Exchange 2007/2010 NT Authority/self权限丢失
2013-11-11 17:08
295 查看
一直碰到一个问题,就是有部分账号经常出现NT AUTHORRITY/SELF 权限丢失 ,这些用户都是一些管理人员。
现象一:“管理代理发送权限”那个是空的,NT AUTHORRITY/SELF 不见了。 (在Exchange 管理控制台中邮箱中选择用户,点右键,选择“管理代理发送权限”就可以看到了。)
现象二:发送邮件时,邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。
一直在想,为啥就这些账号有问题,其他的账户却是正常的呢??
困扰了我很久,幸得高人指点,找到了问题所在。
主要是微软自己搞的鬼。
活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。
如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话,
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。
由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。
而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。
究竟哪些是受保护组呢?
对于Windows2003(Windows2000咱们就不讨论了),以下组都是受保护的组:
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Domain Admins
Schema Admins
Enterprise Admins
Cert Publishers
还有一点,有两个特殊账户也是受保护的:
Administrator
Krbtgt
只要属于上述组的成员或者用户,Send As权限就会丢失。
微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。
我自己的情况就是由于办公过程需要操作AD,所以把自己加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。
所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,或者使用Administrator 、Krbtgt这两个账号作为邮箱账号,否则问题多多,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。
现象一:“管理代理发送权限”那个是空的,NT AUTHORRITY/SELF 不见了。 (在Exchange 管理控制台中邮箱中选择用户,点右键,选择“管理代理发送权限”就可以看到了。)
现象二:发送邮件时,邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。
一直在想,为啥就这些账号有问题,其他的账户却是正常的呢??
困扰了我很久,幸得高人指点,找到了问题所在。
主要是微软自己搞的鬼。
活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。
如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话,
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。
由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。
而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。
究竟哪些是受保护组呢?
对于Windows2003(Windows2000咱们就不讨论了),以下组都是受保护的组:
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Domain Admins
Schema Admins
Enterprise Admins
Cert Publishers
还有一点,有两个特殊账户也是受保护的:
Administrator
Krbtgt
只要属于上述组的成员或者用户,Send As权限就会丢失。
微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。
我自己的情况就是由于办公过程需要操作AD,所以把自己加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。
所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,或者使用Administrator 、Krbtgt这两个账号作为邮箱账号,否则问题多多,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 关于exchange2010管理员NT AUTHORITY\SELF权限丢失
- 关于exchange2010管理员NT AUTHORITY\SELF权限丢失
- 权限用户Exchange 2010 出现用户无权限发邮件,产生的原因是部分用户权限被覆盖或者丢失!
- NT AUTHORRITYSELF权限丢失
- Exchange 2010 出现用户无权限发邮件,产生的原因是部分用户权限被覆盖或者丢失!
- 在exchange 2007和2010中使用export-mailbox和import-mailbox导出导入邮箱数据。
- Exchange 2013 CAS MBX 出现权限丢失,故障httpCode=500&msg=861904327 推荐
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“的写访问权限
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“的写访问权限。
- Exchange 2010 vs. 2007:微软缘何厚此薄彼?
- Exchange 2007-2010如何防止外部连接冒用本域地址向内发邮件?
- Exchange 2007 迁移 2010
- 用DPM 2010恢复 Exchange 2007 单个用户邮箱
- 在exchange 2010 SP1环境下卸载exchange 2007 SP3
- 当您Exchange 2010 提示没有权限查看内容,但是你的确是有这个权限的时候,可以执行以下指令!
- Exchange 2007/2010 SSL证书安装手册
- 当前标识(NT AUTHORITY/NETWORK SERVICE)没有对“C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/Temporary ASP.NET Files”的写访问权限。
- Active Sync与IIS7 Classic&Integrated模式,Exchange 2007&2010的关系
- 删除默认的exchange 2010中普通用户创建删除通讯组的权限
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files”的写访问权限。