Exchange 2007/2010 NT Authority/self权限丢失

赵小黑

　　一直碰到一个问题，就是有部分账号经常出现NT AUTHORRITY/SELF 权限丢失 ，这些用户都是一些管理人员。
　　现象一：“管理代理发送权限”那个是空的，NT AUTHORRITY/SELF 不见了。 (在Exchange 管理控制台中邮箱中选择用户，点右键，选择“管理代理发送权限”就可以看到了。)
　　现象二：发送邮件时，邮件服务器响应为: 5.7.1 Client does not have permissions to send as this sender。
　　一直在想，为啥就这些账号有问题，其他的账户却是正常的呢？？
　　困扰了我很久，幸得高人指点，找到了问题所在。
　　主要是微软自己搞的鬼。
　　活动目录服务有个处理过程是为了保证受保护组的安全描述符不被改动。
　　如果一个属于受保护组的账号的安全描述符跟AdminSDHolder object的安全描述符不匹配的话，
　　那样这个账号的安全描述符会被AdminSDHolder object的安全描述符所覆盖。
　　由于修改Send As权限是通过修改用户的安全描述符来实现的，因此假如一个用户是属于某个受保护组的话，上述修改会在一个小时左右执行，即把AdminSDHolder object的安全描述符覆盖到这个用户的安全描述符，因为Send As属于安全描述符的其中的一个权限，所以同时也会被覆盖，最终导致NT AUTHORRITY/SELF 权限丢失。
　　而我的实践经验也发现，凡是属于受保护组的账号，都是没有Send As权限的。
　　究竟哪些是受保护组呢？
　　对于Windows2003（Windows2000咱们就不讨论了），以下组都是受保护的组：
　　Administrators
　　Account Operators
　　Server Operators
　　Print Operators
　　Backup Operators
　　Domain Admins
　　Schema Admins
　　Enterprise Admins
　　Cert Publishers
　　还有一点，有两个特殊账户也是受保护的：
　　Administrator
　　Krbtgt
　　只要属于上述组的成员或者用户，Send As权限就会丢失。
　　微软官方建议不要使用受保护组成员来作为邮箱账号。假如你真的需要受保护组的那些权限，建议你使用两个域账号。 一个用来加入受保护组，另一个用来作为邮箱账号。
　　我自己的情况就是由于办公过程需要操作AD，所以把自己加入了Account Operators这个组，就可以在本机使用dsa.msc来操作AD的账号了，随之就出现NT AUTHORRITY/SELF 权限丢失了。
所以呢，碰到这些问题的朋友们，还是按照微软的建议，分开两个账户来使用吧，总之就是不要把要用到邮箱的账号加入到上述的受保护组，或者使用Administrator 、Krbtgt这两个账号作为邮箱账号，否则问题多多，即使你拼命添加NT AUTHORRITY/SELF这个权限，过一个小时左右照样会不见的。