本文提供 Active Directory 连接器 (ADC) 所创建的禁用帐户的有关信息,并介绍如何启用这些禁用的帐户。
关于 ADC 所创建的禁用帐户的常规信息
一般情况下,不应启用 Exchange 2000 ADC 所创建的禁用帐户并使用这些帐户登录。ADC 创建的这些帐户仅用作占位帐户,代表从 Microsoft Exchange Server 5.5 目录复制的邮箱。以下原因会导致 ADC 在 Active Directory 中创建禁用的用户:
| %26#8226; | ADC 没能在 Active Directory 中找到与 Exchange Server 5.5 邮箱关联的用户帐户。
ADC 使用一组对象匹配规则,在 Active Directory 中查找与 Exchange Server 5.5 邮箱匹配的相应用户。ADC 尝试查找这样的用户对象:其 objectSID 或 sIDHistory 属性与 Exchange Server 5.5 邮箱的“Microsoft Windows NT 主帐户”(又称 Assoc-NT-Account 属性)匹配。
如果 ADC 未能在 Active Directory 中找到 objectSID 或 sIDHistory 属性与邮箱的 Assoc-NT-Account 属性匹配的用户,ADC 就会在 Active Directory 中创建新的禁用用户。然后,ADC 会将该禁用用户的 msExchMasterAccountSID 属性设置为与 Exchange Server 5.5 邮箱的 Assoc-NT-Account 属性相匹配。
这样就可以确保,在该邮箱移至 Exchange 2000 服务器后,这个用户帐户(可能是 Microsoft Windows NT 4.0 帐户)依然可以顺利访问该邮箱。 |
| %26#8226; | Exchange Server 5.5 中的邮箱被标记为资源邮箱。
要将某个邮箱标记为资源邮箱,请在 Exchange Server 5.5 目录中,将该邮箱的自定义属性 10 设置为“NTDSNoMatch”。该设置指示 ADC 不要使用 objectSID 或 sIDHistory 属性尝试匹配用户。ADC 会创建禁用用户,然后将 msExchMasterAccountSid 属性设置为 SELF。此设置可以确保,对资源帐户具有相应权限的其他用户能够访问到该资源帐户。 |
| %26#8226; | 在 Active Directory 中,ADC 尝试将邮箱与之匹配的用户帐户已经具有邮件属性。该用户的 legacyExchangeDN 属性与该用户匹配的邮箱的 Exchange Server 5.5 可分辨名称也并不匹配。
如果同一 Windows NT 帐户关联了多个邮箱,或在 Active Directory 中为用户手动填充了一些邮件属性,就可能出现此问题。在这种情况下,ADC 会创建新的禁用用户。如果邮箱的 Assoc-NT-Account 属性已经设置为与林中另一用户帐户的 msExchMasterAccountSID 属性相同,ADC 将不填充该用户的 msExchMasterAccountSID 属性,因为林中的 msExchMasterAccountSID 属性值必须唯一。 |
ADC 创建这些禁用用户的原因如下:
| %26#8226; | 为了确保 Exchange Server 5.5 目录中的所有邮箱(包括与该邮箱关联的所有邮件属性)都出现在 Active Directory 中。这样就可以确保,即使将所有用户帐户从 Windows NT 4.0 移动到 Active Directory 中的 Windows NT 迁移不是 100% 地完整,Exchange 2000“全球通讯簿”也是完整的。 |
| %26#8226; | 为了让管理员能够将某个用户的邮箱从 Exchange Server 5.5 计算机移动到 Exchange 2000 服务器上(即使该用户的登录帐户尚未迁移到 Active Directory 中,而仍处于某个 Windows NT 4.0 域中,也仍然能够移动)。 |
如果您启用这些禁用的帐户,然后用户使用这些帐户(不进行其他修改)登录,那么在 Exchange 中公用文件夹和委派都会出现问题。
当您试图获取对公用文件夹和委派邮箱的访问权限时,Exchange 信息存储区会使用多个 Active Directory 属性来计算权限。Exchange 2000 信息存储区访问控制列表 (ACL) 建立在安全标识符 (SID) 基础之上。这一点与 Exchange Server 5.5 不同,Exchange Server 5.5 对 ACL 使用 Exchange Server 5.5 可分辨名称。由于存在这样的差异,信息存储区有时候必须将可分辨名称转换为 SID,或是将 SID 转换为可分辨名称。Microsoft Outlook“权限”对话框也要求使用基于可分辨名称的 ACL。信息存储区用来计算权限的 Active Directory 属性包括:
| %26#8226; | msExchUserAccountControl |
| %26#8226; | objectSid |
| %26#8226; | msExchMasterAccountSid |
| %26#8226; | sIDHistory |
信息存储区要求禁用的帐户具有
msExchMasterAccountSID 属性,启用的用户帐户则不能有
msExchMasterAccountSID 属性。
如果禁用的帐户没有设置
