Người dùng không thể gửi bức e-mail từ điện thoại di động hoặc từ một hộp thư được chia sẻ trong Exchange 2000 Server và trong Exchange Server 2003

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:912918
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Khi bạn cố gắng để gửi bức e-mail trong Microsoft Exchange 2000 Server hoặc trong Microsoft Exchange Server 2003, bạn không thể gửi bức e-mail tin thư thoại. Ngoài ra, bạn có thể nhận được một trong các thông báo lỗi sau đây hoặc một trong những báo cáo chưa gửi sau đây (NDRs).

Thông báo lỗi

 • Truy nhập bị cấm
 • Bạn không có đủ quyền để thực hiện thao tác này trên đối tượng này. Xem mục tin thư thoại số liên lạc hoặc hệ thống của bạn người quản trị.
 • Thông báo chưa niêm yết Lỗi
 • MAPI_E_NO_ACCESS -2147024891
 • Không thể gửi thư cho người sử dụng tên người dùng (HRESULT:-2147024891) Pausing người sử dụng tên người dùng. (Lỗi bảo mật- Không thể truy cập hộp thư người dùng.)
 • Tài nguyên không Tìm thấy
Lưu ý Bạn nhận được thông báo lỗi "Truy cập bị từ chối" hoặc "tài nguyên không tìm thấy"lỗi thông điệp từ Microsoft Outlook Web Access khi bạn đang kí nhập dưới tên là một phân bổ tài khoản.

NDRs

 • Bạn không có quyền để gửi đến người nhận này. Cho sự trợ giúp, liên hệ với người người quản trị hệ thống của bạn.
 • Thư không thể được gửi bằng cách sử dụng hộp thư của bạn. Bạn làm không có sự cho phép để gửi tin thư thoại trên danh nghĩa của người dùng đã chỉ định.

Sản phẩm bị ảnh hưởng

Vấn đề này được biết là ảnh hưởng đến bên thứ ba sau sản phẩm:
 • Research In Motion (RIM) BlackBerry Enterprise Server (BES)
 • Tốt công nghệ GoodLink Wireless thư thoại tin tức thời
Vấn đề này có thể cũng ảnh hưởng đến tùy chỉnh MAPI hoặc dữ liệu hợp tác Đối tượng (CDO)-dựa trên các chương trình gửi bức e-mail.

Khác sản phẩm của bên thứ ba sử dụng trương mục bản ghi dịch vụ gửi bức e-mail có thể cũng bị ảnh hưởng. Nếu bạn đang chạy một sản phẩm bên thứ ba mà bị ảnh hưởng bởi điều này vấn đề, chúng tôi đề nghị rằng bạn liên hệ với nhà cung cấp để giúp đỡ trong việc giải quyết điều này vấn đề.

Tuy nhiên, nó đã được xác nhận rằng bên thứ ba sau sản phẩm không bị ảnh hưởng bởi vấn đề này:
 • Cisco Unity thư thoại tin tức thời Hợp nhất
 • Nhiệm vụ di cư Suite để trao đổi
 • Các tiện ích Microsoft ExMerge giao lưu
NGUYÊN NHÂN
Vấn đề này có thể xảy ra nếu một trong các điều kiện sau đây là sự thật:
 • Bạn không có quyền để gửi bức e-mail như các chủ sở hữu hộp thư trong tài khoản mà bạn đang sử dụng để gửi e-mail tin thư thoại.
 • Bạn đang chạy Microsoft Exchange 2000 Server Service Pack 3 (SP3) cùng với phiên bản tệp Store.exe là tương đương đến hoặc muộn hơn phiên bản 6619.4 Phiên bản 6619.4 đã lần đầu tiên có mặt trong Microsoft sau Bài viết cơ sở kiến thức:
  915358 Một hotfix có sẵn để thay đổi hành vi của sự cho phép toàn quyền truy cập hộp thư trong Exchange 2000 Server
 • Bạn đang chạy Microsoft Exchange Server 2003 SP1 cùng với phiên bản tập tin Store.exe được bằng hoặc muộn hơn phiên bản 7233.51.
 • Bạn đang chạy Exchange Server 2003 SP2 cùng với một Store.exe Phiên bản tập tin là tương đương đến hoặc muộn hơn phiên bản 7650.23. Phiên bản 7650.23 lần đầu tiên đã được thực hiện có sẵn trong sau đây Microsoft Knowledge Base bài viết:
  895949 "Gửi như" sự cho phép hành vi thay đổi trong Exchange 2003
  Sự thay đổi này không phải là bao gồm trong Exchange Server 2003 SP2. Nếu bạn có chạy bản Exchange Server 2003 SP1 của các tập tin Store.exe bao gồm các thay đổi này, và bạn nâng cấp lên Exchange Server 2003 SP2, bạn phải cài đặt chuyên biệt phiên bản SP2 của hotfix này để giữ lại những hành vi mới. Sự thay đổi này sẽ được bao gồm trong Microsoft Exchange Server 2003 SP3.
AN NINH LO NGẠI
Trước khi các phiên bản tập tin Store.exe được liệt kê trong các "Nguyên nhân" phần, cấp giấy phép truy cập hộp thư đầy đủ ngầm được cấp sự cho phép để gửi như chủ sở hữu hộp thư. Điều này có nghĩa rằng tài khoản khác mà có thể truy cập hộp thư cho phép có thể gửi bức e-mail mà xuất hiện như thể chúng đã được gửi bởi người sở hữu hộp thư.

Nhiều Microsoft Exchange khách hàng đã yêu cầu được gửi theo sự cho phép được tách ra từ đầy đủ Cho phép truy cập hộp thư vì hai lý do sau đây:
 • Để ngăn chặn bức e-mail giả mạo.
 • Để đảm bảo rằng e-mail thông điệp được gửi qua một đại biểu luôn luôn có thể phân biệt rõ ràng với bức e-mail được gửi bởi chủ sở hữu hộp thư thực tế.
Tất cả các phiên bản mới của cửa Exchange sẽ bây giờ một cách rõ ràng yêu cầu gửi như quyền để gửi bức e-mail như chủ sở hữu hộp thư. Tuy nhiên, sau đây danh sách các ngoại lệ ba yêu cầu:
 • Tài khoản chủ sở hữu hộp thư không yêu cầu rõ ràng gửi như mức cấp phép cho hộp thư riêng của mình.
 • Các liên kết bên ngoài chiếm một hộp thư không yêu cầu rõ ràng gửi như quyền.
 • Một tài khoản đại biểu cũng có thể truy cập hộp thư sự cho phép không cần rõ ràng gửi như quyền.
Để biết thêm chi tiết về những trường hợp ngoại lệ, xem chi tiết" Thông tin"phần.
GIẢI PHÁP
Tất cả tài khoản được cấp một phần hoặc đầy đủ quyền truy cập vào một hộp thư, ngoại trừ những người được đề cập trong phần "Gây ra", phải bây giờ được rõ ràng cấp gửi như quyền cho tài khoản chủ sở hữu hộp thư để gửi thư như chủ sở hữu hộp thư. Điều này bao gồm trương mục bản ghi dịch vụ ứng dụng thực hiện chức năng như gửi bức e-mail cho người sử dụng thiết bị di động.

Gửi như phép áp dụng để nhận dạng của một đối tượng người dùng mục tin thư thoại hoạt động, không phải nội dung hộp thư được lưu trữ trong bộ máy cơ sở dữ liệu. Vì vậy, cho phép gửi như phải được cấp cho tài khoản bản ghi dịch vụ trên mỗi đối tượng người dùng sở hữu một hộp thư. Khi bức e-mail được gửi, họ không được gửi từ một hộp thư cụ thể hoặc bộ máy cơ sở dữ liệu, nhưng từ một người sử dụng. Người dùng có thể chủ sở hữu hộp thư hoặc bất kỳ tài khoản có quyền gửi như.

Bạn không thể trao cho gửi như quyền trên một máy chủ đang chạy Exchange Server hoặc trên một đối tượng bộ máy cơ sở dữ liệu và đạt được hiệu quả của cấp gửi như phép cho tất cả các hộp thư trong bộ máy cơ sở dữ liệu. Cấp gửi như quyền trên một đối tượng trao đổi bộ máy cơ sở dữ liệu cung cấp cho bạn quyền bộ máy cơ sở dữ liệu chính nó. Sự cho phép được kế thừa bởi tất cả các hộp thư trong bộ máy cơ sở dữ liệu. Tuy nhiên, nó không cho bạn mức cấp phép cho người dùng những người có gửi như quyền và những người có hộp thư trong bộ máy cơ sở dữ liệu.

Lưu ý Cho phép nhận được như quyền trên một bộ máy cơ sở dữ liệu Exchange là các chức năng equivalent of cấp quyền truy cập hộp thư đầy đủ cho tất cả hộp thư trong bộ máy cơ sở dữ liệu. Điều này khác với hành vi của gửi Theo sự cho phép.

Làm thế nào để cấp gửi như quyền cho một tài khoản

Để rõ ràng đã trao một tài khoản quyền gửi một hộp thư chủ sở hữu, làm theo các bước sau:
 1. Bắt đầu hoạt động mục tin thư thoại người dùng và máy tính quản lý giao diện điều khiển.
 2. Trên các Xem trình đơn, hãy đảm bảo rằng cácTính năng nâng cao tùy chọn được chọn. Nếu tùy chọn này không chọn, trang bảo mật sẽ không được hiển thị cho tài khoản người dùng các đối tượng.
 3. Mở các thuộc tính của tài khoản người dùng sở hữu các hộp thư.
 4. Bấm vào các An ninh tab.
 5. Nếu các tài khoản chưa được trong danh sách người dùng hoặc nhóm tên, thêm vào tài khoản sẽ được gửi như phép này người sử dụng.
 6. Trong các mức cấp phép hộp, bấm vào các Cho phép để gửi"như" sự cho phép cho các tài khoản thích hợp.
 7. Nhấp vào Ok.
 8. Khởi động lại bản ghi dịch vụ kho thông tin Exchage Microsoft ngày hệ phục vụ Exchange bị ảnh hưởng.
Lưu ý Nếu bạn không khởi động lại kho thông tin Exchage Microsoft bản ghi dịch vụ, bản ghi dịch vụ kho thông tin Exchage Microsoft sẽ cập nhật của nó cho phép bộ nhớ cache để thực hiện các mới mức cấp phép có hiệu lực theo các giá trị được thiết lập trong registry subkey sau đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Giá trị tên: hộp thư Cache tuổi giới hạn
Giá trị type: REG_DWORD
Sinh: thập phân
Giá trị liệu: Giới hạn tuổi tác bộ nhớ cache hộp thư thông tin trong vài phút.
giá trị mặc định cho mục kiểm nhập này là 120 phút (hai giờ). Nếu bạn sửa đổi các mục kiểm nhập này, bạn phải khởi động lại Microsoft bản ghi dịch vụ kho thông tin Exchage.

