许多公司大量使用RIM黑莓手机作为沟通工具，由于夏令时间的影响，交换服务器打了相应补丁，不过这影响了到了企业的网络环境，不少管理员已经意识到某些问题了。虽然为了适应夏令时间似乎必须对交换服务器进行更新，但是许多人为了回避这些问题甚至宁可放弃这些修补。

问题就是微软（应不少用户请求）改变了交换服务器“发送为”（send as）权限的工作方式。在之前“发送为”权限是“完全邮箱访问”组（Full Mailbox Access）的一个部分。打过DST补丁后，“发送为”成为独立权限，不再包含于“完全邮箱访问”组中。虽然这种改变已变得广为人知，大多数环境要适应它也是举手之劳，但是应用这些更新后却导致了另外一个麻烦。

黑莓手机问题所在

很多管理员发现，一些用户再也不能使用Blackberry手机发送电子邮件了，有时还会受到错误消息说“和桌面设备之间没有通信”，对此他们感到困惑不解。一些稍有探求精神的管理员可能已经注意到，部分用户被取消了“发送为”权限。即使对这些帐户显式授予权限，一个小时之内就又消失了。

然而，还有一些管理员可能根本没有注意到这些症状，也没有人向他们报告问题，因为这种情况只在很少一部分用户中出现。另外一些管理员可能还发现这个问题只发生在他们自己的邮箱帐户上，而一般用户都不受影响。由于这个问题似乎很容易修复，大多数管理员也知道，既然这个问题影响的仅仅是他们自己而已，那么在优先处理级别上应该放得很低，尤其是要找出原因还得花费大量的时间精力。

经过调查研究，答案终于露出水面。它和 “发送为”权限有关，但是问题的关键还源自完全不同的原因。微软在Windows 2000中为活动目录引入了AdminSDHolder对象。担当PDC模拟器和FSMO角色的服务器对AdminSDHolder对象的ACL(访问控制列表)和活动目录中每个受保护的对象每小时进行比较。如果发现有差异，它就更改受保护对象，让它和AdminSDHolder对象一致。这是非常不错的安全措施，它有助于保护大部分活动目录中的敏感帐户不被非法访问。

现在你可能会问这和“发送为”权限有何关联。事实是这样的，由于“发送为”权限不再属于“完全邮箱访问”权限组的一个部分，而是直接存放在对象的(包括用户)ACL中。现在问题变成了你如何知道哪一个用户对象是受保护的。对于Windows 2003和Windows 2000 SP4，微软已经提供了如下清单。如果某个对象（用户，机器，或者其他类别）隶属于这个清单中的任何一员，那么它就被认为是受保护的对象，它的ACL会每小时进行重置。

◆管理员（Administrators）
◆帐号操作员（Account Operators）
◆服务器操作员（Server Operators）
◆打印操作员（Print Operators）
◆备份操作员（Backup Operators）
◆域管理员（Domain Admins）
◆架构管理员（Schema Admins）
◆企业管理员（Enterprise Admins）
◆证书发行员（Cert Publishers）

问题实质开始变得越发明朗了，属于这些组的任何一个帐户（甚至通过组嵌套而落入这些范围内的帐户）将被看作是受保护的，因此每小时其ACL会被重置。现在，我们看清了问题的所在，那么如何修复它呢?

黑莓手机解决方案

第一个办法是微软推荐的办法，那就是不要把这类帐户用作邮件目的。虽然毫无疑问这实施起来最为有效，不过在IT的真实世界中基本不大可能。如果不可能不把这些帐户用于电子邮件目的，你还可以把所有的电子邮件转发到另外一个帐户上，然后以让Blackberry手机使用那一个帐户。遗憾的是，这会把相当的复杂性引入到企业的基础架构中，还可能导致不可预料的更多其它问题。不过可喜的是，还有一种可行的修复方法。

那就是使用dsacls工具（在Windows Server的Resource Kit工具包中可以找到），通过它你可以更改AdminSDHolder对象。办法就是使用这个工具把Blackberry服务帐户添加到AdminSDHolder对象中。这样，受保护的用户就可以使用Blackberry的服务了，而且这种写入的权限不会被重新覆盖。为了完成这项操作，你首先需要在服务器上安装dsacls工具，然后建立一个包含如下命令的批处理文件，并在已安装该工具的服务器上运行这个批处理文件：

dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\SELF:CA;Send As"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Receive As"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:CA;Change Password"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Personal Information"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Phone and Mail Options"
dsacls "cn=adminsdholder,cn=system,dc=<mydomain>,dc=com" /G "\SELF:RPWP;Web Information"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "\%BLACKBERRYSERVICEACCOUNT%:CA;Send As"

注意把其中的%BLACBERRYSERVICEACCOUNT%替换为真实Blackberry服务帐户的名称。在这之后，你需要把Blackberry服务帐户连同“发送为”许可添加到发生问题的受保护对象中。不幸的是，这么做可能会使得对Blackberry服务帐户的攻击能访问（通过更改ACL）受保护帐户。虽然一般来说，服务帐户都设有高强度的密码保护和登录限制，但这仍然是一个值得注意的潜在安全漏洞。

虽然这个问题没有完美的修复方法，但是理解所有的技术细节能帮助管理员根据各自的企业环境作出最好的决定。不管你采取的办法是更改组权限的分配，创建转发邮箱帐户，使用微软最佳方略，还是使用不同帐户分别用作管理和日常使用，更改AdminSDHolder对象的安全属性，或者索性禁止管理员使用Blackberry法邮件，这都可以说是一个真正的棘手问题，不仅发现起来不太容易，真正获得解决更是要付出相当的努力。