首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > 解决在启用ADC所生成的帐户时出现的问题 > 正文

解决在启用ADC所生成的帐户时出现的问题

出处:微软 作者:微软 时间:2005-8-15 23:53:00
本页
概要概要
更多信息更多信息
 关于 ADC 所创建的禁用帐户的常规信息关于 ADC 所创建的禁用帐户的常规信息
 启用和删除 ADC 创建的禁用帐户启用和删除 ADC 创建的禁用帐户
  删除“msExchMasterAccountSID”属性删除“msExchMasterAccountSID”属性
这篇文章中的信息适用于:这篇文章中的信息适用于:

概要

本文提供 Active Directory 连接器 (ADC) 所创建的禁用帐户的有关信息,并介绍如何启用这些禁用的帐户。
 

更多信息

关于 ADC 所创建的禁用帐户的常规信息

一般情况下,不应启用 Exchange 2000 ADC 所创建的禁用帐户并使用这些帐户登录。ADC 创建的这些帐户仅用作占位帐户,代表从 Microsoft Exchange Server 5.5 目录复制的邮箱。以下原因会导致 ADC 在 Active Directory 中创建禁用的用户:
ADC 没能在 Active Directory 中找到与 Exchange Server 5.5 邮箱关联的用户帐户。

ADC 使用一组对象匹配规则,在 Active Directory 中查找与 Exchange Server 5.5 邮箱匹配的相应用户。ADC 尝试查找这样的用户对象:其 objectSIDsIDHistory 属性与 Exchange Server 5.5 邮箱的“Microsoft Windows NT 主帐户”(又称 Assoc-NT-Account 属性)匹配。

如果 ADC 未能在 Active Directory 中找到 objectSIDsIDHistory 属性与邮箱的 Assoc-NT-Account 属性匹配的用户,ADC 就会在 Active Directory 中创建新的禁用用户。然后,ADC 会将该禁用用户的 msExchMasterAccountSID 属性设置为与 Exchange Server 5.5 邮箱的 Assoc-NT-Account 属性相匹配。

这样就可以确保,在该邮箱移至 Exchange 2000 服务器后,这个用户帐户(可能是 Microsoft Windows NT 4.0 帐户)依然可以顺利访问该邮箱。
Exchange Server 5.5 中的邮箱被标记为资源邮箱。

要将某个邮箱标记为资源邮箱,请在 Exchange Server 5.5 目录中,将该邮箱的自定义属性 10 设置为“NTDSNoMatch”。该设置指示 ADC 不要使用 objectSIDsIDHistory 属性尝试匹配用户。ADC 会创建禁用用户,然后将 msExchMasterAccountSid 属性设置为 SELF。此设置可以确保,对资源帐户具有相应权限的其他用户能够访问到该资源帐户。
在 Active Directory 中,ADC 尝试将邮箱与之匹配的用户帐户已经具有邮件属性。该用户的 legacyExchangeDN 属性与该用户匹配的邮箱的 Exchange Server 5.5 可分辨名称也并不匹配。

如果同一 Windows NT 帐户关联了多个邮箱,或在 Active Directory 中为用户手动填充了一些邮件属性,就可能出现此问题。在这种情况下,ADC 会创建新的禁用用户。如果邮箱的 Assoc-NT-Account 属性已经设置为与林中另一用户帐户的 msExchMasterAccountSID 属性相同,ADC 将不填充该用户的 msExchMasterAccountSID 属性,因为林中的 msExchMasterAccountSID 属性值必须唯一。
ADC 创建这些禁用用户的原因如下:
为了确保 Exchange Server 5.5 目录中的所有邮箱(包括与该邮箱关联的所有邮件属性)都出现在 Active Directory 中。这样就可以确保,即使将所有用户帐户从 Windows NT 4.0 移动到 Active Directory 中的 Windows NT 迁移不是 100% 地完整,Exchange 2000“全球通讯簿”也是完整的。
为了让管理员能够将某个用户的邮箱从 Exchange Server 5.5 计算机移动到 Exchange 2000 服务器上(即使该用户的登录帐户尚未迁移到 Active Directory 中,而仍处于某个 Windows NT 4.0 域中,也仍然能够移动)。
如果您启用这些禁用的帐户,然后用户使用这些帐户(不进行其他修改)登录,那么在 Exchange 中公用文件夹和委派都会出现问题。

当您试图获取对公用文件夹和委派邮箱的访问权限时,Exchange 信息存储区会使用多个 Active Directory 属性来计算权限。Exchange 2000 信息存储区访问控制列表 (ACL) 建立在安全标识符 (SID) 基础之上。这一点与 Exchange Server 5.5 不同,Exchange Server 5.5 对 ACL 使用 Exchange Server 5.5 可分辨名称。由于存在这样的差异,信息存储区有时候必须将可分辨名称转换为 SID,或是将 SID 转换为可分辨名称。Microsoft Outlook“权限”对话框也要求使用基于可分辨名称的 ACL。信息存储区用来计算权限的 Active Directory 属性包括:
msExchUserAccountControl
objectSid
msExchMasterAccountSid
sIDHistory
信息存储区要求禁用的帐户具有 msExchMasterAccountSID 属性,启用的用户帐户则不能有 msExchMasterAccountSID 属性。