Lưu ý Nếu bạn thiết lập các giá trị gian chờ một giá trị rất thấp, bạn có thể ảnh hưởng đến hiệu suất của máy chủ.

Làm thế nào để trao cho gửi như quyền cho nhiều tài khoản

Một kịch bản mẫu được cung cấp vào cuối của bài viết này sẽ tra cứu một bản ghi dịch vụ miền danh mục hiện hoạt cho các tài khoản có quyền truy cập hộp thư đầy đủ không được gửi như cho phép cho một hộp thư. Đây là các đặc tính của một tài khoản bản ghi dịch vụ hoặc nguồn tài nguyên đó sẽ bị ảnh hưởng bởi sự thay đổi bảo mật này. Các kịch bản có thể tạo ra một tập tin xuất khẩu mà bạn có thể xem lại, chỉnh sửa, và sau đó re-import để trao cho gửi như quyền cho trương mục mà đòi hỏi sự cho phép này.

Bạn cũng có thể trao quyền gửi như của thừa kế trên mọi đối tượng người dùng trong một tên miền Thư mục Họat động hoặc trong một thùng. Nếu bạn đã trao quyền gửi như bằng phương pháp này, bạn có thể cấp quyền truy cập cho các đối tượng mà bạn không có ý. Ngoài ra, bạn có thể mất quyền cho các đối tượng sẽ được di chuyển từ các thùng chứa. Vì vậy, phương pháp này không phải là ưu tiên và có thể có những tác động an ninh cần được cẩn thận xem xét trước khi bạn thực hiện nó.

Nếu bạn đã trao gửi như quyền bằng cách sử dụng phương pháp này, các tài khoản đã thừa hưởng quyền gửi như sẽ trở thành vô hình để các kịch bản được tham chiếu ở phần cuối của bài báo. Để xử lý các tài khoản này bằng cách sử dụng đoạn mã vào một ngày sau đó, bạn phải loại bỏ sự thừa kế gửi như cho phép đầu tiên.

Để trao cho gửi như quyền cho một tài khoản trên tất cả các tài khoản người dùng trong một tên miền Thư mục Họat động hoặc thùng bằng cách sử dụng thừa kế, hãy làm theo các bước sau:
 1. Bắt đầu hoạt động mục tin thư thoại người dùng và máy tính quản lý giao diện điều khiển.
 2. Trên các Xem trình đơn, hãy đảm bảo rằng cácTính năng nâng cao tùy chọn được chọn. Nếu tùy chọn này không chọn, trang bảo mật sẽ không được hiển thị cho tên miền và container các đối tượng.
 3. Mở các thuộc tính của tên miền hoặc thùng chứa, và sau đó bấm vào trang bảo mật.
 4. Nhấp vào Nâng cao.
 5. Nếu tài khoản mà cần sự cho phép chưa được liệt kê, Nhấp vào Thêm, và sau đó chọn các tài khoản. Nếu không, bấm đúp vào các tài khoản để chỉnh sửa.
 6. Trong các Áp dụng lên danh sách, bấm vàoCác đối tượng người dùng.
 7. Cấp tài khoản gửi theo sự cho phép.
 8. Nhấp vào Ok cho đến khi bạn có đã thoát và lưu tất cả thay đổi.

Quy tắc đặc biệt cho adminSDHolder bảo vệ tài khoản

Nếu bạn sử dụng kịch bản để trao cho gửi như quyền cho một chủ sở hữu hộp thư đó cũng là một người quản trị tên miền, gửi như quyền sẽ không có hiệu lực. Chúng tôi đề nghị rằng bạn không hộp thư-bật trương mục người dùng đó có quyền quản trị tên miền hoặc có adminSDHolder được bảo vệ.

AdminSDHolder là một bản mẫu cho các tài khoản có quyền quản trị rộng Thư mục Họat động. Để ngăn chặn không mong đợi vị đặc quyền, bất kỳ tài khoản được bảo vệ bởi các đối tượng adminSDHolder phải có quyền phù hợp với những người được liệt kê trên đối tượng adminSDHolder riêng của mình.

Nếu bạn thay đổi các quyền hoặc mức cấp phép trên đối tượng adminSDHolder một tài khoản được bảo vệ, một nhiệm vụ nền sẽ hoàn tác những thay đổi trong vòng vài phút. Ví dụ, nếu bạn đã trao cho gửi như quyền trên một đối tượng người quản trị tên miền cho trương mục bản ghi dịch vụ ứng dụng, nhiệm vụ nền tự động sẽ thu hồi sự cho phép.

Vì vậy, bạn không thể cấp gửi như phép sang trương mục bản ghi dịch vụ ứng dụng cho một tài khoản được bảo vệ bởi các đối tượng adminSDHolder trừ khi bạn thay đổi các đối tượng adminSDHolder riêng của mình. Nếu bạn thay đổi các đối tượng adminSDHolder , phép truy nhập cho tất cả các tài khoản được bảo vệ sẽ thay đổi. Bạn chỉ cần thay đổi các đối tượng adminSDHolder sau khi một bài đánh giá đầy đủ của các tác động an ninh có thể xảy ra với sự thay đổi.

Liên kết một hộp thư với trương mục có được bảo vệ bởi các đối tượng adminSDHolder , theo các bước sau:
 1. Bắt đầu hoạt động mục tin thư thoại người dùng và máy tính quản lý giao diện điều khiển.
 2. Trên các Xem trình đơn, hãy đảm bảo rằng cácTính năng nâng cao tùy chọn được chọn. Nếu tùy chọn này không chọn, trang bảo mật sẽ không được hiển thị cho các đối tượng tài khoản người dùng.
 3. Tạo một tài khoản người dùng chuẩn để hoạt động như hộp thư chủ sở hữu.
 4. Chỉ định tài khoản người dùng chuẩn một hộp thư trên một cuộc trao đổi hệ phục vụ.
 5. Mở các thuộc tính của tài khoản chủ sở hữu hộp thư mới.
 6. Trong các Trao đổi nâng cao hộp, cấp cho các Đầy đủ quyền truy cập hộp thư cho phép các quản trị viên bảo vệ tài khoản.
 7. Trong trang bảo mật, trao cho gửi như quyền để các bảo vệ tài khoản quản trị viên.
 8. Nhấp vào Ok để thoát khỏi các tính chất của các đối tượng chủ sở hữu hộp thư.
 9. Bấm chuột phải vào đối tượng hộp thư chủ sở hữu tài khoản, và sau đó Nhấp vào Vô hiệu hóa tài khoản để vô hiệu hóa tài khoản cho tất cả các logons.
Để biết thêm về bảo vệ adminSDHolder tài khoản, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
907434Các "gửi như" quyền được lấy ra từ một đối tượng người dùng sau khi bạn cấu hình "Gửi như" quyền trong các hoạt động mục tin thư thoại người dùng và máy tính-theo trong Exchange Server
318180 AdminSDHolder chủ đề ảnh hưởng đến transitive thành viên của nhóm phân phối
817433 Ủy quyền không có sẵn và thừa kế tự động vô hiệu hoá
306398 AdminSDHolder đối tượng ảnh hưởng đến phái đoàn kiểm soát cho các tài khoản người quản trị trong quá khứ

Nhiệm vụ đặc biệt cho BlackBerry Enterprise Server

Công việc 1: Hãy chắc chắn rằng BlackBerry Enterprise Server đang chạy như một tài khoản riêng biệt, độc đáo

Đảm bảo rằng BlackBerry Enterprise Server đang chạy như một riêng biệt tài khoản đặc biệt tạo ra cho công việc hành chính. Bởi mặc định, tài khoản này được gọi là "BESAdmin."

Nếu bạn có một riêng biệt tài khoản cho quản lý BlackBerry Enterprise Server, đi đến nhiệm vụ 2.

Nếu bạn không có một tài khoản riêng của nó, tạo một tài khoản riêng. Sau đó, sử dụng tài khoản này để thực hiện tác vụ quản trị. Để được hướng dẫn về làm thế nào để làm điều này nếu bạn đang chạy BlackBerry Enterprise Server 4.0 hoặc BlackBerry Enterprise Server 4.1, xem sổ tay cài đặt chuyên biệt BlackBerry Enterprise Server.  Để được hướng dẫn về làm thế nào để làm điều này nếu bạn đang chạy BlackBerry Enterprise Server 3,6, xem cài đặt chuyên biệt BlackBerry Enterprise Server 2000/2003 và hướng dẫn Bắt đầu.

Tác vụ 2: Đảm bảo rằng tài khoản bản ghi dịch vụ BlackBerry Enterprise Server có sự cho phép thích hợp

Xác minh rằng các tài khoản bản ghi dịch vụ BlackBerry Enterprise Server có sự cho phép thích hợp.

Lưu ý Nếu tài khoản là một tên miền, đảm bảo rằng các tài khoản là thành viên của chỉ là nhóm người sử dụng tên miền. Trên bộ kiểm soát miền, tài khoản nên thành viên của nhóm người quản trị được xây dựng trong.
 1. Trên BlackBerry Enterprise Server, hãy làm theo các bước sau:
  1. Đảm bảo rằng các tài khoản là một thành viên của các địa phương Nhóm người quản trị.
  2. Chỉ định "Đăng nhập tại địa phương" và "Đăng nhập như một dịch vụ" quyền truy cập vào tài khoản.
 2. Grant Exchange View-Only quản trị viên quyền tại các cấp hành chính nhóm. Để thực hiện việc này, hãy làm theo các bước sau:
  1. Trong Bộ quản lý Hệ thống Exchange, Bấm chuột phải đầu tiên tên máy (ứng dụng) phục vụ Exchange administrative group, và sau đó nhấp vào Đại biểu Kiểm soát.
  2. Nhận thấy rằng các bản ghi dịch vụ BlackBerry Enterprise Server tài khoản được liệt kê là có vai trò người quản trị View-Only trao đổi.
 3. Cấp "Gửi như," "Nhận được là", và "quản lý thông tin Cửa hàng"quyền ở cấp độ hệ phục vụ cho mỗi máy chủ trao đổi. Để làm Điều này, hãy làm theo các bước sau:
  1. Trong Bộ quản lý Hệ thống Exchange, Bấm chuột phải đầu tiên Trao đổi máy chủ tên quản trị nhóm, và sau đó mở rộng các Các máy chủ nhóm.
  2. Bấm chuột phải vào một máy chủ Exchange, bấm vào Thuộc tính, sau đó bấm An ninh.
  3. Trong cửa sổ đầu trang, chọn BlackBerry Enterprise Máy chủ tài khoản bản ghi dịch vụ. Trong cửa sổ dưới cùng, chắc chắn rằng các "gửi như," "Nhận được như", và "Administer thông tin Store" quyền được thiết lập để Cho phép.
  4. Lặp lại bước 3b và 3 c cho mỗi trao đổi hệ phục vụ.
 4. Cấp "Gửi như," "Nhận được là", và "quản lý thông tin Lưu trữ"quyền để các cửa hàng hộp thư. Để thực hiện việc này, hãy làm theo các bước sau:
  1. Trong Bộ quản lý Hệ thống Exchange, Bấm chuột phải đầu tiên Trao đổi tên hành chính nhóm, và sau đó mở rộng các Các máy chủ nhóm.
  2. Mở rộng cửa hàng nhóm đầu tiên của hộp thư, bấm chuột phải vào mỗi cửa hàng hộp thư, nhấp vào Thuộc tính, sau đó bấm An ninh.
  3. Trong cửa sổ đầu trang, chọn BlackBerry Enterprise Máy chủ tài khoản bản ghi dịch vụ. Trong cửa sổ dưới cùng, chắc chắn rằng các "gửi như," "Nhận được như", và "Administer thông tin Store" quyền được thiết lập để Cho phép.
  4. Lặp lại bước 4b và 4 c cho mỗi cửa hàng hộp thư trên mỗi Exchange server.
 5. Trong hoạt động mục tin thư thoại người sử dụng và máy vi tính-theo, làm theo các bước sau:
  1. Bấm chuột phải sử dụng bạn muốn thêm mức cấp phép cho, và sau đó nhấp vào Thuộc tính.
  2. Trên các An ninh tab, thêm các BlackBerry Enterprise Server bản ghi dịch vụ tài khoản, và sau đó bấm vào để chọn các Gửi như hộp kiểm.
Nếu bạn không chạy Exchange Server 2003, xem nhiệm vụ 3.

