Οι χρήστες δεν είναι δυνατή η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου από μια φορητή συσκευή ή από κοινόχρηστο γραμματοκιβώτιο στον Exchange 2000 Server και στον Exchange Server 2003

Συμπτώματα

Όταν προσπαθείτε να στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου στο Microsoft Exchange 2000 Server ή στον Microsoft Exchange Server 2003, δεν μπορείτε να στείλετε το μήνυμα ηλεκτρονικού ταχυδρομείου. Επιπλέον, ενδέχεται να λάβετε ένα από τα ακόλουθα μηνύματα λάθους ή μία από τις ακόλουθες εκθέσεις μη παράδοσης (NDR).

Μηνύματα σφάλματος

  • Δεν επιτρέπεται η πρόσβαση
  • Δεν έχετε επαρκή δικαιώματα για να εκτελέσετε αυτήν τη λειτουργία σε αυτό το αντικείμενο. Δείτε την επαφή του φακέλου ή το διαχειριστή του συστήματός σας.
  • Μη καταχωρημένο μήνυμα λάθους
  • MAPI_E_NO_ACCESS -2147024891
  • Δεν ήταν δυνατή η υποβολή μηνύματος ηλεκτρονικού ταχυδρομείου για το χρήστη ΟΝΟΜΑ_ΧΡΗΣΤΗ (HRESULT: -2147024891) προσωρινή διακοπή του χρήστη ΟΝΟΜΑ_ΧΡΗΣΤΗ. (Σφάλμα ασφαλείας - δεν είναι δυνατή πρόσβαση στο γραμματοκιβώτιο των χρηστών).
  • Δεν βρέθηκε ο πόρος
Σημείωση Εμφανίζεται το μήνυμα λάθους "Δεν επιτρέπεται η πρόσβαση" ή το μήνυμα λάθους "Δεν βρέθηκε ο πόρος" από το Microsoft Outlook Web Access όταν είστε συνδεδεμένοι ως ο λογαριασμός πληρεξουσίου.

NDR

  • Δεν έχετε δικαιώματα για αποστολή σε αυτόν τον παραλήπτη. Για βοήθεια, επικοινωνήστε με το διαχειριστή του συστήματός σας.
  • Δεν ήταν δυνατή η αποστολή του μηνύματος, χρησιμοποιώντας το γραμματοκιβώτιό σας. Δεν έχετε το δικαίωμα να στείλετε το μήνυμα εκ μέρους του συγκεκριμένου χρήστη.

Τα προϊόντα που επηρεάζονται

Αυτό το ζήτημα είναι γνωστό ότι επηρεάζει τα ακόλουθα προϊόντα τρίτων κατασκευαστών:
  • Έρευνα στην κίνηση (RIM) BlackBerry Enterprise Server (ΕΙΚΟΝΊΔΙΟ)
  • Ασύρματη GoodLink καλή τεχνολογία ανταλλαγής μηνυμάτων
Αυτό το ζήτημα μπορεί να επηρεάσει επίσης σε προσαρμοσμένα MAPI ή προγράμματα συνεργασίας CDO αντικείμενα δεδομένων που στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου.

Επίσης ενδέχεται να επηρεαστούν άλλα προϊόντα τρίτων κατασκευαστών που χρησιμοποιούν λογαριασμούς υπηρεσίας για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Εάν εκτελείτε προϊόν άλλου κατασκευαστή που επηρεάζεται από αυτό το ζήτημα, συνιστάται να επικοινωνήσετε με τον προμηθευτή για βοήθεια στην επίλυση αυτού του ζητήματος.

Ωστόσο, έχει επιβεβαιωθεί ότι τα ακόλουθα προϊόντα τρίτων κατασκευαστών δεν επηρεάζονται από αυτό το ζήτημα:
  • Ενότητας Cisco ενοποιημένο σύστημα μηνυμάτων
  • Οικογένεια προγραμμάτων μετεγκατάστασης Quest για ανταλλαγή
  • Το βοηθητικό πρόγραμμα Microsoft ExMerge για ανταλλαγή

Αιτία

Αυτό το ζήτημα ενδέχεται να προκύψει εάν ισχύει μία από τις ακόλουθες συνθήκες:
  • Δεν έχετε δικαιώματα να στείλετε μηνύματα ηλεκτρονικού ταχυδρομείου ως ο κάτοχος του γραμματοκιβωτίου στο λογαριασμό που χρησιμοποιείτε για να στείλετε το μήνυμα ηλεκτρονικού ταχυδρομείου.
  • Εκτελείτε το Microsoft Exchange 2000 Server Service Pack 3 (SP3) σε συνδυασμό με μια έκδοση του αρχείου Store.exe που είναι ίση ή μεταγενέστερη έκδοση 6619.4. Έκδοση 6619.4 πρώτα έγινε διαθέσιμη στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
    915358 υπάρχει μια επείγουσα επιδιόρθωση για να αλλάξει η συμπεριφορά για το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο στο διακομιστή Exchange 2000

  • Εκτελείτε το Microsoft Exchange Server 2003 SP1 σε συνδυασμό με μια έκδοση του αρχείου Store.exe που είναι ίση ή μεταγενέστερη έκδοση 7233.51.
  • Εκτελείτε το Exchange Server 2003 SP2 μαζί με μια έκδοση του αρχείου Store.exe που είναι ίση ή μεταγενέστερη έκδοση 7650.23. Έκδοση 7650.23 πρώτα έγινε διαθέσιμη στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
    895949 "Αποστολή ως" συμπεριφορά για το δικαίωμα αλλαγή στον Exchange 2003

    Η αλλαγή αυτή δεν περιλαμβάνεται στο Exchange Server 2003 SP2. Εάν έχετε εκτελεί το Exchange Server 2003 SP1 έκδοση του αρχείου Store.exe που περιλαμβάνει αυτή η αλλαγή και κάνετε αναβάθμιση σε Exchange Server 2003 SP2, πρέπει να εγκαταστήσετε την έκδοση του SP2 για να διατηρηθεί η νέα συμπεριφορά αυτής της επείγουσας επιδιόρθωσης. Αυτή η αλλαγή θα συμπεριληφθεί στο Microsoft Exchange Server 2003 SP3.

ΖΗΤΉΜΑΤΑ ΑΣΦΑΛΕΊΑΣ

Πριν από τις εκδόσεις του αρχείου Store.exe που αναφέρονται στην ενότητα "Αιτία", χορήγηση σιωπηρά το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο το δικαίωμα αποστολής ως ο κάτοχος του γραμματοκιβωτίου. Αυτό σήμαινε ότι άλλο λογαριασμό που έχει δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο μπορεί να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται σαν να είχαν αποσταλεί από τον κάτοχο του γραμματοκιβωτίου.

Πολλοί πελάτες του Microsoft Exchange έχουν ζητήσει το δικαίωμα "Αποστολή ως" να διαχωρίζονται από το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο για τους εξής δύο λόγους:
  • Για την αποτροπή πλαστογράφηση της ηλεκτρονικής αλληλογραφίας.
  • Για να βεβαιωθείτε ότι ηλεκτρονικού ταχυδρομείου μηνύματα που αποστέλλονται από έναν πληρεξούσιο μπορούν πάντα να διακρίνονται σαφώς από τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από τον πραγματικό κάτοχο του γραμματοκιβωτίου.
Όλες οι νέες εκδόσεις του χώρου αποθήκευσης του Exchange θα απαιτούν πλέον ρητά το δικαίωμα "Αποστολή ως" για να στείλετε μηνύματα ηλεκτρονικού ταχυδρομείου ως ο κάτοχος του γραμματοκιβωτίου. Ωστόσο, η ακόλουθη λίστα παραθέτει τις τρεις εξαιρέσεις αυτής της απαίτησης:
  • Λογαριασμού κατόχου του γραμματοκιβωτίου δεν απαιτεί ρητά δικαιώματα Αποστολή ως για το δικό του γραμματοκιβώτιο.
  • Ο σχετιζόμενος εξωτερικός λογαριασμός για ένα γραμματοκιβώτιο δεν απαιτεί ρητό δικαιώματα Αποστολή ως.
  • Ο λογαριασμός πληρεξουσίου που έχει επίσης το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο δεν απαιτεί ρητό δικαιώματα Αποστολή ως.
Για περισσότερες πληροφορίες σχετικά με αυτές τις εξαιρέσεις, ανατρέξτε στην ενότητα "Περισσότερες πληροφορίες".

Προτεινόμενη αντιμετώπιση

Όλοι οι λογαριασμοί που εκχωρούνται μερικής ή πλήρους πρόσβασης στο γραμματοκιβώτιο, εκτός από εκείνες που αναφέρονται στην ενότητα "Αιτία", πρέπει τώρα να παραχωρηθεί ρητό δικαίωμα το δικαίωμα "Αποστολή ως" για λογαριασμού κατόχου του γραμματοκιβωτίου ώστε να στέλνει αλληλογραφία ως ο κάτοχος του γραμματοκιβωτίου. Σε αυτές περιλαμβάνονται οι λογαριασμοί υπηρεσίας εφαρμογών που εκτελούν λειτουργίες όπως η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου για χρήστες φορητών συσκευών.

Το δικαίωμα "Αποστολή ως" που ισχύει για την ταυτότητα ενός αντικειμένου χρήστη της υπηρεσίας καταλόγου Active Directory, όχι στα περιεχόμενα του γραμματοκιβωτίου που είναι αποθηκευμένα σε μια βάση δεδομένων. Επομένως, πρέπει να χορηγείται το δικαίωμα "Αποστολή ως" στο λογαριασμό υπηρεσίας σε κάθε αντικείμενο χρήστη που έχει γραμματοκιβώτιο. Όταν αποστέλλονται μηνύματα ηλεκτρονικού ταχυδρομείου, δεν αποστέλλονται από συγκεκριμένο γραμματοκιβώτιο ή βάση δεδομένων αλλά από κάποιο χρήστη. Ο χρήστης μπορεί να είναι ο κάτοχος του γραμματοκιβωτίου ή οποιοσδήποτε άλλος λογαριασμός που έχει το δικαίωμα "Αποστολή ως".

Δεν μπορείτε να εκχωρήσετε Αποστολή ως δικαιώματα σε ένα διακομιστή που εκτελεί τον Exchange Server ή σε ένα αντικείμενο βάσης δεδομένων και να επιτύχετε το αποτέλεσμα της παραχώρησης το δικαίωμα "Αποστολή ως" για όλα τα γραμματοκιβώτια της βάσης δεδομένων. Χορήγηση το δικαίωμα "Αποστολή ως" σε ένα αντικείμενο βάσης δεδομένων του Exchange σάς δίνει το δικαίωμα στην ίδια τη βάση δεδομένων. Το δικαίωμα έχει μεταβιβαστεί από όλα τα γραμματοκιβώτια της βάσης δεδομένων. Ωστόσο, αυτό δεν σας παρέχει άδεια για τους χρήστες που έχουν δικαιώματα Αποστολή ως, οι οποίοι έχουν γραμματοκιβώτια στη βάση δεδομένων.

Σημείωση Χορήγηση το δικαίωμα "Λήψη ως" σε μια βάση δεδομένων του Exchange αποτελεί λειτουργικό ισοδύναμο της παραχώρησης του δικαιώματος πλήρους πρόσβασης στο γραμματοκιβώτιο σε όλα τα γραμματοκιβώτια της βάσης δεδομένων. Αυτό διαφέρει από τη συμπεριφορά του το δικαίωμα "Αποστολή ως".

Πώς μπορείτε να παραχωρήσετε τα δικαιώματα Αποστολή ως για ένα λογαριασμό

Για να παραχωρήσετε ρητά δικαίωμα σε άλλο λογαριασμό για την αποστολή ως κάτοχος του γραμματοκιβωτίου, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε την Κονσόλα διαχείρισης του Active Directory Users and Computers.
  2. Στο μενού Προβολή , βεβαιωθείτε ότι το
    Προηγμένες δυνατότητες επιλογή. Εάν αυτή η επιλογή δεν είναι επιλεγμένο, σελίδα για την ασφάλεια δεν θα είναι ορατή για αντικείμενα του λογαριασμού χρήστη.
  3. Ανοίξτε τις ιδιότητες του λογαριασμού χρήστη που είναι κάτοχος του γραμματοκιβωτίου.
  4. Κάντε κλικ στην καρτέλα Ασφάλεια.
  5. Εάν ο λογαριασμός δεν είναι ήδη στη λίστα ονόματα ομάδων ή χρηστών, προσθέστε το λογαριασμό που θα πρέπει να έχετε το δικαίωμα "Αποστολή ως" για αυτόν το χρήστη.
  6. Στο πλαίσιο " δικαιώματα ", κάντε κλικ στο κουμπί το δικαίωμα επιτρέπεται για the "Send As" για τον κατάλληλο λογαριασμό.
  7. Κάντε κλικ στο κουμπί OK.
  8. Κάντε επανεκκίνηση της υπηρεσίας χώρου αποθήκευσης πληροφοριών του Microsoft Exchange στο διακομιστή Exchange που επηρεάζεται.
Σημείωση Εάν δεν κάνετε επανεκκίνηση της υπηρεσίας Microsoft Exchange Information Store, η υπηρεσία Microsoft Exchange Information Store θα ενημερώσει την προσωρινή μνήμη των δικαιωμάτων για να κάνετε τη νέα δικαιώματα τεθούν σε ισχύ σύμφωνα με την τιμή που έχει οριστεί στο ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Όνομα τιμής: όριο παλαιότητας μνήμης Cache γραμματοκιβωτίου
Τύπος τιμής: REG_DWORD
Βάση: δεκαδικών
Δεδομένα τιμής: το όριο παλαιότητας μνήμης cache πληροφορίες γραμματοκιβωτίου, σε λεπτά.
Η προεπιλεγμένη τιμή για αυτήν την καταχώρηση μητρώου είναι 120 λεπτά (δύο ώρες). Εάν τροποποιήσετε αυτήν την καταχώρηση μητρώου, πρέπει να επανεκκινήσετε την υπηρεσία Microsoft Exchange Information Store.

