解决在启用ADC所生成的帐户时出现的问题

本文提供 Active Directory 连接器 (ADC) 所创建的禁用帐户的有关信息，并介绍如何启用这些禁用的帐户。

关于 ADC 所创建的禁用帐户的常规信息

一般情况下，不应启用 Exchange 2000 ADC 所创建的禁用帐户并使用这些帐户登录。ADC 创建的这些帐户仅用作占位帐户，代表从 Microsoft Exchange Server 5.5 目录复制的邮箱。以下原因会导致 ADC 在 Active Directory 中创建禁用的用户：

•	ADC 没能在 Active Directory 中找到与 Exchange Server 5.5 邮箱关联的用户帐户。 ADC 使用一组对象匹配规则，在 Active Directory 中查找与 Exchange Server 5.5 邮箱匹配的相应用户。ADC 尝试查找这样的用户对象：其 objectSID 或 sIDHistory 属性与 Exchange Server 5.5 邮箱的“Microsoft Windows NT 主帐户”（又称 Assoc-NT-Account 属性）匹配。 如果 ADC 未能在 Active Directory 中找到 objectSID 或 sIDHistory 属性与邮箱的 Assoc-NT-Account 属性匹配的用户，ADC 就会在 Active Directory 中创建新的禁用用户。然后，ADC 会将该禁用用户的 msExchMasterAccountSID 属性设置为与 Exchange Server 5.5 邮箱的 Assoc-NT-Account 属性相匹配。 这样就可以确保，在该邮箱移至 Exchange 2000 服务器后，这个用户帐户（可能是 Microsoft Windows NT 4.0 帐户）依然可以顺利访问该邮箱。
•	Exchange Server 5.5 中的邮箱被标记为资源邮箱。 要将某个邮箱标记为资源邮箱，请在 Exchange Server 5.5 目录中，将该邮箱的自定义属性 10 设置为“NTDSNoMatch”。该设置指示 ADC 不要使用 objectSID 或 sIDHistory 属性尝试匹配用户。ADC 会创建禁用用户，然后将 msExchMasterAccountSid 属性设置为 SELF。此设置可以确保，对资源帐户具有相应权限的其他用户能够访问到该资源帐户。
•	在 Active Directory 中，ADC 尝试将邮箱与之匹配的用户帐户已经具有邮件属性。该用户的 legacyExchangeDN 属性与该用户匹配的邮箱的 Exchange Server 5.5 可分辨名称也并不匹配。 如果同一 Windows NT 帐户关联了多个邮箱，或在 Active Directory 中为用户手动填充了一些邮件属性，就可能出现此问题。在这种情况下，ADC 会创建新的禁用用户。如果邮箱的 Assoc-NT-Account 属性已经设置为与林中另一用户帐户的 msExchMasterAccountSID 属性相同，ADC 将不填充该用户的 msExchMasterAccountSID 属性，因为林中的 msExchMasterAccountSID 属性值必须唯一。

ADC 创建这些禁用用户的原因如下：

•	为了确保 Exchange Server 5.5 目录中的所有邮箱（包括与该邮箱关联的所有邮件属性）都出现在 Active Directory 中。这样就可以确保，即使将所有用户帐户从 Windows NT 4.0 移动到 Active Directory 中的 Windows NT 迁移不是 100% 地完整，Exchange 2000“全球通讯簿”也是完整的。
•	为了让管理员能够将某个用户的邮箱从 Exchange Server 5.5 计算机移动到 Exchange 2000 服务器上（即使该用户的登录帐户尚未迁移到 Active Directory 中，而仍处于某个 Windows NT 4.0 域中，也仍然能够移动）。

如果您启用这些禁用的帐户，然后用户使用这些帐户（不进行其他修改）登录，那么在 Exchange 中公用文件夹和委派都会出现问题。

当您试图获取对公用文件夹和委派邮箱的访问权限时，Exchange 信息存储区会使用多个 Active Directory 属性来计算权限。Exchange 2000 信息存储区访问控制列表 (ACL) 建立在安全标识符 (SID) 基础之上。这一点与 Exchange Server 5.5 不同，Exchange Server 5.5 对 ACL 使用 Exchange Server 5.5 可分辨名称。由于存在这样的差异，信息存储区有时候必须将可分辨名称转换为 SID，或是将 SID 转换为可分辨名称。Microsoft Outlook“权限”对话框也要求使用基于可分辨名称的 ACL。信息存储区用来计算权限的 Active Directory 属性包括：

