无法在 Exchange 2010 中授予“以...身份发送”权限

无法在 Exchange 2010 中授予“以...身份发送”权限

我正在尝试向 Exchange 2010 中的一位用户授予“以...身份发送”权限。这是我正在运行的 Powershell 命令:

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell 返回此错误:

DC.OurDomain.pri 上的 Active Directory 操作失败。此错误不可重试。其他信息:访问被拒绝。Active Directory 响应:00000005:SecErr:DSID-031521D0,问题 4003 (INSUFF_ACCESS_RIGHTS),数据 0 + CategoryInfo:WriteError:(0:Int32) [Add-ADPermission],ADOperationException + FullyQualifiedErrorId:EDBB94A3,Microsoft.Exchange.Management.RecipientTasks.AddADPermission

我尝试了 Powershell 命令的多种替代方法 - 例如使用 -Identity 等,但它和 EMC 向导都返回相同的错误。

我不确定“缺乏访问权限”是指谁在运行该命令或我授予其发送权限的用户?

我一直在关注 Microsoft Technet“管理邮箱的发送权限”网页在这里: http://technet.microsoft.com/en-us/library/bb676368.aspx

因此添加了执行此操作所需的两个权限:

组织管理

收件人管理

但这没有帮助。有什么想法吗?

更新

如果我执行以下操作:

  • 使用“高级功能”视图打开“AD 用户和计算机”
  • 转到 User1 的属性
  • 在“安全”选项卡上点击“高级”
  • 选择“添加”
  • 输入“User2”并选择“发送为”允许

这有效,如果我关闭 ADUaC 并再次打开它并重新检查这些新权限,它们仍然存在。如果我大约 10 分钟后返回,这些权限现在消失了 - user2 根本不显示在 user1 的安全权限中。

我觉得我以前从未见过这种 AD 行为。

答案1

我终于解决了这个问题。

有趣的是,Send-As 是一种 AD 权限,而不是您可能期望的交换权限。

无论如何,这些是步骤:

在 Exchange Server 上的 Powershell 中使用此命令使目标邮箱“可共享”:

Set-Mailbox user1 -type:shared

如果您收到此错误(与我的第一篇文章相同): AD 故障

您需要在 AD 中找到该用户并转到属性 >> 安全 >> 高级:

AD 属性

你需要使能够“包括从该对象的父级继承的权限”选项:

在此处输入图片描述

完成后您应该能够完成文件夹共享脚本。

然后使用此命令实际授予权限:

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

希望能够帮助遇到同样问题的人。

基兰

答案2

拒绝访问消息通常来自运行 PowerShell 会话的帐户没有足够的权限。我收到此消息每时每刻当我仅启动 Exchange 命令行管理程序而不是以管理用户帐户身份运行时。

根据您的更新,我怀疑可能发生的情况是,User1 属于受保护组(打印操作员),因此 Exchange 不允许您授予 User2 以发送身份的权限,因为它知道该权限将在下一小时内被剥夺。看来您通过使用 ADUC 手动添加以发送身份并在短时间内将其删除,证实了这一理论。

在运行 PDC Emulator FSMO 角色的域控制器上,每小时都会运行一个称为 adminSDHolder 线程的程序。该程序的作用是获取受保护组(企业管理员、域管理员、帐户操作员、打印操作员等一些较常见的帐户)中的所有帐户(或曾经是,即使后来被删除),并删除授予对象的所有权限,并用某些明确定义的权限替换它们。这样做的目的是,委托帐户不能造成破坏并剥夺域管理员的特权。

我并不完全相信你明确授予权限的修复会起作用,并且不会每小时重置一次,但我以前也犯过错 - 所以如果确实如此,那就太好了!但是,如果用户不需要加入打印操作员组,我建议你使用 ADSI Edit 修改他们的帐户,并设置管理员数量属性设置为零。然后启用用户对象的可继承权限并重置默认权限。完成此操作后,再次尝试 Exchange cmdlet,如果运气好的话,它会起作用(显然要给 AD 复制足够的时间)。

我不认为你能修改你的 cmdlet 来适应这种情况 - 就像我说的,我想象(虽然不确定)它不会让您这样做,因为 Exchange 知道权限很快就会被删除,并试图避免让您感到困惑。在“正常”情况下(即标准用户),cmdlet 应该可以正常工作,因为整个 adminSDHolder 线程甚至不会发挥作用。

答案3

你看过这个知识库吗:当您尝试向用户授予 Exchange Server 2010 或 Exchange Server 2013 中通讯组的“发送为”或“接收为”权限时,访问被拒绝

原因

默认情况下,Exchange Trusted Subsystem 未获得“修改权限”权限。这会导致 Add-ADPermission cmdlet 失败并出现“访问被拒绝”错误。

解决

要解决此问题,请按照以下步骤将 Exchange 受信任子系统的“修改权限”权限添加到包含通讯组的组织单位 (OU):

  1. 打开 Active Directory 用户和计算机。
  2. 单击“查看”,然后单击“高级功能”。
  3. 右键单击包含通讯组列表的 OU,然后单击“属性”。
  4. 在“安全”选项卡中,单击“高级”。
  5. 在权限选项卡中,单击添加。
  6. 在“输入要选择的对象名称”框中,键入 Exchange 受信任子系统,然后单击“确定”。
  7. 在“对象”选项卡中,在“应用到”列表中选择“此对象及其所有后代对象”,在“权限”列表中找到“修改权限”,然后将其设置为“允许”。
  8. 单击“确定”。

答案4

上述解决方案没有解决我的问题,但这个解决了: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-to-set-send-as-permissions-on-a-mailbox-in-exchange-2010/

我尝试设置“以身份发送”权限的特定 AD 用户帐户没有在 AD 中检查到可继承的权限。

相关内容