " importfájl megnyitása nem sikerült, hiba:" & err.Description)
		objfileError.WriteLine("A(z) " & sImportFilePath & " importfájl megnyitása nem sikerült, hiba:" & err.Description)
		WScript.Quit
	End If	

	fNeedToAddSendAs = False
	Do While objfileImport.AtEndOfStream <> True
		If (fOneError = True) Then
			WScript.StdOut.Write("!")
		Else
			WScript.StdOut.Write(".")
		End If
		fOneError = False

		err.Clear
		sOneRow = objfileImport.ReadLine
		sArraySplit = Split(sOneRow , OUTPUT_DELIMITER)
		If (err.number <> 0) Then
			objfileError.WriteLine("Sor elemzése sikertelen: " & sOneRow )
			objfileError.WriteLine("Hiba: " & err.Description)
			err.Clear
			fError = True
			fOneError = True
		End If
		
		If (UserPath <> sArraySplit(COLUMN_INDEX_USERADSPATH)) Then
			'Új felhasználó
			If (fNeedToAddSendAs = True ) Then
				'meglévő felhasználó módosítása
				err.Clear
				objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
				objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
				objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
				objUser.SetInfo
				If (err.number <> 0) Then
					objfileError.WriteLine("A következő felhasználó engedélyének módosítása sikertelen: " & UserPath)
					objfileError.WriteLine("Hiba: " & err.Description)
					fError = True
					fOneError = True
				End If
			End If
						
			fNeedToAddSendAs = False
			Set objUser = Nothing
			Set objSDNTsecurity = Nothing
			Set objDACLNTSD = Nothing

			UserPath = sArraySplit(COLUMN_INDEX_USERADSPATH)
			err.Clear
			Set objUser = GetObject(UserPath)
			Set objSDNTsecurity = objUser.ntSecurityDescriptor
			Set objDACLNTSD = objSDNTsecurity.DiscretionaryACL					
			If (err.number <> 0) Then
				objfileError.WriteLine("Felhasználó-objektum elérése sikertelen: " & UserPath)
				objfileError.WriteLine("Hiba: " & err.Description)
				err.Clear
				fError = True
				fOneError = True
			End If
		End If
	
		''ÚjACE hozzáadása   Szükség van az ellenőrzésre?
		CheckSendAsACE objDACLNTSD, sArraySplit(COLUMN_INDEX_FMAALIAS)
		If (fACESendasFound = 0) Then
			Set objNewACE = CreateObject ("AccessControlEntry")
			objNewACE.AceFlags = 0 
			objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE
			objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK 
			objNewACE.Flags = 1
			objNewACE.ObjectType = EX_MB_SEND_AS_GUID
			objNewACE.Trustee = sArraySplit(COLUMN_INDEX_FMAALIAS)

			objDACLNTSD.AddAce objNewACE
			fNeedToAddSendAs = True			
		End If
	Ciklus
	
	If (fNeedToAddSendAs = True ) Then
		'legutóbbi felhasználó módosítása
		err.Clear
		objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
		objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
		objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
		objUser.SetInfo
		If (err.number <> 0) Then
			objfileError.WriteLine("A következő felhasználó engedélyének módosítása sikertelen: " & UserPath)
			objfileError.WriteLine("Hiba: " & err.Description)
			fError = True
		End If
	End If

End If

objFSO.Close
objfileImport.Close
objfileExport.Close
objfileError.Close

Set objFSO = Nothing
Set objfileImport = Nothing
Set objfileExport = Nothing
Set objfileError = Nothing
Set objCommand = Nothing
Set conn = Nothing

WScript.StdOut.WriteLine()
If (fError = True) Then
	WScript.StdOut.WriteLine("Egy vagy több hibával befejezve. Lásd: " & sErrorsFilename)
Else
	WScript.StdOut.WriteLine("Sikeres befejezés. A program nem észlelt hibát.")
End If

Function FindAllFMAUsers (objSD)
Dim objACL
Dim objACE
Dim intACECount
Dim strIndent
Dim dAccessMaskBit
Dim dPosition
Dim sUserAlreadyFound

	On Error Resume Next
	err.Clear
	TotalACE = 0
	sFMADeniedList = EMPTYSTRING
	sFMAExplicitAllow = EMPTYSTRING
	sUserAlreadyFound = OUTPUT_DELIMITER
	intACECount = 0
	Set objACL = objSD.DiscretionaryAcl
	intACECount = objACL.AceCount

	If intACECount Then
		'Nyisson meg egy tetszés szerinti ACL (DACL) adatot.
		For Each objACE In objACL		
			
		dPosition = inStr(1, objACE.Trustee, "$")
		If ((0 = Instr(UCase(objACE.Trustee & OUTPUT_DELIMITER), UCase(FMA_EXCLUSIVE_EXSVC))) And (0 = Instr(sUserAlreadyFound, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (0 = Instr(FMA_EXCLUSIVE_LIST, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (dPosition <> Len(objACE.Trustee)) And ((objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0) And ((objACE.AceType = ADS_ACETYPE_ACCESS_ALLOWED) Or (objACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE) )) Then
			If (TotalACE < dArraySize) Then
				sTrusteeAlias(TotalACE) = objACE.Trustee
				sUserAlreadyFound = sUserAlreadyFound & objACE.Trustee & OUTPUT_DELIMITER
			End If
			TotalACE = TotalACE + 1	
			If ((objACE.AceFlags And ADS_ACEFLAG_INHERITED_ACE) = 0) Then
				'Listázza azokat, akik kifejezetten FMA beállítást alkalmaztak postafiókszinten
				sFMAExplicitAllow = sFMAExplicitAllow & objACE.Trustee & OUTPUT_DELIMITER			
			End If
		ElseIf (( (objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0 ) And (objACE.AceType = ADS_ACETYPE_ACCESS_DENIED)) Then
			'Listázza azokat, akik elutasították az FMA-t, használja az OUTPUT_DELIMITER alkalmazást,
			'számítsa be az örökölt és a kifejezett beállítást postafiókszinten
			sFMADeniedList = sFMADeniedList & objACE.Trustee & OUTPUT_DELIMITER				
		End If
		Next
	End If