Tác vụ 3: Xóa bộ nhớ cache trên BlackBerry Enterprise Server

Để xóa bộ nhớ cache mức cấp phép trong các Hệ lưu trữ trong Exchange, khởi động lại bản ghi dịch vụ liên quan Blackberry, và sau đó khởi động lại thông tin trao đổi Microsoft Cửa hàng. Sau khi bạn khởi động lại cửa Exchange, bạn phải khởi động lại bản ghi dịch vụ liên quan Blackberry RIM cấp tài khoản "BESAdmin" các vừa được thêm vào gửi như quyền trên các Hệ lưu trữ trong Exchange.
THÔNG TIN THÊM
Trao đổi cặp hộp thư và phép truy nhập được chia giữa các bộ máy cơ sở dữ liệu Thư mục Họat động và Microsoft Exchange. Tuy nhiên, cả hai loại quyền được thiết lập trong điều khiển quản lý người dùng của Thư mục Họat động, nhưng mức cấp phép khác nhau được lưu trữ tại hai địa điểm riêng biệt.

Nói chung, Nếu một sự cho phép được thiết lập trên trang bảo mật cho một đối tượng, nó là đang hoạt động Sự cho phép mục tin thư thoại. Nếu nó được đặt trên Exchange nâng cao hộp thư quyền Trang, đó là một quyền bộ máy cơ sở dữ liệu trao đổi.

Thuộc tính Thư mục Họat động msExchMailboxSecurityDescriptor là đồng gửi lưu của một tập hợp con của các hộp thư có hiệu quả quyền. Nó được sử dụng trong nội bộ của Exchange cho nhiều mục đích. Ngoài ra, các thuộc tính msExchMailboxSecurityDescriptor được cập nhật để phù hợp với hiện tại có hiệu quả quyền nếu quản trị viên sử dụng giao diện được hỗ trợ để gán quyền. Tuy nhiên, nếu các thuộc tính msExchMailboxSecurityDescriptor lần trực tiếp của người quản trị, những thay đổi sẽ không phổ biến cho các Hệ lưu trữ trong Exchange, và những thay đổi sẽ không có có hiệu lực. Nó không đảm bảo được đồng bộ hóa với hộp thư thực tế quyền. Bạn không nên sử dụng các thuộc tính msExchMailboxSecurityDescriptor để đọc hoặc viết hộp thư quyền.
Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
310866Làm thế nào để thiết lập quyền hộp thư Exchange Server 2003 và Exchange 2000 Server vào một hộp thư mà tồn tại trong các cửa hàng thông tin

Sự cho phép truy cập hộp thư đầy đủ là một Trao đổi bộ máy cơ sở dữ liệu lưu trữ sự cho phép. Quyền gửi như là đang hoạt động Sự cho phép mục tin thư thoại. Trước khi các thay đổi tập tin trao đổi Store.exe đã mô tả trong bài viết này, hệ thống trao đổi đã không tham khảo các thiết đặt cho Gửi như quyền nếu người gửi đã có thể truy cập hộp thư sự cho phép.

Bao gồm của gửi như quyền với các Đầy đủ quyền truy cập hộp thư đã cho phép quản trị viên máy phục vụ Exchange để cấp cho mình gửi như quyền có hiệu lực cho bất kỳ hộp thư trên một máy chủ mà họ quản lý. Bởi tách sự gửi như cho phép từ sự cho phép toàn quyền truy cập hộp thư, Hoạt động mục tin thư thoại quản trị viên bây giờ có thể chặn quá trình này bởi vì việc gửi như sự cho phép là một phép Thư mục Họat động và không phải là một Hệ lưu trữ trong Exchange sự cho phép. Vì vậy, quá trình này không nhất thiết phải dưới sự kiểm soát của Quản trị viên trao đổi.

Chủ sở hữu hộp thư

Một chủ sở hữu hộp thư được định nghĩa là tài khoản người dùng Thư mục Họat động thuộc tính msExchMailboxGUID mà mang mã danh định duy nhất phổ quát toàn cầu (GUID) Đối với một hộp thư cụ thể. Chỉ có một tài khoản trong một khu rừng toàn bộ được phép: mang GUID cho một hộp thư cụ thể. Nếu bạn cố gắng thiết lập một chủ thứ hai với cùng một GUID, Thư mục Họat động sẽ từ chối sự thay đổi với một lỗi.

Khi bạn hộp thư-bật trương mục hoặc khi bạn kết nối một bị ngắt kết nối hộp thư đến trương mục Thư mục Họat động, hộp thư GUID được tự động đặt trên tài khoản đó. Đó là ít khi cần thiết hoặc được đề nghị cho quản trị viên để thiết lập GUIDs hộp thư trực tiếp.

Tài khoản liên kết bên ngoài

Một cấu hình Exchange phổ biến là cài đặt chuyên biệt Exchange trong một tài nguyên rừng. Một nguồn tài nguyên rừng là một khu rừng ở một khu rừng khác nhau từ các tài khoản người dùng sẽ có hộp thư trong hệ thống. Này trình bày một vấn đề bởi vì các thuộc tính msExchMailboxGUID chỉ có thể được đặt trên các đối tượng trong rừng tương tự như các Exchange server.

Các giải pháp cho vấn đề này là để kích hoạt hộp thư một tài khoản trong trao đổi máy chủ rừng. Sau đó, bạn liên kết này được kích hoạt hộp thư chiếm một trong một rừng hoặc trong một tên miền Microsoft Windows NT 4. Bạn có thể làm điều này bằng cách cấp quyền liên quan đến tài khoản bên ngoài. Chỉ là một đĩa đơn tài khoản có thể được mức cấp phép liên quan đến tài khoản bên ngoài. Tài khoản có nghĩa là được chọn phải là từ một khu rừng khác nhau.

Khi bạn thiết lập Associated Ngoài sự cho phép tài khoản, bạn đang viết giá trị SID cho bên ngoài tài khoản cho các thuộc tính msExchMasterAccountSID của chủ sở hữu hộp thư. Vì vậy, đây không phải là một quyền ở tất cả, nhưng một cách thuận tiện để kiểm soát giá trị của thuộc tính msExchMasterAccountSID . Sau khi các thuộc tính msExchMasterAccountSID đã được thiết lập, các tài khoản bên ngoài mà sở hữu SID sẽ được cấp quyền truy cập Exchange như thể nó là chủ sở hữu thực tế hộp thư tài khoản.

Lưu ý Điều này chỉ áp dụng cho truy cập Exchange, không phải cho tất cả Truy cập vào mục tin thư thoại hoạt động. Ngoài ra, bạn nên đánh dấu kiểm các chủ sở hữu hộp thư tài khoản như tàn tật cho logons sau khi bạn thiết lập các liên kết bên ngoài tài khoản sự cho phép để cho tất cả các quyền làm việc như mong đợi.
Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
300456Quyền hạn của khách hàng và đại biểu không vẫn tồn tại sau khi được chỉ định trong Exchange 2000

Phái đoàn kịch bản

Một đại biểu là một người sử dụng những người đã được cấp quyền truy cập vào một phần hộp thư khác và bên phải để gửi bức e-mail trên danh nghĩa của hộp thư đó chủ sở hữu. Một kịch bản đoàn đại biểu thường là để cấp quyền truy cập đại biểu đến một trợ lý hành chính cho một điều hành lịch. Người đẹp có thể thường đọc và cập nhật lịch. Ngoài ra, người đẹp có thể trả lời bất kỳ bức e-mail trên danh nghĩa của chấp hành.

Bạn có thể sử dụng giao diện sau hai cấp gửi thay mặt và đại biểu cấp phép:
 • Về đối tượng chủ sở hữu hộp thư, cấp gửi đại diện của quyền thuộc tướng trao đổi hộp thoại.
 • Trong Microsoft Office Outlook, sử dụng các Đại biểu hộp thoại.
Cả hai phương thức các thiết lập các thuộc tính publicDelegates của hộp thư. Tất cả các người sử dụng được liệt kê trong thuộc tính này đã gửi trên danh nghĩa của sự cho phép cho các chủ sở hữu hộp thư. Khi các đại biểu như gửi bức e-mail này có tên của chủ sở hữu trong các Từ hộp, thư e-mail được gửi từ người đẹp và không phải từ hoặc là chủ sở hữu hộp thư. bức e-mail Từ hộp sẽ hiển thị giá trị sau đây:
Đại biểu của tên> thay mặt choChủ sở hữu hộp thư>
Trong một số trường hợp, bạn có thể không thể đặt thuộc tính publicDelegates trong Outlook. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
329622Sự cho phép "Gửi thay cho" không được chỉ định cho một người sử dụng sau khi bạn đại biểu truy cập trong Outlook

Nếu bạn cấp quyền truy cập đại biểu đến hộp thư của bạn, người đẹp có thể sử dụng gửi trên danh nghĩa của sự cho phép ngay cả khi bạn không cấp quyền truy cập cho bất kỳ một trong số các cặp hộp thư của bạn. Sự cho phép cơ bản một đại biểu đã là gửi trên danh nghĩa của sự cho phép. Quyền truy cập vào mục tin thư thoại hộp thư của bạn rất riêng biệt và phải được cấp thêm vào đoàn đại biểu mức cấp phép. Thông thường, các đại biểu sẽ sử dụng Outlook để truy nhập mục tin thư thoại riêng mà bạn đã cho họ quyền. Để làm điều này, bấm Mở trên các Tập tin Menu trong Outlook, và sau đó nhấp vào mục tin thư thoại của người dùng khác.

