"Send As" إزالة حق من كائن مستخدم بعد تكوين "Send As" الحق في مستخدمي Active Directory وأجهزة الكمبيوتر الإضافية في Exchange Server

الأعراض

يمكنك صراحة تكوين إرسال الحق على كائن مستخدم في Active Directory Users and أجهزة الكمبيوتر الأداة الإضافية في Microsoft Exchange Server. ومع ذلك، إرسال حق إزالة من كائن المستخدم حوالي ساعة واحدة بعد تكوين حق إرسال ك .

بالإضافة إلى ذلك، قد تتم إزالة آخر التغييرات التي قمت بها إلى واصف الأمان على كائن المستخدم. على سبيل المثال،
ربما لم يعد تحديد خانة الاختيار السماح بانتشار الأذونات القابلة للتوريث من الكائن الأصل للنشر إلى هذا الكائن .

إذا كان لديك بيئة تتضمن Microsoft Exchange Server 5.5 ويعمل نشط الدليل رابط (ADC)، قد تظهر علب بريد Exchange Server 5.5 التي تم تكوينها لاستخدام حسابات المستخدمين في "خدمة active Directory" التي أعضاء في مجموعات المحمية ك "مخصص" في البرنامج مسؤول Exchange Server 5.5.

السبب

خدمة الدليل "Active Directory" على عملية التأكد من أن أفراد الجماعات المحمية لم يتم معالجته واصفات الأمان لها. إذا لم تطابق واصف أمان لحساب مستخدم عضوا في مجموعة محمية واصف الأمان على الكائن AdminSDHolder، يتم الكتابة فوق واصف الأمان الخاص بالمستخدم باستخدام واصف أمان جديد مأخوذ من الكائن AdminSDHolder.

إرسال حق تفويض عن طريق تعديل واصف الأمان لكائن المستخدم. ولذلك، إذا كان المستخدم عضوا في مجموعة محمية، يتم الكتابة التغيير في ساعة واحدة تقريبا.

الحل

نوصي بعدم استخدام الحسابات التي أعضاء في مجموعات المحمية لأغراض البريد الإلكتروني. إذا كنت تحتاج إلى الحقوق الممنوحة إلى مجموعة محمية، نوصي بوجود اثنين من حسابات مستخدم "خدمة active Directory". تتضمن هذه الحسابات في Active Directory واحدة من حساب المستخدم الذي تمت إضافته إلى مجموعة محمية وحساب مستخدم واحد يستخدم لأغراض البريد الإلكتروني وفي كل الأوقات الأخرى.

الحل البديل

يمكن أن تساعدك المعلومات التالية على التغلب على المشكلة التي علب بريد Exchange Server 5.5 تظهر أنها "مخصصة" للمستخدم في برنامج مسؤول Exchange Server 5.5. يعتمد الحل على حقيقة أنه يجب على كائن المستخدم الذات إدخالات التحكم بالوصول (ACEs) عندما يتم نسخ كائن المستخدم إلى Active Directory برابط الدليل النشط (ADC).

يمكنك استخدام الأداة المساعدة Dsacls.exe لإضافة الإدخالات التي يتم يتم تجريده كائنات المستخدم. للقيام بذلك، تغيير أذونات AdminSDHolder. ثم أضف الإدخالات التي تريدها. نظراً لاستخدام كافة إدخالات الأمان الأساسي الذاتي، هذا الحل يجب عدم تقديم أي مشاكل أمنية.

ملاحظة: يجب تشغيل الأداة المساعدة Dsacls.exe مرة واحدة لإضافة إدخال التحكم بالوصول واحد مفقود من واصف الأمان AdminSDHolder. على سبيل المثال، إذا أردت إضافة ستة مدخلات مختلفة، يمكنك تشغيل الأداة المساعدة Dsacls.exe ست مرات.