Σημείωση Εάν ορίσετε τις τιμές λήξης χρονικού ορίου σε πολύ χαμηλή τιμή, μπορεί να επηρεάσει τις επιδόσεις του διακομιστή.

Πώς μπορείτε να παραχωρήσετε το δικαίωμα αποστολής ως για πολλαπλούς λογαριασμούς

Στο τέλος αυτού του άρθρου που θα αναζητήσει σε έναν τομέα υπηρεσίας καταλόγου Active Directory για λογαριασμούς που έχουν το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο χωρίς το δικαίωμα "Αποστολή ως" για ένα γραμματοκιβώτιο, παρέχεται ένα δείγμα δέσμης ενεργειών. Αυτά είναι τα χαρακτηριστικά λογαριασμού υπηρεσίας ή πόρων που θα επηρεαστούν από αυτήν την αλλαγή ασφαλείας. Η δέσμη ενεργειών μπορεί να δημιουργήσει ένα αρχείο εξαγωγής το οποίο μπορείτε να ελέγξετε, να επεξεργαστείτε και, στη συνέχεια, εισαγάγετε ξανά για να εκχωρήσει το δικαίωμα "Αποστολή ως" σε λογαριασμούς που απαιτούν αυτό το δικαίωμα.

Μπορείτε επίσης να παραχωρήσετε το δικαίωμα "Αποστολή ως" με μεταβίβαση σε κάθε αντικείμενο χρήστη σε έναν τομέα της υπηρεσίας καταλόγου Active Directory ή σε ένα κοντέινερ. Εάν θέλετε να εκχωρήσετε το δικαίωμα "Αποστολή ως" από αυτήν τη μέθοδο, ενδέχεται να μπορείτε να παραχωρήσετε δικαιώματα για αντικείμενα που δεν θέλατε. Επιπλέον, ενδέχεται να χάσετε δικαιώματα για αντικείμενα που θα μετακινηθούν από το κοντέινερ. Επομένως, η μέθοδος αυτή δεν προτιμάται και μπορεί να έχει συνέπειες στην ασφάλεια που πρέπει να εξετάσετε προσεκτικά πριν να την εφαρμόσετε.

Εάν παραχωρήσετε το δικαίωμα "Αποστολή ως" χρησιμοποιώντας αυτήν τη μέθοδο, οι λογαριασμοί που έχουν μεταβιβαστεί το δικαίωμα "Αποστολή ως" θα γίνουν αόρατοι για τη δέσμη ενεργειών που αναφέρεται στο τέλος του άρθρου. Για να επεξεργαστείτε αυτούς τους λογαριασμούς με τη δέσμη ενεργειών σε μεταγενέστερη ημερομηνία, πρέπει πρώτα να καταργήσετε το μεταβιβαζόμενο δικαίωμα Αποστολή ως.

Για να εκχωρήσετε το δικαίωμα "Αποστολή ως" για ένα μεμονωμένο λογαριασμό σε όλους τους λογαριασμούς χρήστη σε έναν τομέα υπηρεσίας καταλόγου Active Directory ή το κοντέινερ μέσω μεταβίβασης, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε την Κονσόλα διαχείρισης του Active Directory Users and Computers.
  2. Στο μενού Προβολή , βεβαιωθείτε ότι το
    Προηγμένες δυνατότητες επιλογή. Εάν αυτή η επιλογή δεν είναι επιλεγμένο, σελίδα για την ασφάλεια δεν θα είναι ορατή για αντικείμενα του τομέα και το κοντέινερ.
  3. Ανοίξτε τις ιδιότητες του τομέα ή στο κοντέινερ και στη συνέχεια κάντε κλικ στη σελίδα ασφάλεια.
  4. Κάντε κλικ στο κουμπί για προχωρημένους.
  5. Εάν ο λογαριασμός που χρειάζεται δικαιώματα δεν υπάρχει ήδη, κάντε κλικ στο κουμπί Προσθήκηκαι, στη συνέχεια, επιλέξτε το λογαριασμό. Διαφορετικά, κάντε διπλό κλικ στο λογαριασμό για επεξεργασία.
  6. Στη λίστα Ισχύει σε , κάντε κλικ στο κουμπί
    Αντικείμενα χρήστη.
  7. Παραχωρήστε στο λογαριασμό το δικαίωμα "Αποστολή ως".
  8. Έως ότου τερματίσετε και αποθηκεύσετε όλες τις αλλαγές, κάντε κλικ στο κουμπί OK .

Ειδικοί κανόνες για λογαριασμούς adminSDHolder προστατεύεται

Εάν χρησιμοποιήσετε τη δέσμη ενεργειών για να παραχωρήσετε το δικαίωμα "Αποστολή ως" για κάτοχο γραμματοκιβωτίου που είναι και διαχειριστής τομέα, το δικαίωμα "Αποστολή ως" δεν θα είναι αποτελεσματικό. Συνιστούμε ιδιαίτερα να ότι θα ενεργοποιήσετε λογαριασμούς χρηστών που έχουν δικαιώματα διαχειριστή τομέα ή που είναι adminSDHolder προστατεύεται.



Το αντικείμενο adminSDHolder είναι ένα πρότυπο για λογαριασμούς που έχουν ευρεία διαχειριστικά δικαιώματα της υπηρεσίας καταλόγου Active Directory. Για να αποτρέψετε την ακούσια αύξηση των δικαιωμάτων, όλοι οι λογαριασμού που προστατεύονται από το αντικείμενο adminSDHolder πρέπει να έχει δικαιώματα που ταιριάζουν με εκείνες που αναφέρονται στο ίδιο το αντικείμενο adminSDHolder .



Αν αλλάξετε τα δικαιώματα ή τα δικαιώματα του αντικειμένου adminSDHolder για λογαριασμό που προστατεύεται, μια εργασία στο παρασκήνιο θα αναιρέσει την αλλαγή μέσα σε μερικά λεπτά. Για παράδειγμα, εάν παραχωρήσετε το δικαίωμα "Αποστολή ως" σε αντικείμενο διαχειριστή τομέα για λογαριασμό υπηρεσίας εφαρμογής, η εργασία στο παρασκήνιο αυτομάτως θα ανακαλέσει το δικαίωμα.



Επομένως, δεν μπορείτε να εκχωρήσετε το δικαίωμα "Αποστολή ως" σε λογαριασμό υπηρεσίας εφαρμογής για λογαριασμό που προστατεύεται από το αντικείμενο adminSDHolder εκτός εάν αλλάξετε το ίδιο το αντικείμενο adminSDHolder . Εάν αλλάξετε το αντικείμενο adminSDHolder , θα αλλάξουν τα δικαιώματα πρόσβασης για όλους τους λογαριασμούς που προστατεύονται. Μπορείτε πρέπει να αλλάξετε το αντικείμενο adminSDHolder μόνο μετά από πλήρη εξέταση των θεμάτων ασφαλείας που μπορεί να προκύψουν με την αλλαγή.


Για να συσχετίσετε ένα γραμματοκιβώτιο με λογαριασμό που προστατεύεται από το αντικείμενο adminSDHolder , ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε την Κονσόλα διαχείρισης του Active Directory Users and Computers.
  2. Στο μενού Προβολή , βεβαιωθείτε ότι το
    Προηγμένες δυνατότητες επιλογή. Εάν αυτή η επιλογή δεν είναι επιλεγμένο, σελίδα για την ασφάλεια δεν θα είναι ορατή για αντικείμενα του λογαριασμού χρήστη.
  3. Δημιουργήστε ένα συνηθισμένο λογαριασμό χρήστη να ενεργεί ως ο κάτοχος του γραμματοκιβωτίου.
  4. Εκχωρήστε στο συνηθισμένο λογαριασμό χρήστη ένα γραμματοκιβώτιο σε διακομιστή Exchange.
  5. Ανοίξτε τις ιδιότητες του νέου λογαριασμού κατόχου γραμματοκιβωτίου.
  6. Στο πλαίσιο Για προχωρημένους του Exchange , να εκχωρήσετε δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο στο λογαριασμό διαχειριστή που προστατεύεται.
  7. Στη σελίδα για την ασφάλεια, εκχωρήσει το δικαίωμα "Αποστολή ως" στον λογαριασμό διαχειριστή που προστατεύεται.
  8. Κάντε κλικ στο κουμπί OK για να κλείσετε τις ιδιότητες του αντικειμένου του κατόχου γραμματοκιβωτίου.
  9. Κάντε δεξιό κλικ στο αντικείμενο του κατόχου του γραμματοκιβωτίου, και στη συνέχεια κάντε κλικ στο κουμπί Απενεργοποίηση λογαριασμού για να απενεργοποιήσετε το λογαριασμό για όλες τις συνδέσεις.
Για περισσότερες πληροφορίες σχετικά με τους λογαριασμούς που προστατεύονται από το adminSDHolder, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

907434 the "Send As" δεξιά καταργείται από το αντικείμενο χρήστη, αφού ρυθμίσετε το δικαίωμα "Αποστολή ως" στο Active Directory Users και υπολογιστές συμπληρωματικό πρόγραμμα στον Exchange Server

318180 το νήμα AdminSDHolder επηρεάζει τα μεταβατικά μέλη των ομάδων διανομής

817433 τα δικαιώματα αντιπροσώπευσης δεν είναι διαθέσιμα και η μεταβίβαση απενεργοποιείται αυτόματα

306398 το αντικείμενο AdminSDHolder επηρεάζει την αντιπροσώπευση του ελέγχου για παλαιότερους λογαριασμούς διαχειριστή

Ειδικές εργασίες για BlackBerry Enterprise Server

Εργασία 1: Βεβαιωθείτε ότι ο BlackBerry Enterprise Server εκτελείται ως ένα ξεχωριστό, μοναδικό λογαριασμό

Βεβαιωθείτε ότι ο BlackBerry Enterprise Server εκτελείται ως ξεχωριστό λογαριασμό που έχει δημιουργηθεί ειδικά για διαχειριστικές εργασίες. Από προεπιλογή, αυτός ο λογαριασμός ονομάζεται "BESAdmin."

Εάν έχετε έναν ξεχωριστό λογαριασμό για τη διαχείριση του BlackBerry Enterprise Server, μεταβείτε στην εργασία 2.


Εάν δεν έχετε ξεχωριστό λογαριασμό, δημιουργήστε ξεχωριστό λογαριασμό. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε αυτόν το λογαριασμό για να εκτελέσετε εργασίες διαχείρισης. Για οδηγίες σχετικά με τον τρόπο για να το κάνετε αυτό, εάν χρησιμοποιείτε BlackBerry Enterprise Server 4.0 ή 4.1 του BlackBerry Enterprise Server, ανατρέξτε στον Οδηγό εγκατάστασης του BlackBerry Enterprise Server.  Για οδηγίες σχετικά με τον τρόπο για να το κάνετε αυτό εάν εκτελείτε 3.6 του BlackBerry Enterprise Server, ανατρέξτε στο θέμα της εγκατάστασης του BlackBerry Enterprise Server 2000/2003 και Οδηγός γρήγορων αποτελεσμάτων.

Εργασία 2: Βεβαιωθείτε ότι ο λογαριασμός υπηρεσίας του BlackBerry Enterprise Server έχει τα κατάλληλα δικαιώματα

Βεβαιωθείτε ότι ο λογαριασμός υπηρεσίας του BlackBerry Enterprise Server έχει τα κατάλληλα δικαιώματα.

