%26#8226; sIDHistory
信息存储区要求禁用的帐户具有 msExchMasterAccountSID 属性,启用的用户帐户则不能有 msExchMasterAccountSID 属性。
如果禁用的帐户没有设置 msExchMasterAccountSID 属性,“应用程序”日志中可能会出现以下事件消息:
类型:警告
来源:MSExchangeIS
类别:常规
事件 ID: 9548
描述:
被禁用的用户 /o=Microsoft/ou=AdminGroup/cn=Recipients/cn=Alias 没有主帐户 SID。请使用 Active Directory MMC 将一个活动帐户设置为此用户的主帐户。
有关如何正确设置 msExchMasterAccountSID 属性来解决“应用程序”日志中这些事件消息所对应的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
278966 (http://support.microsoft.com/kb/278966/) 无法移动或登录 Exchange 资源邮箱
计算禁用帐户权限时使用的是 msExchMasterAccountSID 值,而非占位帐户的实际 SID 值。这样,用户就可以继续登录预先存在的 Windows NT 4.0 域安全上下文,并且会继续拥有对其 Exchange 2000 对象的权限。
在 Active Directory 中创建的帐户没有 msExchMasterAccountSid 属性。此类帐户依赖自己的安全上下文(objectSID 或 sIDHistory)来在 Exchange 2000 信息存储区 ACL 中获取权限。
在 Active Directory 中启用 ADC 所创建的禁用帐户后,会突然出现两个冲突的安全上下文,我们在多种情形中都可以检查出它们。例如,当您针对一个公用文件夹打开“权限”对话框时,信息存储区必须将该文件夹中存储的基于 SID 的 ACL 转换为基于可分辨名称的 ACL,供 Outlook 使用。如果具有该文件夹权限的某个用户拥有匹配的 msExchMasterAccountSID 属性,但该帐户是一个启用的帐户,则信息存储区就无法正确地将 ACL 中的 SID 解析为 legacyExchangeDN 属性。此时,信息存储区中不会显示正确的用户名,而是显示“NT User:Domain\User”。
注意:如果想使用 Active Directory 迁移工具导入 SidHistory 值,则可能还需要先在 ADC 创建的帐户中修改 samAccountName 帐户值,之后才能开始这些步骤。这样可以确保运行 Active Directory 迁移工具时,现有禁用用户的 samAccountName 值不会与新近迁移的帐户冲突。
启用和删除 ADC 创建的禁用帐户
Microsoft 建议不要启用 ADC 生成的禁用帐户。但是,如果有重要的业务需求要求启用它们,那么在启用和使用 ADC 创建的禁用帐户时,需要遵循以下说明: 1. 使用 Windows NT 迁移工具,将 Windows NT 4.0 帐户的 SID 作为 sIDHistory 值合并到 Active Directory 帐户中,以便保留权限。
2. 启用帐户。
3. 删除 msExchMasterAccountSID 属性。
删除“msExchMasterAccountSID”属性
可以用两种不同的方法删除 msExchMasterAccountSID 属性: %26#8226; 使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元: 1. 启动“Active Directory 用户和计算机”MMC 管理单元。
2. 单击视图,然后确保高级功能复选框已选中。
3. 右键单击您启用的 ADC 创建的用户帐户,然后单击属性。
4. 单击 Exchange 高级选项卡,然后单击邮箱权利。
5. 查看名称下的每个条目。找到对于“关联的外部帐户”已选中允许复选框的帐户,然后单击以清除允许复选框。
%26#8226; 使用“Exchange Management 的协作数据对象”(CDOEXM) 界面修改邮箱安全描述符。
从 Exchange 2000 Server Service Pack 2 (SP2) 开始,CDOEXM 中显示了一个新界面。这个界面称为 MailboxRights。该界面允许您以编程方式修改邮箱安全描述符。您可以使用该界面从邮箱中删除“关联的外部帐户”权利。具体来说,您需要查找并删除以下权利:
PRIMARY-USER 0x00000004
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
302926 (http://support.microsoft.com/kb/302926/) XADM:无法以编程方式更改邮箱权利
注意:Exchange 2000 SP2 中包含了 Active Directory 清理向导 (Adclean) 的一个修复程序,用于解决 Active Directory 清理向导处理 msExchMasterAccountSid 属性的方式中存在的一个问题。有关在多个帐户上查找 msExchMasterAccountSID 以及从多个帐户中删除 msExchMasterAccountSID 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
上一篇:SETUP /FORESTPREP 命令不起作用
下一篇:在Cisco PIX防火墙后无法收发电子邮件
|
精品推荐