关键词:许多公司大量使用RIM黑莓手机作为沟通工具,由于夏令时间的影响,交换服务器打了相应补丁,不过这影响了到了企业的网络环境,不少管理员已经意识到某些问题了。虽然为了适应夏令时间似乎必须对交换服务器进行更新,但是许多人为了回避这些问题甚至宁可放弃这些修补。
问题就是微软(应不少用户请求)改变了交换服务器“发送为”(send as)权限的工作方式。在之前“发送为”权限是“完全邮箱访问”组(Full Mailbox Access)的一个部分。打过DST补丁后,“发送为”成为独立权限,不再包含于“完全邮箱访问”组中。虽然这种改变已变得广为人知,大多数环境要适应它也是举手之劳,但是应用这些更新后却导致了另外一个麻烦。
黑莓手机问题所在
很多管理员发现,一些用户再也不能使用Blackberry手机发送电子邮件了,有时还会受到错误消息说“和桌面设备之间没有通信”,对此他们感到困惑不解。一些稍有探求精神的管理员可能已经注意到,部分用户被取消了“发送为”权限。即使对这些帐户显式授予权限,一个小时之内就又消失了。
然而,还有一些管理员可能根本没有注意到这些症状,也没有人向他们报告问题,因为这种情况只在很少一部分用户中出现。另外一些管理员可能还发现这个问题只发生在他们自己的邮箱帐户上,而一般用户都不受影响。由于这个问题似乎很容易修复,大多数管理员也知道,既然这个问题影响的仅仅是他们自己而已,那么在优先处理级别上应该放得很低,尤其是要找出原因还得花费大量的时间精力。
经过调查研究,答案终于露出水面。它和 “发送为”权限有关,但是问题的关键还源自完全不同的原因。微软在Windows 2000中为活动目录引入了AdminSDHolder对象。担当PDC模拟器和FSMO角色的服务器对AdminSDHolder对象的ACL(访问控制列表)和活动目录中每个受保护的对象每小时进行比较。如果发现有差异,它就更改受保护对象,让它和AdminSDHolder对象一致。这是非常不错的安全措施,它有助于保护大部分活动目录中的敏感帐户不被非法访问。
现在你可能会问这和“发送为”权限有何关联。事实是这样的,由于“发送为”权限不再属于“完全邮箱访问”权限组的一个部分,而是直接存放在对象的(包括用户)ACL中。现在问题变成了你如何知道哪一个用户对象是受保护的。对于Windows 2003和Windows 2000 SP4,微软已经提供了如下清单。如果某个对象(用户,机器,或者其他类别)隶属于这个清单中的任何一员,那么它就被认为是受保护的对象,它的ACL会每小时进行重置。
◆管理员(Administrators)
◆帐号操作员(Account Operators)
◆服务器操作员(Server Operators)
◆打印操作员(Print Operators)
◆备份操作员(Backup Operators)
◆域管理员(Domain Admins)
◆架构管理员(Schema Admins)
◆企业管理员(Enterprise Admins)
◆证书发行员(Cert Publishers)
问题实质开始变得越发明朗了,属于这些组的任何一个帐户(甚至通过组嵌套而落入这些范围内的帐户)将被看作是受保护的,因此每小时其ACL会被重置。现在,我们看清了问题的所在,那么如何修复它呢?