Ngoài ra, đại biểu có thể mở hộp thư của bạn theo danh sách nó như một hộp thư bổ sung trong các Nâng cao tab của Outlook hồ sơ của họ. Phương pháp này gây ra hộp thư của bạn xuất hiện trong các đại biểu Outlook cây thư mục. Ngoài ra, phương pháp này cho phép để truy cập vào tất cả các mục tin thư thoại trong hộp thư của bạn mà một đại biểu đã được cấp quyền truy cập.

Bạn có thể muốn của bạn đại diện cho đôi khi có gửi đại diện của quyền và vào các thời điểm khác có những Gửi như quyền. Để cấu hình một đại biểu với các mức cấp phép này hai, làm theo các bước sau:
 • Người đẹp trao cho quyền truy cập hộp thư đầy đủ. Điều này không thể được thực hiện thông qua Outlook. Thay vào đó, người quản trị Thư mục Họat động phải làm điều này trên các tài khoản chủ sở hữu hộp thư. Ngay cả khi bạn cấp quyền truy cập chủ đầu tư ngày mỗi mục tin thư thoại trong hộp thư của bạn, mà không có sự cho phép tương tự như đầy đủ Sự cho phép truy cập hộp thư.
 • Không trao người đẹp cho gửi như quyền. Nếu bạn trao các đại biểu cho gửi như quyền, tất cả các thư e-mail được gửi bởi người đẹp sẽ được thực hiện với sự gửi như cho phép. Các đại biểu sẽ không có còn có thể sử dụng gửi trên danh nghĩa của sự cho phép.
Trong trường hợp này, mà muốn sử dụng gửi trên danh nghĩa của sự cho phép các đại biểu phải kí nhập vào hộp thư của họ. Nếu các đại biểu trả lời hoặc chuyển tiếp bức e-mail hiện đang một trong của bạn mục tin thư thoại, bức e-mail sẽ tự động được gửi trên danh nghĩa của bạn. Nếu các đại biểu tạo một bức e-mail mới thay cho bạn, họ phải nhập tên của bạn trong các Từ hộp cho để được gửi bằng bức e-mail của bạn danh nghĩa.

Bất kể cho dù các đại biểu đã mở mục tin thư thoại của bạn hoặc hộp thư toàn bộ của bạn như một hộp thư trung học, tất cả các e-mail thông điệp rằng họ gửi từ bạn sẽ sử dụng gửi đại diện của quyền miễn là riêng của họ hộp thư là hộp thư chính đối với cấu hình hiện tại của Outlook.

Khi đại biểu muốn gửi bức e-mail như bạn, họ phải kí nhập vào của bạn hộp thư bằng cách sử dụng một cấu hình Outlook riêng biệt mà sẽ mở ra chỉ hộp thư của bạn. bức e-mail thư này gửi cho các đại biểu trong khi họ đang kí nhập vào hồ sơ này sẽ tự động được gửi đi từ bạn.

Việc tra cứu tài khoản có quyền truy cập hộp thư đầy đủ mà không được phép gửi như

Các kịch bản mẫu được mô tả trong phần này có thể tra cứu một trong Hoạt động mục tin thư thoại tên miền tại một thời gian cho tài khoản người dùng nơi hộp thư đầy đủ Truy cập quyền đã được cấp vào một hộp thư mà không được phép gửi như.

Quan trọng Trước khi bạn thay đổi quyền truy cập, xem các "Về chủ sở hữu hộp thư với các đại biểu" keá tieáp.

Đoạn mã này có ba chế độ sau đây:
 • Xuất khẩu Bạn có thể xuất một danh sách các người sử dụng có thể truy cập hộp thư sự cho phép nhưng không cho gửi như quyền. Bạn có thể sau đó xem lại danh sách này trong Notepad hoặc một trình soạn thảo để loại bỏ bất kỳ tài khoản mà bạn không muốn có quyền gửi như.
 • Nhập khẩu Bạn có thể chuyển nhập danh sách người sử dụng có thể truy cập hộp thư sự cho phép cho ai quyền gửi như nên cũng được cấp. Lưu ý rằng bạn không thể sử dụng kịch bản này để trao cả hai cho quyền truy cập hộp thư đầy đủ và các Gửi như quyền. Mỗi tài khoản phải đã có thể truy cập hộp thư sự cho phép để được mức cấp phép gửi như.
 • SetAll Bạn có thể mức cấp phép gửi là để tất cả người dùng ở tên miền những người đã có quyền truy cập hộp thư đầy đủ cho một hộp thư cụ thể. A kí nhập tập tin sẽ được tạo ra trong cùng một định dạng như các tập tin xuất khẩu. Điều này là tương đương với chạy chế độ xuất khẩu và nhập khẩu mà không cần chỉnh sửa các xuất khẩu tập tin.
Lưu ý Không có không có chức năng lùi lại trong kịch bản này.

mức cấp phép được yêu cầu cho các tập lệnh

Bạn phải chạy script trong khi bạn đang kí nhập với một tài khoản quản trị viên đó là từ cùng một rừng mà chủ sở hữu hộp thư tài khoản là từ. Các kịch bản không thể làm việc với trương mục có Cross-rừng hành chính quyền. Kịch bản cũng không thể làm việc khi bạn chạy nó từ một trạm làm việc tham gia vào một khu rừng khác nhau hơn rừng mà các chủ sở hữu hộp thư tài khoản đang tham gia.

Đưa ra những điều kiện, bạn có thể chạy kịch bản với nhiều tài khoản quản trị viên trong một Phiên đăng nhập đơn bằng cách sử dụng lệnh RunAs.exe . Thủ tục này có thể hữu ích nếu bạn có xạ Thư mục Họat động và Exchange Server cho phép, và bạn đã có tài khoản duy nhất mà có thể quản lý tất cả các máy chủ Exchange hoặc tất cả Hoạt động mục tin thư thoại tên miền. Bạn có thể mở một dấu kiểm nhắc lệnh chạy đoạn mã như mỗi tài khoản quản trị viên. Hãy xem xét ví dụ sau:
RunAs.exe /user:domain\account CMD.EXE
Lưu ý Bạn không nên chạy nhiều đồng gửi của kịch bản cùng một lúc Đối với cùng một tên miền.

Các lĩnh vực trong tập tin xuất khẩu như sau. Các lĩnh vực được mô tả theo thứ tự mà trong đó họ được trình bày trong các xuất khẩu tập tin.
 • tên hiển thị của tài khoản chủ sở hữu hộp thư

  Có thể có nhiều hơn một dòng trong đầu ra tập tin đó liệt kê chủ sở hữu hộp thư tương tự. Hành vi này xảy ra khi nhiều tài khoản khác có quyền truy cập hộp thư đầy đủ vào hộp thư cùng.
 • Tên miền và kí nhập của trương mục có quyền truy cập hộp thư đầy đủ nhưng không cho gửi như quyền

  Cùng một tài khoản có thể xuất hiện nhiều lần trong suốt các tập tin xuất khẩu khi các tài khoản có quyền truy cập vào nhiều hộp thư. Điều này là khả năng là trường hợp cho một tài khoản bản ghi dịch vụ ứng dụng hoặc cho một người người quản lý nhiều tài nguyên hộp thư.
 • Hiển thị tên của trương mục có quyền truy cập hộp thư đầy đủ nhưng không cho gửi như quyền

  Lĩnh vực này được cung cấp ngoài các tên đăng nhậplĩnh vực này để làm cho nó dễ dàng hơn cho bạn để xác định các tài khoản.
 • Đại biểu tình trạng của chủ sở hữu hộp thư

  Nếu chủ sở hữu hộp thư có đại biểu, giá trị trường làCó đại biểu. Nếu chủ sở hữu hộp thư đã không có đại biểu, giá trị trường là Không Đại biểu.
 • Bật hoặc vô hiệu hóa tình trạng của các tài khoản chủ sở hữu hộp thư

  Lĩnh vực này rất hữu ích khi bạn muốn để xác định các tài nguyên tài khoản hoặc các tài khoản cross-rừng hộp thư. Thông thường, những tài khoản vô hiệu hoá.
 • Họ và tên phân biệt của tài khoản chủ sở hữu hộp thư

  Lĩnh vực này rất hữu ích khi bạn muốn nhận biết các tên miền và các thùng chứa của tài khoản chủ sở hữu hộp thư.
 • Họ và tên phân biệt của cơ sở dữ liệu hộp thư của chủ sở hữu hộp thư

  Lĩnh vực này bao gồm các bộ máy cơ sở dữ liệu, nhóm lưu trữ, các hệ phục vụ, và các nhóm hành chính cho hộp thư.
Trong ví dụ sau, người dùng có tên đăng nhập "NoSendAs" có quyền truy cập hộp thư đầy đủ nhưng không phải các gửi là sự cho phép cho hộp thư của "chủ sở hữu hộp thư":
"" "Hộp thư chủ" "" "" "Domain\NoSendAs" "" "" "không có gửi như User" "" "" "đã đại biểu" "" "" "giúp" "" [bổ sung các lĩnh vực bỏ qua]

Cấu hình trạm làm việc hành chính cho các tập lệnh

Này sử dụng giao diện quản lý Exchange để giao tiếp với máy chủ Exchange. Vì vậy, kịch bản này phải được chạy từ một cuộc trao đổi hệ phục vụ hoặc từ một trạm làm việc với người người quản trị hệ thống trao đổi được cài đặt chuyên biệt.

Hiệu chỉnh tập tin xuất khẩu

Các tập tin xuất khẩu được định dạng như văn bản thuần Unicode vì vậy mà bộ kí tự đại diện từ nhiều ngôn ngữ có thể được chỗ. Một số biên tập viên văn bản có thể không đúng xem và sửa các tập tin hoặc có thể lưu các tập tin như ANSI hoặc văn bản ASCII. Các tiện ích Notepad cho Windows Server 2003, Windows XP và Microsoft Windows 2000 chính xác có thể xử lý văn bản Unicode tập tin. Ngoài ra, Microsoft Office Excel có thể chính xác xử lý văn bản Unicode tập tin.

tệp xuất là một định dạng tab-delimited với ba dấu kiểm ngoặc kép quanh các giá trị cho mỗi lĩnh vực. Các dấu kiểm ngoặc kép ba được sử dụng để làm cho nhập khẩu và xuất khẩu từ Excel xác định hơn. Trong Excel, ngoặc kép ba sẽ trở thành đơn dấu kiểm ngoặc kép, và sẽ hoàn nguyên gấp ba dấu kiểm ngoặc kép khi lưu tệp một lần nữa có dưới dạng văn bản Unicode. Xem các hướng dẫn sau đây một cách chính xác mở và lưu một tập tin xuất khẩu trong Excel.