Σημείωση Εάν ο λογαριασμός βρίσκεται σε έναν τομέα, βεβαιωθείτε ότι ο λογαριασμός είναι μέλος μόνο της ομάδας Domain Users. Σε έναν ελεγκτή τομέα, ο λογαριασμός πρέπει να είναι μέλος της ενσωματωμένης ομάδας Administrators.
  1. Στην BlackBerry Enterprise Server, ακολουθήστε τα εξής βήματα:
    1. Βεβαιωθείτε ότι ο λογαριασμός είναι μέλος της τοπικής ομάδας διαχειριστών.
    2. Εκχώρηση δικαιωμάτων "Τοπικής σύνδεσης" και "Σύνδεση ως μια υπηρεσίας" για το λογαριασμό.
  2. Χορήγηση Exchange Administrator View-Only δικαιώματα σε επίπεδο ομάδας διαχείρισης. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στον Exchange System Manager, κάντε δεξιό κλικ το πρώτο όνομα διαχειριστικής ομάδας του Exchange Server και, στη συνέχεια, κάντε κλικ στο κουμπί Ελέγχου πληρεξουσίων.
    2. Σημειώστε ότι ο λογαριασμός υπηρεσίας του BlackBerry Enterprise Server παρατίθεται με το ρόλο του διαχειριστή του Exchange View-Only.
  3. Εκχώρηση "Αποστολή ως", "Λήψη ως" και "Διαχείριση χώρου αποθήκευσης πληροφοριών" δικαιώματα στο διακομιστή επιπέδου για κάθε διακομιστή Exchange. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στο Exchange System Manager, κάντε δεξιό κλικ το πρώτο όνομα διαχειριστικής ομάδας του Exchange Server και, στη συνέχεια, αναπτύξτε το
      Ομάδα διακομιστών .
    2. Κάντε δεξιό κλικ στο διακομιστή του Exchange, κάντε κλικ στο κουμπί
      Ιδιότητεςκαι, στη συνέχεια, κάντε κλικ στο κουμπί
      Ασφάλεια.
    3. Στο επάνω τμήμα του παραθύρου, επιλέξτε το λογαριασμό υπηρεσίας του BlackBerry Enterprise Server. Στο κάτω τμήμα του παραθύρου, βεβαιωθείτε ότι η "Αποστολή ως" "Εμφανίζεται ως" και "Διαχείριση χώρου αποθήκευσης πληροφοριών" δικαιώματα έχουν οριστεί για να
      Να επιτρέπεται.
    4. Επαναλάβετε τα βήματα 3 β και γ 3 για κάθε διακομιστή Exchange.
  4. Εκχώρηση "Αποστολή ως" "Εμφανίζεται ως" και "Διαχείριση χώρου αποθήκευσης πληροφοριών" δικαιώματα στο χώρο αποθήκευσης γραμματοκιβωτίου. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στο Exchange System Manager, κάντε δεξιό κλικ το πρώτο όνομα διαχειριστικής ομάδας του Exchange και στη συνέχεια αναπτύξτε το
      Ομάδα διακομιστών .
    2. Αναπτύξτε την πρώτη ομάδα χώρου αποθήκευσης γραμματοκιβωτίου, κάντε δεξιό κλικ σε κάθε χώρο αποθήκευσης γραμματοκιβωτίου, κάντε κλικ στην εντολή Ιδιότητεςκαι στη συνέχεια κάντε κλικ στο κουμπί
      Ασφάλεια.
    3. Στο επάνω τμήμα του παραθύρου, επιλέξτε το λογαριασμό υπηρεσίας του BlackBerry Enterprise Server. Στο κάτω τμήμα του παραθύρου, βεβαιωθείτε ότι η "Αποστολή ως" "Εμφανίζεται ως" και "Διαχείριση χώρου αποθήκευσης πληροφοριών" δικαιώματα έχουν οριστεί για να
      Να επιτρέπεται.
    4. Επαναλάβετε τα βήματα 4β και 4γ για κάθε χώρο αποθήκευσης γραμματοκιβωτίου σε κάθε διακομιστή Exchange.
  5. Στο συμπληρωματικό πρόγραμμα "Active Directory Users and Computers", ακολουθήστε τα εξής βήματα:
    1. Κάντε δεξιό κλικ στο χρήστη που θέλετε να προσθέσετε δικαιώματα και, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες.
    2. Στην καρτέλα " ασφάλεια ", προσθέστε το λογαριασμό υπηρεσίας του BlackBerry Enterprise Server και, στη συνέχεια, κάντε κλικ για να επιλέξετε το
      Αποστολή ως πλαίσιο ελέγχου.
Εάν δεν εκτελείτε το Exchange Server 2003, ανατρέξτε στο θέμα Εργασία 3.

Εργασία 3: Απαλοιφή της μνήμης cache σε BlackBerry Enterprise Server

Για να καταργήσετε την προσωρινή μνήμη των δικαιωμάτων στο χώρο αποθήκευσης του Exchange, κάντε επανεκκίνηση των υπηρεσιών που σχετίζονται με το Blackberry και, στη συνέχεια, κάντε επανεκκίνηση του χώρου αποθήκευσης πληροφοριών του Microsoft Exchange. Μετά την επανεκκίνηση του χώρου αποθήκευσης του Exchange, θα πρέπει να κάνετε επανεκκίνηση των υπηρεσιών που σχετίζονται με το RIM Blackberry για να εκχωρήσετε το λογαριασμό "BESAdmin" προστέθηκε πρόσφατα Αποστολή ως δικαιώματα στο χώρο αποθήκευσης του Exchange.

Περισσότερες πληροφορίες

Δικαιώματα πρόσβασης γραμματοκιβωτίου και φάκελο Exchange μοιράστε τα ανάμεσα σε βάσεις δεδομένων υπηρεσίας καταλόγου Active Directory και του Microsoft Exchange. Ωστόσο, και τα δύο είδη δικαιωμάτων ορίζονται στην κονσόλα διαχείρισης χρήστη της υπηρεσίας καταλόγου Active Directory, αλλά διαφορετικά δικαιώματα αποθηκεύονται σε δύο ξεχωριστές θέσεις.

Γενικά, εάν ένα δικαίωμα έχει ρυθμιστεί στη σελίδα για την ασφάλεια για ένα αντικείμενο, πρόκειται για δικαίωμα της υπηρεσίας καταλόγου Active Directory. Εάν έχει οριστεί στη σελίδα "δικαιώματα γραμματοκιβωτίου για προχωρημένους Exchange", πρόκειται για δικαίωμα βάσης δεδομένων του Exchange.

Το χαρακτηριστικό της υπηρεσίας καταλόγου Active Directory msExchMailboxSecurityDescriptor είναι ένα αντίγραφο ασφαλείας ενός υποσυνόλου των δικαιωμάτων γραμματοκιβωτίου αποτελεσματικά. Χρησιμοποιείται εσωτερικά από τον Exchange για διάφορους σκοπούς. Επιπλέον, το χαρακτηριστικό msExchMailboxSecurityDescriptor ενημερώνεται ώστε να ταιριάζει με το τρέχοντα δικαιώματα που ισχύουν, στην περίπτωση που οι διαχειριστές χρησιμοποιούν υποστηριζόμενες διασυνδέσεις για την παραχώρηση δικαιωμάτων. Ωστόσο, εάν το χαρακτηριστικό msExchMailboxSecurityDescriptor τροποποιηθεί απευθείας από διαχειριστή, οι αλλαγές δεν θα μεταδοθούν στο χώρο αποθήκευσης του Exchange και οι αλλαγές θα τεθούν σε ισχύ. Δεν υπάρχει εγγύηση για συγχρονισμό με τα πραγματικά δικαιώματα γραμματοκιβωτίου. Δεν πρέπει να χρησιμοποιείτε το χαρακτηριστικό msExchMailboxSecurityDescriptor ανάγνωσης ή εγγραφής δικαιωμάτων γραμματοκιβωτίου.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

310866 ΔΙΑΔΙΚΑΣΙΕΣ: Ορισμός δικαιωμάτων γραμματοκιβωτίου του Exchange Server 2003 και του Exchange 2000 Server σε γραμματοκιβώτιο που υπάρχει στο χώρο αποθήκευσης πληροφοριών


Το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο είναι δικαίωμα αποθήκευσης βάσης δεδομένων του Exchange. Το δικαίωμα "Αποστολή ως" είναι δικαίωμα της υπηρεσίας καταλόγου Active Directory. Πριν από το Exchange Store.exe αρχείο αλλαγές που περιγράφονται σε αυτό το άρθρο, το σύστημα του Exchange δεν συμβουλευόταν τη ρύθμιση για το δικαίωμα "Αποστολή ως" Εάν ο αποστολέας είχε ήδη τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο.

Η συμπερίληψη του το δικαίωμα "Αποστολή ως" με το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο έχει ενεργοποιήσει διαχειριστές διακομιστών Exchange να παραχωρούν στους εαυτούς τους ουσιαστικά τα δικαιώματα Αποστολή ως για οποιοδήποτε γραμματοκιβώτιο στο διακομιστή που διαχειρίζονται. Διαχωρίζοντας το δικαίωμα "Αποστολή ως" από το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο, οι διαχειριστές της υπηρεσίας καταλόγου Active Directory να τώρα εμποδίζουν τη διαδικασία αυτή επειδή το δικαίωμα "Αποστολή ως" είναι ένα δικαίωμα της υπηρεσίας καταλόγου Active Directory και όχι δικαίωμα χώρου αποθήκευσης του Exchange. Επομένως, η διαδικασία δεν είναι απαραίτητα υπό τον έλεγχο των διαχειριστών του Exchange.

Κατόχους γραμματοκιβωτίων

Ένας κάτοχος γραμματοκιβωτίου ορίζεται ως ο λογαριασμός χρήστη της υπηρεσίας καταλόγου Active Directory του οποίου το χαρακτηριστικό msExchMailboxGUID φέρει το καθολικό μοναδικό αναγνωριστικό (GUID) για ένα συγκεκριμένο γραμματοκιβώτιο. Ένα μόνο λογαριασμό σε ολόκληρο σύμπλεγμα δομών επιτρέπεται να φέρει το GUID για ένα συγκεκριμένο γραμματοκιβώτιο. Εάν προσπαθήσετε να ορίσετε δεύτερο κάτοχο με το ίδιο GUID, η υπηρεσία καταλόγου Active Directory θα απορρίψει την αλλαγή με σφάλμα.


Όταν θα ενεργοποιήσετε ένα λογαριασμό ή όταν συνδέσετε ένα αποσυνδεδεμένο γραμματοκιβώτιο σε λογαριασμό υπηρεσίας καταλόγου Active Directory, το γραμματοκιβώτιο GUID ορίζεται αυτόματα σε αυτόν το λογαριασμό. Είναι σπανίως χρειάζεται ή συνιστάται σε διαχειριστές να ορίζουν απευθείας GUID γραμματοκιβωτίου.

Συσχετισμένη εξωτερικοί λογαριασμοί

Μια κοινή ρύθμιση του Exchange είναι η εγκατάσταση του Exchange σε σύμπλεγμα δομών πόρων. Ένα σύμπλεγμα δομών πόρων είναι ένα σύμπλεγμα δομών σε ένα διαφορετικό σύμπλεγμα δομών από τους λογαριασμούς χρήστη που θα έχουν γραμματοκιβώτια στο σύστημα. Αυτό παρουσιάζει ένα ζήτημα επειδή το χαρακτηριστικό msExchMailboxGUID μπορεί να ρυθμιστεί μόνο σε αντικείμενα του ίδιου συμπλέγματος δομών με του διακομιστή Exchange.

Η λύση στο πρόβλημα αυτό είναι να ενεργοποιήσετε ένα λογαριασμό του συμπλέγματος δομών του διακομιστή Exchange. Στη συνέχεια, συνδέετε αυτόν το λογαριασμό δυνατότητα γραμματοκιβωτίου σε ένα άλλο σύμπλεγμα δομών ή σε έναν τομέα των Microsoft Windows NT 4. Μπορείτε να το κάνετε με τη χορήγηση του δικαιώματος Associated External Account. Μόνο ένας μεμονωμένος λογαριασμός μπορεί να χορηγηθεί το δικαίωμα Associated External Account. Ο λογαριασμός που έχει επιλεγεί πρέπει να είναι από διαφορετικό σύμπλεγμα δομών.

Όταν ορίσετε το δικαίωμα Associated External Account, γράφετε η τιμή SID για εξωτερικό λογαριασμό για να την ιδιότητα msExchMasterAccountSid του κατόχου του γραμματοκιβωτίου . Επομένως, αυτό δεν είναι ένα δικαίωμα, αλλά για έναν εύκολο τρόπο για τον έλεγχο της τιμής της ιδιότητας msExchMasterAccountSid . Μετά το msExchMasterAccountSID χαρακτηριστικό έχει οριστεί, το εξωτερικό λογαριασμό στον οποίον ανήκει το SID θα παραχωρηθεί δυνατότητα πρόσβασης στον Exchange σαν να ήταν ο λογαριασμός του κατόχου γραμματοκιβωτίου πραγματική.

Σημείωση Αυτό ισχύει μόνο για πρόσβαση στον Exchange, όχι σε κάθε πρόσβαση της υπηρεσίας καταλόγου Active Directory. Επιπλέον, πρέπει να επισημάνετε του λογαριασμού κατόχου του γραμματοκιβωτίου ως απενεργοποιημένη για συνδέσεις αφού ορίσετε το δικαίωμα Associated External Account ώστε όλα τα δικαιώματα να λειτουργούν όπως αναμένεται.