	Set objACL = Nothing
End Function

Function CheckSendAsACE (objDiscretionaryACL, sTAlias)
Dim objACE
Dim intACECount

	err.Clear
	fACESendasFound = 0
	intACECount = objDiscretionaryACL.AceCount

	If intACECount Then
		For Each objACE In objDiscretionaryACL		
			err.Clear
			If ( (objACE.Trustee = sTAlias) And (objACE.ObjectType = EX_MB_SEND_AS_GUID) ) Then
				fACESendasFound = 1
			End If
			If (err.number <> 0) Then
				objfileError.WriteLine("A felhasználó engedélyeinek beolvasása nem sikerült: " & sTAlias)
				objfileError.WriteLine("Hiba: " & err.Description)
				err.Clear
				fError = True
				fOneError = True
			End If			
		Next			
	End If	
End Function

Function IfFMAAllowed(sTrustee)
	'FMA által jóváhagyott ACE található. Ha igaz
	fFMAAllowed = True
	
	If ( (0 <> Instr(sFMADeniedList, sTrustee)) And (0 = Instr(sFMAExplicitAllow, sTrustee))	) Then
		'Ha elutasított ACe található, és nincs kifejezetten engedélyezett FMA
		fFMAAllowed = False
	End If
End Function

Function CreateOutputFiles
	Dim sTimeArray
	Dim sTimeShort
	Dim sTime
	
	err.Clear
	sTime = Time
	sTimeShort = Split(sTime, " ")
	sTimeArray = Split(sTimeShort(0), ":")

	Set objFSO = CreateObject("Scripting.FileSystemObject")
	sErrorsFileName = ERROR_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"
	Set objfileError = objFSO.OpenTextFile(sErrorsFileName, ForWriting, True, TristateTrue)

	If ( cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT ) Then
		sExportFileName = EXPORT_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"
		Set objfileExport = objFSO.OpenTextFile(sExportFileName, ForWriting, True, TristateTrue)		
	End If
	
	If err.number <> 0 Then
		WScript.StdOut.WriteLine("Az export- vagy hibafájlok létrehozása nem sikerült: " & err.Description)
		objfileError.WriteLine("Az export- vagy hibafájlok létrehozása nem sikerült: " & err.Description)
		fError = True
		fOneError = True
		WScript.Quit	
	End If

End Function

Function DisplaySyntax
	WScript.StdOut.WriteLine("Syntax:")
	WScript.StdOut.WriteLine()
	WScript.StdOut.WriteLine("Exportfiókok küldés másként engedéllyel nem rendelkező korlátlan postafiók-hozzáféréssel:")
	WScript.StdOut.WriteLine("     CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Export")
	WScript.StdOut.WriteLine("         MEGJEGYZÉS: A lista a következő helyen lesz mentve: Send_As_Export_HH_MM_SS.txt")
	WScript.StdOut.WriteLine()
	WScript.StdOut.WriteLine("Küldés másként engedély hozzárendelése az exportfájlban listázott összes fiók számára:")
	WScript.StdOut.WriteLine("     CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Import ""filename.txt""")
	WScript.StdOut.WriteLine()
	WScript.StdOut.WriteLine("Küldés másként engedély hozzárendelése a korlátlan postafiók-hozzáféréssel rendelkező tartomány összes fiókja számára:")
	WScript.StdOut.WriteLine("     CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -SetAll")
	WScript.StdOut.WriteLine("         MEGJEGYZÉS: A fiókok a következő fájlban lesznek listázva: Send_As_Export_HH_MM_SS.txt")
	WScript.StdOut.WriteLine()
	WScript.StdOut.WriteLine("Minden mód számára, a hibák a következő helyen lesznek mentve: Send_As_Errors_HH_MM_SS.txt")

	WScript.Quit	
End Function
END SCRIPT

A Microsoft csak szemléltetési célból ad közre programozási példákat, és azokra – beleértve a forgalomba hozhatóságot és az adott célra való megfelelőséget is – sem törvényi, sem más garanciát nem vállal. A cikk feltételezi, hogy az olvasó jártas a szemléltetésre szolgáló programozási nyelvben, valamint az eljárások létrehozására és a velük kapcsolatos hibakeresésre szolgáló eszközök használatában. A Microsoft támogatási szakemberei segítséget nyújthatnak egy-egy adott eljárás funkciójának megértésében, de funkcióbővítési célból nem módosítják a példákat, és nem készítenek az egyéni igényeknek megfelelő eljárásokat.
A Microsoft által kínált további támogatási lehetőségekről a Microsoft alábbi webhelyén tájékozódhat:
http://support.microsoft.com/contactus/?ws=support
A cikkben említett, külső gyártóktól származó termékek a Microsofttól független gyártók termékei, melyek teljesítményére és megbízhatóságára a Microsoft sem törvényi, sem másféle garanciát nem vállal.

Tulajdonságok

Cikk azonosítója: 912918 - Utolsó ellenőrzés: 2007. november 26. - Verziószám: 17.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
Kulcsszavak: 
kbtshoot kbbug kbprb kbpending KB912918
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com