Bạn cũng có thể lọc một tập tin xuất khẩu mà không cần sử dụng Excel bằng cách sử dụng các tiện ích Find.exe hoặc các tiện ích Findstr.exe. Các tiện ích đi kèm với Windows. Họ cho phép bạn tra cứu các từ trong một tập tin và đầu ra chỉ đường có chứa những từ đó hoặc chỉ dòng mà không chứa những từ đó. Ví dụ, nếu bạn muốn thực hiện một danh sách trong tập tin tất cả các chủ nhân hộp thư có đại biểu, sử dụng một trong các lệnh này để tạo ra một tập tin có chứa chỉ đường với chuỗi "Có đại biểu":
Find.exe "có đại biểu" OriginalFile.txt > HasDelegates.txt

FINDSTR.exe /C: "có đại biểu" OriginalFile.txt > HasDelegates.txt
Như một ví dụ, giả sử rằng bạn lọc ra tất cả các chủ sở hữu hộp thư với các đại biểu. Chuyển /V sẽ trả về tất cả các dòng không phù hợp với các từ tra cứu. Bạn có thể sử dụng bất kỳ của các lệnh để tạo ra một tập tin mà không bao gồm tất cả các "có Đại biểu"dòng:
Find.exe "Không có đại biểu" OriginalFile.txt > NoDelegates.txt

Find.exe/v "có đại biểu" OriginalFile.txt > NoDelegates.txt

FINDSTR.exe /C: "Không có đại biểu" OriginalFile.txt > NoDelegates.txt

FINDSTR.exe/v /C: "có đại biểu" OriginalFile.txt > NoDelegates.txt
Bạn cũng có thể sử dụng các lệnh này để tạo ra một tập tin đó liệt kê tất cả các tài khoản mà trương mục bản ghi dịch vụ ứng dụng có đầy đủ Sự cho phép truy cập hộp thư, nhưng không có quyền gửi như. Chuyển đổi/i làm cho lệnh quản:
Find.exe/i "domain\ServiceAccount" OriginalFile.txt > ServiceAccount.txt

FINDSTR.exe/i /C: "domain\ServiceAccount" OriginalFile.txt > ServiceAccount.txt
Lưu ý Nếu bạn sử dụng tiện ích Find.exe để tạo ra một tập tin lọc, bạn phải loại bỏ dòng tiêu đề mà các tiện ích Find.exe sẽ tạo ra ở trên cùng của tập tin.

Làm không sử dụng tên tệp kí tự đại diện đại diện (*. *) với các tiện ích Findstr.exe. Nếu bạn sử dụng kí tự đại diện đại diện, mỗi dòng trong tập tin đầu ra sẽ được prefaced bởi tập đã đặt tên tin. Bạn nên kiểm tra các tập tin đầu ra một cách cẩn thận, sau khi bạn lọc bằng cách sử dụng Find.exe hoặc FINDSTR.exe để xác minh rằng bộ lọc của bạn bị bắt hoặc loại trừ các tài khoản mà bạn dự định.

Trong ví dụ sau, người dùng có tên đăng nhập "NoSendAs" có sự cho phép toàn quyền truy cập hộp thư, nhưng không phải các gửi là sự cho phép cho hộp thư của "chủ sở hữu hộp thư".
"""Mailbox Owner""" """Domain\NoSendAs""" """No Send As User""" """Has Delegates""" """Enabled""" [additional fields omitted] 

Về chủ sở hữu hộp thư có đại biểu

Người đại diện người có đầy đủ quyền truy cập hộp thư (còn được gọi là một "super-delegate") thường nên không được mức cấp phép gửi như. Khi các Super-delegate các bản ghi trực tiếp vào hộp thư của chủ sở hữu hộp thư, người đẹp có thể gửi như chủ sở hữu. Khi các đại biểu sử dụng Outlook của phái đoàn tính năng)Bổ sung Hộp thư để mở hoặc Mở mục tin thư thoại của người dùng khác), tin thư thoại được gửi trên danh nghĩa của chủ sở hữu.

Cấp được gửi theo sự cho phép cho một super-delegate chỉ nếu bạn muốn các đại biểu luôn luôn gửi như chủ sở hữu hộp thư và không bao giờ gửi thay mặt cho các chủ sở hữu hộp thư. Chúng tôi đề nghị bạn tra cứu các tập tin xuất khẩu cho các văn bản "có Đại biểu,"và sau đó xác định cho dù bất kỳ một trong những super-delegates mà là liệt kê là thực sự đại biểu của chủ sở hữu hộp thư.

Chỉ Super-Delegates được liệt kê trong tập tin xuất khẩu. Đại biểu thường không có sự cho phép toàn quyền truy cập hộp thư. Ngoài ra, khi bạn mức cấp phép gửi như để một đại biểu thông thường, các đại biểu sẽ luôn gửi là chủ sở hữu hộp thư. Điều này là đúng ngay cả khi các đại biểu bình thường không có quyền truy cập hộp thư đầy đủ. Nếu bạn gửi như cấp độ quyền cho một đại biểu khi bạn không có ý định, bạn có thể dễ dàng thu hồi sự cho phép sau đó.

Làm thế nào để mở một tập tin xuất khẩu trong Excel

 1. Bắt đầu Excel trước khi bạn mở tập tin xuất khẩu.
 2. Mở tập tin trong Excel như loại tập tin văn bản. Thuật sĩ chuyển nhập văn bản Bắt đầu.
 3. Trong thuật sĩ chuyển nhập văn bản, thay đổi hoặc chấp nhận sau đây cài đặt:
  • kiểu dữ liệu gốc: Delimited
  • Bắt đầu nhập khẩu ở hàng: 1
  • tệp nguồn gốc: Unicode (UTF-8)
  • Delimiters: Tab chỉ
  • Điều trị liên tiếp delimiters là một trong những: bỏ đanh dâu
  • Vòng loại văn bản: "(hai dấu kiểm ngoặc kép)

Làm thế nào để lưu một tập tin xuất khẩu sau khi bạn chỉnh sửa các tập tin trong Excel

 1. Trong tập tin xuất khẩu, bấm Löu laøm.
 2. Lưu các tập tin bằng cách sử dụng tên khác để cho bạn duy trì một unedited đồng gửi của tệp gốc.
 3. Nhấp vào Tập tin, bấm Löu laøm, nhập tên tệp để lưu đầu ra, và sau đó nhấp vào Văn bản Unicode trong các Lưu như kiểu danh sách.

Cú pháp kịch bản

Đây là một kịch bản chế độ văn bản, và nó nên được chạy trong một lệnh nhắc cửa sổ, không phải từ các Chạy hộp thoại. Để mở một lệnh nhắc cửa sổ, bấm vào Bắt đầu, bấm Chạy, loại CMD trong các Mở hộp, và sau đó nhấp vào Ok.

nhật kí lỗi và xuất tệp sẽ được lưu vào các mục tin thư thoại dấu kiểm nhắc lệnh hiện hành. Bạn phải có mức cấp phép để tạo ra tác phẩm trong mục tin thư thoại này. Để có được trợ giúp dòng lệnh, hãy nhập lệnh sau:
CSCRIPT AddSendAs.vbs
Xuất chuyển người sử dụng có thể truy cập hộp thư không được gửi như cho phép cho một tên miền, nhập lệnh sau:
CSCRIPT AddSendAs.vbs [domain controller name] –ExportExample:CSCRIPT AddSendAs.vbs CORP-DC-1 –Export
Các tập tin xuất khẩu sẽ được tạo ra như "Send_As_Export_H_MM_SS.txt."

Chuyển nhập tệp edited xuất khẩu, nhập lệnh sau:
CSCRIPT AddSendAs.vbs [domain controller name] –Import [filename]Example:CSCRIPT AddSendAs.vbs CORP-DC-1 –Import "Send_As_Export_H_MM_SS.txt"

Làm thế nào để trao cho gửi như quyền cho mỗi hộp thư trong miền cho tất cả người sử dụng đã có sự cho phép truy cập hộp thư đầy đủ cho một hộp thư

Lưu ý Nếu bạn có đại biểu người cũng có thể truy cập hộp thư sự cho phép trong tổ chức của bạn, bạn không nên sử dụng chế độ SetAll. Nếu bạn làm sử dụng chế độ SetAll trong tình huống này, các đại biểu sẽ được cấp các gửi như sự cho phép. Hành vi này có thể gây ra tất cả các bức e-mail mà họ gửi cho sử dụng Gửi như quyền thay vì của đã gửi trên danh nghĩa của sự cho phép. Bạn có thể Sửa chữa hành vi này bằng cách loại bỏ gửi như phép đã nhầm lẫn cấp cho các đại biểu:
CSCRIPT AddSendAs.vbs [domain controller name] –SetAllExample:CSCRIPT AddSendAs.vbs CORP-DC-1 –SetAll
Nếu bạn sử dụng chế độ SetAll, tập tin xuất khẩu sẽ được tạo ra như Send_As_Export_H_MM_SS.txt. Bạn phải lưu tệp này vì nó là một bản ghi của tất cả các tài khoản đã được thay đổi. Nếu bạn đã để chạy các kịch bản một lần nữa, nó sẽ không ra danh sách cùng một tài khoản bởi vì các tài khoản sẽ đã có được mức cấp phép gửi như.

Lỗi mà bạn có kinh nghiệm trong khi bạn đang chạy kịch bản sẽ lưu các tập tin Send_As_Errors_H_MM_SS.txt. tập đã đặt tên tin lỗi sẽ phù hợp với tem thời gian hours_minutes_seconds của bất kỳ tập tin xuất khẩu liên kết.

Sửa đổi kịch bản

Có thể có tài khoản trong tổ chức của bạn có quyền trên nhiều đối tượng, nhưng bạn không muốn thay đổi mức cấp phép. Để giảm các Kích thước của tập tin xuất khẩu, bạn có thể lọc các tài khoản này bằng cách sửa đổi các Lưu biến FMA_EXCLUSIVE_LIST nằm gần phía trên cùng của kịch bản. Bởi mặc định, biến này liệt kê một vài tài khoản nên được dập tắt trong các kịch bản đầu ra. Bạn có thể thêm nhiều tài khoản bằng cách sử dụng định dạng sau.
& "<Domain\Name>" & OUTPUT_DELIMITER
Ví dụ, bạn có thể thay đổi giá trị của biến sau.
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER
do đó nó xuất hiện như sau.
FMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITER & "Mydomain\Service1" & OUTPUT DELIMITER
Sự thay đổi này ngăn chặn các danh sách tài khoản "Mydomain\Service1" tại các tập tin xuất khẩu cùng với "NT AUTHORITY\SELF" và "NT AUTHORITY\SYSTEM." Nhận thấy rằng giá trị Domain\Name là chữ, và nó phải xuất hiện chính xác như nó, hoặc như nó sẽ trong tập tin xuất khẩu.

Đó là một có thể chỉnh sửa biến, FMA_EXCLUSIVE_EXSVC, có giá trị mặc định "\Exchange Dịch vụ"& OUTPUT_DELIMITER. "Dịch vụ trao đổi" là tên của một tài khoản mà được cấp quyền truy cập thông qua các kết nối mục tin thư thoại hoạt động trong trao đổi Server 5,5 và trong Exchange 2000 di cư và tồn kịch bản. Trương mục này là tạo ra trong nhiều tên miền, và nó có thể xuất hiện nhiều lần trong tập tin xuất khẩu nếu nó không bị đàn áp.