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

300456 δικαιώματα προγραμμάτων-πελατών και οι αντιπροσωπείες δεν εξακολουθούν να υφίστανται αφού παραχωρηθούν στον Exchange 2000

Σενάρια αντιπροσώπευση

Ένας πληρεξούσιος είναι ένας χρήστης που έχει έχει παραχωρηθεί δικαίωμα μερικής πρόσβασης σε άλλο γραμματοκιβώτιο και το δικαίωμα να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό του κατόχου του γραμματοκιβωτίου αυτού. Ένα συνηθισμένο σενάριο πληρεξουσιοδότησης είναι η παραχώρηση πρόσβασης με πληρεξούσιο σε διοικητικό Βοηθό για το ημερολόγιο ενός διοικητικού στελέχους. Ο πληρεξούσιος μπορεί συνήθως να διαβάζετε και να ενημερώνετε το ημερολόγιο. Επιπλέον, ο πληρεξούσιος μπορεί να απαντά σε όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό του στελέχους.

Μπορείτε να χρησιμοποιήσετε τις ακόλουθες δύο διασυνδέσεις για να εκχωρήσετε την αποστολή εκ μέρους του και να αναθέσετε δικαιώματα:
  • Στο αντικείμενο του κατόχου του γραμματοκιβωτίου, παραχωρήστε το Send για λογαριασμό των δικαιωμάτων στο γενικό Exchange παράθυρο διαλόγου.
  • Στο Microsoft Office Outlook, χρησιμοποιήστε το πλαίσιο διαλόγου " Πληρεξούσιοι ".
Και οι δύο αυτές μέθοδοι ορίσετε το χαρακτηριστικό publicDelegates του γραμματοκιβωτίου. Όλοι οι χρήστες που αναφέρονται σε αυτό το χαρακτηριστικό έχει αποστολή για λογαριασμό των δικαιωμάτων του κατόχου γραμματοκιβωτίου. Όταν τέτοιοι πληρεξούσιοι στέλνουν μήνυμα ηλεκτρονικού ταχυδρομείου που έχει το όνομα του κατόχου στο πλαίσιο από , το μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται από τον πληρεξούσιο και όχι από ή ως ο κάτοχος του γραμματοκιβωτίου. Το μήνυμα ηλεκτρονικού ταχυδρομείου από το πλαίσιο εμφανίζει την ακόλουθη τιμή:
<Όνομα του πληρεξούσιου> εκ μέρους <Κατόχου γραμματοκιβωτίου>
Σε ορισμένες περιπτώσεις, ενδέχεται να μην μπορείτε να ορίσετε το χαρακτηριστικό publicDelegates στο Outlook.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

329622 το δικαίωμα "(send on behalf) δεν εκχωρούνται σε κάποιον χρήστη, μετά την παραχώρηση πρόσβασης στο Outlook με πληρεξούσιο


Εάν παραχωρήσετε πρόσβαση με πληρεξούσιο στο γραμματοκιβώτιό σας, ο πληρεξούσιος να χρησιμοποιήσετε την αποστολή εκ μέρους του δικαιώματος, ακόμα και αν δεν παραχωρήσετε πρόσβαση σε οποιονδήποτε από τους φακέλους του γραμματοκιβωτίου. Το βασικό δικαίωμα που έχει ένας πληρεξούσιος είναι η αποστολή εκ μέρους του δικαιώματος. Δικαιώματα για πρόσβαση στους φακέλους του γραμματοκιβωτίου σας είναι ξεχωριστά και πρέπει να παραχωρηθούν πέραν των δικαιωμάτων πληρεξουσιοδότησης. Συνήθως, οι πληρεξούσιοι θα Χρησιμοποιήστε το Outlook για να αποκτήσετε πρόσβαση σε μεμονωμένους φακέλους που τους έχετε δώσει δικαιώματα. Για να γίνει αυτό, κάντε κλικ στο κουμπί " Άνοιγμα " στο μενού " αρχείο " στο Outlook και, στη συνέχεια, κάντε κλικ στην επιλογή Φάκελος άλλου χρήστη.

Εναλλακτικά, πληρεξούσιοι μπορούν να ανοίξουν το γραμματοκιβώτιό σας αναφέροντάς το ως επιπρόσθετο γραμματοκιβώτιο στην το
Στην καρτέλα για προχωρημένους των προφίλ τους στο Outlook. Αυτή η μέθοδος έχει ως αποτέλεσμα το γραμματοκιβώτιό σας εμφανίζονται στη δομή φακέλων του Outlook του πληρεξουσίου. Επιπλέον, αυτή η μέθοδος επιτρέπει την πρόσβαση σε όλους τους φακέλους του γραμματοκιβωτίου σας, για τα οποία έχουν εκχωρηθεί έναν πληρεξούσιο δικαιώματα.

Μπορεί να θέλετε ο πληρεξούσιος να μερικές φορές έχετε την αποστολή εκ μέρους δικαιώματα και άλλες φορές, έχετε το δικαίωμα "Αποστολή ως". Για να ρυθμίσετε έναν πληρεξούσιο με αυτά τα δύο δικαιώματα, ακολουθήστε τα εξής βήματα:
  • Παραχωρήστε στον πληρεξούσιο το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο. Αυτό δεν είναι δυνατό να γίνει μέσω του Outlook. Αντί για αυτό, ο διαχειριστής της υπηρεσίας καταλόγου Active Directory πρέπει να το κάνετε σε λογαριασμού κατόχου του γραμματοκιβωτίου. Ακόμα και αν παραχωρήσετε δικαιώματα κατόχου σε κάθε φάκελο του γραμματοκιβωτίου σας, που δεν είναι το ίδιο δικαίωμα με το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο.
  • Μην παραχωρείτε στον πληρεξούσιο το δικαίωμα "Αποστολή ως". Εάν παραχωρήσετε στον πληρεξούσιο το δικαίωμα "Αποστολή ως", όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από τον πληρεξούσιο θα γίνουν με το δικαίωμα "Αποστολή ως". Ο πληρεξούσιος δεν είναι πλέον θα μπορείτε να χρησιμοποιήσετε την αποστολή εκ μέρους του δικαιώματος.
Σε αυτό το σενάριο, οι πληρεξούσιοι που θέλουν να χρησιμοποιούν την αποστολή εκ μέρους του δικαιώματος θα πρέπει να συνδεθείτε με τα δικά τους γραμματοκιβώτια. Εάν οι αντιπρόσωποι απαντούν ή προωθούν μήνυμα ηλεκτρονικού ταχυδρομείου που βρίσκεται ήδη σε έναν από τους φακέλους σας, το μήνυμα ηλεκτρονικού ταχυδρομείου θα σταλεί αυτόματα εκ μέρους σας. Εάν οι αντιπρόσωποι δημιουργήσουν ένα νέο μήνυμα ηλεκτρονικού ταχυδρομείου για λογαριασμό σας, πρέπει να πληκτρολογήσουν το όνομά σας στο πλαίσιο από , ώστε το μήνυμα να σταλεί εκ μέρους σας.

Ανεξάρτητα από το εάν οι αντιπρόσωποι έχουν ανοίξει τους φακέλους σας ή ολόκληρο το γραμματοκιβώτιό σας ως δευτερεύον γραμματοκιβώτιο, όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που στέλνουν από σας θα χρησιμοποιήσει την αποστολή εκ μέρους του δικαιώματος, με την προϋπόθεση ότι το δικό τους γραμματοκιβώτιο είναι πρωτεύον για το ισχύον προφίλ στο Outlook.

Όταν οι πληρεξούσιοι θέλουν να στείλουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου με εσάς, θα πρέπει να συνδέονται στο γραμματοκιβώτιό σας με ξεχωριστό προφίλ του Outlook που ανοίγει μόνο το γραμματοκιβώτιό σας. Μηνύματα ηλεκτρονικού ταχυδρομείου που στέλνουν οι αντιπρόσωποι ενώ είναι συνδεδεμένοι σε αυτό το προφίλ θα αποστέλλονται αυτόματα από εσάς.

Εύρεση λογαριασμών που έχουν το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο χωρίς το δικαίωμα "Αποστολή ως"

Το δείγμα δέσμης ενεργειών που περιγράφεται σε αυτήν την ενότητα να αναζητήσετε έναν τομέα υπηρεσίας καταλόγου Active Directory τη φορά, για λογαριασμούς χρηστών όπου έχει εκχωρηθεί το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο για ένα γραμματοκιβώτιο χωρίς το δικαίωμα "Αποστολή ως".


Σημαντικό Πριν να αλλάξετε δικαιώματα, ανατρέξτε στην ενότητα "σχετικά με κατόχους γραμματοκιβωτίων με αντιπροσώπους".

Η δέσμη ενεργειών έχει τις εξής τρεις λειτουργίες:
  • Εξαγωγή Μπορείτε να εξαγάγετε μια λίστα των χρηστών που έχουν το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά όχι η αποστολή ως δικαίωμα. Στη συνέχεια μπορείτε να αναθεωρήσετε αυτήν τη λίστα στο Σημειωματάριο (Notepad) ή κάποιο άλλο πρόγραμμα επεξεργασίας για να καταργήσετε τους λογαριασμούς που δεν θέλετε να έχετε το δικαίωμα "Αποστολή ως".
  • Εισαγωγή Μπορείτε να εισαγάγετε μια λίστα με τους χρήστες που έχουν το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο, στους οποίους πρέπει να παραχωρηθεί και το δικαίωμα "Αποστολή ως". Σημειώστε ότι δεν μπορείτε να χρησιμοποιήσετε αυτήν τη δέσμη ενεργειών για να παραχωρήσετε το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο και το δικαίωμα "Αποστολή ως". Κάθε λογαριασμός πρέπει ήδη τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο για να χορηγείται το δικαίωμα "Αποστολή ως".
  • Ρύθμιση όλων Μπορείτε να παραχωρήσετε το δικαίωμα "Αποστολή ως" σε όλους τους χρήστες του τομέα που έχουν ήδη τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο για ένα συγκεκριμένο γραμματοκιβώτιο. Ένα αρχείο καταγραφής δημιουργείται στην ίδια μορφή με το αρχείο εξαγωγής. Αυτό είναι ισοδύναμο με εκτελεί τις λειτουργίες εξαγωγής και εισαγωγής χωρίς να γίνει επεξεργασία του αρχείου εξαγωγής.
Σημείωση Δεν υπάρχει καμία λειτουργία αναίρεσης σε αυτήν τη δέσμη ενεργειών.

Δικαιώματα που απαιτούνται για τη δέσμη ενεργειών

Πρέπει να εκτελέσετε τη δέσμη ενεργειών, ενώ είστε συνδεδεμένοι με λογαριασμό διαχειριστή που προέρχεται από το ίδιο σύμπλεγμα δομών με τους λογαριασμούς κατόχων γραμματοκιβωτίου είναι από. Η δέσμη ενεργειών ενδέχεται να μην λειτουργεί με ένα λογαριασμό με δικαιώματα διαχείρισης σε διάφορα συμπλέγματα δομών. Η δέσμη ενεργειών ενδέχεται επίσης λειτουργεί όταν εκτελείτε από ένα σταθμό εργασίας που είναι συνδεδεμένοι σε ένα διαφορετικό σύμπλεγμα δομών από το σύμπλεγμα δομών στο οποίο είναι συνδεδεμένοι οι λογαριασμοί κατόχου γραμματοκιβωτίου.

Δεδομένες αυτές τις συνθήκες, μπορείτε να εκτελέσετε τη δέσμη ενεργειών με πολλούς λογαριασμούς διαχειριστή σε μία μόνο περίοδο λειτουργίας, χρησιμοποιώντας την εντολή RunAs.exe . Αυτή η διαδικασία μπορεί να είναι χρήσιμο εάν έχετε τμηματοποιήσει δικαιώματα της υπηρεσίας καταλόγου Active Directory και του Exchange Server και έχετε κανένα μεμονωμένο λογαριασμό με δυνατότητα διαχείρισης όλων των διακομιστών Exchange ή σε όλους τους τομείς της υπηρεσίας καταλόγου Active Directory. Μπορείτε να ανοίξετε μια γραμμή εντολών για να εκτελέσετε τη δέσμη ενεργειών όπως κάθε λογαριασμό διαχειριστή. Εξετάστε το ακόλουθο παράδειγμα:
RunAs.exe /user:domain\account CMD.EXE
Σημείωση Δεν θα πρέπει να εκτελείτε πολλά αντίγραφα της δέσμης ενεργειών ταυτόχρονα στον ίδιο τομέα.

