无法在 Exchange 2010 中授予“以...身份发送”权限

我终于解决了这个问题。

有趣的是，Send-As 是一种 AD 权限，而不是您可能期望的交换权限。

无论如何，这些是步骤：

在 Exchange Server 上的 Powershell 中使用此命令使目标邮箱“可共享”：

Set-Mailbox user1 -type:shared

如果您收到此错误（与我的第一篇文章相同）：

您需要在 AD 中找到该用户并转到属性 >> 安全 >> 高级：

你需要使能够“包括从该对象的父级继承的权限”选项：

完成后您应该能够完成文件夹共享脚本。

然后使用此命令实际授予权限：

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

希望能够帮助遇到同样问题的人。

基兰

拒绝访问消息通常来自运行 PowerShell 会话的帐户没有足够的权限。我收到此消息每时每刻当我仅启动 Exchange 命令行管理程序而不是以管理用户帐户身份运行时。

根据您的更新，我怀疑可能发生的情况是，User1 属于受保护组（打印操作员），因此 Exchange 不允许您授予 User2 以发送身份的权限，因为它知道该权限将在下一小时内被剥夺。看来您通过使用 ADUC 手动添加以发送身份并在短时间内将其删除，证实了这一理论。

在运行 PDC Emulator FSMO 角色的域控制器上，每小时都会运行一个称为 adminSDHolder 线程的程序。该程序的作用是获取受保护组（企业管理员、域管理员、帐户操作员、打印操作员等一些较常见的帐户）中的所有帐户（或曾经是，即使后来被删除），并删除授予对象的所有权限，并用某些明确定义的权限替换它们。这样做的目的是，委托帐户不能造成破坏并剥夺域管理员的特权。

我并不完全相信你明确授予权限的修复会起作用，并且不会每小时重置一次，但我以前也犯过错 - 所以如果确实如此，那就太好了！但是，如果用户不需要加入打印操作员组，我建议你使用 ADSI Edit 修改他们的帐户，并设置管理员数量属性设置为零。然后启用用户对象的可继承权限并重置默认权限。完成此操作后，再次尝试 Exchange cmdlet，如果运气好的话，它会起作用（显然要给 AD 复制足够的时间）。

我不认为你能修改你的 cmdlet 来适应这种情况 - 就像我说的，我想象（虽然不确定）它不会让您这样做，因为 Exchange 知道权限很快就会被删除，并试图避免让您感到困惑。在“正常”情况下（即标准用户），cmdlet 应该可以正常工作，因为整个 adminSDHolder 线程甚至不会发挥作用。

你看过这个知识库吗：当您尝试向用户授予 Exchange Server 2010 或 Exchange Server 2013 中通讯组的“发送为”或“接收为”权限时，访问被拒绝

原因

默认情况下，Exchange Trusted Subsystem 未获得“修改权限”权限。这会导致 Add-ADPermission cmdlet 失败并出现“访问被拒绝”错误。

解决

要解决此问题，请按照以下步骤将 Exchange 受信任子系统的“修改权限”权限添加到包含通讯组的组织单位 (OU)：

1. 打开 Active Directory 用户和计算机。
2. 单击“查看”，然后单击“高级功能”。
3. 右键单击包含通讯组列表的 OU，然后单击“属性”。
4. 在“安全”选项卡中，单击“高级”。
5. 在权限选项卡中，单击添加。
6. 在“输入要选择的对象名称”框中，键入 Exchange 受信任子系统，然后单击“确定”。
7. 在“对象”选项卡中，在“应用到”列表中选择“此对象及其所有后代对象”，在“权限”列表中找到“修改权限”，然后将其设置为“允许”。
8. 单击“确定”。

上述解决方案没有解决我的问题，但这个解决了： http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-to-set-send-as-permissions-on-a-mailbox-in-exchange-2010/

我尝试设置“以身份发送”权限的特定 AD 用户帐户没有在 AD 中检查到可继承的权限。