FMA_EXCLUSIVE_EXSVC biến chấp nhận chỉ một tài khoản là giá trị của nó. tên tài khoản không phải là chữ. Tài khoản phải Bắt đầu bằng một kí tự đại diện dấu kiểm chéo ngược (\) và nên bao gồm các tên miền mà tài khoản thuộc. Các tài khoản sẽ được dập tắt cho tất cả tên miền trong đó nó tồn tại.

Nếu bạn đã sử dụng di chuyển bên thứ ba công cụ hay phương pháp đồng bộ hóa mục tin thư thoại, một tài khoản khác nhau có thể tồn tại trong nhiều tên miền mà có rộng rãi cấp quyền truy cập cho người người dùng hộp thư. Trong này kịch bản, bạn có thể thay thế tên của tài khoản đó cho các "dịch vụ \Exchange."

Mẹo và hãy cẩn thận

 • Không loại bỏ các tập tin kí nhập và lỗi được tạo ra bởi các kịch bản. Họ có thể có giá trị cho xử lý sự cố hay đảo ngược các thay đổi sau này. Hãy nhớ rằng, ngay sau khi bạn đã cấp gửi như quyền để một tài khoản, nó sẽ không còn được kí nhập tập tin xuất khẩu.
 • Nếu một máy chủ Exchange hoặc bộ máy cơ sở dữ liệu là xuống, tập lệnh xử lý sẽ chậm hơn. Trong trường hợp này, bạn có thể sắp xếp các tập tin xuất khẩu theo bộ máy cơ sở dữ liệu và di chuyển đường có liên quan đến bộ máy cơ sở dữ liệu tắt máy cho một tập tin khác nhau cho sau này chuyển nhập.
 • Kịch bản ngăn chặn đầu ra của các tài khoản mà kí nhập tên kết thúc bằng "$" hoặc là NT AUTHORITY\SYSTEM. Các trương mục hệ thống không nên thường cần gửi theo sự cho phép, và loại bỏ chúng khỏi các tập tin xuất khẩu rất nhiều làm giảm kích thước của nó.
 • Các tập tin xuất khẩu phải ở định dạng Unicode trước khi nó có thể nhập khẩu. Nếu bạn không cố ý lưu tệp như văn bản ANSI, bạn có thể giải quyết vấn đề này bằng cách tải các tập tin trong Notepad và lưu nó như Unicode văn bản.
 • Nếu một, nhập khẩu là không làm việc, khắc phục sự cố với các bài kiểm tra tài khoản và một dòng trong file nhập. Bạn phải cấu hình một bài kiểm tra tài khoản mà có một hộp thư trên một máy chủ Exchange đang chạy, và sau đó đã trao quyền truy cập hộp thư đầy đủ để tài khoản thử nghiệm khác. Không trao cho gửi như quyền để tài khoản thử nghiệm khác.
 • Không có không có chế độ hoàn tác cho kịch bản này. Để lấy đi các Gửi như quyền mà bạn đã cấp với kịch bản này, bạn phải tạo ra một kịch bản hoặc loại bỏ chúng bằng tay. Một chế độ hoàn tác không được cung cấp để tránh việc sử dụng các kịch bản này để loại bỏ gửi như quyền cho tất cả người dùng trong một tổ chức.
 • Các kịch bản không đúng cách xử lý Trương mục có được cấp quyền kiểm soát đầy đủ của một đối tượng người dùng cùng với truy cập hộp thư đầy đủ. Họ và kiểm soát bao gồm gửi như quyền, nhưng kịch bản sẽ xuất khẩu các tài khoản như thể nó không có được gửi theo sự cho phép. Điều này có thể làm tăng kích thước của các tập tin xuất khẩu, nhưng không có hại xảy ra từ nhập khẩu các tập tin, và sau đó redundantly cấp gửi như quyền truy cập vào những trương mục này.
 • Hoạt động tài khoản người dùng mục tin thư thoại có phân biệt tên và đó bao gồm tab hoặc chưa từng có hai dấu kiểm ngoặc kép không thể xử lý bằng cách sử dụng kịch bản này. Kịch bản chính xác có thể xử lý một tên mà bao gồm phù hợp ngoặc kép như sau:
  "CN = đầu tiên"biệt hiệu"tác, DC = tên miền, DC = com"
 • Mỗi phiên bản của Excel hỗ trợ một giới hạn tối đa dòng khác nhau. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
  120596Tệp văn bản lớn hơn 65,536 hàng không thể được chuyển nhập vào Excel 97, Excel 2000, Excel 2002 và Excel 2003
  Sau đây là giới hạn hàng cho Excel 2003 và Excel 2007:
  • Excel 2003: 65,536 hàng
  • Excel 2007: 1,048,576 hàng
  Nếu tập tin đầu ra của bạn là lớn hơn các giới hạn này, bạn phải tách tập tin thành phần trước khi bạn tải nó trong Excel.
 • Các tập tin Send_As_Errors sẽ liệt kê tài khoản cụ thể mà đã có một sự thất bại để đọc hoặc viết mức cấp phép. Nếu các tài khoản khác trong các tên miền đã được xử lý một cách chính xác, các tài khoản này có thể có một cái gì đó chung có thể ngăn chặn các kịch bản từ chạy với họ. Vấn đề phổ biến bao gồm các sau:
  • Thiếu hành chính quyền truy cập để xem hoặc thiết lập thuộc tính trên các tài khoản.
  • Các cửa hàng hộp thư Exchange không chạy.
  • Các máy trạm không là thành viên của cùng một tên miền.
  • Các tài khoản quản trị viên đang được sử dụng là không từ cùng một rừng.
Chạy kịch bản này, sao chép và dán tất cả các dòng giữa BEGIN Kịch bản và kịch bản kết thúc vào một trình soạn thảo văn bản đơn giản như Notepad. Lưu các tập lệnh như AddSendAs.vbs. Bắt đầu KỊCH BẢN.
Option ExplicitDim OUTPUT_DELIMITEROUTPUT_DELIMITER = """""""" & vbTab & """"""""'Define exclusive list, if FMA is given to any user in this list, it's ignored. If you 'want to modify this list, please be sure to follow the same format. Every alias has to 'have a OUTPUT_DELIMITER before and after itDim FMA_EXCLUSIVE_LISTFMA_EXCLUSIVE_LIST = OUTPUT_DELIMITER & "NT AUTHORITY\SELF" & OUTPUT_DELIMITER & "NT AUTHORITY\SYSTEM" & OUTPUT_DELIMITERDim FMA_EXCLUSIVE_EXSVCFMA_EXCLUSIVE_EXSVC = "\Exchange Services" & OUTPUT_DELIMITER'Permission Type: Allow or Denyconst ACCESS_ALLOWED_OBJECT_ACE_TYPE = 5const ADS_ACETYPE_ACCESS_ALLOWED = &h0const ADS_ACETYPE_ACCESS_DENIED = &h1'Flags: Specifies Inheritanceconst ADS_ACEFLAG_INHERIT_ACE = &h2const ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE = &h4const ADS_ACEFLAG_INHERIT_ONLY_ACE = &h8const ADS_ACEFLAG_INHERITED_ACE = &h10const ADS_ACEFLAG_VALID_INHERIT_FLAGS = &h1fconst ADS_ACEFLAG_SUCCESSFUL_ACCESS = &h40const ADS_ACEFLAG_FAILED_ACCESS = &h80'Declare ADSI constantsConst ADS_OPTION_SECURITY_MASK = 3Const ADS_OPTION_REFERRALS	= 1Const ADS_SECURITY_INFO_DACL = 4Const ADS_CHASE_REFERRALS_NEVER = &h00 Const ADS_CHASE_REFERRALS_SUBORDINATE = &h20 Const ADS_CHASE_REFERRALS_EXTERNAL = &h40'output file nameConst EXPORT_FILE = "Send_As_Export"Const ERROR_FILE = "Send_As_Errors"' script modeconst MODE_INVALID = -1 const MODE_SETALL = 0const MODE_EXPORT = 1const MODE_IMPORT = 2const SETALL = "-SETALL"const EXPORT = "-EXPORT"const IMPORT = "-IMPORT"' argument indexConst ARG_INDEX_MODE = 1Const ARG_INDEX_DC = 0Const ARG_INDEX_FILENAME = 2' column index in import/export fileConst COLUMN_INDEX_USERDISPLAYNAME = 0Const COLUMN_INDEX_FMAALIAS = 1Const COLUMN_INDEX_FMADISPLAYNAME = 2Const COLUMN_INDEX_IFPUBLICDELEGATE = 3Const COLUMN_INDEX_MAILBOXSTATUS = 4Const COLUMN_INDEX_USERADSPATH = 5Const COLUMN_INDEX_HOMEMDB = 6Const EMPTYSTRING = ""Const STRNO = "No Delegates"Const STRYES = "Has Delegates" Const MIN_ARG = 2Const INIT_ARRAY_SIZE = 100' Microsoft Exchange Const EX_MB_SEND_AS_ACCESSMASK = &H00100Const EX_FULLMailbox_AccessMask = 1Const MESO = "Microsoft Exchange System Objects"Const EX_MB_SEND_AS_GUID = "{AB721A54-1E2F-11D0-9819-00AA0040529B}"Const ForReading	= 1Const ForWriting	= 2Const ForAppending	= 8Const TristateTrue	= -1Const ADS_SCOPE_SUBTREE = 2Dim objUserDim objSDMailBoxDim objSDNTsecurityDim objDACLNTSDDim objNewACEDim sTrusteeAlias()Dim sFMADeniedListDim sFMAExplicitAllowDim fACESendasFoundDim dArraySizeDim TotalACEDim iDim rootDSEDim connDim objCommandDim objCmdDisplayNameDim rsUsersDim FoundObjectDim objFSODim objfileImportDim objfileExportDim objfileErrorDim sImportFilePathDim cScriptModeDim dArgCountDim dArgExpectedDim sDCServerDim sMailboxStatusDim sIfPublicDelegateDim sFMAUserDisplayNameDim sExportFileNameDim sErrorsFileNameDim msPublicDelegatesDim fErrorDim fOneErrorDim fFMAAllowedOn Error Resume NextdArraySize = INIT_ARRAY_SIZEReDim Preserve sTrusteeAlias(dArraySize)dArgCount = Wscript.Arguments.Count If ( dArgCount < MIN_ARG ) Then	DisplaySyntaxEnd Iferr.ClearfError = FalsefOneError = FalsecScriptMode = MODE_INVALIDSelect Case UCase(WScript.Arguments(ARG_INDEX_MODE))	Case SETALL 		cScriptMode = MODE_SETALL		dArgExpected = ARG_INDEX_MODE + 1	Case EXPORT 		cScriptMode = MODE_EXPORT		dArgExpected = ARG_INDEX_MODE + 1	Case IMPORT 		cScriptMode = MODE_IMPORT		dArgExpected = ARG_INDEX_FILENAME + 1	Case Else 		cScriptMode = MODE_INVALIDEnd SelectIf (cScriptMode = MODE_INVALID Or dArgCount <> dArgExpected) Then	DisplaySyntaxEnd IfsDCServer = WScript.Arguments(ARG_INDEX_DC)CreateOutputFilesIf ( cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT ) Then	Dim sDomainContainer	If (cScriptMode = MODE_SETALL) Then		Dim strInput 		WScript.StdOut.WriteLine("WARNING: If you continue, each account in the domain that has")		WScript.StdOut.WriteLine("Full Mailbox Access permission for a given mailbox will also be")		WScript.StdOut.WriteLine("granted permission to Send As the mailbox owner.")		WScript.StdOut.WriteLine()		WScript.StdOut.WriteLine("To preview the list of mailboxes before granting Send As,")		WScript.StdOut.WriteLine("cancel this operation and use the -Export mode of this script.")		WScript.StdOut.WriteLine()		WScript.StdOut.Write("Press Y to continue or any other key to cancel: ")		strInput = WScript.StdIn.ReadLine()		If (UCase(strInput) <> UCase("Y")) Then			WScript.Quit		End If		End If		WScript.StdOut.WriteLine()	WScript.StdOut.WriteLine("""!"" indicates an error processing an object.")	WScript.StdOut.WriteLine("   Check " & sErrorsFilename)	WScript.StdOut.WriteLine("Starting...")	WScript.StdOut.WriteLine()	err.Clear		Set rootDSE = GetObject("LDAP://" & sDCServer & "/RootDSE")	sDomainContainer = rootDSE.Get("defaultNamingContext")	WScript.StdOut.WriteLine("Finding domain controller [ " & sDCServer & " ] for domain [ " & sDomainContainer & " ]")		If (err.number <> 0) Then		WScript.StdOut.WriteLine("Failed to find the domain or domain controller, error:" & err.Description)		objfileError.WriteLine("Failed to find the domain or domain controller, error:" & err.Description)		WScript.Quit	End If				err.Clear		Set conn = CreateObject("ADODB.Connection")	Set objCommand = CreateObject("ADODB.Command")	conn.Provider = "ADSDSOObject"	conn.Open "ADs Provider"	If (err.number <> 0) Then		WScript.StdOut.WriteLine("Failed to bind to Active Directory server, error:" & err.Description)		objfileError.WriteLine("Failed to bind to Active Directory server, error:" & err.Description)		WScript.Quit	End If	Set objCommand.ActiveConnection = conn	WScript.StdOut.WriteLine("Searching for mailbox owner user accounts in " & sDomainContainer)		objCommand.CommandText = "<LDAP://" & sDCServer & "/" & sDomainContainer & ">;(&(&(& (mailnickname=*) (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"	objCommand.Properties("searchscope") = ADS_SCOPE_SUBTREE	objCommand.Properties("Page Size") = 100	objCommand.Properties("Timeout") = 30 	objCommand.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)	err.Clear		Set rsUsers = objCommand.Execute	If (err.number <> 0) Then		WScript.StdOut.WriteLine("Search for mailbox owners failed, error:" & err.Description)		objfileError.WriteLine("Search for mailbox owners failed, error:" & err.Description)		WScript.Quit	End If	If (rsUsers.RecordCount = 0) Then		WScript.StdOut.WriteLine("No mailbox owner user accounts could be seen in " & sDomainContainer & ".")		objfileError.WriteLine("No mailbox owner user accounts found in " & sDomainContainer & ".")		fError = True			End If	While Not rsUsers.EOF		If (fOneError = True) Then			WScript.StdOut.Write("!")		Else			WScript.StdOut.Write(".")		End If		fOneError = False				'Skip any mailbox object in Microsoft Exchange System Objects container		If (0 = Instr(rsUsers.Fields(0).Value, MESO)) Then			err.Clear 			Set objUser = GetObject(rsUsers.Fields(0).Value)			If (err.number <> 0) Then				objfileError.WriteLine("Failed to get user object: " & rsUsers.Fields(0).Value)				objfileError.WriteLine("Error: " & err.Description)				fError = True				fOneError = True				err.Clear			End If			Set objSDMailBox = objUser.MailboxRights			If (err.number <> 0) Then				objfileError.WriteLine("Failed to get mailbox rights: " & rsUsers.Fields(0).Value)				objfileError.WriteLine("Error: " & err.Description)				fError = True				fOneError = True				err.Clear			End If			Set objSDNTsecurity = objUser.ntSecurityDescriptor			If (err.number <> 0) Then				objfileError.WriteLine("Failed to get NTSD: " & rsUsers.Fields(0).Value)				objfileError.WriteLine("Error: " & err.Description)				fError = True				fOneError = True				err.Clear			End If						Set objDACLNTSD = Nothing			If (objUser.AccountDisabled) Then				sMailboxStatus = "Disabled"			Else				sMailboxStatus = "Enabled"			End If			'Query this user's publicDelegates list			err.Clear 			msPublicDelegates = objUser.Get("publicDelegates")			If (err.number <> 0) Then				'This user doesn't have publicDelegates list set				sIfPublicDelegate = STRNO				err.Clear			Else				sIfPublicDelegate = STRYES			End If						err.Clear 						FindAllFMAUsers objSDMailBox						If (TotalACE > dArraySize) Then			'Needs to allocate bigger size array				dArraySize = TotalACE + 1				ReDim Preserve sTrusteeAlias(dArraySize)				FindAllFMAUsers objSDMailBox			End If			If (err.number <> 0) Then				objfileError.WriteLine("Failed to query mailbox rights of user: " & rsUsers.Fields(0).Value)				objfileError.WriteLine("Error: " & err.Description)				err.Clear				fError = True				fOneError = True			End If						If TotalACE > 0 Then				Set objDACLNTSD = objSDNTsecurity.DiscretionaryAcl				For i = 0 to TotalACE - 1 Step 1										'Check if we already have Send As ACE in NT security descriptor					'If it exists, either allow or deny, we don't need to add send as to it 					CheckSendAsACE objDACLNTSD, sTrusteeAlias(i)										'Note: deny entries take precedence over allow entries. 					