关于exchange2010管理员NT AUTHORITY\SELF权限丢失
2017-03-28 13:16
351 查看
今天的问题是在使用pop邮箱的时候,有账号出现发送邮件时邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。然后使用[PS] C:\>get-mailbox "User Alias" | add-adpermission -user "NT Authority\Self" -ExtendedRights Send-As, Receive-As命令将NT AUTHORITY\SELF权限进行添加可以正常发送邮件,但是没有过多久由出现 邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender 的报错。经过几次尝试之后依然是这样最后查阅了一些相关资料找到解决办法1.原因:活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话,
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。2.受保护的组大概有哪些Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Domain Admins
Schema Admins
Enterprise Admins
Cert Publishers还有一点,有两个特殊账户也是受保护的:
Administrator
Krbtgt3.如果将用户上述组的成员或者用户,Send As权限就会丢失。微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。由于办公过程需要操作AD,所以加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。2.受保护的组大概有哪些Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Domain Admins
Schema Admins
Enterprise Admins
Cert Publishers还有一点,有两个特殊账户也是受保护的:
Administrator
Krbtgt3.如果将用户上述组的成员或者用户,Send As权限就会丢失。微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。由于办公过程需要操作AD,所以加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。
相关文章推荐
- 关于exchange2010管理员NT AUTHORITY\SELF权限丢失
- Exchange 2007/2010 NT Authority/self权限丢失
- NT AUTHORRITYSELF权限丢失
- 关于'NT AUTHORITY/NETWORK SERVICE' 无法登陆的解决办法
- Report Service 为用户“NT AUTHORITY、NETWORK SERVICE”授予的权限不足,无法进行此操作。(rsAccessDenied)
- 用DETOURS库获取NT管理员权限
- NT AUTHORITY/NETWORK SERVICE 权限问题
- IIS 之当前标识(NT AUTHORITY/NETWORK SERVICE)没有对“C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/Temporary ASP.NET Files”的写访问权限 问题的解决
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“的写访问权限。
- 用DETOURS库获取NT管理员权限
- NT AUTHORITY/NETWORK SERVICE 权限问题
- 关于运行VBS文件提示“没有在该机执行windows脚本宿主的权限。请与系统管理员联系。”错误的解决方法
- 用DETOURS库获取NT管理员权限
- 当前标识(NT AUTHORITY/NETWORK SERVICE)没有写访问权限
- 用DETOURS库获取NT管理员权限
- 系统启动时出现错误:应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为 {BA126AD1-2166-11D1-B1D0-00805FC1270E})的 本地 激活 权限授予用户 NT AUTHORITY/NETWORK SERVICE
- 用DETOURS库获取NT管理员权限
- 系统启动时出现错误:应用程序-特定 权限设置未将 COM 服务器应用程序(CLSID 为 {BA126AD1-2166-11D1-B1D0-00805FC1270E})的 本地 激活 权限授予用户 NT AUTHORITY/NETWORK SERVICE
- PetShop3.0学习(二) windows 2003下'NT AUTHORITY/NETWORK SERVICE 权限问题
- “/”应用程序中的服务器错误。当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files”的写访问权限。