Het recht Verzenden als wordt verwijderd van een gebruikersobject nadat u het recht Verzenden als configureert in de module Active Directory: gebruikers en computers in Exchange Server

Symptomen

U configureert expliciet het recht Verzenden als voor een gebruikersobject in de module Active Directory: gebruikers en computers in Microsoft Exchange Server. Het recht Verzenden als wordt echter ongeveer één uur nadat u het recht Verzenden als hebt geconfigureerd, uit het gebruikersobject verwijderd.

Bovendien kunnen andere wijzigingen worden verwijderd die u hebt aangebracht in de security descriptor voor het gebruikersobject. Het selectievakje Overneembare machtigingen van bovenliggend object doorgeven aan dit object is bijvoorbeeld mogelijk niet meer ingeschakeld.

Als u een omgeving hebt met Microsoft Exchange Server 5.5 en een functionerende Active Directory Connector (ADC), worden Exchange Server 5.5-postbussen die zijn geconfigureerd voor gebruik van Active Directory-gebruikersaccounts die lid zijn van beveiligde groepen, mogelijk weergegeven als 'AANGEPAST' in het Exchange Server 5.5 Administrator-programma.

Oorzaak

De Active Directory heeft een proces dat ervoor zorgt dat de security descriptors van leden van beveiligde groepen niet worden bewerkt. Als een security descriptor voor een gebruikersaccount die lid is van een beveiligde groep, niet overeenkomt met de security descriptor voor het AdminSDHolder-object, wordt de security descriptor van de gebruiker overschreven met een nieuwe security descriptor uit het AdminSDHolder-object.

Het recht Verzenden als wordt overgedragen door de security descriptor van een gebruikersobject aan te passen. Als de gebruiker lid is van een beveiligde groep, wordt de wijziging daardoor binnen ongeveer een uur overschreven.

Oplossing

Het wordt afgeraden voor e-maildoeleinden accounts te gebruiken die lid zijn van een beveiligde groep. Als u de rechten nodig hebt die worden toegewezen aan een beveiligde groep, is het raadzaam twee Active Directory-gebruikersaccounts te maken. Het gaat hierbij om één gebruikersaccount die wordt toegevoegd aan een beveiligde groep en één gebruikersaccount die wordt gebruikt voor e-mail en alle andere toepassingen.

Workaround

De volgende informatie kan u helpen het probleem te omzeilen waarbij Exchange Server 5.5-postbussen worden weergegeven als 'AANGEPAST' voor de gebruiker in het Exchange Server 5.5 Administrator-programma. Deze tijdelijke oplossing vertrouwt op het feit dat de SELF ACE's (Access Control Entries) aanwezig horen te zijn in het gebruikersobject wanneer het gebruikersobject door de Active Directory Connector (ADC) naar Active Directory wordt gerepliceerd.

U kunt het hulpprogramma Dsacls.exe gebruiken om de vermeldingen toe te voegen die worden verwijderd uit de gebruikersobjecten. Wijzig hiertoe de AdminSDHolder-machtigingen. Voeg de gewenste vermeldingen toe. Aangezien alle vermeldingen de beveiligings-principal ZELF gebruiken, mag deze tijdelijke oplossing geen beveiligingsproblemen opleveren.

Opmerking U moet het hulpprogramma Dsacls.exe eenmaal uitvoeren om de ACE toe te voegen die ontbreekt in de security descriptor AdminSDHolder. Als u bijvoorbeeld zes verschillende vermeldingen wilt toevoegen, voert u het hulpprogramma Dsacls.exe zesmaal uit.