Τα πεδία στο αρχείο εξαγωγής είναι ως εξής. Τα πεδία περιγράφονται με τη σειρά που παρουσιάζονται στο αρχείο εξαγωγής.
  • Εμφανιζόμενο όνομα του λογαριασμού κατόχου του γραμματοκιβωτίου

    Μπορεί να είναι περισσότερες από μία γραμμές στο το αρχείο εξαγωγής που αναφέρουν τον ίδιο κάτοχο γραμματοκιβωτίου. Αυτή η συμπεριφορά προκύπτει όταν πολλοί άλλοι λογαριασμοί έχουν τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο στο ίδιο γραμματοκιβώτιο.
  • Τομέας και όνομα σύνδεσης λογαριασμού που έχει τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά όχι η αποστολή ως δικαίωμα

    Ο ίδιος λογαριασμός μπορεί να εμφανιστεί πολλές φορές σε όλο το αρχείο εξαγωγής εάν ο λογαριασμός έχει πρόσβαση σε πολλά γραμματοκιβώτια. Αυτό είναι πιθανό να ισχύει για λογαριασμό υπηρεσίας εφαρμογής ή για άτομο που διαχειρίζεται πολλαπλά γραμματοκιβώτια πόρων.
  • Εμφανιζόμενο όνομα του λογαριασμού που έχει τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά όχι η αποστολή ως δικαίωμα

    Αυτό το πεδίο παρέχεται πέρα από το πεδίο " Όνομα σύνδεσης" για να είναι πιο εύκολη η αναγνώριση του λογαριασμού.
  • Κατάσταση αντιπροσώπευσης του κατόχου του γραμματοκιβωτίου

    Εάν ο κάτοχος γραμματοκιβωτίου έχει αντιπροσώπους, η τιμή του πεδίου είναι
    Έχει αντιπροσώπους. Εάν ο κάτοχος γραμματοκιβωτίου δεν έχει αντιπροσώπους, η τιμή του πεδίου είναι Όχι πληρεξούσιους.
  • Ενεργοποιημένη ή απενεργοποιημένη κατάσταση του λογαριασμού κατόχου του γραμματοκιβωτίου

    Αυτό το πεδίο είναι χρήσιμο όταν θέλετε να αναγνωρίσετε λογαριασμούς πόρων ή λογαριασμούς γραμματοκιβωτίου μεταξύ-συμπλέγματος δομών. Συνήθως, οι λογαριασμοί αυτοί είναι απενεργοποιημένοι.
  • Πλήρες αποκλειστικό όνομα του λογαριασμού κατόχου του γραμματοκιβωτίου

    Αυτό το πεδίο είναι χρήσιμο όταν θέλετε να αναγνωρίσετε τον τομέα και το κοντέινερ του λογαριασμού κατόχου του γραμματοκιβωτίου.
  • Πλήρες αποκλειστικό όνομα της βάσης δεδομένων γραμματοκιβωτίου του κατόχου του γραμματοκιβωτίου

    Αυτό το πεδίο περιλαμβάνει τη βάση δεδομένων, την ομάδα αποθήκευσης, το διακομιστή και τη διαχειριστική ομάδα για το γραμματοκιβώτιο.
Στο παρακάτω παράδειγμα, ο χρήστης που έχει το όνομα σύνδεσης "NoSendAs" έχει τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά όχι η αποστολή ως δικαίωμα για το γραμματοκιβώτιο "Κάτοχος γραμματοκιβωτίου":
"" "Κάτοχος γραμματοκιβωτίου" "" "" "Domain\NoSendAs" "" "" "όχι αποστολή ως χρήστης" "" "" "Has Delegates" "" "" "ενεργοποιημένο" "" [πρόσθετα πεδία παραλείπονται]

Ρύθμιση παραμέτρων διαχείρισης σταθμών εργασίας για τη δέσμη ενεργειών

Αυτή η δέσμη ενεργειών χρησιμοποιεί διασυνδέσεις διαχείρισης του Exchange για να επικοινωνεί με διακομιστές Exchange. Επομένως, αυτή η δέσμη ενεργειών πρέπει να εκτελεστεί από ένα διακομιστή Exchange ή από ένα σταθμό εργασίας με Exchange διαχειριστής εγκαταστήσει.

Επεξεργασία του αρχείου εξαγωγής

Το αρχείο εξαγωγής είναι μορφοποιημένο ως Unicode απλού κειμένου έτσι ώστε το σετ χαρακτήρων από πολλαπλές γλώσσες μπορεί να υποστηρίξει. Ορισμένα προγράμματα επεξεργασίας κειμένου ενδέχεται να μην μπορείτε να προβάλετε ή να επεξεργαστείτε το αρχείο σωστά ή μπορεί να αποθηκεύουν το αρχείο ως κείμενο ANSI ή ASCII. Το βοηθητικό πρόγραμμα Σημειωματάριο (Notepad) για Windows Server 2003, Windows XP και Microsoft Windows 2000 μπορεί να χειριστεί σωστά αρχεία κειμένου Unicode. Επιπλέον, το Microsoft Office Excel μπορεί να χειριστεί σωστά αρχεία κειμένου Unicode.

Το αρχείο εξόδου είναι σε μορφή οριοθετημένη με στηλοθέτες με τριπλά εισαγωγικά γύρω από τις τιμές για κάθε πεδίο. Τα τριπλά εισαγωγικά χρησιμοποιούνται για να κάνετε εισαγωγή και εξαγωγή από το Excel πιο ντετερμινιστική. Στο Excel, τα τριπλά εισαγωγικά θα γίνουν μονά εισαγωγικά και θα μετατραπούν σε τριπλά όταν το αρχείο αποθηκευτεί ξανά ως κείμενο Unicode. Δείτε τις παρακάτω οδηγίες για να ανοίξετε και να αποθηκεύσετε ένα αρχείο εξαγωγής στο Excel σωστά.

Μπορείτε επίσης να φιλτράρετε ένα αρχείο εξαγωγής χωρίς να χρησιμοποιήσετε το Excel, χρησιμοποιώντας το βοηθητικό πρόγραμμα Find.exe ή το Findstr.exe βοηθητικό πρόγραμμα. Αυτά τα βοηθητικά προγράμματα συμπεριλαμβάνονται στα Windows. Έχουν τη δυνατότητα να αναζητήσετε λέξεις σε ένα αρχείο και να εξάγετε μόνο τις γραμμές που περιέχουν αυτές τις λέξεις ή μόνο τις γραμμές που δεν περιέχουν αυτές τις λέξεις. Για παράδειγμα, εάν θέλετε να δημιουργήσετε μια λίστα στο αρχείο όλων των κατόχων γραμματοκιβωτίου που έχουν πληρεξουσίους, χρησιμοποιήστε είτε αυτές τις εντολές για να δημιουργήσετε ένα αρχείο που περιέχει μόνο τις γραμμές με τη συμβολοσειρά "Με αντιπροσώπους Has Delegates":
Find.exe "Has Delegates" OriginalFile.txt > HasDelegates.txt

Findstr.exe/c: "Has Delegates" OriginalFile.txt > HasDelegates.txt
Ένα άλλο παράδειγμα, ας υποθέσουμε ότι αποκλείσετε όλα τα κατόχους γραμματοκιβωτίων με αντιπροσώπους. Το διακόπτη /V εμφανίζει όλες τις γραμμές που δεν ταιριάζουν με τις λέξεις αναζήτησης. Μπορείτε να χρησιμοποιήσετε οποιαδήποτε από αυτές τις εντολές για να δημιουργήσετε ένα αρχείο το οποίο δεν περιλαμβάνει όλες τις γραμμές "Πληρεξούσιοι έχει":
Find.exe "Χωρίς αντιπροσώπους Has Delegates" OriginalFile.txt > NoDelegates.txt


Find.exe /V "Has Delegates" OriginalFile.txt > NoDelegates.txt


Findstr.exe/c: "Χωρίς αντιπροσώπους Has Delegates" OriginalFile.txt > NoDelegates.txt


Τις/findstr.exe /V c: "Has Delegates" OriginalFile.txt > NoDelegates.txt
Μπορείτε επίσης να χρησιμοποιήσετε αυτές τις εντολές για να δημιουργήσετε ένα αρχείο το οποίο παραθέτει όλους τους λογαριασμούς όπου ένας λογαριασμός υπηρεσίας εφαρμογής διαθέτει δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά δεν διαθέτει το δικαίωμα "Αποστολή ως". Ο διακόπτης /I δίνει στην εντολή τη διάκριση πεζών-κεφαλαίων:
Find.exe /I "domain\ServiceAccount" OriginalFile.txt > ServiceAccount.txt


Findstr.exe /I /C:"domain\ServiceAccount" OriginalFile.txt > ServiceAccount.txt
Σημείωση Εάν χρησιμοποιείτε το βοηθητικό πρόγραμμα Find.exe για να δημιουργήσετε ένα φιλτραρισμένο αρχείο, πρέπει να καταργήσετε τις γραμμές κεφαλίδας που θα δημιουργήσει το βοηθητικό πρόγραμμα Find.exe στο επάνω μέρος του αρχείου.

Μην χρησιμοποιείτε ονόματα αρχείων χαρακτήρα μπαλαντέρ (*. *) με το βοηθητικό πρόγραμμα Findstr.exe. Εάν χρησιμοποιήσετε χαρακτήρες μπαλαντέρ, κάθε γραμμή στο αρχείο εξόδου θα συνοδευόμενο από το όνομα του αρχείου. Πρέπει να εξετάσετε προσεκτικά το αρχείο εξόδου μετά το φιλτράρισμα χρησιμοποιώντας Find.exe ή Findstr.exe για να βεβαιωθείτε ότι το φίλτρο καταγραφή ή τους λογαριασμούς που θέλετε.

Στο παρακάτω παράδειγμα, ο χρήστης που έχει το όνομα σύνδεσης "NoSendAs" έχει τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο, αλλά όχι η αποστολή ως δικαίωμα για το γραμματοκιβώτιο "Κάτοχος γραμματοκιβωτίου".
"""Mailbox Owner""" """Domain\NoSendAs""" """No Send As User""" """Has Delegates""" """Enabled""" [additional fields omitted] 

Σχετικά με κατόχους γραμματοκιβωτίων με αντιπροσώπους

Ένας πληρεξούσιος που έχει συνήθως πλήρους πρόσβασης στο γραμματοκιβώτιο (γνωστό και ως "super-delegate") δεν πρέπει να εκχωρηθεί το δικαίωμα "Αποστολή ως". Όταν ο υπέρ-πληρεξούσιος συνδέεται απευθείας με το γραμματοκιβώτιο του κατόχου γραμματοκιβωτίου, ο πληρεξούσιος μπορεί να στείλει ως κάτοχος. Όταν ο πληρεξούσιος χρησιμοποιεί δυνατότητες αντιπροσώπευσης του Outlook (Γραμματοκιβωτίων σε ανοικτή ή Άνοιγμα Φάκελος άλλου χρήστη), τα μηνύματα αποστέλλονται εκ μέρους του κατόχου.

Να εκχωρήσετε το δικαίωμα "Αποστολή ως" σε έναν υπέρ-πληρεξούσιο μόνο εάν θέλετε ο πληρεξούσιος πάντοτε αποστολή ως κάτοχος του γραμματοκιβωτίου και ποτέ για την αποστολή εκ μέρους του κατόχου γραμματοκιβωτίου. Συνιστούμε να εξετάσετε το αρχείο εξαγωγής για το κείμενο "Πληρεξούσιοι έχει" και στη συνέχεια, εξακριβώστε αν ένα τους πληρεξούσιους υπέρ-που αναφέρονται είναι στην πραγματικότητα οι πληρεξούσιοι του κατόχου του γραμματοκιβωτίου.

Μόνο υπέρ-πληρεξούσιοι αναφέρονται στο αρχείο εξαγωγής. Οι κοινοί αντιπρόσωποι δεν διαθέτουν το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο. Επιπλέον, όταν θέλετε να εκχωρήσετε το δικαίωμα "Αποστολή ως" σε έναν κοινό πληρεξούσιο, ο πληρεξούσιος θα αποστέλλονται πάντα ως ο κάτοχος του γραμματοκιβωτίου. Αυτό ισχύει ακόμα και όταν ο κοινός πληρεξούσιος δεν διαθέτει το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο. Εάν θέλετε να εκχωρήσετε δικαιώματα Αποστολή ως πληρεξούσιος, όταν δεν είχατε σκοπό να, μπορείτε εύκολα να ανακαλέσετε το δικαίωμα αργότερα.

Τρόπος ανοίγματος ενός αρχείου εξαγωγής στο Excel

  1. Ξεκινήστε το Excel πριν να ανοίξετε το αρχείο εξαγωγής.
  2. Ανοίξτε το αρχείο στο Excel ως αρχεία κειμένου. Ξεκινά τον "Οδηγό εισαγωγής κειμένου".
  3. Στον "Οδηγό εισαγωγής κειμένου", αλλάξτε ή αποδεχθείτε τις ακόλουθες ρυθμίσεις:
    • Αρχικός τύπος δεδομένων: με διαχωριστικά
    • Έναρξη εισαγωγής στη γραμμή: 1
    • Προέλευση αρχείου: Unicode (UTF-8)
    • Οριοθέτες: μόνο η καρτέλα
    • Χειρισμός διαδοχικών οριοθετών ως ενός: χωρίς σήμανση
    • Προσδιοριστικό κειμένου: "(διπλά εισαγωγικά)

Τρόπος αποθήκευσης ενός αρχείου εξαγωγής μετά την επεξεργασία του αρχείου στο Excel

  1. Στο αρχείο εξαγωγής, κάντε κλικ στο κουμπί Αποθήκευση ως.
  2. Αποθηκεύστε το αρχείο χρησιμοποιώντας διαφορετικό όνομα ώστε να διατηρήσετε ένα αντίγραφο του αρχικού αρχείου.
  3. Κάντε κλικ στο αρχείο, κάντε κλικ στο κουμπί Αποθήκευση ως, πληκτρολογήστε ένα όνομα αρχείου για να αποθηκευτεί το αποτέλεσμα και στη συνέχεια, κάντε κλικ στο κουμπί κείμενο Unicode στη λίστα "Αποθήκευση ως" .

