現在オフラインです。再接続するためにインターネットの接続を待っています

Exchange Server の Active Directory ユーザーとコンピュータ スナップインで "送信者" アクセス許可を構成した後、ユーザー オブジェクトから "送信者" アクセス許可が削除される

現象
Microsoft Exchange Server の Active Directory ユーザーとコンピュータ スナップインで、ユーザー オブジェクトの "送信者" アクセス許可を明示的に構成しても、その約 1 時間後には "送信者" アクセス許可がそのユーザー オブジェクトから削除されます。

さらに、そのユーザー オブジェクトのセキュリティ記述子に対して行った別の変更も削除されることがあります。たとえば、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックス (Windows Server 2003 では、[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める] チェック ボックス) がオフになることがあります。

Microsoft Exchange Server 5.5 および有効な Active Directory コネクタ (ADC) を含む環境では、保護されたグループのメンバである Active Directory ユーザー アカウントを使用するように構成されている Exchange Server 5.5 メールボックスは、Exchange Server 5.5 管理ツールで "カスタム" と表示されます。
原因
Active Directory ディレクトリ サービスには、保護されたグループのメンバのセキュリティ記述子が操作されないようにするプロセスがあります。保護されたグループのメンバであるユーザー アカウントのセキュリティ記述子が AdminSDHolder オブジェクトのセキュリティ記述子と一致しない場合、ユーザーのセキュリティ記述子は、AdminSDHolder オブジェクトから取得された新しいセキュリティ記述子で上書きされます。

"送信者" アクセス許可は、ユーザー オブジェクトのセキュリティ記述子を変更することによって委任されます。このため、ユーザーが保護されたグループのメンバである場合、その変更は約 1 時間以内に上書きされます。
解決方法
保護されたグループのメンバであるアカウントは、電子メール用には使用しないことをお勧めします。保護されたグループに付与されているアクセス許可が必要な場合は、2 つの Active Directory ユーザー アカウントを使用することをお勧めします。1 つのユーザー アカウントは保護されたグループに追加し、もう 1 つのユーザー アカウントを電子メールやその他の目的に使用します。
回避策
Exchange Server 5.5 管理ツールで、Exchange Server 5.5 メールボックスがユーザーに対して "カスタム" として表示される問題を回避する際に役立つ情報を以下に示します。この回避策は、ユーザー オブジェクトが Active Directory コネクタ (ADC) によって Active Directory にレプリケートされる際に、SELF アクセス制御エントリ (ACE) がユーザー オブジェクトに存在することに依存しています。

Dsacls.exe ユーティリティを使用して、ユーザー オブジェクトから削除されたエントリを追加できます。これを行うには、AdminSDHolder のアクセス許可を変更します。その後に、必要なエントリを追加します。すべてのエントリは SELF セキュリティ プリンシパルを使用するので、この回避策によって新たなセキュリティの問題が発生することはありません。

: Dsacls.exe ユーティリティは、AdminSDHolder のセキュリティ記述子に不足しているアクセス制御エントリを 1 つ追加するごとに 1 回実行する必要があります。たとえば、6 つの異なるエントリを追加する場合は、Dsacls.exe ユーティリティを 6 回実行します。

次の回避策では、AdminSDHolder オブジェクトを変更します。その後に、AdminSDHolder オブジェクトが、保護されたグループのメンバである各ユーザー アカウントに伝達されます。回避策を使用するには、次の手順を実行します。
  1. Windows 2000 CD から Microsoft Windows 2000 サポート ツールをインストールします。Dsacls.exe ユーティリティは、これらのツールに含まれています。Dsacls.exe ユーティリティを使用すると、Active Directory のオブジェクトに対する ACE の表示、変更、または削除を行うことができます。
  2. 次のコードを含むバッチ ファイルを作成します。
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Send As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
    : "dc=<mydomain>,dc=com" を、使用しているドメインの識別名に置き換えます。
  3. Active Directory によって、伝達されたすべてのグループのメンバであるすべてのユーザー アカウントのセキュリティ記述子が上書きされるように、1 時間待機します。
  4. ADC によって変更がレプリケートされると、すべてのユーザーが "カスタム" ではなく "ユーザー" と表示されます。
セキュリティ更新プログラム 916803、セキュリティ更新プログラム 912442、または「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている Exchange Server の夏時間変更の更新プログラムを適用する場合があります。
926666 Exchange 2003 Service Pack 2 の 2007 年夏時間変更の更新プログラム
これを行う場合は、保護されたグループの BlackBerry Services アカウントに付与されているアクセス許可が、AdminSDHolder によって上書きされないようにする必要があります。これを行うには、次のコードを含むバッチ ファイルを作成します。
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Send As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information" dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\BlackBerrySA:CA;Send As"
: このバッチ ファイルで、BlackBerrySA には、BlackBerry Service アカウントの名前を指定します。複数のドメインのアカウントを対象にする場合は、Domain\BlackberrySA の形式を使用して、コマンド ラインでドメインを指定することもできます。

また、保護されたグループのメンバであるアカウントは、電子メール用には使用しないことをお勧めします。保護されたグループに付与されているアクセス許可が必要な場合は、2 つの Active Directory ユーザー アカウントを使用することをお勧めします。1 つのユーザー アカウントは保護されたグループに追加し、もう 1 つのユーザー アカウントを電子メールやその他の目的に使用します。
状況
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
詳細
"送信者" アクセス許可をユーザー アカウントに委任する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
281208 [XADM] Exchange Server 5.5 および Exchange 2000 でユーザーに "代理送信" の権利を与える方法
AdminSDHolder オブジェクトの詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
232199 Active Directory AdminSDHolder オブジェクトについての説明と更新
817433 委任されたアクセス許可を利用できず継承が自動的に無効になる
AdminSDHolder オブジェクトは、次の場所にあります。
CN=AdminSDHolder,CN=System,DC=MyDomain,DC=Com
: このパスの DC=MyDomain,DC=Com には、使用しているドメインの識別名を指定します。

Windows 2000 の保護されたグループは次のとおりです。
  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
Windows Server 2003、および修正プログラム 327825 適用後または Windows 2000 Service Pack 4 (SP4) インストール後の Windows 2000 の保護されたグループは次のとおりです。
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Domain Admins
  • Schema Admins
  • Enterprise Admins
  • Cert Publishers
また、次のユーザーは保護されていると見なされます。
  • Administrator
  • Krbtgt
修正プログラム 327825 の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
327825 ユーザーが多数のグループに所属している場合に Kerberos 認証で発生する問題の新しい解決方法
XADM
プロパティ

文書番号:907434 - 最終更新日: 12/19/2007 04:05:00 - リビジョン: 10.1

Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange 2000 Server Standard Edition, Microsoft Exchange 2000 Enterprise Server, Microsoft Exchange Server 2003 Standard Edition, Microsoft Exchange Server 2003 Enterprise Edition

  • kbtshoot kbprb kbexchdirectory KB907434
フィードバック
>html>/html>/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("