'If there is FMA deny ACE, skip it even if we find FMA allow ACE 					IfFMAAllowed(sTrusteeAlias(i) & OUTPUT_DELIMITER)					If ((fFMAAllowed = True) And (fACESendasFound = 0)) Then						If cScriptMode = MODE_SETALL Then							Set objNewACE = CreateObject ("AccessControlEntry")							objNewACE.AceFlags = 0 							objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE							objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK 							objNewACE.Flags = 1							objNewACE.ObjectType = EX_MB_SEND_AS_GUID							objNewACE.Trustee = sTrusteeAlias(i)							objDACLNTSD.AddAce objNewAce						End If									'Query trustee(FMA user) to get its displayName						Dim rsTrustee						Dim objTrustee						Dim dPosition						Dim sAlias											dPosition = inStr(1, sTrusteeAlias(i), "\")						sAlias = mid(sTrusteeAlias(i), dPosition + 1)										Set objCmdDisplayName = CreateObject("ADODB.Command")									Set objCmdDisplayName.ActiveConnection = conn						objCmdDisplayName.CommandText = "<LDAP://" & sDomainContainer & ">;(&(&(& (mailnickname=" & sAlias & ") (| (&(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)) ))));adspath;subtree"						objCmdDisplayName.Properties("searchscope") = ADS_SCOPE_SUBTREE						objCmdDisplayName.Properties("Page Size") = 100						objCmdDisplayName.Properties("Timeout") = 30 						objCmdDisplayName.Properties("Chase referrals") = (ADS_CHASE_REFERRALS_SUBORDINATE Or ADS_CHASE_REFERRALS_EXTERNAL)												Set rsTrustee = objCmdDisplayName.Execute										Set objTrustee = GetObject(rsTrustee.Fields(0).Value)												If (err.number <> 0) Then							'Failed to query FMA user's display name, use its alias							sFMAUserDisplayName = sAlias													Else							sFMAUserDisplayName = objTrustee.displayName													End If							'output to export file						err.Clear						objfileExport.WriteLine ("""""""" & objUser.displayName & OUTPUT_DELIMITER & sTrusteeAlias(i) & OUTPUT_DELIMITER & sFMAUserDisplayName & OUTPUT_DELIMITER & sIfPublicDelegate & OUTPUT_DELIMITER & sMailboxStatus & OUTPUT_DELIMITER & rsUsers.Fields(0).Value & OUTPUT_DELIMITER & objUser.homeMDB & """""""")						If (err.number <> 0) Then							objfileError.WriteLine("User " & rsUsers.Fields(0).Value & " could not be added to the export file. You should set permissions manually for this user.")							objfileError.WriteLine("Error: " & err.Description)							err.Clear							fError = True							fOneError = True						End If						Set objCmdDisplayName = Nothing						Set rsTrustee = Nothing						Set objTrustee = Nothing					End If				Next									If cScriptMode = MODE_SETALL Then					err.Clear					objSDNTsecurity.DiscretionaryAcl = objDACLNTSD					objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )					objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL					objUser.SetInfo					If (err.number <> 0) Then						objfileError.WriteLine("Failed to update ADSI for user: " & rsUsers.Fields(0).Value)						objfileError.WriteLine("Error: " & err.Description)						err.Clear						fError = True						fOneError = True					End If				End If				TotalACE = 0				Set objSDMailbox = Nothing				Set objSDNTsecurity = Nothing				Set objUser = Nothing				Set objDACLNTSD = Nothing			End If				End If			rsUsers.MoveNext	WendEnd IfIf (cScriptMode = MODE_IMPORT) Then	Dim sOneRow	Dim sArraySplit	Dim objUserItem	Dim UserPath	Dim objUserSD	Dim objUserDACL	Dim fNeedToAddSendAs		sImportFilePath = WScript.Arguments(ARG_INDEX_FILENAME)	WScript.StdOut.WriteLine("If you continue, each account listed in " & sImportFilePath)	WScript.StdOut.WriteLine("that has Full Mailbox Access permission for a given mailbox")	WScript.StdOut.WriteLine("will also be granted permission to Send As the mailbox owner.")	WScript.StdOut.WriteLine()	WScript.StdOut.Write("Press Y to continue or any other key to cancel: ")	strInput = WScript.StdIn.ReadLine()	If (UCase(strInput) <> UCase("Y")) Then		WScript.Quit	End If		WScript.StdOut.WriteLine("Starting...")	WScript.StdOut.WriteLine()	UserPath = EMPTYSTRING		err.Clear		Set objFSO = CreateObject("Scripting.FileSystemObject")	Set objfileImport = objFSO.OpenTextFile(sImportFilePath, ForReading, False, TristateTrue)	If (err.number <> 0) Then		WScript.StdOut.WriteLine("Failed to open import file " & sImportFilePath & ", error:" & err.Description)		objfileError.WriteLine("Failed to open import file " & sImportFilePath & ", error:" & err.Description)		WScript.Quit	End If		fNeedToAddSendAs = False	Do While objfileImport.AtEndOfStream <> True		If (fOneError = True) Then			WScript.StdOut.Write("!")		Else			WScript.StdOut.Write(".")		End If		fOneError = False		err.Clear		sOneRow = objfileImport.ReadLine		sArraySplit = Split(sOneRow , OUTPUT_DELIMITER)		If (err.number <> 0) Then			objfileError.WriteLine("Failed to parse one row: " & sOneRow )			objfileError.WriteLine("Error: " & err.Description)			err.Clear			fError = True			fOneError = True		End If				If (UserPath <> sArraySplit(COLUMN_INDEX_USERADSPATH)) Then			'A new user			If (fNeedToAddSendAs = True ) Then				'update existing user				err.Clear 				objSDNTsecurity.DiscretionaryAcl = objDACLNTSD				objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )				objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL				objUser.SetInfo				If (err.number <> 0) Then					objfileError.WriteLine("Failed to update permissions for user: " & UserPath)					objfileError.WriteLine("Error: " & err.Description)					fError = True					fOneError = True				End If			End If									fNeedToAddSendAs = False			Set objUser = Nothing			Set objSDNTsecurity = Nothing			Set objDACLNTSD = Nothing			UserPath = sArraySplit(COLUMN_INDEX_USERADSPATH)			err.Clear 			Set objUser = GetObject(UserPath)			Set objSDNTsecurity = objUser.ntSecurityDescriptor 			Set objDACLNTSD = objSDNTsecurity.DiscretionaryACL						If (err.number <> 0) Then				objfileError.WriteLine("Failed to get user object: " & UserPath)				objfileError.WriteLine("Error: " & err.Description)				err.Clear				fError = True				fOneError = True			End If		End If			'Add newACE  Do we need this check?		CheckSendAsACE objDACLNTSD, sArraySplit(COLUMN_INDEX_FMAALIAS)		If (fACESendasFound = 0) Then			Set objNewACE = CreateObject ("AccessControlEntry")			objNewACE.AceFlags = 0 			objNewACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE			objNewACE.AccessMask = EX_MB_SEND_AS_ACCESSMASK 			objNewACE.Flags = 1			objNewACE.ObjectType = EX_MB_SEND_AS_GUID			objNewACE.Trustee = sArraySplit(COLUMN_INDEX_FMAALIAS)			objDACLNTSD.AddAce objNewACE			fNeedToAddSendAs = True					End If	Loop		If (fNeedToAddSendAs = True ) Then		'update the last user		err.Clear 		objSDNTsecurity.DiscretionaryAcl = objDACLNTSD		objUser.Put "ntSecurityDescriptor", Array( objSDNTsecurity )		objUser.SetOption ADS_OPTION_SECURITY_MASK, ADS_SECURITY_INFO_DACL		objUser.SetInfo		If (err.number <> 0) Then			objfileError.WriteLine("Failed to update permissions for user: " & UserPath)			objfileError.WriteLine("Error: " & err.Description)			fError = True		End If	End IfEnd If objFSO.CloseobjfileImport.CloseobjfileExport.CloseobjfileError.CloseSet objFSO = NothingSet objfileImport = NothingSet objfileExport = NothingSet objfileError = NothingSet objCommand = NothingSet conn = NothingWScript.StdOut.WriteLine()If (fError = True) Then	WScript.StdOut.WriteLine("Finished with one or more errors. See " & sErrorsFilename)Else	WScript.StdOut.WriteLine("Finished successfully. No errors were encountered.")End IfFunction FindAllFMAUsers (objSD)Dim objACLDim objACEDim intACECountDim strIndentDim dAccessMaskBitDim dPositionDim sUserAlreadyFound	On Error Resume Next	err.Clear	TotalACE = 0	sFMADeniedList = EMPTYSTRING	sFMAExplicitAllow = EMPTYSTRING	sUserAlreadyFound = OUTPUT_DELIMITER	intACECount = 0	Set objACL = objSD.DiscretionaryAcl	intACECount = objACL.AceCount	If intACECount Then		' Open discretionary ACL (DACL) data.		For Each objACE In objACL							dPosition = inStr(1, objACE.Trustee, "$")		If ((0 = Instr(UCase(objACE.Trustee & OUTPUT_DELIMITER), UCase(FMA_EXCLUSIVE_EXSVC))) And (0 = Instr(sUserAlreadyFound, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (0 = Instr(FMA_EXCLUSIVE_LIST, OUTPUT_DELIMITER & objACE.Trustee & OUTPUT_DELIMITER)) And (dPosition <> Len(objACE.Trustee)) And ((objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0) And ((objACE.AceType = ADS_ACETYPE_ACCESS_ALLOWED) Or (objACE.AceType = ACCESS_ALLOWED_OBJECT_ACE_TYPE) )) Then			If (TotalACE < dArraySize) Then				sTrusteeAlias(TotalACE) = objACE.Trustee				sUserAlreadyFound = sUserAlreadyFound & objACE.Trustee & OUTPUT_DELIMITER			End If			TotalACE = TotalACE + 1				If ((objACE.AceFlags And ADS_ACEFLAG_INHERITED_ACE) = 0) Then				'Keep a list who explictly set FMA at mailbox level				sFMAExplicitAllow = sFMAExplicitAllow & objACE.Trustee & OUTPUT_DELIMITER						End If		ElseIf (( (objACE.AccessMask And EX_FULLMailbox_AccessMask) <>0 ) And (objACE.AceType = ADS_ACETYPE_ACCESS_DENIED)) Then			'Keep a list who denied FMA, use OUTPUT_DELIMITER as demiliter, 			'include both inherited and explicit set at mailbox level			sFMADeniedList = sFMADeniedList & objACE.Trustee & OUTPUT_DELIMITER					End If		Next	End If	Set objACL = NothingEnd FunctionFunction CheckSendAsACE (objDiscretionaryACL, sTAlias)Dim objACEDim intACECount	err.Clear 	fACESendasFound = 0	intACECount = objDiscretionaryACL.AceCount	If intACECount Then		For Each objACE In objDiscretionaryACL				err.Clear 			If ( (objACE.Trustee = sTAlias) And (objACE.ObjectType = EX_MB_SEND_AS_GUID) ) Then				fACESendasFound = 1			End If			If (err.number <> 0) Then				objfileError.WriteLine("Could not read permissions for this user: " & sTAlias)				objfileError.WriteLine("Error: " & err.Description)				err.Clear				fError = True				fOneError = True			End If					Next				End If	End FunctionFunction IfFMAAllowed(sTrustee)	'FMA allow ACE has been found. Assume it's true	fFMAAllowed = True		If ( (0 <> Instr(sFMADeniedList, sTrustee)) And (0 = Instr(sFMAExplicitAllow, sTrustee))	) Then		'If Denied ACE is found, and no explicit allow FMA 		fFMAAllowed = False	End If End FunctionFunction CreateOutputFiles	Dim sTimeArray	Dim sTimeShort	Dim sTime		err.Clear	sTime = Time	sTimeShort = Split(sTime, " ")	sTimeArray = Split(sTimeShort(0), ":")	Set objFSO = CreateObject("Scripting.FileSystemObject")	sErrorsFileName = ERROR_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"	Set objfileError = objFSO.OpenTextFile(sErrorsFileName, ForWriting, True, TristateTrue)	If (cScriptMode = MODE_SETALL Or cScriptMode = MODE_EXPORT)	Then		sExportFileName = EXPORT_FILE & "_" & sTimeArray(0) & "_" & sTimeArray(1) & "_" & sTimeArray(2) & ".txt"		Set objfileExport = objFSO.OpenTextFile(sExportFileName, ForWriting, True, TristateTrue)		End If		If err.number <> 0 Then		WScript.StdOut.WriteLine("Unable to create export or error files: " & err.Description)		objfileError.WriteLine("Unable to create export or error files: " & err.Description)		fError = True		fOneError = True		WScript.Quit		End IfEnd FunctionFunction DisplaySyntax	WScript.StdOut.WriteLine("Syntax:")	WScript.StdOut.WriteLine()	WScript.StdOut.WriteLine("Export accounts with Full Mailbox Access that do not have Send As permission:")	WScript.StdOut.WriteLine("   CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Export")	WScript.StdOut.WriteLine("     NOTE: The list will be saved to Send_As_Export_HH_MM_SS.txt")	WScript.StdOut.WriteLine()	WScript.StdOut.WriteLine("Grant Send As to all accounts listed in an export file:")	WScript.StdOut.WriteLine("   CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -Import ""filename.txt""")	WScript.StdOut.WriteLine()	WScript.StdOut.WriteLine("Grant Send As to all accounts in the domain with Full Mailbox Access:")	WScript.StdOut.WriteLine("   CSCRIPT """ & WScript.ScriptName & """ DOMAIN_CONTROLLER -SetAll")	WScript.StdOut.WriteLine("     NOTE: Accounts will be listed in Send_As_Export_HH_MM_SS.txt")	WScript.StdOut.WriteLine()	WScript.StdOut.WriteLine("For all modes, errors are saved to Send_As_Errors_HH_MM_SS.txt")	WScript.Quit	End Function
KỊCH BẢN CUỐI CÙNG

