Deaktivierte Benutzerkonten und das Attribut msExchMasterAccountSid

  • Article

Wenn ein emailaktiviertes Benutzerkonto im Active Directory deaktiviert wird, treten (manchmal ungewollt) Probleme auf:

  • Anmeldungen an der Mailbox mit anderen Benutzerkonten sind nicht möglich.
  • Deaktivierte Benutzerkonten können keine Emailnachrichten mehr empfangen.
  • Probleme mit Berechtigungen auf Öffentliche Ordner, wenn das deaktivierte Benutzerkonto explizit in der Access Control List aufgeführt ist.
  • Probleme mit Berechtigungen auf Postfachordner, wenn das deaktivierte Benutzerkonto explizit in der Access Control List aufgeführt ist.
  • Veritas Backup Exec Exchange-Sicherung schlägt mit der Fehlermeldung Directory not found. Cannot back up directory... fehl.
  • Probleme beim Verschieben von Postfächern.
  • Probleme beim Ausführen des Mailbox Cleanup Agent.

Ein Kennzeichen für derartige Probleme ist das Auftreten von Event ID 9548 im Anwendungsprotokoll. Ursächlich für alle aufgeführten Probleme ist das Fehlen von bestimmten Berechtigungen. Der SELF-Account benötigt die Berechtigungen Associated External Account und Full Mailbox Access, wenn ein Benutzerkonto deaktiviert wird. Diese Berechtigung wird standardmäßig nicht automatisch gesetzt.

Es gibt jetzt einen Hotfix für den Exchange Server 2003, der die entsprechende Logik im Informationsspeicherdienst verändert. Nach dem Einspielen des Updates verhält sich der Informationsspeicherdienst so, als ob das Attribut msExchMasterAccountSid die well-known SELF SID aufweist. Anstatt die obigen Aktionen nicht erfolgreich abschließen zu können, verwendet der Informationsspeicherdienst dann die ObjectSid des deaktivierten Benutzerkontos.

Weitere Informationen dazu finden sich in folgenden Artikeln: