Το δικαίωμα "Αποστολή ως " (Send As) καταργείται από ένα αντικείμενο χρήστη μετά τη ρύθμιση των παραμέτρων του στο πρόγραμμα "Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory" (Active Directory Users and Computers) του Exchange Server

Συμπτώματα

Ρυθμίζετε ρητά το δικαίωμα Αποστολή ως (Send As) σε ένα αντικείμενο χρήστη του συμπληρωματικού προγράμματος "Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory" (Active Directory Users and Computers) του Microsoft Exchange Server. Ωστόσο, το δικαίωμα Αποστολή ως (Send As) καταργείται από το αντικείμενο χρήστη μία ώρα μετά από τη ρύθμιση του δικαιώματος Αποστολή ως (Send As).

Ακόμη, οι υπόλοιπες αλλαγές που πραγματοποιήσατε στην περιγραφή ασφαλείας του αντικειμένου χρήστη ενδέχεται να καταργηθούν. Για παράδειγμα, το πλαίσιο ελέγχου Δυνατότητα μεταβίβασης δικαιωμάτων από το γονικό αντικείμενο σε αυτό το αντικείμενο (Allow Inheritable permissions from parent to propagate to this object) ενδέχεται να μην είναι πλέον επιλεγμένο.

Εάν βρίσκεστε σε περιβάλλον που περιλαμβάνει το Microsoft Exchange Server 5.5 και ένα πρόγραμμα Active Directory Connector (ADC) που βρίσκεται σε λειτουργία, τα γραμματοκιβώτια του Exchange Server 5.5, τα οποία έχουν ρυθμιστεί να χρησιμοποιούν λογαριασμούς χρήστη της υπηρεσίας καταλόγου Active Directory οι οποίοι είναι μέλη προστατευμένων ομάδων, ενδέχεται να εμφανιστούν ως "ΠΡΟΣΑΡΜΟΣΜΕΝΑ" (CUSTOM) στο πρόγραμμα Exchange Server 5.5 Administrator.

Αιτία

Η υπηρεσία καταλόγου Active Directory διαθέτει μια διαδικασία που εξασφαλίζει ότι δεν είναι δυνατή η παραποίηση των περιγραφών ασφαλείας μελών προστατευμένων ομάδων. Εάν μια περιγραφή ασφαλείας ενός λογαριασμού χρήστη που είναι μέλος μιας προστατευμένης ομάδας δεν ταιριάζει με την περιγραφή ασφαλείας του αντικειμένου AdminSDHolder, η περιγραφή ασφαλείας του χρήστη αντικαθίσταται με μια νέα περιγραφή ασφαλείας, η οποία λαμβάνεται από το αντικείμενο AdminSDHolder.

Το δικαίωμα Αποστολή προς (Send As) ανατίθεται με την τροποποίηση της περιγραφής ασφαλείας ενός αντικειμένου χρήστη. Επομένως, εάν ο χρήστης είναι μέλος μιας προστατευμένης ομάδας, η αλλαγή αντικαθίσταται σε μια ώρα περίπου.

Προτεινόμενη αντιμετώπιση

Συνιστούμε να μην χρησιμοποιείτε λογαριασμούς που είναι μέλη προστατευμένων ομάδων για σκοπούς ηλεκτρονικού ταχυδρομείου. Εάν ζητάτε τα δικαιώματα που παρέχονται σε μια προστατευμένη ομάδα, συνιστούμε να έχετε δύο λογαριασμούς χρήστη της υπηρεσίας καταλόγου Active Directory. Αυτοί οι λογαριασμοί της υπηρεσίας καταλόγου Active Directory περιλαμβάνουν ένα λογαριασμό χρήστη ο οποίος προστίθεται σε μια προστατευμένη ομάδα και ένα λογαριασμό χρήστη που χρησιμοποιείται για σκοπούς ηλεκτρονικού ταχυδρομείου και όλες τις άλλες φορές.