Σύνταξη δέσμης ενεργειών

Πρόκειται για δέσμη ενεργειών λειτουργίας κειμένου και πρέπει να εκτελεστεί σε παράθυρο γραμμής εντολών, όχι από το πλαίσιο διαλόγου Εκτέλεση . Για να ανοίξετε ένα παράθυρο γραμμής εντολών, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην εντολή Εκτέλεση, πληκτρολογήστε
CMD στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί
OK.

Αρχείο καταγραφής σφαλμάτων και εξαγωγής θα αποθηκευτούν τα αρχεία στον τρέχοντα κατάλογο εντολών. Θα πρέπει να έχετε δικαιώματα για να δημιουργήσετε αρχεία σε αυτόν τον κατάλογο. Για να αποκτήσετε βοήθεια της γραμμής εντολών, πληκτρολογήστε την ακόλουθη εντολή:
CSCRIPT AddSendAs.vbs 
Για να εξαγάγετε χρήστες που έχουν πλήρη πρόσβαση στο γραμματοκιβώτιο χωρίς το δικαίωμα "Αποστολή ως" για έναν τομέα, πληκτρολογήστε την ακόλουθη εντολή:
CSCRIPT AddSendAs.vbs [domain controller name] –ExportExample:
CSCRIPT AddSendAs.vbs CORP-DC-1 –Export

Το αρχείο εξαγωγής θα δημιουργηθεί ως "Send_As_Export_H_MM_SS.txt."

Για να εισαγάγετε ένα επεξεργασμένο αρχείο εξαγωγής, πληκτρολογήστε την ακόλουθη εντολή:
CSCRIPT AddSendAs.vbs [domain controller name] –Import [filename]

Example:


CSCRIPT AddSendAs.vbs CORP-DC-1 –Import "Send_As_Export_H_MM_SS.txt"

Πώς μπορείτε να παραχωρήσετε το δικαίωμα "Αποστολή ως" για κάθε γραμματοκιβώτιο του τομέα για όλους τους χρήστες που έχουν ήδη τα δικαιώματα πλήρους πρόσβασης στο γραμματοκιβώτιο για ένα γραμματοκιβώτιο

Σημείωση Εάν έχετε πληρεξουσίους που έχουν επίσης το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο στον οργανισμό σας, δεν πρέπει να χρησιμοποιείτε τη λειτουργία ρύθμιση όλων. Εάν χρησιμοποιείτε τη λειτουργία ρύθμιση όλων σε αυτήν την περίπτωση, πληρεξούσιους θα παραχωρηθεί το δικαίωμα "Αποστολή ως". Αυτή η συμπεριφορά μπορεί να προκαλέσει όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που θα στέλνουν να χρησιμοποιούν το δικαίωμα "Αποστολή ως" αντί για την αποστολή εκ μέρους δικαιωμάτων. Μπορείτε να διορθώσετε αυτήν τη συμπεριφορά καταργώντας τα δικαιώματα Αποστολή ως που παραχωρήθηκαν στον πληρεξούσιο:
CSCRIPT AddSendAs.vbs [domain controller name] –SetAll

Example:


CSCRIPT AddSendAs.vbs CORP-DC-1 –SetAll

Εάν χρησιμοποιείτε τη λειτουργία ρύθμιση όλων, θα δημιουργηθεί ένα αρχείο εξαγωγής ως Send_As_Export_H_MM_SS.txt. Θα πρέπει να αποθηκεύσετε αυτό το αρχείο επειδή είναι εγγραφή όλων των λογαριασμών που άλλαξαν. Εάν θέλετε να εκτελέσετε ξανά τη δέσμη ενεργειών, δεν θα έδινε την ίδια λίστα λογαριασμών επειδή στους λογαριασμούς θα είχαν ήδη παραχωρηθεί το δικαίωμα "Αποστολή ως".


Τα σφάλματα που αντιμετωπίζετε κατά την εκτέλεση της δέσμης ενεργειών θα αποθηκευτούν στο αρχείο Send_As_Errors_H_MM_SS.txt. Το όνομα του αρχείου σφαλμάτων θα ταιριάζει με τη χρονική σφραγίδα ώρες_λεπτά_δευτερόλεπτα οποιουδήποτε σχετιζόμενου αρχείου εξαγωγής.

Τροποποιήσεις δέσμης ενεργειών

Μπορεί να υπάρχουν λογαριασμοί στην εταιρεία σας που έχουν δικαιώματα σε πολλά αντικείμενα, αλλά δεν θέλετε να τροποποιήσετε αυτά τα δικαιώματα. Για να μειώσετε το μέγεθος του αρχείου εξαγωγής, μπορείτε να φιλτράρετε αυτούς τους λογαριασμούς, τροποποιώντας τη μεταβλητή FMA_EXCLUSIVE_LIST που βρίσκεται κοντά στο επάνω μέρος της δέσμης ενεργειών. Από προεπιλογή, αυτή η μεταβλητή παραθέτει μερικούς λογαριασμούς που θα πρέπει να είναι κρυφοί στη δέσμη ενεργειών. Μπορείτε να προσθέσετε περισσότερους λογαριασμούς, χρησιμοποιώντας την ακόλουθη μορφή.
& "<Domain\Name>" & OUTPUT_DELIMITER
Για παράδειγμα, μπορείτε να αλλάξετε την τιμή της ακόλουθης μεταβλητής.
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER
έτσι ώστε να εμφανίζεται ως εξής.
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER & "Mydomain\Service1" & OUTPUT DELIMITER
Αυτή η αλλαγή αποκρύπτει την καταχώρηση του λογαριασμού "Mydomain\Service1" στο αρχείο εξαγωγής, μαζί με τα "στοιχεία NT AUTHORITY\SELF" και "NT AUTHORITY\ΣΎΣΤΗΜΑ". Σημειώστε ότι η τιμή τομέας\όνομα κάνει διάκριση πεζών-κεφαλαίων και πρέπει να εμφανίζεται ακριβώς όπως είναι ή όπως θα εμφανίζεται στο αρχείο εξαγωγής.

Υπάρχει μια άλλη μεταβλητή με δυνατότητα επεξεργασίας, FMA_EXCLUSIVE_EXSVC, που έχει την προεπιλεγμένη τιμή "\Exchange Services" & OUTPUT_DELIMITER. "Υπηρεσίες Exchange" είναι το όνομα ενός λογαριασμού που έχει δικαιώματα μέσω της σύνδεσης του Active Directory σε σενάρια του Exchange Server 5.5 και Exchange 2000 μετεγκατάστασης και ταυτόχρονη λειτουργία. Αυτός ο λογαριασμός δημιουργείται σε πολλούς τομείς και αυτό ενδέχεται να εμφανίζεται επανειλημμένα στο αρχείο εξαγωγής εάν δεν έχει απενεργοποιηθεί.

Η μεταβλητή FMA_EXCLUSIVE_EXSVC δέχεται μόνο ένα λογαριασμό ως την τιμή της. Το όνομα λογαριασμού δεν είναι διάκριση πεζών-κεφαλαίων. Ο λογαριασμός πρέπει να ξεκινά με ανάστροφη κάθετο (\) και δεν πρέπει να περιλαμβάνει τον τομέα στον οποίο ανήκει ο λογαριασμός. Θα γίνει απόκρυψη του λογαριασμού για όλους τους τομείς στους οποίους ανήκει.

Εάν έχετε χρησιμοποιήσει εργαλεία μετεγκατάστασης τρίτων κατασκευαστών ή μεθόδους συγχρονισμού καταλόγων, διαφορετικό λογαριασμό μπορεί να υπάρχει σε πολλούς τομείς που έχει παραχωρήσει δικαιώματα σε πολλά γραμματοκιβώτια χρηστών. Σε αυτό το σενάριο, μπορείτε να αντικαταστήσετε το όνομα αυτού του λογαριασμού "\Exchange Services".

Συμβουλές και προειδοποιήσεις

  • Μην απορρίπτετε αρχεία καταγραφής και σφαλμάτων που δημιουργούνται από τη δέσμη ενεργειών. Αυτά μπορεί να είναι πολύτιμη για την αντιμετώπιση προβλημάτων ή την ανατροπή αλλαγών αργότερα. Να θυμάστε ότι, μόλις έχετε εκχωρήσει το δικαίωμα "Αποστολή ως" σε ένα λογαριασμό, αυτό θα καταγραφεί πλέον στο αρχείο εξαγωγής.
  • Εάν ένας διακομιστής Exchange ή μια βάση δεδομένων είναι εκτός λειτουργίας, επεξεργασία της δέσμης ενεργειών θα είναι μικρότερη. Σε αυτήν την περίπτωση, μπορείτε να ταξινομήσετε το αρχείο εξαγωγής από τη βάση δεδομένων και να μετακινήσετε τις γραμμές που σχετίζονται με μια Σταματημένη βάση δεδομένων σε διαφορετικό αρχείο για εισαγωγή αργότερα.
  • Η δέσμη ενεργειών αποκρύπτει το αποτέλεσμα των λογαριασμών, όπου το όνομα σύνδεσης λήγει σε "$" ή είναι NT AUTHORITY\SYSTEM. Αυτοί οι λογαριασμοί συστήματος δεν θα πρέπει να χρειάζεται συνήθως το δικαίωμα "Αποστολή ως" και κατάργηση από το αρχείο εξαγωγής σε μεγάλο βαθμό μειώνει το μέγεθός του.
  • Το αρχείο εξαγωγής πρέπει να είναι σε μορφή Unicode πριν να μπορεί να εισαχθεί. Εάν αποθηκεύσατε ακούσια το αρχείο ως κείμενο ANSI, μπορείτε να επιλύσετε το ζήτημα αυτό φορτώνοντας το αρχείο στο Σημειωματάριο (Notepad) και αποθηκεύοντάς το ως κείμενο Unicode.
  • Εάν η εισαγωγή δεν λειτουργεί, αντιμετωπίστε με δοκιμαστικούς λογαριασμούς και μία γραμμή στο αρχείο εισαγωγής. Πρέπει να ρυθμίσετε τις παραμέτρους του δοκιμαστικού λογαριασμού που διαθέτει γραμματοκιβώτιο στο διακομιστή Exchange που λειτουργεί και, στη συνέχεια, να εκχωρήσει το δικαίωμα πλήρους πρόσβασης στο γραμματοκιβώτιο σε άλλο δοκιμαστικό λογαριασμό. Μην εκχωρείτε το δικαίωμα "Αποστολή ως" στον άλλο δοκιμαστικό λογαριασμό.
  • Δεν υπάρχει καμία λειτουργία αναίρεσης για αυτήν τη δέσμη ενεργειών. Για να ακυρώσετε τα δικαιώματα Αποστολή ως που που παραχωρήσατε σε αυτήν τη δέσμη ενεργειών, πρέπει να δημιουργήσετε άλλη δέσμη ενεργειών ή να τα καταργήσετε με μη αυτόματο τρόπο. Δεν παρέχεται λειτουργία αναίρεσης για να αποφύγετε τη χρήση της αυτήν τη δέσμη ενεργειών για να καταργήσετε τα δικαιώματα "Αποστολή ως" για όλους τους χρήστες σε μια εταιρεία.
  • Η δέσμη ενεργειών δεν χειρίζεται σωστά ένα λογαριασμό στον οποίο έχει παραχωρηθεί πλήρης έλεγχος ενός αντικειμένου χρήστη μαζί με πλήρη πρόσβαση στο γραμματοκιβώτιο. Πλήρης έλεγχος περιλαμβάνει το δικαίωμα "Αποστολή ως", αλλά η δέσμη ενεργειών θα εξαγάγει το λογαριασμό σαν να μην είχε το δικαίωμα "Αποστολή ως". Αυτό μπορεί να αυξήσει το μέγεθος του αρχείου εξαγωγής, αλλά δεν προκαλείται βλάβη από την εισαγωγή του αρχείου και, στη συνέχεια, την περιττή εκχώρηση δικαιώματα Αποστολή ως σε τέτοιους λογαριασμούς.
  • Ενεργών λογαριασμών χρηστών καταλόγου που αποκλειστικά ονόματα, οι οποίοι περιλαμβάνουν διαστήματα ή διπλά αταίριαστα εισαγωγικά δεν είναι επεξεργάσιμοι από αυτήν τη δέσμη ενεργειών. Η δέσμη ενεργειών είναι δυνατόν να επεξεργαστεί σωστά ένα όνομα που περιλαμβάνει η συμφωνημένη διπλά εισαγωγικά όπως οι εξής:
    "CN = First"Nickname"Last, DC = domain, DC = com"
  • Κάθε έκδοση του Excel υποστηρίζει μια διαφορετική γραμμή μέγιστο όριο. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    120596 αρχεία κειμένου που είναι μεγαλύτερα από 65.536 γραμμές δεν είναι δυνατό να εισαχθούν στο Excel 97, Excel 2000, Excel 2002 και Excel 2003