Met de volgende tijdelijke oplossing wijzigt u het object AdminSDHolder. Het object AdminSDHolder wordt doorgegeven aan elke gebruikersaccount die lid is van een beveiligde groep. Ga als volgt te werk:
 1. Installeer de Microsoft Windows 2000-ondersteuningsprogramma's vanaf de Windows 2000-cd. Een van deze programma's is het hulpprogramma Dsacls.exe. U kunt het hulpprogramma Dsacls.exe gebruiken om ACE's voor objecten weer te geven, aan te passen of te verwijderen in Active Directory.
 2. Maak een batchbestand met de volgende code.
   dsacls "cn=adminsdholder,cn=system,dc=mijndomein,dc=com" /G "\SELF:CA;Verzenden als"
  dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:CA;Ontvangen als"
  dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:CA;Wachtwoord wijzigen"
  dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Persoonlijke gegevens"
  dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Telefoon- en e-mailopties"
  dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Internet-gegevens"
  Opmerking Vervang 'dc=<mijndomein>,dc=com' door de DN-naam (Distinguished Name) van uw domein.
 3. Wacht een uur zodat de Active Directory de tijd heeft voor het opnieuw schrijven van de security descriptors van alle gebruikersaccounts die lid zijn van doorgegeven groepen.
 4. Nadat de wijzigingen zijn gerepliceerd, worden alle gebruikers weergegeven als 'gebruiker' in plaats van als 'AANGEPAST'.
U kunt de volgende updates toepassen: beveiligingsupdate 916803, beveiligingsupdate 912442 of de update voor zomertijdwijzigingen voor Exchange Server die wordt beschreven in het volgende artikel in de Microsoft Knowledge Base:
926666 Update voor zomertijdwijzigingen in 2007 voor Exchange 2003 Service Pack 2
Als u dit doet, moet u ervoor zorgen dat de AdminSDHolder geen machtigingen overschrijft die zijn toegewezen aan een BlackBerry Services-account voor beveiligde groepen. Maak hiertoe een batchbestand met de volgende code:
dsacls "cn=adminsdholder,cn=system,dc=mijndomein,dc=com" /G "\SELF:CA;Verzenden als" 
dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:CA;Ontvangen als"
dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:CA;Wachtwoord wijzigen"
dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Persoonlijke gegevens"
dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Telefoon- en e-mailopties" dsacls "cn=adminsdholder,cn=system,dc=<mijndomein>,dc=com" /G "\SELF:RPWP;Internet-gegevens"
dsacls "cn=adminsdholder,cn=system,dc=mijndomein,dc=com" /G "\BlackBerrySA:CA;Verzenden als"
Opmerking In dit batchbestand is BlackBerrySA een tijdelijke aanduiding voor de naam van de BlackBerry Service-account. Als u accounts hebt in meerdere domeinen, kunt u het domein ook opgeven op de opdrachtregel door de volgende notatie te gebruiken:Domein\BlackberrySA.

Het wordt afgeraden voor e-maildoeleinden accounts te gebruiken die lid zijn van een beveiligde groep. Als u de rechten nodig hebt die worden toegewezen aan een beveiligde groep, is het raadzaam twee Active Directory-gebruikersaccounts te maken. Het gaat hierbij om één gebruikersaccount die wordt toegevoegd aan een beveiligde groep en één gebruikersaccount die wordt gebruikt voor e-mail en alle andere toepassingen.

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie

Klik voor meer informatie over het overdragen van 'Verzenden als'-rechten aan een gebruikersaccount op het volgende artikelnummer in de Microsoft Knowledge Base:
281208 Rechten voor 'Verzenden als' verlenen in Exchange Server 5.5 en Exchange 2000
Voor meer informatie over het object adminSDHolder klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
232199 Beschrijving van een update van het AdminSDHolder-object in Active Directory
817433 Overgedragen machtigingen zijn niet beschikbaar en overname wordt automatisch uitgeschakeld
De locatie van het object AdminSDHolder is:
CN=AdminSDHolder,CN=System,DC=MijnDomein,DC=Com
Opmerking Vervang DC=MijnDomein,DC=Com in dit pad door de DN-naam (Distinguished Name) van uw domein.

De volgende lijst bevat de beveiligde groepen in Windows 2000:
 • Ondernemingsbeheerders
 • Schemabeheerders
 • Domeinbeheerders
 • Administrators
De volgende lijst bevat de beveiligde groepen in Microsoft Windows Server 2003 en Windows 2000 nadat u hotfix 327825 hebt toegepast of nadat u Windows 2000 Service Pack 4 (SP4) hebt geïnstalleerd:
 • Administrators
 • Accountoperators
 • Serveroperators
 • Printeroperators
 • Back-upoperators
 • Domeinbeheerders
 • Schemabeheerders
 • Ondernemingsbeheerders
 • Certificaatuitgevers
Bovendien worden de volgende gebruikers als beveiligd beschouwd:
 • Administrator
 • Krbtgt
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over hotfix 327825:
327825 Nieuwe oplossing voor problemen met Kerberos-verificatie wanneer gebruikers lid zijn van veel groepen
Eigenschappen

Artikel-id: 907434 - Laatst bijgewerkt: 25 nov. 2007 - Revisie: 1

Feedback