Εναλλακτικός τρόπος αντιμετώπισης

Οι ακόλουθες πληροφορίες μπορούν να σας βοηθήσουν να αντιμετωπίσετε το πρόβλημα στο οποίο τα γραμματοκιβώτια του Exchange Server 5.5 εμφανίζονται ως "ΠΡΟΣΑΡΜΟΣΜΕΝΑ" (CUSTOM) για το χρήστη στο πρόγραμμα Exchange Server 5.5 Administrator. Η επίλυση βασίζεται στο γεγονός ότι οι καταχωρήσεις στοιχείου ελέγχου πρόσβασης SELF (ACE) πρέπει να υπάρχουν στο αντικείμενο χρήστη όταν αυτό αναπαράγεται στην υπηρεσία καταλόγου Active Directory από το Active Directory Connector (ADC).

Μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Dsacls.exe για να προσθέσετε τις καταχωρήσεις που αφαιρούνται από τα αντικείμενα χρήστη. Για να γίνει αυτό, αλλάξτε τα δικαιώματα του AdminSDHolder. Στη συνέχεια, προσθέστε τις καταχωρήσεις που θέλετε. Επειδή όλες οι καταχωρήσεις χρησιμοποιούν την αρχή ασφαλείας SELF, αυτή η λύση δεν πρέπει να παρουσιάσει οποιοδήποτε πρόβλημα ασφαλείας.

Σημείωση Για να προσθέσετε την καταχώρηση στοιχείου ελέγχου πρόσβασης η οποία λείπει από την περιγραφή ασφαλείας AdminSDHolder πρέπει να εκτελέσετε το βοηθητικό πρόγραμμα Dsacls.exe μία φορά. Για παράδειγμα, εάν θέλετε να προσθέσεετε έξι διαφορετικές καταχωρήσεις, πρέπει να εκτελέσετε το βοηθητικό πρόγραμμα Dsacls.exe έξι φορές.

Η ακόλουθη λύση αλλάζει το αντικείμενο AdminSDHolder. Στη συνέχεια, το αντικείμενο AdminSDHolder μεταδίδεται σε κάθε λογαριασμό χρήστη που είναι μέλος μιας προστατευμένης ομάδας. Ακολουθήστε τα εξής βήματα:
 1. Εγκασταστήστε τα εργαλεία υποστήριξης των Microsoft Windows 2000 από το CD των Windows 2000. Τα εργαλεία αυτά περιλαμβάνουν το βοηθητικό πρόγραμμα Dsacls.exe. Μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Dsacls.exe για την προβολή, την τροποποίηση ή την κατάργηση των ACE σε αντικείμενα της υπηρεσίας καταλόγου Active Directory.
 2. Δημιουργήστε ένα αρχείο δέσμης που περιέχει τον ακόλουθο κώδικα.
   dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
  dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
  dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
  dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
  dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
  dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
  Σημείωση Αντικαταστήστε το "dc=<mydomain>,dc=com" με το αποκλειστικό όνομα του τομέα σας.
 3. Περιμένετε μία ώρα έτσι ώστε να δοθεί χρόνος στην υπηρεσία καταλόγου Active Directory να εγγράψει εκ νέου την περιγραφή ασφαλείας όλων των λογαριασμών χρήστη που είναι μέλη προστατευμένων ομάδων.
 4. Μετά την αναπαραγωγή των αλλαγών από το ADC, όλοι οι χρήστες εμφανίζονται ως "χρήστης" (user) αντί για "ΠΡΟΣΑΡΜΟΣΜΕΝΟΣ" (CUSTOM).
Μπορείτε να εφαρμόσετε την ενημερωμένη έκδοση ασφαλείας 916803, την ενημερωμένη έκδοση ασφαλείας 912442, ή την ενημερωμένη έκδοση θερινής ώρας για τον Exchange Server, η οποία περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής βάσης της Microsoft (Knowledge Base):
926666 Ενημερωμένη έκδοση για τις αλλαγές της θερινής ώρας στο 2007 για το Exchange 2003 Service Pack 2

