最近刚刚将exchange2003迁移到exchange2010,几天后有个香港同事反应无法发送邮件,故障现象如下:

现象一:“管理代理发送权限”那个是空的,NT AUTHORRITY/SELF 不见了。 (在Exchange 管理控制台中邮箱中选择用户,点右键,选择“管理代理发送权限”就可以看到了。)


现象二:发送邮件时,邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。 

经过搜索,发现是微软惹得祸,现将原文转载过来,做为记录。

 

Exchange 2007 / 2010 NT AUTHORRITY/SELF 权限丢失 的问题一直碰到一个问题,就是有部分账号经常出现NT AUTHORRITY/SELF 权限丢失 ,这些用户都是一些管理人员。

现象一:“管理代理发送权限”那个是空的,NT AUTHORRITY/SELF 不见了。 (在Exchange 管理控制台中邮箱中选择用户,点右键,选择“管理代理发送权限”就可以看到了。)


现象二:发送邮件时,邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。 

 


主要是微软自己搞的鬼。

活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。 
如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话, 
那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。


由于修改Send As权限是通过修改用户的安全描述符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一个小时左右执行,即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符,因为Send As属于安全描述符的其中的一个权限,所以同时也会被覆盖,最终导致NT AUTHORRITY/SELF 权限丢失。

而我的实践经验也发现,凡是属于受保护组的账号,都是没有Send As权限的。

究竟哪些是受保护组呢?

对于Windows2003(Windows2000咱们就不讨论了),以下组都是受保护的组:

Administrators 
Account Operators 
Server Operators 
Print Operators 
Backup Operators 
Domain Admins 
Schema Admins 
Enterprise Admins 
Cert Publishers

还有一点,有两个特殊账户也是受保护的: 
Administrator 
Krbtgt

只要属于上述组的成员或者用户,Send As权限就会丢失。

微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限,建议你使用两个域账号。 一个用来加入受保护组,另一个用来作为邮箱账号。

我自己的情况就是由于办公过程需要操作AD,所以把自己加入了Account Operators这个组,就可以在本机使用dsa.msc来操作AD的账号了,随之就出现NT AUTHORRITY/SELF 权限丢失了。

所以呢,碰到这些问题的朋友们,还是按照微软的建议,分开两个账户来使用吧,总之就是不要把要用到邮箱的账号加入到上述的受保护组,或者使用Administrator 、Krbtgt这两个账号作为邮箱账号,否则问题多多,即使你拼命添加NT AUTHORRITY/SELF这个权限,过一个小时左右照样会不见的。

经过对比,发现问题账号被加入到account operators组,正好如文章描述。将用户从该组移除后即回复正常。