如果禁用的帐户没有设置 msExchMasterAccountSID 属性,“应用程序”日志中可能会出现以下事件消息:
类型:警告
来源:MSExchangeIS
类别:常规
事件 ID: 9548
描述:
被禁用的用户 /o=Microsoft/ou=AdminGroup/cn=Recipients/cn=Alias 没有主帐户 SID。请使用 Active Directory MMC 将一个活动帐户设置为此用户的主帐户。
有关如何正确设置 msExchMasterAccountSID 属性来解决“应用程序”日志中这些事件消息所对应的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
278966 (http://support.microsoft.com/kb/278966/) 无法移动或登录 Exchange 资源邮箱
计算禁用帐户权限时使用的是 msExchMasterAccountSID 值,而非占位帐户的实际 SID 值。这样,用户就可以继续登录预先存在的 Windows NT 4.0 域安全上下文,并且会继续拥有对其 Exchange 2000 对象的权限。

在 Active Directory 中创建的帐户没有 msExchMasterAccountSid 属性。此类帐户依赖自己的安全上下文(objectSIDsIDHistory)来在 Exchange 2000 信息存储区 ACL 中获取权限。

在 Active Directory 中启用 ADC 所创建的禁用帐户后,会突然出现两个冲突的安全上下文,我们在多种情形中都可以检查出它们。例如,当您针对一个公用文件夹打开“权限”对话框时,信息存储区必须将该文件夹中存储的基于 SID 的 ACL 转换为基于可分辨名称的 ACL,供 Outlook 使用。如果具有该文件夹权限的某个用户拥有匹配的 msExchMasterAccountSID 属性,但该帐户是一个启用的帐户,则信息存储区就无法正确地将 ACL 中的 SID 解析为 legacyExchangeDN 属性。此时,信息存储区中不会显示正确的用户名,而是显示“NT User:Domain\User”。

注意:如果想使用 Active Directory 迁移工具导入 SidHistory 值,则可能还需要先在 ADC 创建的帐户中修改 samAccountName 帐户值,之后才能开始这些步骤。这样可以确保运行 Active Directory 迁移工具时,现有禁用用户的 samAccountName 值不会与新近迁移的帐户冲突。
 

启用和删除 ADC 创建的禁用帐户

Microsoft 建议不要启用 ADC 生成的禁用帐户。但是,如果有重要的业务需求要求启用它们,那么在启用和使用 ADC 创建的禁用帐户时,需要遵循以下说明:
1.使用 Windows NT 迁移工具,将 Windows NT 4.0 帐户的 SID 作为 sIDHistory 值合并到 Active Directory 帐户中,以便保留权限。
2.启用帐户。
3.删除 msExchMasterAccountSID 属性。

删除“msExchMasterAccountSID”属性

可以用两种不同的方法删除 msExchMasterAccountSID 属性:
使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元:
1.启动“Active Directory 用户和计算机”MMC 管理单元。
2.单击视图,然后确保高级功能复选框已选中。
3.右键单击您启用的 ADC 创建的用户帐户,然后单击属性
4.单击 Exchange 高级选项卡,然后单击邮箱权利
5.查看名称下的每个条目。找到对于“关联的外部帐户”已选中允许复选框的帐户,然后单击以清除允许复选框。
使用“Exchange Management 的协作数据对象”(CDOEXM) 界面修改邮箱安全描述符。

从 Exchange 2000 Server Service Pack 2 (SP2) 开始,CDOEXM 中显示了一个新界面。这个界面称为 MailboxRights。该界面允许您以编程方式修改邮箱安全描述符。您可以使用该界面从邮箱中删除“关联的外部帐户”权利。具体来说,您需要查找并删除以下权利:
PRIMARY-USER 0x00000004
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
302926 (http://support.microsoft.com/kb/302926/) XADM:无法以编程方式更改邮箱权利
注意:Exchange 2000 SP2 中包含了 Active Directory 清理向导 (Adclean) 的一个修复程序,用于解决 Active Directory 清理向导处理 msExchMasterAccountSid 属性的方式中存在的一个问题。有关在多个帐户上查找 msExchMasterAccountSID 以及从多个帐户中删除 msExchMasterAccountSID 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
309222 (http://support.microsoft.com/kb/309222/) XADM:ADClean 对启用的用户设置“msExchMasterAccountSID”属性
 

这篇文章中的信息适用于:
Microsoft Exchange 2000 Server 标准版
 
关键字: 
kbhowto KB316047
,
相关文章 热门文章
  • 打开Foxmail.adc文件 找回已删除电子邮箱
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号