Exchange 2010'da 'farklı gönder' izinleri verilemiyor

Exchange 2010'da bir kullanıcıya 'farklı gönderme' izinleri vermeye çalışıyorum. İşte çalıştırdığım Powershell komutu:

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell bu hatayı döndürür:

DC.OurDomain.pri üzerinde Active Directory işlemi başarısız oldu. Bu hata alınamıyor. Ek bilgi: Erişim engellendi. Etkin dizin yanıtı: 00000005: SecErr: DSID-031521D0, sorun 4003 (INSUFF_ACCESS_RIGHTS), veri 0 + CategoryInfo: WriteError: (0: Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId: EDBB94A3, Microsoft. AddADPermission

Powershell komutuna birden fazla alternatif denedim - yani. -Identity vb. kullanarak, ancak bu ve EMC sihirbazı aynı hatayı döndürür.

"INSUFF_ACCESS_RIGHTS" komutunu çalıştıran bana mı yoksa gönderme hakları verdiğim kullanıcıya mı atıfta bulunduğundan emin değilim?

Microsoft Technet "Posta Kutusu için Gönderme İzinlerini Yönet" web sayfasını burada izliyorum : http://technet.microsoft.com/en-us/library/bb676368.aspx

Bunu yapmanız için gereken iki izni ekledik:

Organizasyon yönetimi

Alıcı Yönetimi

Ama bu yardımcı olmuyor. Herhangi bir fikir?

Güncelleme

Aşağıdakileri yaparsam:

• "Gelişmiş Özellikler" görünümü ile "AD Kullanıcıları ve Bilgisayarları" nı açın
• User1 özelliklerine gidin
• Güvenlik sekmesinde "Gelişmiş" i tıklayın
• "Ekle" yi seçin
• "Kullanıcı2" girin ve "Farklı Gönder" i seçin

ADUaC'ı kapatıp tekrar açar ve hala orada olan bu yeni izinleri yeniden kontrol edersem işe yarar. Yaklaşık 10 dakika sonra dönersem bu izinler artık yok - user2, user1'in güvenlik izinlerinde hiç görünmüyor.

Daha önce hiç bu tür bir AD davranışı gördüğümü düşünmeyin.

Sonunda bunu düzelttim.

İlginç bir şekilde Send-As bir AD izni - beklediğiniz gibi bir değişim izni değil.

Her neyse, bunlar adımlar:

Exchange Server'ınızdaki Powershell'de bu komutu kullanarak hedef posta kutusunu "paylaşılabilir" yapın:

Set-Mailbox user1 -type:shared

Bu hatayı alırsanız (ilk yazımda olduğu gibi):

Bu kullanıcıyı AD'de bulup >> Güvenlik >> Gelişmiş özelliklerine gitmeniz gerekir:

"Bu nesnenin üst öğesinden devralınabilen izinleri dahil et" seçeneğini ETKİNLEŞTİRmeniz gerekir :

Bu yapıldıktan sonra klasör paylaşım komut dosyasını tamamlayabilmeniz gerekir.

Sonra aslında bu komutu kullanarak hakları verin:

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

Umarım aynı problemi olan başkalarına yardımcı olur.

Kieran

Erişim reddedilen iletiler genellikle PowerShell oturumunu çalıştıran hesaptan yeterli izne sahip değildir. Bunu yönetici kullanıcı hesabı olarak çalıştırmak yerine Exchange Yönetim Kabuğu'nu başlattığımda her zaman alıyorum.

Güncellemenizi takiben, şüphe duyduğum şey, User1'in korumalı bir grubun (Yazdırma Operatörleri) bir parçası olması nedeniyle Exchange'in yalnızca bir sonraki saatte kaldırılacağını bildiğinden, User2'ye Farklı Gönderme izni vermenize izin vermiyor. Görünüşe göre ADUC kullanarak Farklı Gönder'i manuel olarak ekleyerek ve kısa bir süre sonra ortadan kaldırıldığını görünce teoriyi doğruladınız.