    Τα παρακάτω είναι όρια γραμμών για το Excel 2003 και Excel 2007:
    • Το Excel 2003: 65.536 γραμμές
    • Το Excel 2007: 1.048.576 γραμμές
    Εάν το αρχείο εξόδου είναι μεγαλύτερο από αυτά τα όρια, πρέπει να διαχωρίσετε το αρχείο σε ενότητες πριν το φορτώσετε στο Excel.
  • Το αρχείο Send_As_Errors παραθέτει συγκεκριμένους λογαριασμούς όπου υπάρχει αποτυχία ανάγνωσης ή εγγραφής δικαιωμάτων. Εάν έχει γίνει επιτυχής επεξεργασία άλλων λογαριασμών του τομέα, οι λογαριασμοί αυτοί ενδέχεται να έχουν κάτι κοινό που εμποδίζει τη δέσμη ενεργειών να εκτελεστεί με αυτούς. Κοινά ζητήματα περιλαμβάνονται τα ακόλουθα:
    • Έλλειψη δικαιωμάτων διαχείρισης για την προβολή ή τον ορισμό ιδιοτήτων σε λογαριασμούς.
    • Ο χώρος αποθήκευσης γραμματοκιβωτίου του Exchange δεν εκτελείται.
    • Ο σταθμός εργασίας δεν είναι μέλος του ίδιου τομέα.
    • Ο λογαριασμός διαχειριστή που χρησιμοποιείται δεν είναι από το ίδιο σύμπλεγμα δομών.
Για να εκτελέσετε αυτήν τη δέσμη ενεργειών, αντιγράψτε και επικολλήστε όλες τις γραμμές μεταξύ ΑΡΧΗ ΔΕΣΜΗΣ ΕΝΕΡΓΕΙΩΝ και το ΤΕΛΟΣ ΔΕΣΜΗΣ ΕΝΕΡΓΕΙΩΝ σε πρόγραμμα επεξεργασίας απλού κειμένου όπως το Σημειωματάριο (Notepad). Αποθηκεύστε τη δέσμη ενεργειών ως AddSendAs.vbs. ΔΈΣΜΗ ΕΝΕΡΓΕΙΏΝ ΕΚΚΊΝΗΣΗΣ.
Option Explicit
Dim OUTPUT_DELIMITER
OUTPUT_DELIMITER = """""""" & vbTab & """"""""

'Define exclusive list, if FMA is given to any user in this list, it's ignored. If you
'want to modify this list, please be sure to follow the same format. Every alias has to
'have a OUTPUT_DELIMITER before and after it
Dim FMA_EXCLUSIVE_LIST
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER
Dim FMA_EXCLUSIVE_EXSVC
FMA_EXCLUSIVE_EXSVC = "\Exchange Services" & OUTPUT_DELIMITER

'Permission Type: Allow or Deny
const ACCESS_ALLOWED_OBJECT_ACE_TYPE = 5
const ADS_ACETYPE_ACCESS_ALLOWED = &h0
const ADS_ACETYPE_ACCESS_DENIED = &h1

'Flags: Specifies Inheritance
const ADS_ACEFLAG_INHERIT_ACE = &h2
const ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE = &h4
const ADS_ACEFLAG_INHERIT_ONLY_ACE = &h8
const ADS_ACEFLAG_INHERITED_ACE = &h10
const ADS_ACEFLAG_VALID_INHERIT_FLAGS = &h1f
const ADS_ACEFLAG_SUCCESSFUL_ACCESS = &h40
const ADS_ACEFLAG_FAILED_ACCESS = &h80

'Declare ADSI constants
Const ADS_OPTION_SECURITY_MASK = 3
Const ADS_OPTION_REFERRALS= 1
Const ADS_SECURITY_INFO_DACL = 4
Const ADS_CHASE_REFERRALS_NEVER = &h00
Const ADS_CHASE_REFERRALS_SUBORDINATE = &h20
Const ADS_CHASE_REFERRALS_EXTERNAL = &h40

'output file name
Const EXPORT_FILE = "Send_As_Export"
Const ERROR_FILE = "Send_As_Errors"

' script mode
const MODE_INVALID = -1
const MODE_SETALL = 0
const MODE_EXPORT = 1
const MODE_IMPORT = 2
const SETALL = "-SETALL"
const EXPORT = "-EXPORT"
const IMPORT = "-IMPORT"

' argument index
Const ARG_INDEX_MODE = 1
Const ARG_INDEX_DC = 0
Const ARG_INDEX_FILENAME = 2

' column index in import/export file
Const COLUMN_INDEX_USERDISPLAYNAME = 0
Const COLUMN_INDEX_FMAALIAS = 1
Const COLUMN_INDEX_FMADISPLAYNAME = 2
Const COLUMN_INDEX_IFPUBLICDELEGATE = 3
Const COLUMN_INDEX_MAILBOXSTATUS = 4
Const COLUMN_INDEX_USERADSPATH = 5
Const COLUMN_INDEX_HOMEMDB = 6

Const EMPTYSTRING = ""
Const STRNO = "No Delegates"
Const STRYES = "Has Delegates"
Const MIN_ARG = 2
Const INIT_ARRAY_SIZE = 100

' Microsoft Exchange
Const EX_MB_SEND_AS_ACCESSMASK = &H00100
Const EX_FULLMailbox_AccessMask = 1
Const MESO = "Microsoft Exchange System Objects"
Const EX_MB_SEND_AS_GUID = "{AB721A54-1E2F-11D0-9819-00AA0040529B}"

Const ForReading= 1
Const ForWriting= 2
Const ForAppending= 8
Const TristateTrue= -1
Const ADS_SCOPE_SUBTREE = 2

Dim objUser
Dim objSDMailBox
Dim objSDNTsecurity
Dim objDACLNTSD
Dim objNewACE

Dim sTrusteeAlias()
Dim sFMADeniedList
Dim sFMAExplicitAllow
Dim fACESendasFound
Dim dArraySize
Dim TotalACE
Dim i
Dim rootDSE
Dim conn
Dim objCommand
Dim objCmdDisplayName
Dim rsUsers
Dim FoundObject
Dim objFSO
Dim objfileImport
Dim objfileExport
Dim objfileError
Dim sImportFilePath
Dim cScriptMode
Dim dArgCount
Dim dArgExpected
Dim sDCServer
Dim sMailboxStatus
Dim sIfPublicDelegate
Dim sFMAUserDisplayName
Dim sExportFileName
Dim sErrorsFileName
Dim msPublicDelegates
Dim fError
Dim fOneError
Dim fFMAAllowed

On Error Resume Next
dArraySize = INIT_ARRAY_SIZE
ReDim Preserve sTrusteeAlias(dArraySize)

dArgCount = Wscript.Arguments.Count
If ( dArgCount < MIN_ARG ) Then
DisplaySyntax
End If

err.Clear
fError = False
fOneError = False
cScriptMode = MODE_INVALID
Select Case UCase(WScript.Arguments(ARG_INDEX_MODE))
Case SETALL
cScriptMode = MODE_SETALL
dArgExpected = ARG_INDEX_MODE + 1
Case EXPORT
cScriptMode = MODE_EXPORT
dArgExpected = ARG_INDEX_MODE + 1
Case IMPORT
cScriptMode = MODE_IMPORT
dArgExpected = ARG_INDEX_FILENAME + 1
Case Else
cScriptMode = MODE_INVALID
End Select
If (cScriptMode = MODE_INVALID Or dArgCount <> dArgExpected) Then
DisplaySyntax
End If

sDCServer = WScript.Arguments(ARG_INDEX_DC)

CreateOutputFiles

If ( cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT ) Then
Dim sDomainContainer
If (cScriptMode = MODE_SETALL) Then
Dim strInput
WScript.StdOut.WriteLine("WARNING: If you continue, each account in the domain that has")
WScript.StdOut.WriteLine("Full Mailbox Access permission for a given mailbox will also be")
WScript.StdOut.WriteLine("granted permission to Send As the mailbox owner.")
WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("To preview the list of mailboxes before granting Send As,")
WScript.StdOut.WriteLine("cancel this operation and use the -Export mode of this script.")
WScript.StdOut.WriteLine()
WScript.StdOut.Write("Press Y to continue or any other key to cancel: ")
strInput = WScript.StdIn.ReadLine()
If (UCase(strInput) <> UCase("Y")) Then
WScript.Quit
End If
End If

WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("""!"" indicates an error processing an object.")
WScript.StdOut.WriteLine(" Check " & sErrorsFilename)
WScript.StdOut.WriteLine("Starting...")
WScript.StdOut.WriteLine()

err.Clear
Set rootDSE = GetObject("LDAP://" & sDCServer & "/RootDSE")
sDomainContainer = rootDSE.Get("defaultNamingContext")
WScript.StdOut.WriteLine("Finding domain controller [ " & sDCServer & " ] for domain [ " & sDomainContainer & " ]")

If (err.number <> 0) Then
WScript.StdOut.WriteLine("Failed to find the domain or domain controller, error:" & err.Description)
objfileError.WriteLine("Failed to find the domain or domain controller, error:" & err.Description)
WScript.Quit
End If

err.Clear
Set conn = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
conn.Provider = "ADSDSOObject"
conn.Open "ADs Provider"
If (err.number <> 0) Then
WScript.StdOut.WriteLine("Failed to bind to Active Directory server, error:" & err.Description)
objfileError.WriteLine("Failed to bind to Active Directory server, error:" & err.Description)
WScript.Quit
End If

Set objCommand.ActiveConnection = conn
WScript.StdOut.WriteLine("Searching for mailbox owner user accounts in " & sDomainContainer)

objCommand.CommandText = "<LDAP://" & sDCServer & "/" & sDomainContainer & ">;(&(&(& (mailnickname=*) (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"
objCommand.Properties("searchscope") = ADS_SCOPE_SUBTREE
objCommand.Properties("Page Size") = 100
objCommand.Properties("Timeout") = 30
objCommand.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)

err.Clear
Set rsUsers = objCommand.Execute
If (err.number <> 0) Then
WScript.StdOut.WriteLine("Search for mailbox owners failed, error:" & err.Description)
objfileError.WriteLine("Search for mailbox owners failed, error:" & err.Description)
WScript.Quit
End If

If (rsUsers.RecordCount = 0) Then
WScript.StdOut.WriteLine("No mailbox owner user accounts could be seen in " & sDomainContainer & ".")
objfileError.WriteLine("No mailbox owner user accounts found in " & sDomainContainer & ".")
fError = True
End If

While Not rsUsers.EOF
If (fOneError = True) Then
WScript.StdOut.Write("!")
Else
WScript.StdOut.Write(".")
End If
fOneError = False

'Skip any mailbox object in Microsoft Exchange System Objects container
If (0 = Instr(rsUsers.Fields(0).Value, MESO)) Then
err.Clear
Set objUser = GetObject(rsUsers.Fields(0).Value)
If (err.number <> 0) Then
objfileError.WriteLine("Failed to get user object: " & rsUsers.Fields(0).Value)
objfileError.WriteLine("Error: " & err.Description)
fError = True
fOneError = True
err.Clear
End If
Set objSDMailBox = objUser.MailboxRights
If (err.number <> 0) Then
objfileError.WriteLine("Failed to get mailbox rights: " & rsUsers.Fields(0).Value)
objfileError.WriteLine("Error: " & err.Description)
fError = True
fOneError = True
err.Clear
End If
Set objSDNTsecurity = objUser.ntSecurityDescriptor
If (err.number <> 0) Then
objfileError.WriteLine("Failed to get NTSD: " & rsUsers.Fields(0).Value)
objfileError.WriteLine("Error: " & err.Description)
fError = True
fOneError = True
err.Clear
End If

Set objDACLNTSD = Nothing
If (objUser.AccountDisabled) Then
sMailboxStatus = "Disabled"
Else
sMailboxStatus = "Enabled"
End If

'Query this user's publicDelegates list
err.Clear
msPublicDelegates = objUser.Get("publicDelegates")
If (err.number <> 0) Then
'This user doesn't have publicDelegates list set
sIfPublicDelegate = STRNO
err.Clear
Else
sIfPublicDelegate = STRYES
End If

err.Clear
FindAllFMAUsers objSDMailBox

If (TotalACE > dArraySize) Then
'Needs to allocate bigger size array
dArraySize = TotalACE + 1
ReDim Preserve sTrusteeAlias(dArraySize)
FindAllFMAUsers objSDMailBox
End If
If (err.number <> 0) Then
objfileError.WriteLine("Failed to query mailbox rights of user: " & rsUsers.Fields(0).Value)
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If

If TotalACE > 0 Then
Set objDACLNTSD = objSDNTsecurity.DiscretionaryAcl

For i = 0 to TotalACE - 1 Step 1

'Check if we already have Send As ACE in NT security descriptor
'If it exists, either allow or deny, we don't need to add send as to it
CheckSendAsACE objDACLNTSD, sTrusteeAlias(i)

'Note: deny entries take precedence over allow entries.
'If there is FMA deny ACE, skip it even if we find FMA allow ACE
IfFMAAllowed(sTrusteeAlias(i) & OUTPUT_DELIMITER)
If ((fFMAAllowed = True) And (fACESendasFound = 0)) Then
If cScriptMode = MODE_SETALL Then
Set objNewACE = CreateObject ("AccessControlEntry")
objNewACE.AceFlags = 0
objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE
objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK
objNewACE.Flags = 1
objNewACE.ObjectType = EX_MB_SEND_AS_GUID
objNewACE.Trustee = sTrusteeAlias(i)

objDACLNTSD.AddAce objNewAce
End If

'Query trustee(FMA user) to get its displayName
Dim rsTrustee
Dim objTrustee
Dim dPosition
Dim sAlias

dPosition = inStr(1, sTrusteeAlias(i), "\")
sAlias = mid(sTrusteeAlias(i), dPosition + 1)

