ไม่สามารถให้สิทธิ์ 'ส่งตาม' ใน Exchange 2010

ฉันกำลังพยายามให้สิทธิ์ 'send-as' แก่ผู้ใช้รายหนึ่งใน Exchange 2010 นี่คือคำสั่ง Powershell ที่ฉันใช้:

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell ส่งคืนข้อผิดพลาดนี้:

การดำเนินการของ Active Directory ล้มเหลวใน DC.OurDomain.pri ข้อผิดพลาดนี้ไม่สามารถเรียกคืนได้ ข้อมูลเพิ่มเติม: การเข้าถึงถูกปฏิเสธ การตอบสนองของไดเรกทอรีที่ใช้งานอยู่: 00000005: SecErr: DSID-031521D0 ปัญหา 4003 (INSUFF_ACCESS_RIGHTS) ข้อมูล 0 + CategoryInfo: WriteError: (0: Int32) [Add-ADPermission], ADOperationException AddADPermission

ฉันได้ลองหลายทางเลือกสำหรับคำสั่ง Powershell - เช่น ใช้ -Identity เป็นต้น แต่นั่นและตัวช่วยสร้าง EMC จะส่งกลับข้อผิดพลาดเดียวกันทั้งหมด

ฉันไม่แน่ใจว่า"INSUFF_ACCESS_RIGHTS"หมายถึงฉันใครกำลังใช้คำสั่งหรือผู้ใช้ที่ฉันให้สิทธิ์การส่งเป็นหรือไม่

ฉันติดตามหน้าเว็บของ Microsoft "จัดการส่งเป็นสิทธิ์สำหรับกล่องจดหมาย"ที่นี่: http://technet.microsoft.com/en-us/library/bb676368.aspx

ดังนั้นได้เพิ่มทั้งสองสิทธิ์ที่คุณต้องทำ:

การจัดการองค์กร

การจัดการผู้รับ

แต่นั่นไม่ได้ช่วย ความคิดใด ๆ

ปรับปรุง

ถ้าฉันทำต่อไปนี้:

• เปิด "ผู้ใช้ AD & คอมพิวเตอร์" ด้วยมุมมอง "คุณสมบัติขั้นสูง"
• ไปที่คุณสมบัติของ User1
• กด "ขั้นสูง" บนแท็บความปลอดภัย
• เลือก "เพิ่ม"
• ป้อนใน "User2" และเลือก "ส่งเป็น" อนุญาต

ใช้งานได้ถ้าฉันปิด ADUaC และเปิดขึ้นอีกครั้งและตรวจสอบสิทธิ์ใหม่เหล่านั้นพวกเขายังคงอยู่ที่นั่น หากฉันกลับมาประมาณ 10 นาทีหลังจากนั้นการอนุญาตเหล่านั้นจะหายไป - user2 ไม่แสดงในการอนุญาตด้านความปลอดภัยของ user1 เลย

อย่าคิดว่าฉันเคยเห็นพฤติกรรมโฆษณาประเภทนี้มาก่อน

ในที่สุดฉันได้แก้ไขสิ่งนี้

Send-As ที่น่าสนใจคือสิทธิ์โฆษณา - ไม่ใช่สิทธิ์แลกเปลี่ยนตามที่คุณคาดหวัง

อย่างไรก็ตามสิ่งเหล่านี้เป็นขั้นตอน:

ทำให้กล่องจดหมายเป้าหมาย "ใช้ร่วมกันได้" โดยใช้คำสั่งนี้ใน Powershell บน Exchange Server ของคุณ:

Set-Mailbox user1 -type:shared

หากคุณได้รับข้อผิดพลาดนี้ (เหมือนกับในโพสต์แรกของฉัน):

คุณจะต้องค้นหาผู้ใช้ใน AD และไปที่คุณสมบัติ >> ความปลอดภัย >> ขั้นสูง:

คุณต้องเปิดใช้งานตัวเลือกเพื่อ "รวมสิทธิ์ที่สืบทอดได้จากพาเรนต์ของวัตถุนี้":

เมื่อทำเสร็จแล้วคุณควรจะสามารถแชร์สคริปต์โฟลเดอร์ให้สมบูรณ์

จากนั้นให้สิทธิ์จริงโดยใช้คำสั่งนี้:

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

หวังว่าจะช่วยคนอื่นที่มีปัญหาเดียวกัน

คีแรน

ข้อความที่ถูกปฏิเสธการเข้าถึงมักมาจากบัญชีที่ใช้งานเซสชัน PowerShell ซึ่งไม่ได้รับอนุญาตให้ใช้งานเพียงพอ ฉันได้รับสิ่งนี้ตลอดเวลาเมื่อฉันเพิ่งเปิดเชลล์การจัดการการแลกเปลี่ยนแทนการทำงานเป็นบัญชีผู้ใช้ของฉัน

สิ่งที่ฉันสงสัยว่าอาจเกิดขึ้นคือ User1 เป็นส่วนหนึ่งของกลุ่มที่ได้รับความคุ้มครอง (ผู้ดำเนินการพิมพ์) ดังนั้น Exchange จึงไม่อนุญาตให้คุณให้สิทธิ์ส่งเป็นบน User2 เพราะรู้ว่ามันจะถูกปลดออกในชั่วโมงถัดไป ดูเหมือนว่าคุณจะยืนยันทฤษฎีนั้นด้วยการเพิ่ม Send As ด้วยตนเองโดยใช้ ADUC และเห็นว่ามันใช้เวลาไม่นานในภายหลัง