PDC Öykünücüsü FSMO rolünü çalıştıran Etki Alanı Denetleyicisi'nde her saat adminSDHolder iş parçacığı adı verilen bir şey çalışır. Bunun yaptığı, korunan gruplarda (Enterprise Admins, Domain Admins, Hesap Operatörleri, Yazdırma Operatörleri) daha yaygın olanlardan birkaçını belirtmek için (veya daha sonra kaldırılmış olsalar bile) yapılmış tüm hesapları alır ve tümünü kaldırır. nesneler üzerinde verilen izinler ve bunları açıkça belirlenmiş belirli izinlerle değiştirir. Delege edilen bir hesabın tahribatı bozmadığı ve bir alan adı yöneticisini ayrıcalıklarından kaldıramadığı fikri.

Tamamen izin verme fikrinizin işe yarayacağına ve her saat sıfırlanmayacağına tamamen ikna olmadım, ama daha önce yanılmışım - öyleyse harika! Ancak kullanıcının Yazdırma İşleçleri grubunda olması gerekmiyorsa, hesabını ADSI Düzenleyicisi'ni kullanarak değiştirmenizi ve adminCount özelliğini sıfır olarak ayarlamanızı öneririm . Ardından, kullanıcı nesnesinde devralınabilen izinleri etkinleştirin ve varsayılan izinleri sıfırlayın. Bunu yaptıktan sonra, Exchange cmdlet'inizi tekrar deneyin ve biraz şansla işe yarayacak (açıkçası AD çoğaltmasının gerçekleşmesi için yeterli zaman verin).

Dediğim gibi, ben - ben bunun için uyumlu hale getirmek için cmdlet'ini değiştirmek mümkün olacak sanmıyorum hayal Değişim izin yalnızca kaldırıldı almak için gidiyor bilir çünkü bunu yapmanıza izin vermez ki (kesin olmamakla birlikte) kısa bir süre sonra ve karışıklıktan kurtulmaya çalışıyor. "Normal" koşullar altında (yani standart bir kullanıcı), cmdlet sadece sorunsuz çalışmalıdır, çünkü tüm adminSDHolder iş parçacığı bile devreye girmez.

Bu KB'yi gördünüz mü: Kullanıcıya Exchange Server 2010 veya Exchange Server 2013'te bir Dağıtım Grubu için "farklı gönder" veya "farklı al" izni vermeye çalıştığınızda erişim reddedildi

Sebep olmak

Varsayılan olarak, Exchange Güvenilir Alt Sistemine "izinleri değiştir" izni verilmez. Bu, Add-ADPermission cmdlet'inin Erişim Reddedildi hatasıyla başarısız olmasına neden olur.

çözüm

Bu soruna geçici bir çözüm bulmak için <a0> </a0>, Exchange Güvenilir Alt Sistemi için "izinleri değiştir" izni, aşağıdaki adımları izleyerek dağıtım grubunu içeren kuruluş birimine (OU) ekleyin:

1. Active Directory Kullanıcıları ve Bilgisayarları'nı açın.
2. Görünüm'ü ve ardından Gelişmiş Özellikler'i tıklatın.
3. Dağıtım listelerini içeren OU'yu sağ tıklatın ve sonra da Özellikler 'i tıklatın.
4. Güvenlik sekmesinde Gelişmiş'i tıklatın.
5. İzinler sekmesinde Ekle'yi tıklayın.
6. Seçilecek nesne adını girin kutusuna Exchange güvenilir alt sistemi yazın ve Tamam'ı tıklatın.
7. Nesne sekmesinde, Bu nesne ve Uygula listesindeki tüm torun nesnelerini seçin, İzinler listesinde İzinleri Değiştir'i bulun ve İzin Ver olarak ayarlayın.
8. Tamam'ı tıklayın.

Bir kullanıcının hesabında bu 'kalıtım etkinleştirilmedi' ile karşılaşıldığında, o365'e geçiş ayarlanmaya çalışıldı. Exchange özellikleri içe aktarılamadı. 'Devralınabilen izinler' onay kutusunu etkinleştirmek için bu küçük yordamı yazdı.

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

Yukarıdaki çözümler sorunumu çözmedi ancak bu sorunu çözdü: http://support.risualblogs.com/blog/2012/02/07/the-user-has-ins yeterli-access-rights-error-when-trying- to-seti-send-as-izinleri-on-a-posta kutusuna-in-değişim-2010 /

Farklı Gönder izinlerini ayarlamaya çalıştığım AD kullanıcı hesabının, AD'de devralınabilen izinleri yoktu.