每当我在 Outlook M365 桌面应用程序中通过右键单击电子邮件并选择“阻止发件人”将其移至垃圾邮件来阻止发件人时,AD/Entra Connect 中都会出现错误,提示“访问权限不足,无法执行操作“。
我通过访问 AD 用户和计算机、右键单击我的帐户并导航到:
Properties>Security选项卡 > Advanced> Restore Defaults> Apply>来解决这个问题OK,然后 AD/Entra Connect 同步就可以正常工作。
该问题与msExchBlackedSenderHash。该问题似乎影响具有以下属性的 AD 用户帐户:域管理员或者账户操作员访问。但是,解决方案在所有帐户中保持一致,需要应用前面提到的修复。
一些技术细节
- 使用 Microsoft Azure AD Connect 版本 2.2.1.0 的本地 AD
- 林和域功能级别均为 Windows Server 2016
- 两个站点/子网中有 4 个域控制器,均不是只读的
- 混合 Entra ID/Azure AD 环境,所有邮箱均位于 M365/Exchange Online 上。虽然我们正在停用 Exchange 2010,但仍有工作要做。外部电子邮件(入站到我们的域)当前直接路由到 M365。
问题
Azure AD Connect、M365 或本地 Active Directory 中是否有配置,以防止在 Outlook M365 中阻止发件人时出现“访问权限不足”错误,尤其是对于具有提升权限的帐户(例如域管理员或帐户操作员)?
是否有一个技术解释能够说明这个问题的根本原因?以及它为什么会造成问题?
答案1
这是因为您的用户帐户是受保护组的成员。因此,您的用户帐户上的权限继承被禁用,AdminSDHolder 安全描述符 ACL 应用于您的用户帐户,并且 adminCount 属性设置为 1。因此,Entra ID Connect 不具备您用户帐户所需的权限。这不是配置问题或 Entra ID Connect 的问题,您无法在 Entra ID Connect 中执行任何操作来解决这个问题。
解决方法是从所有受保护组中删除您的用户帐户,清除 adminCount 属性,然后重新启用用户帐户上的权限继承。
最佳实践要求您拥有一个单独的用户帐户来执行管理任务,并且不要将您的“日常”用户帐户包含在任何受保护的组或角色中。