Deaktivierte Benutzerkonten und das Attribut msExchMasterAccountSid


Wenn ein emailaktiviertes Benutzerkonto im Active Directory deaktiviert wird, treten (manchmal ungewollt) Probleme auf:



  • Anmeldungen an der Mailbox mit anderen Benutzerkonten sind nicht möglich.
  • Deaktivierte Benutzerkonten können keine Emailnachrichten mehr empfangen.
  • Probleme mit Berechtigungen auf Öffentliche Ordner, wenn das deaktivierte Benutzerkonto explizit in der Access Control List aufgeführt ist.
  • Probleme mit Berechtigungen auf Postfachordner, wenn das deaktivierte Benutzerkonto explizit in der Access Control List aufgeführt ist.
  • Veritas Backup Exec Exchange-Sicherung schlägt mit der Fehlermeldung Directory not found. Cannot back up directory… fehl.
  • Probleme beim Verschieben von Postfächern.
  • Probleme beim Ausführen des Mailbox Cleanup Agent.

Ein Kennzeichen für derartige Probleme ist das Auftreten von Event ID 9548 im Anwendungsprotokoll. Ursächlich für alle aufgeführten Probleme ist das Fehlen von bestimmten Berechtigungen. Der SELF-Account benötigt die Berechtigungen Associated External Account und Full Mailbox Access, wenn ein Benutzerkonto deaktiviert wird. Diese Berechtigung wird standardmäßig nicht automatisch gesetzt.


Es gibt jetzt einen Hotfix für den Exchange Server 2003, der die entsprechende Logik im Informationsspeicherdienst verändert. Nach dem Einspielen des Updates verhält sich der Informationsspeicherdienst so, als ob das Attribut msExchMasterAccountSid die well-known SELF SID aufweist. Anstatt die obigen Aktionen nicht erfolgreich abschließen zu können, verwendet der Informationsspeicherdienst dann die ObjectSid des deaktivierten Benutzerkontos.


Weitere Informationen dazu finden sich in folgenden Artikeln:


Comments (4)

  1. Daniel Klicks says:

    Hi,

    wenn man nach der Liste "Issues that are fixed in Exchange Server 2003 Service Pack 2" (http://support.microsoft.com/kb/906669/en-us) geht, ist der Fix nicht mit drin und muss nach der Installation vom SP2 nachgezogen werden?

    Grüße

    Daniel Klicks

  2. Martin Westphal says:

    Hallo Daniel !

    Vielleicht hättest Du dazu schrieben sollen, das der Fix in SP2 schon drin ist und nicht nachinstalliert werden kann….

    Das sagt zumindest der Installer….

    Gruß

    Martin

  3. Daniel Klicks says:

    Hi Martin,

    danke, das beantwortet doch meine Frage auch. Dann fehlt der KB-Artikel lediglich in der Auflistung.

    Grüße

    Daniel

  4. Frank Carius says:

    Auf http://www.msxfaq.net/server/disabledaccount.htm finden sich auch die "Workarounds" für Leute, die den Hotfix noch nicht instalieren woll und die noch Excange 2000 haben und nicht updaten können–