[转载]拒绝Authenticated Users组造成Administrator无法访问AD对象的解决办法

文章作者：Hao Hu

缘由：

  为了限制用户访问Address Lists，我修改了Exchange Server Manager里面Address Lists的安全设置，但是，错误地拒绝了Authenticated Users的访问权限。

  因为Administrator属于Authenticated Users组，所以无法再从管理控制台用Administrator来访问……不要说Administrator，任何验证用户都没有办法访问了，所以添加新的Admin也不行。

  愁了两个小时，我决定睡觉，结果，早上起来就想到了。

解决：

  Guest用户不属于Authenticated Users，所以可以绕过去……但是Guest用户不具有任何修改权限，有什么用呢？

  Schema Admin Users可以修改AD架构，所以我们临时把Guest加入到改组，建议这样做的时候限制网络的访问，在单机上操作，规避风险。

  使用Runas方式打开ADSIEdit工具，

  CN=All Address Lists,CN=Microsoft Exchange,CN=Services,CN=Configuration,DN=,DN=,DN=

  正如您所知，DN代表您的域名，根据实际情况调整。

  修改安全设置，恢复Administrtor的管理权。

  最后，不要忘了将Guest的权限收回，不然您就等着机器被劫持吧，呵呵呵

后记：

  好累啊 节省了一个MSDN的Case。