SITUAZIONE

Questo avviso può comparire quando si cerca di vedere i permessi in Active Directory assegnati ad un mail-enabled group (o, in altre parole, ad una Distribution List di Exchange)

non standard

Dopo questo avviso è comunque possibile visualizzare i permessi associati al gruppo, ma senza fare alcuna modifica.


SPIEGAZIONE

Questo messaggio viene fuori quando si apre un mail-enabled group i cui membri sono stati nascosti (Exchange Tasks -> Hide membership) ed è quindi limitato ad un caso particolare: la cosa comunque interessante è che questo messaggio non pregiudica nessuna operazione sul gruppo.
Per capire il perchè del messaggio, dobbiamo prima capire come Windows gestisce i permessi, ovvero la struttura delle ACL: in particolare, la parte che ci interessa è quella relativa ai cosiddetti Deny. Tutti sanno che nel mondo Windows i Deny hanno più potere degli Allow, ovvero se nel valutare i diritti di accesso ad un oggetto viene incontrato un Deny per il tipo di operazione richiesta, il sistema nega l'accesso.
Se andiamo un pochino più a fondo nelle cose (in particolare mi ricordo una nota del corso AD di Windows 2000, l'MS2154), si scopre che questo risultato viene ottenuto semplicemente mettendo tutte le access entries (ACE) con Deny all'inizio della access list: dato che il sistema interrompe la valutazione non appena trova una riga (detta ACE) che riguarda il tipo di accesso richiesto (es. lettura di un file), se le deny sono messe come prime avranno più potere di un eventuale Allow messo in coda.
Se quindi andiamo a vedere la security dell'oggetto che ci ha dato l'errore e guardiamo nelle opzioni Avanzate si scopre questa situazione:

nonstandard acl

La cosa interessante è che la riga con DENY non compare per prima! Ed è esattamente questa la causa del messaggio di avviso iniziale! Questa riga particolare è appunto quella che nasconde i membri del gruppo semplicemente negando a chiunque il diritto di leggere l'attributo Member 
Questa riga non può essere messa per prima, dato che altrimenti nemmeno i server Exchange riuscirebbero ad espandere il gruppo e consegnare la posta: infatti, prima di tutte le altre righe, è presente una ACE che garantisce al gruppo Exchange Domain Servers (ovvero ad un qualunque server Exchange dell'organizzazione) il diritto di lettura dei membri del gruppo.
La cosa carina da notare è che in questo modo nemmeno l'Administrator riesce a vedere i membri del gruppo; se però l'utente fa parte anche del gruppo Account Operators, ecco che riesce a vedere i membri dato che la riga che da questo diritto agli account operators viene prima del DENY.
Conclusione: questo è solo un avviso, dato che poi Windows riesce tranquillamente a gestire le ACL dove i Deny non sono piazzati all'inizio!