Microsoft cung cấp lập trình ví dụ để minh hoạ chỉ, không có bảo hành hoặc thể hiện hay ngụ ý. Điều này bao gồm, nhưng không giới hạn, bảo đảm ngụ ý khả năng bán hàng hoặc cho một mục đích cụ thể. Bài viết này giả định rằng bạn đã quen thuộc với ngôn ngữ lập trình mà đang được chứng minh và với các công cụ được sử dụng để tạo ra và gỡ lỗi thủ tục. Microsoft hỗ trợ các kỹ sư có thể giúp giải thích các chức năng của một thủ tục cụ thể. Tuy nhiên, họ sẽ sửa đổi các ví dụ để cung cấp thêm chức năng hoặc xây dựng quy trình để đáp ứng các yêu cầu cụ thể của bạn.

Để biết thêm thông tin về sự hỗ trợ tùy chọn có sẵn của Microsoft, truy cập vào các web site Microsoft sau đây Trang web: Các sản phẩm bên thứ ba mà thảo luận về bài viết này được sản xuất bởi các công ty độc lập của Microsoft. Microsoft đưa ra không có bảo hành, ngụ ý hay cách khác, về hiệu suất hoặc độ tin cậy của các sản phẩm này.
XADM Blackberry Enterprise Server BES GoodLink Cisco thống nhất thư thoại tin tức thời RIM OWA

Thuộc tính

ID Bài viết: 912918 - Xem lại Lần cuối: 12/09/2015 04:18:41 - Bản sửa đổi: 1.0

Microsoft Exchange 2000 Server Standard Edition, Microsoft Exchange 2000 Enterprise Server, Microsoft Exchange Server 2003 Standard Edition, Microsoft Exchange Server 2003 Enterprise Edition

 • kbnosurvey kbarchive kbtshoot kbpending kbbug kbprb kbmt KB912918 KbMtvi
Phản hồi