Не удается дать разрешения «Отправить как» в Exchange 2010

Я пытаюсь дать разрешения «Отправить как» одному пользователю в Exchange 2010. Вот команда Powershell, которую я выполняю:

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell возвращает эту ошибку:

Сбой операции Active Directory на DC.OurDomain.pri. Эта ошибка не повторяется. Дополнительная информация: Доступ запрещен. Ответ активного каталога: 00000005: SecErr: DSID-031521D0, проблема 4003 (INSUFF_ACCESS_RIGHTS), данные 0 + CategoryInfo: WriteError: (0: Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId: EDBB94A3, Microsoft.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange.Exchange. AddADPermission

Я пробовал несколько альтернатив для команды Powershell - т.е. используя -Identity и т. д., но это и мастер EMC возвращают одну и ту же ошибку.

Я не уверен, относится ли INSUFF_ACCESS_RIGHTS ко мне, кто запускает команду, или к пользователю, которому я даю права на передачу?

Я следил за веб-страницей Microsoft Technet «Управление разрешениями« Отправить как для почтового ящика » здесь: http://technet.microsoft.com/en-us/library/bb676368.aspx

Итак, добавили два разрешения, которые вам нужны для этого:

Управление Организацией

Управление получателями

Но это не помогает. Есть идеи?

Обновить

Если я сделаю следующее:

• откройте «Пользователи и компьютеры AD» в представлении «Расширенные функции»
• Перейти к свойствам пользователя1
• Нажмите «Дополнительно» на вкладке «Безопасность».
• Выберите «Добавить»
• войдите в «User2» и выберите «Отправить как» Разрешить

Это работает, если я закрою ADUaC и снова открою его и перепроверяю те новые разрешения, они все еще там. Если я вернусь через 10 минут, эти разрешения исчезнут - user2 вообще не отображается в разрешениях безопасности user1.

Не думаю, что я когда-либо видел такое поведение AD раньше.

Я наконец исправил это.

Интересно, что Send-As - это разрешение AD, а не разрешение на обмен, как вы могли ожидать.

Во всяком случае, это шаги:

Сделайте целевой почтовый ящик «общедоступным» с помощью этой команды в Powershell на вашем сервере Exchange:

Set-Mailbox user1 -type:shared

Если вы получите эту ошибку (так же, как в моем первом посте):

Вам нужно будет найти этого пользователя в AD и перейти к свойствам >> Безопасность >> Дополнительно:

Вам необходимо ВКЛЮЧИТЬ опцию «Включить разрешения , наследуемые от родительских объектов»:

Как только это будет сделано, вы сможете завершить сценарий общего доступа к папкам.

Затем фактически предоставьте права с помощью этой команды:

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

Надеюсь, что это помогает другим, у кого такая же проблема.

Киран

Сообщения об отказе в доступе обычно поступают от учетной записи, в которой запущен сеанс PowerShell, и у которого недостаточно прав. Я получаю это все время, когда просто запускаю командную консоль Exchange вместо того, чтобы запускаться от имени моей учетной записи администратора.

После вашего обновления, я подозреваю, что может происходить то, что User1 является частью защищенной группы (операторы печати), поэтому Exchange не позволяет вам предоставлять Send As для User2, потому что он знает, что он будет удален только в течение следующего часа. Похоже, что вы подтвердили эту теорию, вручную добавив команду «Отправить как» с помощью ADUC, и через некоторое время ее удалили.

На контроллере домена, который выполняет роль FSMO эмулятора PDC, каждый час запускается нечто, называемое потоком adminSDHolder. Для этого используются все учетные записи, которые есть (или когда-либо были, даже если они впоследствии были удалены) в защищенных группах (администраторы предприятия, администраторы домена, операторы учетных записей, операторы печати и многие другие), и удаляет все разрешения предоставляются объектам и заменяет их определенными явно определенными разрешениями. Идея состоит в том, что делегированная учетная запись не может нанести ущерб и лишить администратора домена их привилегий.

Я не совсем уверен, что ваше исправление явного предоставления разрешения сработает и не будет сбрасываться каждый час, но я ошибался раньше - так что, если это произойдет, отлично! Однако если пользователю не нужно находиться в группе «Операторы печати», я бы порекомендовал изменить его учетную запись с помощью редактора ADSI и установить для свойства adminCount значение ноль. Затем включите наследуемые разрешения для объекта пользователя и сбросьте разрешения по умолчанию. После того, как вы это сделаете, попробуйте ваш командлет Exchange снова и, если повезет, он сработает (очевидно, у вас будет достаточно времени для репликации AD).

Я не думаю, что вы сможете изменить свой командлет, чтобы приспособиться к этому - как я уже сказал, я представляю (хотя и не уверен), что он не позволит вам это сделать, потому что Exchange знает, что разрешение будет только удалено вскоре после этого и пытается сохранить путаницу с вашей стороны. При «нормальных» обстоятельствах (то есть обычном пользователе) командлет должен работать без проблем, поскольку весь поток adminSDHolder даже не вступает в игру.

Вы видели этот KB: доступ запрещен, когда вы пытаетесь дать пользователю разрешение «отправить как» или «получить как» для группы рассылки в Exchange Server 2010 или Exchange Server 2013

причина

По умолчанию доверенной подсистеме Exchange не предоставляется разрешение «изменять разрешения». Это приводит к сбою командлета Add-ADPermission с ошибкой «Отказано в доступе».

разрешение

Чтобы обойти эту проблему, добавьте разрешение «Изменение разрешений» для доверенной подсистемы Exchange в подразделение, в котором находится группа рассылки, выполнив следующие действия:

1. Откройте Active Directory - пользователи и компьютеры.
2. Нажмите View, а затем нажмите Advanced Features.
3. Щелкните правой кнопкой мыши подразделение, содержащее списки рассылки, а затем выберите Свойства.
4. На вкладке «Безопасность» нажмите «Дополнительно».
5. На вкладке «Разрешения» нажмите «Добавить».
6. В поле Введите имя объекта для выбора введите доверенную подсистему Exchange и нажмите кнопку ОК.
7. На вкладке «Объект» выберите «Этот объект и все объекты-потомки» в списке «Применить к», найдите «Изменить разрешения» в списке «Разрешения» и установите для него значение «Разрешить».
8. Нажмите ОК.

Обнаружено это «наследование не включено» в учетной записи пользователя при попытке настроить переход на o365. Не удалось импортировать свойства Exchange. Написал эту небольшую процедуру, чтобы включить флажок «наследуемые разрешения».

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

Вышеуказанные решения не решили мою проблему, но вот это: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-try- к набору-посыл , как-разрешения-на-ящик-в-обмен-2010 /

Конкретная учетная запись пользователя AD, на которую я пытался установить разрешения «Отправить как», не имела наследуемых разрешений, проверенных в AD.