none
transizione da 2003 a 2010 RRS feed

  • Domanda

  • Buongiorno,

    Dopo aver effettuato una transizione da sbs 2003 con exchange 2003 a 2008 r2 con exchange 2010 su un server 2008 r2 diverso dal PDC mi ritrovo ad affrontare la seguente problematica:

    Nel settare le autorizzazioni  "Invia come" su una Mailbox, usando un  account Administrator, per delegare l'invio ad un utente, le autorizzazioni vengono conservate per circa 10min e poi vengono reimpostati allo stato iniziale.

     

    lunedì 2 gennaio 2012 10:53

Risposte

  • Vedi se quanto sotto ti è utile:

    This kind of issue will happen if the user is a member of any of the following security groups (They are known as AdminSDHolder protected groups):

     

    • Enterprise Admins

    • Schema Admins

    • Domain Admins

    • Administrators

    • Domain Controllers

    • Cert Publishers

    • Backup Operators

    • Replicator Server Operators

    • Account Operators

    • Print Operators

     

    Also in SBS:

    • Domain Power User

     

    This can also happen if a group which contains the user account is a member of the above mentioned groups.

     

    The Active Directory directory service has a process that makes sure that members of protected groups do not have their security descriptors manipulated. If a security descriptor for a user account that is a member of a protected group does not match the security descriptor on the AdminSDHolder object, the user's security descriptor is overwritten with a new security descriptor that is taken from the AdminSDHolder object. The Send As right is delegated by modifying the security descriptor of a user object. Therefore, if the user is a member of a protected group, the change is overwritten in about one hour.

     

    Workaround and more information can also be found in the following KB:

     

    The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server

    http://support.microsoft.com/kb/907434/


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    • Proposto come risposta PeppacciModerator martedì 3 gennaio 2012 09:40
    • Contrassegnato come risposta Anca Popa lunedì 9 gennaio 2012 09:37
    martedì 3 gennaio 2012 08:33

Tutte le risposte

  • Vedi se quanto sotto ti è utile:

    This kind of issue will happen if the user is a member of any of the following security groups (They are known as AdminSDHolder protected groups):

     

    • Enterprise Admins

    • Schema Admins

    • Domain Admins

    • Administrators

    • Domain Controllers

    • Cert Publishers

    • Backup Operators

    • Replicator Server Operators

    • Account Operators

    • Print Operators

     

    Also in SBS:

    • Domain Power User

     

    This can also happen if a group which contains the user account is a member of the above mentioned groups.

     

    The Active Directory directory service has a process that makes sure that members of protected groups do not have their security descriptors manipulated. If a security descriptor for a user account that is a member of a protected group does not match the security descriptor on the AdminSDHolder object, the user's security descriptor is overwritten with a new security descriptor that is taken from the AdminSDHolder object. The Send As right is delegated by modifying the security descriptor of a user object. Therefore, if the user is a member of a protected group, the change is overwritten in about one hour.

     

    Workaround and more information can also be found in the following KB:

     

    The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server

    http://support.microsoft.com/kb/907434/


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    • Proposto come risposta PeppacciModerator martedì 3 gennaio 2012 09:40
    • Contrassegnato come risposta Anca Popa lunedì 9 gennaio 2012 09:37
    martedì 3 gennaio 2012 08:33
  • Grazie mille per la risposta. Faccio delle verifche e aggiorno il thread
    martedì 3 gennaio 2012 11:22
  • Ciao,

    Aggiungo solo un link:

    Understanding AdminSDHolder and Protected Groups


    Anca Popa Follow ForumTechNetIt on Twitter

    Evento 36888 origine Schannel su Windows Server 2008 R2 con IIS

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 3 gennaio 2012 14:15
  • Ciao,

    non ho ancora avuto modo di fare le verifiche e provvederò al più presto seguendo i vostri suggerimenti.

    Volevo spiegare meglio il mio problema.