Εάν το κάνετε αυτό, πρέπει να εμποδίσετε το AdminSDHolder να αντικαταστήσει δικαιώματα τα οποία παραχωρούνται σε ένα λογαριασμό BlackBerry Services προστατευμένων ομάδων. Για να γίνει αυτό, δημιουργήστε ένα αρχείο δέσμης που περιέχει τον ακόλουθο κώδικα:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As" 
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\BlackBerrySA:CA;Send As"
Σημείωση Σε αυτό το αρχείο δέσμης, το στοιχείο
BlackBerrySA είναι ένας χαρακτήρας κράτησης θέσης για το όνομα του λογαριασμού BlackBerry Service. Εάν έχετε λογαριασμούς σε πολλούς τομείς, μπορείτε επίσης να καθορίσαετε τον τομέα στη γραμμή εντολών, χρησιμοποιώντας την ακόλουθη εντολή:Domain\BlackberrySA.

Εναλλακτικά, συνιστούμε να μην χρησιμοποιείτε λογαριασμούς που είναι μέλη προστατευμένων ομάδων για σκοπούς ηλεκτρονικού ταχυδρομείου. Εάν πρέπει να έχετε τα δικαιώματα που παρέχονται σε μια προστατευμένη ομάδα, συνιστούμε να έχετε δύο λογαριασμούς χρήστη της υπηρεσίας καταλόγου Active Directory. Αυτοί οι λογαριασμοί της υπηρεσίας καταλόγου Active Directory περιλαμβάνουν ένα λογαριασμό χρήστη ο οποίος προστίθεται σε μια προστατευμένη ομάδα και ένα λογαριασμό χρήστη που χρησιμοποιείται για σκοπούς ηλεκτρονικού ταχυδρομείου και όλες τις άλλες φορές.

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα θέμα το οποίο παρουσιάζεται στα προϊόντα της που αναφέρονται στην ενότητα "Ισχύει για".

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ανάθεσης των δικαιωμάτων "Αποστολή προς" (Send As) σε ένα λογαριασμό χρήστη, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
281208 Τρόπος εκχώρησης δικαιωμάτων αποστολής ως (Send as) σε ένα χρήστη στον Exchange Server 5.5 και το Exchange 2000

Για περισσότερες πληροφορίες σχετικά με το αντικείμενο AdminSDHolder, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να τα προβάλετε στη Γνωσιακή Βάση της Microsoft (Knowledge Base):
232199 Περιγραφή και ενημέρωση του αντικειμένου Active Directory AdminSDHolder

817433 Τα δικαιώματα αντιπροσώπευσης δεν είναι διαθέσιμα και η μεταβίβαση απενεργοποιείται αυτόματα

Η θέση του αντικειμένου AdminSDHolder είναι η εξής:
CN=AdminSDHolder,CN=System,DC=MyDomain, DC=Com
Σημείωση Αντικαταστήστε το DC=MyDomain, DC=Com σε αυτή τη διαδρομή με το αποκλειστικό όνομα του τομέα σας.

Η ακόλουθη λίστα περιέχει τις προστατευμένες ομάδες στα Windows 2000:
 • Enterprise Admins
 • Schema Admins
 • Domain Admins
 • Administrators
Η ακόλουθη λίστα περιέχει τις προστατευμένες ομάδες στα προγράμματα Microsoft Windows Server 2003 και Windows 2000 μετά την εφαρμογή της επείγουσας επιδιόρθωσης 327825 ή μετά την εγκατάσταση του Windows 2000 Service Pack 4 (SP4):
 • Administrators
 • Account Operators
 • Server Operators
 • Print Operators
 • Backup Operators
 • Domain Admins
 • Schema Admins
 • Enterprise Admins
 • Cert Publishers
Επιπλέον, οι ακόλουθοι χρήστες θεωρούνται προστατευμένοι:
 • Administrator
 • Krbtgt
Για περισσότερες πληροφορίες σχετικά με την επείγουσα επιδιόρθωση 327825, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
327825 Νέα ανάλυση για προβλήματα με τον έλεγχο ταυτότητητας Kerberos όταν οι χρήστες ανήκουν σε πολλές ομάδες

Ιδιότητες

Αναγνωριστικό άρθρου: 907434 - Τελευταία αναθεώρηση: 25 Νοε 2007 - Αναθεώρηση: 1

Σχόλια