注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

北边的风

IT 钓鱼 养生

 
 
 

日志

 
 

关于exchange2010管理员NT AUTHORITY\SELF权限丢失(转)  

2016-07-15 09:33:44|  分类: IT心得 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

今天第二个问题是在使用pop邮箱的时候,我的同事出现发送邮件时邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。

然后使用[PS] C:\>get-mailbox "User Alias" | add-adpermission -user "NT Authority\Self" -ExtendedRights Send-As, Receive-As命令将NT AUTHORITY\SELF权限进行添加可以正常发送邮件,但是没有过多久由出现 邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender 的报错。经过几次尝试之后依然是这样最后查阅了一些相关资料找到解决办法

1.原因:

活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话, 
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。

由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。

而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。

2.受保护的组大概有哪些

Administrators 
Account Operators 
Server Operators 
Print Operators 
Backup Operators 
Domain Admins 
Schema Admins 
Enterprise Admins 
Cert Publishers

还有一点,有两个特殊账户也是受保护的: 
Administrator 
Krbtgt

3.如果将用户上述组的成员或者用户,Send As权限就会丢失。

微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。

由于办公过程需要操作AD,所以加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。

所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。

  评论这张
 
阅读(74)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016