Prawo „Wysyłanie jako” jest usuwane z obiektu użytkownika po skonfigurowaniu prawa „Wysyłanie jako” w przystawce Użytkownicy i komputery usługi Active Directory w programie Exchange Server

Symptomy

Prawo Wysyłanie jako zostaje jawnie skonfigurowane dla obiektu użytkownika w przystawce Użytkownicy i komputery usługi Active Directory w programie Microsoft Exchange Server. Jednak prawo Wysyłanie jako jest usuwane z obiektu użytkownika mniej więcej godzinę po skonfigurowaniu tego prawa.

Ponadto mogą zostać usunięte zmiany dokonane w deskryptorze zabezpieczeń obiektu użytkownika. Na przykład pole wyboru Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu może nie być już zaznaczone.

Jeśli dane środowisko obejmuje program Microsoft Exchange Server 5.5 i działający łącznik usługi Active Directory (ADC, Active Directory Connector), skrzynki pocztowe programu Exchange Server 5.5, które są skonfigurowane do używania kont użytkowników usługi Active Directory należących do grup chronionych, mogą pojawiać się oznaczone jako „CUSTOM” w programie Exchange Server 5.5 Administrator.

Przyczyna

Usługa katalogowa Active Directory obejmuje proces, który uniemożliwia operowanie deskryptorami zabezpieczeń członków grup chronionych. Jeśli deskryptor zabezpieczeń dla konta użytkownika należącego do grupy chronionej nie odpowiada deskryptorowi zabezpieczeń w obiekcie AdminSDHolder, deskryptor zabezpieczeń użytkownika zostaje zastąpiony nowym deskryptorem zabezpieczeń, pobranym z obiektu AdminSDHolder.

Prawo Wysyłanie jako jest delegowane przez zmodyfikowanie deskryptora zabezpieczeń obiektu użytkownika. Jeśli zatem użytkownik jest członkiem grupy chronionej, zmiana ta zostaje zastąpiona w ciągu około godziny.

Uwaga: Ten problem występuje również w przypadku delegowania roli do obiektu użytkownika w programie Exchange. Występuje on na przykład wtedy, gdy konto użytkownika ma przypisaną jedną z następujących ról:
 • Exchange View Only Administrator
 • Exchange Administrator
 • Exchange Full Administrator

Rozwiązanie

Zaleca się, aby do celów związanych z pocztą e-mail nie używać kont użytkowników należących do grup chronionych. Użytkownikom potrzebującym praw, które są udzielane grupie chronionej, zaleca się utworzenie dwóch kont użytkownika usługi Active Directory. Jedno z tych kont użytkownika usługi Active Directory należy dodać do grupy chronionej, a drugiego należy używać do celów związanych z pocztą e-mail i ewentualnie do innych celów.

Obejście problemu

Poniższe informacje mogą pomóc obejść problem polegający na tym, że skrzynki pocztowe użytkowników programu Exchange Server 5.5 pojawiają się oznaczone jako „CUSTOM” w programie Exchange Server 5.5 Administrator. Obejście opiera się na fakcie, że wpisy kontroli dostępu (ACE) SELF powinny być obecne w obiekcie użytkownika, gdy obiekt ten jest replikowany w usłudze Active Directory przez łącznik usługi Active Directory (ADC).

W celu dodania wpisów, które są usuwane z obiektów użytkowników, można użyć narzędzia Dsacls.exe. Aby to zrobić, zmień uprawnienia obiektu AdminSDHolder. Następnie dodaj żądane wpisy. Ponieważ wszystkie wpisy używają podmiotu zabezpieczeń SELF, to obejście nie powinno stworzyć żadnych problemów zabezpieczeń.

Uwaga: W celu dodania jednego wpisu kontroli dostępu, którego brak w deskryptorze zabezpieczeń obiektu AdminSDHolder, trzeba jednokrotnie uruchomić narzędzie Dsacls.exe. Jeśli na przykład chcesz dodać sześć różnych wpisów, możesz sześć razy uruchomić narzędzie Dsacls.exe.