msExchMasterAccountSID 属性,“应用程序”日志中可能会出现以下事件消息:
类型:警告
来源:MSExchangeIS
类别:常规
事件 ID: 9548
描述:
被禁用的用户 /o=Microsoft/ou=AdminGroup/cn=Recipients/cn=Alias 没有主帐户 SID。请使用 Active Directory MMC 将一个活动帐户设置为此用户的主帐户。
有关如何正确设置
msExchMasterAccountSID 属性来解决“应用程序”日志中这些事件消息所对应的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
278966 (http://support.microsoft.com/kb/278966/) 无法移动或登录 Exchange 资源邮箱
计算禁用帐户权限时使用的是
msExchMasterAccountSID 值,而非占位帐户的实际 SID 值。这样,用户就可以继续登录预先存在的 Windows NT 4.0 域安全上下文,并且会继续拥有对其 Exchange 2000 对象的权限。
在 Active Directory 中创建的帐户没有
msExchMasterAccountSid 属性。此类帐户依赖自己的安全上下文(
objectSID 或
sIDHistory)来在 Exchange 2000 信息存储区 ACL 中获取权限。
在 Active Directory 中启用 ADC 所创建的禁用帐户后,会突然出现两个冲突的安全上下文,我们在多种情形中都可以检查出它们。例如,当您针对一个公用文件夹打开“权限”对话框时,信息存储区必须将该文件夹中存储的基于 SID 的 ACL 转换为基于可分辨名称的 ACL,供 Outlook 使用。如果具有该文件夹权限的某个用户拥有匹配的
msExchMasterAccountSID 属性,但该帐户是一个启用的帐户,则信息存储区就无法正确地将 ACL 中的 SID 解析为
legacyExchangeDN 属性。此时,信息存储区中不会显示正确的用户名,而是显示“NT User:Domain\User”。
注意:如果想使用 Active Directory 迁移工具导入
SidHistory 值,则可能还需要先在 ADC 创建的帐户中修改
samAccountName 帐户值,之后才能开始这些步骤。这样可以确保运行 Active Directory 迁移工具时,现有禁用用户的
samAccountName 值不会与新近迁移的帐户冲突。
启用和删除 ADC 创建的禁用帐户
Microsoft 建议不要启用 ADC 生成的禁用帐户。但是,如果有重要的业务需求要求启用它们,那么在启用和使用 ADC 创建的禁用帐户时,需要遵循以下说明:
| 1. | 使用 Windows NT 迁移工具,将 Windows NT 4.0 帐户的 SID 作为 sIDHistory 值合并到 Active Directory 帐户中,以便保留权限。 |
| 2. | 启用帐户。 |
| 3. | 删除 msExchMasterAccountSID 属性。 |
删除“msExchMasterAccountSID”属性
可以用两种不同的方法删除
msExchMasterAccountSID 属性:
| %26#8226; | 使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元: | 1. | 启动“Active Directory 用户和计算机”MMC 管理单元。 | | 2. | 单击视图,然后确保高级功能复选框已选中。 | | 3. | 右键单击您启用的 ADC 创建的用户帐户,然后单击属性。 | | 4. | 单击 Exchange 高级选项卡,然后单击邮箱权利。 | | 5. | 查看名称下的每个条目。找到对于“关联的外部帐户”已选中允许复选框的帐户,然后单击以清除允许复选框。 |
|
| %26#8226; | 使用“Exchange Management 的协作数据对象”(CDOEXM) 界面修改邮箱安全描述符。
从 Exchange 2000 Server Service Pack 2 (SP2) 开始,CDOEXM 中显示了一个新界面。这个界面称为 MailboxRights。该界面允许您以编程方式修改邮箱安全描述符。您可以使用该界面从邮箱中删除“关联的外部帐户”权利。具体来说,您需要查找并删除以下权利: PRIMARY-USER 0x00000004 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 302926 (http://support.microsoft.com/kb/302926/) XADM:无法以编程方式更改邮箱权利 |
注意:Exchange 2000 SP2 中包含了 Active Directory 清理向导 (Adclean) 的一个修复程序,用于解决 Active Directory 清理向导处理
msExchMasterAccountSid 属性的方式中存在的一个问题。有关在多个帐户上查找 msExchMasterAccountSID 以及从多个帐户中删除 msExchMasterAccountSID 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
309222 (http://support.microsoft.com/kb/309222/) XADM:ADClean 对启用的用户设置“msExchMasterAccountSID”属性