•	msExchUserAccountControl
•	objectSid
•	msExchMasterAccountSid
•	sIDHistory

信息存储区要求禁用的帐户具有 msExchMasterAccountSID 属性，启用的用户帐户则不能有 msExchMasterAccountSID 属性。

如果禁用的帐户没有设置 msExchMasterAccountSID 属性，“应用程序”日志中可能会出现以下事件消息： 有关如何正确设置 msExchMasterAccountSID 属性来解决“应用程序”日志中这些事件消息所对应的问题的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 计算禁用帐户权限时使用的是 msExchMasterAccountSID 值，而非占位帐户的实际 SID 值。这样，用户就可以继续登录预先存在的 Windows NT 4.0 域安全上下文，并且会继续拥有对其 Exchange 2000 对象的权限。

在 Active Directory 中创建的帐户没有 msExchMasterAccountSid 属性。此类帐户依赖自己的安全上下文（objectSID 或 sIDHistory）来在 Exchange 2000 信息存储区 ACL 中获取权限。

在 Active Directory 中启用 ADC 所创建的禁用帐户后，会突然出现两个冲突的安全上下文，我们在多种情形中都可以检查出它们。例如，当您针对一个公用文件夹打开“权限”对话框时，信息存储区必须将该文件夹中存储的基于 SID 的 ACL 转换为基于可分辨名称的 ACL，供 Outlook 使用。如果具有该文件夹权限的某个用户拥有匹配的 msExchMasterAccountSID 属性，但该帐户是一个启用的帐户，则信息存储区就无法正确地将 ACL 中的 SID 解析为 legacyExchangeDN 属性。此时，信息存储区中不会显示正确的用户名，而是显示“NT User:Domain\User”。

注意：如果想使用 Active Directory 迁移工具导入 SidHistory 值，则可能还需要先在 ADC 创建的帐户中修改 samAccountName 帐户值，之后才能开始这些步骤。这样可以确保运行 Active Directory 迁移工具时，现有禁用用户的 samAccountName 值不会与新近迁移的帐户冲突。

启用和删除 ADC 创建的禁用帐户

Microsoft 建议不要启用 ADC 生成的禁用帐户。但是，如果有重要的业务需求要求启用它们，那么在启用和使用 ADC 创建的禁用帐户时，需要遵循以下说明：

1.	使用 Windows NT 迁移工具，将 Windows NT 4.0 帐户的 SID 作为 sIDHistory 值合并到 Active Directory 帐户中，以便保留权限。
2.	启用帐户。
3.	删除 msExchMasterAccountSID 属性。

删除“msExchMasterAccountSID”属性

可以用两种不同的方法删除 msExchMasterAccountSID 属性：

•	使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元： 1. 启动“Active Directory 用户和计算机”MMC 管理单元。 2. 单击视图，然后确保高级功能复选框已选中。 3. 右键单击您启用的 ADC 创建的用户帐户，然后单击属性。 4. 单击 Exchange 高级选项卡，然后单击邮箱权利。 5. 查看名称下的每个条目。找到对于“关联的外部帐户”已选中允许复选框的帐户，然后单击以清除允许复选框。
•	使用“Exchange Management 的协作数据对象”(CDOEXM) 界面修改邮箱安全描述符。 从 Exchange 2000 Server Service Pack 2 (SP2) 开始，CDOEXM 中显示了一个新界面。这个界面称为 MailboxRights。该界面允许您以编程方式修改邮箱安全描述符。您可以使用该界面从邮箱中删除“关联的外部帐户”权利。具体来说，您需要查找并删除以下权利： PRIMARY-USER 0x00000004 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 302926 (http://support.microsoft.com/kb/302926/) XADM：无法以编程方式更改邮箱权利

注意：Exchange 2000 SP2 中包含了 Active Directory 清理向导 (Adclean) 的一个修复程序，用于解决 Active Directory 清理向导处理 msExchMasterAccountSid 属性的方式中存在的一个问题。有关在多个帐户上查找 msExchMasterAccountSID 以及从多个帐户中删除 msExchMasterAccountSID 的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：