    L'ambiente in cui riscontro il problema deriva da una transizione da SBS 2003 a 2008R2 con Exchange 2010 su Server 2008 R2 Separato

    Se mi loggo come Administrator sul server di Exchange 2010, e provo a configurare il "Send As" su una Mailbox, mi viene restituito l'errore "Diritti di accesso dell'utente insufficienti."

    Se la stessa operazione la eseguo sul domain controller, quindi nelle proprietà dell'utente--->Avanzate-->fleggo l'ereditarietà dei permessi(letto in un Forum come soluzione possibile) e nella sezione avanzate concedo il "Send As" ad un altro utente" il settaggio va a buon fine. Trascorso tot tempo però, spariscono il flag dei permessi ereditati e le autorizzazioni Send As concesse.

    Aggiungo che nello stesso ambiente ho dovuto risolvere il problema legato all' Event ID 1053: Exchange ActiveSync doesn't have sufficient permissions to create container

    seguendo questi Steps: 

    1. Run Active Directory Users and Computers.
    2. Click on View and Select Advanced Features
    3. Select a mailbox that isn’t working with Active Sync, double click on the account.
    4. Click the Security Tab and then the Advanced button.
    5. Highlight Exchange Trusted Subsystem, and check the Include inheritable permissions from this object's parent.
    6. Click OK to save the settings

     

    Sembra quasi che tutte le autorizzazioni in fase di transizione non siano state esattamente replicate.

    Grazie per il vostro aiuto


    • Modificato Ekos80 martedì 3 gennaio 2012 15:06
    martedì 3 gennaio 2012 14:54
  • Buongiorno,

    ho verificato ed effettivamente il problema deriva dall'appartenenza al gruppo Domain Power Users degli accounts da gestire.

    Seguo il Workaround del KB http://support.microsoft.com/kb/907434/ e  vi aggiorno.

     

    giovedì 5 gennaio 2012 09:42
  • Ciao Ekos,

    Grazie per l'aggiornamento, rimaniamo in attesa di altre notizie.

    A presto,


    Anca Popa Follow ForumTechNetIt on Twitter

    Evento 36888 origine Schannel su Windows Server 2008 R2 con IIS

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    giovedì 5 gennaio 2012 09:50
  • Ciao,

    ho eseguito lo script indicato nel KB http://support.microsoft.com/kb/907434/ con account Administrator

     dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
     dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"

    continuo a non poter amministrare il Send As sulle mailbox.

    Da EMC il gruppo NT AUTHORITY \SELF non è presente, neanche dopo l'esecuzione dello script.

    se creo dei nuovi utenti con mailbox annesse , riesco a gestirne il Send As ed è presente  il gruppo NT AUTHORITY \SELF.

    Altre possibili cause\soluzioni?

    Grazie

    giovedì 5 gennaio 2012 14:24
  • Aggiornamento

    se  aggiungo flag per ereditare i permessi dall'oggetto padre,sull'utente associato alla mailbox , riesco a gestire il Send AS.

     

    giovedì 5 gennaio 2012 14:35
  • Ciao Ekos,

    Per ora segno come corretta la risposta di Andrea, sei sempre libero di rimuovere la marcatura qualora non la ritenessi corretta.

    Se ritieni di aver bisogno di ulteriori indicazioni per il tuo itinerario, ti aspettiamo ancora sul Forum.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Versioni di valutazione gratuite dei software Microsoft

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 9 gennaio 2012 09:37
  • Ciao,

    per poter gestire il "Send AS" su Mailbox ho dovuto seguire questi Step:

    1.Rimozione account da gruppo Domain Power User

    2.Ripristino autorizzazioni predefinite da Proprietà utente->Autorizzazioni>Avanzate

    3.Flag su Includi autorizzazioni ereditabili dall'oggetto padre di questo oggetto.

    Grazie

    Saluti

    martedì 10 gennaio 2012 14:11