الحل البديل التالي بتغيير الكائن AdminSDHolder. وبعد ذلك، يتم نشر الكائن AdminSDHolder لكل حساب مستخدم يكون عضوا في جماعة مشمولة بالحماية. اتبع هذه الخطوات:
  1. تثبيت أدوات دعم Microsoft Windows 2000 من قرص Windows 2000 المضغوط. وتشمل هذه الأدوات المساعدة Dsacls.exe. يمكنك استخدام الأداة المساعدة Dsacls.exe لعرض أو تعديل أو إزالة إدخالات التحكم بالوصول على كائنات في "Active Directory".
  2. قم بإنشاء ملف دفعي يحتوي على التعليمات البرمجية التالية.
     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
    dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
    dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
    dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
    dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"

    ملاحظة: استبدال "dc = < mydomain > dc = com" بالاسم المميز للمجال الخاص بك.
  3. الانتظار لمدة ساعة حيث يحتوي Active Directory الوقت لإعادة كتابة واصف الأمان لكافة حسابات المستخدمين التي أعضاء في مجموعات أي منشور.
  4. بعد ADC يتطابق التغييرات، كافة المستخدمين تظهر ك "مستخدم" بدلاً من أنها "مخصصة".
يمكن تطبيق التحديث الأمني 916803 أو التحديث الأمني 912442 أو التوقيت الصيفي التحديث الخاص ب Exchange Server الموضح في المقالة التالية في "قاعدة المعارف ل Microsoft":
926666 تحديث تغييرات التوقيت الصيفي في 2007 ل Exchange 2003 Service Pack 2

إذا قمت بذلك، يجب منع AdminSDHolder من الكتابة فوق الأذونات الممنوحة لحساب خدمات BlackBerry على الجماعات المشمولة بالحماية. للقيام بذلك، إنشاء ملف دفعي يحتوي على التعليمات البرمجية التالية:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"

ملاحظة: في هذا الملف الدفعي بلاكبيريسا عنصرا نائبا لاسم حساب "خدمة بلاك". إذا كان لديك حسابات في مجالات متعددة، يجب أيضا تحديد المجال في سطر الأوامر باستخدام التنسيق التالي:Domain\BlackberrySA.

بدلاً من ذلك، نوصي بعدم استخدام الحسابات التي أعضاء في مجموعات المحمية لأغراض البريد الإلكتروني. إذا كان يجب أن يكون لديك الحقوق المعطاة لجماعة مشمولة بحماية، نوصي بأن اثنين من حسابات مستخدم "خدمة active Directory". تتضمن هذه الحسابات في Active Directory واحدة من حساب المستخدم الذي تمت إضافته إلى مجموعة محمية وحساب مستخدم واحد يستخدم لأغراض البريد الإلكتروني وفي جميع الأوقات الأخرى.

الحالة

أقرت Microsoft أن هذه مشكلة في منتجات Microsoft المسردة في قسم "ينطبق على".

مزيد من المعلومات

لمزيد من المعلومات حول كيفية تفويض حقوق "Send As" لحساب مستخدم، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
281208 كيفية منح مستخدم "Send As" الحقوق في Exchange Server 5.5 و Exchange 2000

لمزيد من المعلومات حول كائن AdminSDHolder، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
وصف 232199 وتحديث الكائن AdminSDHolder الدليل النشط

817433 Delegated لا تتوفر الأذونات وتعطيل التوارث تلقائياً

موقع الكائن AdminSDHolder كما يلي:
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com
ملاحظة: استبدال DC =MyDomain، DC =Com في هذا المسار بالاسم المميز للمجال الخاص بك.

تحتوي القائمة التالية على الجماعات المشمولة بالحماية في نظام التشغيل Windows 2000:
  • إدارة المؤسسة
  • إدارة المخطط
  • إدارة المجال
  • المسؤولون
تتضمن القائمة التالية الجماعات المشمولة بالحماية في نظام التشغيل Microsoft Windows Server 2003 و Windows 2000 بعد تثبيت الإصلاح العاجل 327825 أو بعد تثبيت Windows 2000 Service Pack 4 (SP4):
  • المسؤولون
  • عوامل تشغيل الحساب
  • عوامل تشغيل الملقم
  • عوامل تشغيل الطباعة
  • عوامل تشغيل النسخ الاحتياطي
  • إدارة المجال
  • إدارة المخطط
  • إدارة المؤسسة
  • الناشرون شهادة
بالإضافة إلى ذلك، تعتبر المستخدمين التاليين المحمية:
  • مدير البرنامج
  • Krbtgt
لمزيد من المعلومات حول الإصلاح العاجل 327825، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
327825 قرار جديد لمشاكل مصادقة Kerberos عندما تنتمي إلى عدد من مجموعات المستخدمين

خصائص

رقم الموضوع: 907434 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات