我经常使用 PowerShell () 在运行 Exchange Servers (2010、2013) 的各种 Windows Server 上添加模拟权限New-ManagementRoleAssignment –Name:impersonationAssignmentName –Role:ApplicationImpersonation –User: <account name>。
问题是这些权限需要很长时间才能真正应用并生效。有什么方法可以加快这个过程吗?
解决方法是,我只需重启机器即可,但是,虽然我可以在实验室中自由地这样做,但在生产环境中却无法承受这种奢侈。我正在寻找gpudate /force可以立即应用模拟权限更改的方法。
答案1
管理角色分配存储在 Active Directory 中的通用安全组中 - 特别是在OU=Microsoft Exchange Security Groups,DC=forestroot,DC=tld,假设您的林根 FQDN 是forestroot.tld
如果您在不同的 AD 站点中拥有 Exchange 服务器,并且 RBAC 更改需要很长时间才能应用于远程站点中的服务器,则可以强制在远程站点中复制林根域的默认命名上下文:
repadmin /replicate remotedc01 hubdc01 "DC=forestroot,DC=tld"
如果您不介意一点复制风暴,请使用:
repadmin /replicate remote* "DC=forestroot,DC=tld" /allsources
这将导致名称以“remote”开头的所有域控制器从所有复制伙伴复制默认命名上下文