關於exchange2010管理員NT AUTHORITY\SELF權限丟失

今天的問題是在使用pop郵箱的時候，有帳號出現發送郵件時郵件服務器響應爲: 5.7.1 Client does not have permissions to send as this sender。

而後使用[PS] C:\>get-mailbox "User Alias" | add-adpermission -user "NT Authority\Self" -ExtendedRights Send-As, Receive-As命令將NT AUTHORITY\SELF權限進行添加能夠正常發送郵件，可是沒有過多久由出現 郵件服務器響應爲: 5.7.1 Client does not have permissions to send as this sender 的報錯。通過幾回嘗試以後依然是這樣最後查閱了一些相關資料找到解決辦法

1.緣由：

活動目錄服務有個處理過程是爲了保證受保護組的安全描述符不被改動。若是一個屬於受保護組的帳號的安全描述符跟AdminSDHolder object的安全描述符不匹配的話， 
那樣這個帳號的安全描述符會被AdminSDHolder object的安全描述符所覆蓋。

因爲修改Send As權限是經過修改用戶的安全描述符來實現的，所以假如一個用戶是屬於某個受保護組的話，上述修改會在一個小時左右執行，即把AdminSDHolder object的安全描述符覆蓋到這個用戶的安全描述符，由於Send As屬於安全描述符的其中的一個權限，因此同時也會被覆蓋，最終致使NT AUTHORRITY/SELF 權限丟失。

而個人實踐經驗也發現，凡是屬於受保護組的帳號，都是沒有Send As權限的。

2.受保護的組大概有哪些

Administrators 
Account Operators 
Server Operators 
Print Operators 
Backup Operators 
Domain Admins 
Schema Admins 
Enterprise Admins 
Cert Publishers

還有一點，有兩個特殊帳戶也是受保護的： 
Administrator 
Krbtgt

3.若是將用戶上述組的成員或者用戶，Send As權限就會丟失。

微軟官方建議不要使用受保護組成員來做爲郵箱帳號。假如你真的須要受保護組的那些權限，建議你使用兩個域帳號。 一個用來加入受保護組，另外一個用來做爲郵箱帳號。

因爲辦公過程須要操做AD，因此加入了Account Operators這個組，就能夠在本機使用dsa.msc來操做AD的帳號了，隨之就出現NT AUTHORRITY/SELF 權限丟失了。

因此呢，碰到這些問題的朋友們，仍是按照微軟的建議，分開兩個帳戶來使用吧，總之就是不要把要用到郵箱的帳號加入到上述的受保護組，即便你拼命添加NT AUTHORRITY/SELF這個權限，過一個小時左右照樣會不見的。