Poniższe obejście powoduje zmianę obiektu AdminSDHolder. Następnie obiekt AdminSDHolder jest propagowany do wszystkich kont użytkowników, które są członkami grupy chronionej. Wykonaj następujące kroki:
 1. Zainstaluj narzędzia obsługi systemu Microsoft Windows 2000 z dysku CD z systemem Windows 2000. Obejmują one narzędzie Dsacls.exe. Narzędzia Dsacls.exe można używać do wyświetlania, modyfikowania i usuwania wpisów ACE obiektów w usłudze Active Directory.
 2. Utwórz plik wsadowy zawierający poniższy kod.
   dsacls "cn=adminsdholder,cn=system,dc=mojadomena,dc=com" /G "\SELF:CA;Send As"
  dsacls "cn=adminsdholder,cn=system,dc=<mojadomena>,dc=com" /G "\SELF:CA;Receive As"
  dsacls "cn=adminsdholder,cn=system,dc=<mojadomena>,dc=com" /G "\SELF:CA;Change Password"
  dsacls "cn=adminsdholder,cn=system,dc=<mojadomena>,dc=com" /G "\SELF:RPWP;Personal Information"
  dsacls "cn=adminsdholder,cn=system,dc=<mojadomena>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
  dsacls "cn=adminsdholder,cn=system,dc=<mojadomena>,dc=com" /G "\SELF:RPWP;Web Information"
  Uwaga: Symbol zastępczy „dc=<mojadomena>,dc=com” należy zastąpić nazwą wyróżniającą swojej domeny.
 3. Poczekaj, aż usługa Active Directory ponownie zapisze deskryptor zabezpieczeń wszystkich kont użytkowników należących do wszelkich propagowanych grup.
 4. Gdy usługa ADC zreplikuje zmiany, wszyscy użytkownicy pojawią się oznaczeni jako „user”, a nie „CUSTOM”.
Celowe może być zastosowanie aktualizacji zabezpieczeń 916803, aktualizacji zabezpieczeń 912442 lub aktualizacji czasu letniego dla programu Exchange Server, którą opisano w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
926666 Aktualizacja zmian czasu na letni/zimowy w 2007 roku dla programu Exchange 2003 z dodatkiem Service Pack 2

W takim przypadku trzeba zapobiec zastąpieniu przez obiekt AdminSDHolder uprawnień udzielonych kontu usług BlackBerry Services w grupach chronionych. Aby to zrobić, użyj dla narzędzia DSACLS następującego wiersza polecenia:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G BlackBerrySA:CA;Send As"
Uwaga: W tym poleceniu BlackBerrySA to symbol zastępczy nazwy konta usługi BlackBerry Service. Należy również zwrócić uwagę, aby nie dodawać spacji między BlackBerrySA i „:CA”.

Jako alternatywę zaleca się, aby do celów związanych z pocztą e-mail nie używać kont użytkowników należących do grup chronionych. Użytkownikom potrzebującym praw, które są udzielane grupie chronionej, zaleca się utworzenie dwóch kont użytkownika usługi Active Directory. Jedno z tych kont użytkownika usługi Active Directory należy dodać do grupy chronionej, a drugiego należy używać do celów związanych z pocztą e-mail i ewentualnie do innych celów.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.

Więcej informacji

Aby uzyskać więcej informacji na temat sposobu delegowania praw „Wysyłanie jako” do konta użytkownika, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

281208 How to grant a user "Send As" rights in Exchange Server 5.5 and Exchange 2000

Aby uzyskać więcej informacji dotyczących obiektu AdminSDHolder, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

232199 Description and update of the Active Directory AdminSDHolder object

817433 Delegated permissions are not available and inheritance is automatically disabled

Lokalizacja obiektu AdminSDHolder jest następująca:
CN=AdminSDHolder,CN=System,DC=MojaDomena,DC=Com
Uwaga: W tej ścieżce symbol zastępczy DC=MojaDomena,DC=Com należy zastąpić nazwą wyróżniającą swojej domeny.

Oto lista grup chronionych w systemie Windows 2000:
 • Administratorzy przedsiębiorstwa
 • Administratorzy schematu
 • Administratorzy domeny
 • Administratorzy
Oto lista grup chronionych w systemach Microsoft Windows Server 2003 i Windows 2000 po zastosowaniu poprawki 327825 lub zainstalowaniu dodatku Service Pack 4 (SP4) dla systemu Windows 2000:
 • Administratorzy
 • Operatorzy kont
 • Operatorzy serwera
 • Operatorzy drukowania
 • Operatorzy kopii zapasowych
 • Administratorzy domeny
 • Administratorzy schematu
 • Administratorzy przedsiębiorstwa
 • Wydawcy certyfikatów
Ponadto następujący użytkownicy są uważani za chronionych:
 • Administrator
 • Krbtgt
Dodatkowo konta użytkowników lub grupy, do których zostały delegowane następujące role w programie Exchange, są uważane za chronione:
 • Exchange View Only Administrator
 • Exchange Administrator
 • Exchange Full Administrator
Aby uzyskać więcej informacji dotyczących poprawki 327825, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

327825 New resolution for problems with Kerberos authentication when users belong to many groups

Właściwości

Identyfikator artykułu: 907434 — ostatni przegląd: 25.11.2007 — zmiana: 1

Opinia