我正在尝试向 Exchange 2010 中的一位用户授予“以...身份发送”权限。这是我正在运行的 Powershell 命令:
Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"
Powershell 返回此错误:
DC.OurDomain.pri 上的 Active Directory 操作失败。此错误不可重试。其他信息:访问被拒绝。Active Directory 响应:00000005:SecErr:DSID-031521D0,问题 4003 (INSUFF_ACCESS_RIGHTS),数据 0 + CategoryInfo:WriteError:(0:Int32) [Add-ADPermission],ADOperationException + FullyQualifiedErrorId:EDBB94A3,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
我尝试了 Powershell 命令的多种替代方法 - 例如使用 -Identity 等,但它和 EMC 向导都返回相同的错误。
我不确定“缺乏访问权限”是指谁在运行该命令或我授予其发送权限的用户?
我一直在关注 Microsoft Technet“管理邮箱的发送权限”网页在这里: http://technet.microsoft.com/en-us/library/bb676368.aspx
因此添加了执行此操作所需的两个权限:
组织管理
收件人管理
但这没有帮助。有什么想法吗?
更新
如果我执行以下操作:
- 使用“高级功能”视图打开“AD 用户和计算机”
- 转到 User1 的属性
- 在“安全”选项卡上点击“高级”
- 选择“添加”
- 输入“User2”并选择“发送为”允许
这有效,如果我关闭 ADUaC 并再次打开它并重新检查这些新权限,它们仍然存在。如果我大约 10 分钟后返回,这些权限现在消失了 - user2 根本不显示在 user1 的安全权限中。
我觉得我以前从未见过这种 AD 行为。
答案1
我终于解决了这个问题。
有趣的是,Send-As 是一种 AD 权限,而不是您可能期望的交换权限。
无论如何,这些是步骤:
在 Exchange Server 上的 Powershell 中使用此命令使目标邮箱“可共享”:
Set-Mailbox user1 -type:shared
如果您收到此错误(与我的第一篇文章相同):
您需要在 AD 中找到该用户并转到属性 >> 安全 >> 高级:
你需要使能够“包括从该对象的父级继承的权限”选项:
完成后您应该能够完成文件夹共享脚本。
然后使用此命令实际授予权限:
Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"
希望能够帮助遇到同样问题的人。
基兰
答案2
拒绝访问消息通常来自运行 PowerShell 会话的帐户没有足够的权限。我收到此消息每时每刻当我仅启动 Exchange 命令行管理程序而不是以管理用户帐户身份运行时。
根据您的更新,我怀疑可能发生的情况是,User1 属于受保护组(打印操作员),因此 Exchange 不允许您授予 User2 以发送身份的权限,因为它知道该权限将在下一小时内被剥夺。看来您通过使用 ADUC 手动添加以发送身份并在短时间内将其删除,证实了这一理论。
在运行 PDC Emulator FSMO 角色的域控制器上,每小时都会运行一个称为 adminSDHolder 线程的程序。该程序的作用是获取受保护组(企业管理员、域管理员、帐户操作员、打印操作员等一些较常见的帐户)中的所有帐户(或曾经是,即使后来被删除),并删除授予对象的所有权限,并用某些明确定义的权限替换它们。这样做的目的是,委托帐户不能造成破坏并剥夺域管理员的特权。
我并不完全相信你明确授予权限的修复会起作用,并且不会每小时重置一次,但我以前也犯过错 - 所以如果确实如此,那就太好了!但是,如果用户不需要加入打印操作员组,我建议你使用 ADSI Edit 修改他们的帐户,并设置管理员数量属性设置为零。然后启用用户对象的可继承权限并重置默认权限。完成此操作后,再次尝试 Exchange cmdlet,如果运气好的话,它会起作用(显然要给 AD 复制足够的时间)。
我不认为你能修改你的 cmdlet 来适应这种情况 - 就像我说的,我想象(虽然不确定)它不会让您这样做,因为 Exchange 知道权限很快就会被删除,并试图避免让您感到困惑。在“正常”情况下(即标准用户),cmdlet 应该可以正常工作,因为整个 adminSDHolder 线程甚至不会发挥作用。
答案3
你看过这个知识库吗:当您尝试向用户授予 Exchange Server 2010 或 Exchange Server 2013 中通讯组的“发送为”或“接收为”权限时,访问被拒绝
原因
默认情况下,Exchange Trusted Subsystem 未获得“修改权限”权限。这会导致 Add-ADPermission cmdlet 失败并出现“访问被拒绝”错误。
解决
要解决此问题,请按照以下步骤将 Exchange 受信任子系统的“修改权限”权限添加到包含通讯组的组织单位 (OU):
- 打开 Active Directory 用户和计算机。
- 单击“查看”,然后单击“高级功能”。
- 右键单击包含通讯组列表的 OU,然后单击“属性”。
- 在“安全”选项卡中,单击“高级”。
- 在权限选项卡中,单击添加。
- 在“输入要选择的对象名称”框中,键入 Exchange 受信任子系统,然后单击“确定”。
- 在“对象”选项卡中,在“应用到”列表中选择“此对象及其所有后代对象”,在“权限”列表中找到“修改权限”,然后将其设置为“允许”。
- 单击“确定”。
答案4
上述解决方案没有解决我的问题,但这个解决了: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-to-set-send-as-permissions-on-a-mailbox-in-exchange-2010/
我尝试设置“以身份发送”权限的特定 AD 用户帐户没有在 AD 中检查到可继承的权限。