我需要在 Exchange 2013 中为共享邮箱添加“发送为”权限,但我需要在 AD 组上授予该权限。我已经通过 powershell 向该组添加了 FullAcceess,并且将组添加到“发送为”的命令也有效,但在设置权限后一段时间,它会恢复为未设置。这是我使用的命令:
Get-Mailbox "name" | Add-ADPermission -User "group" -ExtendedRights "Send As"
EAC 显示权限已应用,但大约一小时后权限就消失了。是我做错了什么,还是无法向 AD 组授予“发送为”权限?
答案1
这是个什么样的团体?
任何成员或该组本身是否是受保护组的成员(域管理员、管理员等 - 完整列表在此处:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory)。如果是,则 Exchange 将自动删除这些权限。
答案2
同意 Sembee 的观点。
这种行为似乎与 AD 中的保护组有关。
要查找域中受 AdminSDHolder 保护的所有用户对象,请键入:
获取 ADUser -LDAPFilter "(objectcategory=person)(samaccountname=*)(admincount=1)"
要查找域中受 AdminSDHolder 保护的所有组,请输入:
获取 ADGroup -LDAPFilter "(objectcategory=group)(admincount=1)"
如果组属于受保护组,则通过修改用户对象的安全描述符来委派完全访问权限。因此,如果用户/组是受保护组的成员,则更改将在大约一小时内被覆盖。