บน Domain Controller ซึ่งรันบทบาท PDC Emulator FSMO ทุกสิ่งที่เรียกว่าเธรด adminSDHolder จะทำงานทุกชั่วโมง สิ่งนี้จะใช้เวลาบัญชีทั้งหมดซึ่ง (หรือเคยเป็นมาแม้ว่าพวกเขาจะถูกลบออกในภายหลัง) ในกลุ่มที่มีการป้องกัน (ผู้ดูแลระบบขององค์กรผู้ดูแลระบบโดเมนผู้ดำเนินการบัญชีผู้ดำเนินการพิมพ์เพื่อตั้งชื่อให้กับคนทั่วไป สิทธิ์ที่ได้รับบนวัตถุและแทนที่พวกเขาด้วยสิทธิ์ที่กำหนดไว้อย่างชัดเจน แนวคิดที่ว่าบัญชีที่มอบหมายไม่สามารถทำลายความเสียหายและกำจัดผู้ดูแลโดเมนของสิทธิ์ของพวกเขา

ฉันไม่มั่นใจว่าการอนุญาตให้ใช้งานอย่างชัดเจนของคุณกำลังจะเกิดขึ้นและจะไม่ถูกรีเซ็ตทุกชั่วโมง แต่ฉันเคยทำผิดมาก่อน - ดังนั้นถ้าทำได้ดีมาก! หากผู้ใช้ไม่จำเป็นต้องอยู่ในกลุ่มผู้ดำเนินการพิมพ์ฉันขอแนะนำให้คุณแก้ไขบัญชีของตนโดยใช้ ADSI Edit และตั้งค่าคุณสมบัติadminCountเป็นศูนย์ จากนั้นเปิดใช้งานสิทธิ์ที่สืบทอดได้บนวัตถุผู้ใช้และรีเซ็ตสิทธิ์เริ่มต้น เมื่อคุณทำเสร็จแล้วให้ลองแลกเปลี่ยน cmdlet ของคุณอีกครั้งและโชคดีที่มันจะใช้งานได้ (ให้เวลาเพียงพอสำหรับการจำลองโฆษณา)

ฉันไม่คิดว่าคุณจะสามารถแก้ไข cmdlet ของคุณเพื่อรองรับสิ่งนี้ได้ - อย่างที่ฉันพูดฉันคิดว่า (ไม่แน่ใจ) ว่ามันจะไม่ยอมให้คุณทำเพราะ Exchange รู้ว่าสิทธิ์จะถูกลบออกไปเท่านั้น หลังจากนั้นไม่นานและพยายามบันทึกความสับสนในส่วนของคุณ ภายใต้สถานการณ์ "ปกติ" (เช่นผู้ใช้มาตรฐาน) cmdlet ควรทำงานได้อย่างไม่มีปัญหาเพราะ adminSDHolder เธรดทั้งหมดไม่สามารถเล่นได้

คุณเห็น KB นี้หรือไม่: การเข้าถึงถูกปฏิเสธเมื่อคุณพยายามให้สิทธิ์ผู้ใช้ "send-as" หรือ "รับเป็น" สำหรับกลุ่มการแจกจ่ายใน Exchange Server 2010 หรือ Exchange Server 2013

สาเหตุ

โดยค่าเริ่มต้นระบบย่อยที่เชื่อถือได้ของ Exchange จะไม่ได้รับสิทธิ์ "แก้ไขสิทธิ์" ซึ่งทำให้ cmdlet Add-ADPermission ล้มเหลวด้วยข้อผิดพลาดถูกปฏิเสธการเข้าถึง

มติ

เมื่อต้องการแก้ไขปัญหานี้เพิ่มสิทธิ์ "แก้ไขสิทธิ์" สำหรับระบบย่อยที่เชื่อถือได้ของ Exchange ไปยังหน่วยองค์กร (OU) ที่ประกอบด้วยกลุ่มการแจกจ่ายโดยทำตามขั้นตอนเหล่านี้:

1. เปิดผู้ใช้และคอมพิวเตอร์ Active Directory
2. คลิกมุมมองแล้วคลิกคุณลักษณะขั้นสูง
3. คลิกขวา OU ​​ที่มีรายชื่อการแจกจ่ายแล้วคลิกคุณสมบัติ
4. ในแท็บความปลอดภัยคลิกขั้นสูง
5. ในแท็บการอนุญาตคลิกเพิ่ม
6. ในกล่องใส่ชื่อวัตถุเพื่อเลือกพิมพ์ระบบย่อยการแลกเปลี่ยนที่เชื่อถือได้แล้วคลิกตกลง
7. ในแท็บวัตถุให้เลือกวัตถุนี้และวัตถุที่ตามมาทั้งหมดในรายการนำไปใช้กับรายการค้นหาการปรับเปลี่ยนการอนุญาตในรายการสิทธิ์แล้วตั้งเป็นอนุญาต
8. คลิกตกลง

พบสิ่งนี้ 'ไม่ได้เปิดใช้งานการสืบทอด' ในบัญชีของผู้ใช้ในขณะที่พยายามตั้งค่าการย้ายข้อมูลเป็น o365 ไม่สามารถนำเข้าคุณสมบัติการแลกเปลี่ยน เขียนกิจวัตรเล็ก ๆ น้อย ๆ นี้เพื่อเปิดใช้งานช่องทำเครื่องหมาย 'สิทธิ์ที่สืบทอดได้'

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

วิธีแก้ไขปัญหาข้างต้นไม่สามารถแก้ปัญหาของฉันได้ แต่วิธีนี้แก้ไขได้: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-try- การตั้งค่าส่งตามสิทธิ์-on-a-กล่องจดหมายในการแลกเปลี่ยน-2010 /

บัญชีผู้ใช้ AD เฉพาะที่ฉันพยายามตั้งค่าเปิดเป็นส่งต่อไม่ได้มีการตรวจสอบสิทธิ์ที่สืบทอดได้ในโฆษณา