Set objCmdDisplayName = CreateObject("ADODB.Command")
Set objCmdDisplayName.ActiveConnection = conn
objCmdDisplayName.CommandText = "<LDAP://" & sDomainContainer & ">;(&(&(& (mailnickname=" & sAlias & ") (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"
objCmdDisplayName.Properties("searchscope") = ADS_SCOPE_SUBTREE
objCmdDisplayName.Properties("Page Size") = 100
objCmdDisplayName.Properties("Timeout") = 30
objCmdDisplayName.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)

Set rsTrustee = objCmdDisplayName.Execute
Set objTrustee = GetObject(rsTrustee.Fields(0).Value)

If (err.number <> 0) Then
'Failed to query FMA user's display name, use its alias
sFMAUserDisplayName = sAlias
Else
sFMAUserDisplayName = objTrustee.displayName
End If

'output to export file
err.Clear
objfileExport.WriteLine ("""""""" & objUser.displayName & OUTPUT_DELIMITER & sTrusteeAlias(i) & OUTPUT_DELIMITER & sFMAUserDisplayName & OUTPUT_DELIMITER & sIfPublicDelegate & OUTPUT_DELIMITER & sMailboxStatus & OUTPUT_DELIMITER & rsUsers.Fields(0).Value & OUTPUT_DELIMITER & objUser.homeMDB & """""""")
If (err.number <> 0) Then
objfileError.WriteLine("User " & rsUsers.Fields(0).Value & " could not be added to the export file. You should set permissions manually for this user.")
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If
Set objCmdDisplayName = Nothing
Set rsTrustee = Nothing
Set objTrustee = Nothing
End If
Next

If cScriptMode = MODE_SETALL Then
err.Clear
objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
objUser.SetInfo
If (err.number <> 0) Then
objfileError.WriteLine("Failed to update ADSI for user: " & rsUsers.Fields(0).Value)
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If
End If

TotalACE = 0
Set objSDMailbox = Nothing
Set objSDNTsecurity = Nothing
Set objUser = Nothing
Set objDACLNTSD = Nothing
End If

End If
rsUsers.MoveNext
Wend
End If

If (cScriptMode = MODE_IMPORT) Then
Dim sOneRow
Dim sArraySplit
Dim objUserItem
Dim UserPath
Dim objUserSD
Dim objUserDACL
Dim fNeedToAddSendAs

sImportFilePath = WScript.Arguments(ARG_INDEX_FILENAME)

WScript.StdOut.WriteLine("If you continue, each account listed in " & sImportFilePath)
WScript.StdOut.WriteLine("that has Full Mailbox Access permission for a given mailbox")
WScript.StdOut.WriteLine("will also be granted permission to Send As the mailbox owner.")
WScript.StdOut.WriteLine()
WScript.StdOut.Write("Press Y to continue or any other key to cancel: ")
strInput = WScript.StdIn.ReadLine()
If (UCase(strInput) <> UCase("Y")) Then
WScript.Quit
End If
WScript.StdOut.WriteLine("Starting...")
WScript.StdOut.WriteLine()

UserPath = EMPTYSTRING
err.Clear
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objfileImport = objFSO.OpenTextFile(sImportFilePath, ForReading, False, TristateTrue)
If (err.number <> 0) Then
WScript.StdOut.WriteLine("Failed to open import file " & sImportFilePath & ", error:" & err.Description)
objfileError.WriteLine("Failed to open import file " & sImportFilePath & ", error:" & err.Description)
WScript.Quit
End If

fNeedToAddSendAs = False
Do While objfileImport.AtEndOfStream <> True
If (fOneError = True) Then
WScript.StdOut.Write("!")
Else
WScript.StdOut.Write(".")
End If
fOneError = False

err.Clear
sOneRow = objfileImport.ReadLine
sArraySplit = Split(sOneRow , OUTPUT_DELIMITER)
If (err.number <> 0) Then
objfileError.WriteLine("Failed to parse one row: " & sOneRow )
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If

If (UserPath <> sArraySplit(COLUMN_INDEX_USERADSPATH)) Then
'A new user
If (fNeedToAddSendAs = True ) Then
'update existing user
err.Clear
objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
objUser.SetInfo
If (err.number <> 0) Then
objfileError.WriteLine("Failed to update permissions for user: " & UserPath)
objfileError.WriteLine("Error: " & err.Description)
fError = True
fOneError = True
End If
End If

fNeedToAddSendAs = False
Set objUser = Nothing
Set objSDNTsecurity = Nothing
Set objDACLNTSD = Nothing

UserPath = sArraySplit(COLUMN_INDEX_USERADSPATH)
err.Clear
Set objUser = GetObject(UserPath)
Set objSDNTsecurity = objUser.ntSecurityDescriptor
Set objDACLNTSD = objSDNTsecurity.DiscretionaryACL
If (err.number <> 0) Then
objfileError.WriteLine("Failed to get user object: " & UserPath)
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If
End If

'Add newACE Do we need this check?
CheckSendAsACE objDACLNTSD, sArraySplit(COLUMN_INDEX_FMAALIAS)
If (fACESendasFound = 0) Then
Set objNewACE = CreateObject ("AccessControlEntry")
objNewACE.AceFlags = 0
objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE
objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK
objNewACE.Flags = 1
objNewACE.ObjectType = EX_MB_SEND_AS_GUID
objNewACE.Trustee = sArraySplit(COLUMN_INDEX_FMAALIAS)

objDACLNTSD.AddAce objNewACE
fNeedToAddSendAs = True
End If
Loop

If (fNeedToAddSendAs = True ) Then
'update the last user
err.Clear
objSDNTsecurity.DiscretionaryAcl = objDACLNTSD
objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )
objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL
objUser.SetInfo
If (err.number <> 0) Then
objfileError.WriteLine("Failed to update permissions for user: " & UserPath)
objfileError.WriteLine("Error: " & err.Description)
fError = True
End If
End If

End If

objFSO.Close
objfileImport.Close
objfileExport.Close
objfileError.Close

Set objFSO = Nothing
Set objfileImport = Nothing
Set objfileExport = Nothing
Set objfileError = Nothing
Set objCommand = Nothing
Set conn = Nothing

WScript.StdOut.WriteLine()
If (fError = True) Then
WScript.StdOut.WriteLine("Finished with one or more errors. See " & sErrorsFilename)
Else
WScript.StdOut.WriteLine("Finished successfully. No errors were encountered.")
End If

Function FindAllFMAUsers (objSD)
Dim objACL
Dim objACE
Dim intACECount
Dim strIndent
Dim dAccessMaskBit
Dim dPosition
Dim sUserAlreadyFound

On Error Resume Next
err.Clear
TotalACE = 0
sFMADeniedList = EMPTYSTRING
sFMAExplicitAllow = EMPTYSTRING
sUserAlreadyFound = OUTPUT_DELIMITER
intACECount = 0
Set objACL = objSD.DiscretionaryAcl
intACECount = objACL.AceCount

If intACECount Then
' Open discretionary ACL (DACL) data.
For Each objACE In objACL

dPosition = inStr(1, objACE.Trustee, "$")
If ((0 = Instr(UCase(objACE.Trustee & OUTPUT_DELIMITER), UCase(FMA_EXCLUSIVE_EXSVC))) And (0 = Instr(sUserAlreadyFound, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (0 = Instr(FMA_EXCLUSIVE_LIST, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (dPosition <> Len(objACE.Trustee)) And ((objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0) And ((objACE.AceType = ADS_ACETYPE_ACCESS_ALLOWED) Or (objACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE) )) Then
If (TotalACE < dArraySize) Then
sTrusteeAlias(TotalACE) = objACE.Trustee
sUserAlreadyFound = sUserAlreadyFound & objACE.Trustee & OUTPUT_DELIMITER
End If
TotalACE = TotalACE + 1
If ((objACE.AceFlags And ADS_ACEFLAG_INHERITED_ACE) = 0) Then
'Keep a list who explictly set FMA at mailbox level
sFMAExplicitAllow = sFMAExplicitAllow & objACE.Trustee & OUTPUT_DELIMITER
End If
ElseIf (( (objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0 ) And (objACE.AceType = ADS_ACETYPE_ACCESS_DENIED)) Then
'Keep a list who denied FMA, use OUTPUT_DELIMITER as demiliter,
'include both inherited and explicit set at mailbox level
sFMADeniedList = sFMADeniedList & objACE.Trustee & OUTPUT_DELIMITER
End If
Next
End If

Set objACL = Nothing
End Function

Function CheckSendAsACE (objDiscretionaryACL, sTAlias)
Dim objACE
Dim intACECount

err.Clear
fACESendasFound = 0
intACECount = objDiscretionaryACL.AceCount

If intACECount Then
For Each objACE In objDiscretionaryACL
err.Clear
If ( (objACE.Trustee = sTAlias) And (objACE.ObjectType = EX_MB_SEND_AS_GUID) ) Then
fACESendasFound = 1
End If
If (err.number <> 0) Then
objfileError.WriteLine("Could not read permissions for this user: " & sTAlias)
objfileError.WriteLine("Error: " & err.Description)
err.Clear
fError = True
fOneError = True
End If
Next
End If
End Function

Function IfFMAAllowed(sTrustee)
'FMA allow ACE has been found. Assume it's true
fFMAAllowed = True

If ( (0 <> Instr(sFMADeniedList, sTrustee)) And (0 = Instr(sFMAExplicitAllow, sTrustee))) Then
'If Denied ACE is found, and no explicit allow FMA
fFMAAllowed = False
End If
End Function

Function CreateOutputFiles
Dim sTimeArray
Dim sTimeShort
Dim sTime

err.Clear
sTime = Time
sTimeShort = Split(sTime, " ")
sTimeArray = Split(sTimeShort(0), ":")

Set objFSO = CreateObject("Scripting.FileSystemObject")
sErrorsFileName = ERROR_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"
Set objfileError = objFSO.OpenTextFile(sErrorsFileName, ForWriting, True, TristateTrue)

If (cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT)Then
sExportFileName = EXPORT_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"
Set objfileExport = objFSO.OpenTextFile(sExportFileName, ForWriting, True, TristateTrue)
End If

If err.number <> 0 Then
WScript.StdOut.WriteLine("Unable to create export or error files: " & err.Description)
objfileError.WriteLine("Unable to create export or error files: " & err.Description)
fError = True
fOneError = True
WScript.Quit
End If

End Function

Function DisplaySyntax
WScript.StdOut.WriteLine("Syntax:")
WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("Export accounts with Full Mailbox Access that do not have Send As permission:")
WScript.StdOut.WriteLine(" CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Export")
WScript.StdOut.WriteLine(" NOTE: The list will be saved to Send_As_Export_HH_MM_SS.txt")
WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("Grant Send As to all accounts listed in an export file:")
WScript.StdOut.WriteLine(" CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Import ""filename.txt""")
WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("Grant Send As to all accounts in the domain with Full Mailbox Access:")
WScript.StdOut.WriteLine(" CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -SetAll")
WScript.StdOut.WriteLine(" NOTE: Accounts will be listed in Send_As_Export_HH_MM_SS.txt")
WScript.StdOut.WriteLine()
WScript.StdOut.WriteLine("For all modes, errors are saved to Send_As_Errors_HH_MM_SS.txt")

WScript.Quit
End Function
ΤΕΛΟΣ ΔΕΣΜΗΣ ΕΝΕΡΓΕΙΩΝ

Η Microsoft παρέχει παραδείγματα προγραμματισμού μόνο για επεξήγηση, χωρίς καμία εγγύηση, είτε σιωπηρή είτε ρητή. Αυτό περιλαμβάνει, ενδεικτικά, τις σιωπηρές εγγυήσεις εμπορευσιμότητας ή καταλληλότητας για συγκεκριμένο σκοπό. Αυτό το άρθρο προϋποθέτει ότι είστε εξοικειωμένοι με τη γλώσσα προγραμματισμού που παρουσιάζεται, καθώς και με τα εργαλεία που χρησιμοποιούνται για τη δημιουργία διαδικασιών και τον εντοπισμό σφαλμάτων σε αυτές. Οι μηχανικοί υποστήριξης της Microsoft μπορούν να σας εξηγήσουν τη λειτουργικότητα μιας συγκεκριμένης διαδικασίας. Ωστόσο, δεν θα τροποποιήσουν αυτά τα παραδείγματα για να παράσχουν πρόσθετες λειτουργίες, ούτε θα δημιουργήσουν διαδικασίες για να καλύψουν τις συγκεκριμένες απαιτήσεις σας.

Για περισσότερες πληροφορίες σχετικά με τις επιλογές υποστήριξης που είναι διαθέσιμες από τη Microsoft, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων.
Ιδιότητες

Αναγνωριστικό άρθρου: 912918 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια