在Exchange 2010中无法提供“发送”权限
我试图给Exchange 2010中的一个用户“发送”权限。下面是我正在运行的Powershell命令:
Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As" Powershell返回这个错误:
Active Directory操作在DC.OurDomain.pri上失败。 这个错误是不可回溯的。 其他信息:访问被拒绝。 活动目录响应:00000005:SecErr:DSID-031521D0,问题4003(INSUFF_ACCESS_RIGHTS),数据0 + CategoryInfo:WriteError:(0:Int32)[Add-ADPermission],ADOperationException + FullyQualifiedErrorId:EDBB94A3,Microsoft.Exchange.Management.RecipientTasks。 AddADPermission
我已经尝试了多个Powershell命令的替代品 – 即。 使用-Identity等,但那和EMC向导都返回相同的错误。
我不确定是否“INSUFF_ACCESS_RIGHTS”是指我正在运行命令的用户还是指向正在发送的权限的用户?
我一直在关注Microsoft Technet “pipe理邮箱的发送权限”网页: http : //technet.microsoft.com/en-us/library/bb676368.aspx
所以已经添加了你需要这两个权限:
组织pipe理
收件人pipe理
但是这没有帮助。 有任何想法吗?
更新
如果我做到以下几点:
- 使用“高级function”视图打开“AD用户和计算机”
- 转到User1的属性
- 在安全选项卡上点击“高级”
- select“添加”
- input“用户2”并select“发送”允许
这是有效的,如果我closuresADUaC并再次打开并重新检查这些新的权限,他们仍然存在。 如果我大约10分钟后返回,那么这些权限现在已经消失 – user2完全不会显示在user1的安全权限中。
不要以为我以前见过这种AD行为。
我终于解决了这个问题。
有趣的是,“发送”是一个AD许可,而不是您可能预期的交换许可。
无论如何,这些步骤是:
使用Exchange Server上Powershell中的此命令使目标邮箱“可共享”:
Set-Mailbox user1 -type:shared
如果你得到这个错误(和我的第一篇文章一样): 
您将需要在AD中find该用户,然后转到属性>> Security >> Advanced:
您需要启用 “从此对象的父项包含可inheritance权限”选项:
一旦完成,你应该能够完成文件夹共享脚本。
然后实际上使用这个命令授予权限:
Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"
希望能帮助有同样问题的人。
基兰
访问被拒绝的消息通常来自运行PowerShell会话的帐户没有足够的权限。 当我刚刚启动Exchange命令行pipe理程序而不是作为pipe理用户帐户运行时,我一直都在使用这个function。
在更新之后,我怀疑可能发生的是User1是受保护组(Print Operators)的一部分,因此Exchange不允许您在User2上授予“发送为”,因为它知道它只会在下一小时内被剥离。 看起来您已经通过手动添加使用ADUC的“另存为”(Send As)并在短时间内将其删除后证实了这一理论。
在运行PDC模拟器FSMOangular色的域控制器上,每小时运行一个名为adminSDHolder的线程。 这个function是将所有在受保护的组(Enterprise Admins,Domain Admins,Account Operators,Print Operators命名为几个更常见的帐户)中的帐户(即使这些帐户已经被删除)在对象上授予的权限,并用某些明确定义的权限replace它们。 这个想法是,一个委托帐户是不能破坏他们的权限的域pipe理员。
我不是完全相信你的明确授予权限的方法是可行的,并且不会每小时重置一次,但是我以前错了 – 所以如果是这样的话,太好了! 但是,如果用户不需要在打印操作员组中,我build议您使用ADSI Edit修改其帐户,并将adminCount属性设置为零。 然后启用用户对象的可inheritance权限并重置默认权限。 一旦你完成了,再次尝试你的Exchange cmdlet,运行一下就可以工作了(显然给AD复制发生足够的时间)。
我不认为你可以修改你的cmdlet来适应这个 – 就像我说的那样,我想 (不能确定)它不会让你这样做,因为Exchange知道权限只会被删除不久之后,并试图为您解决困惑。 在“正常”情况下(即标准用户),cmdlet应该没有问题,因为整个adminSDHolder线程甚至都不起作用。
您是否看到过这样的知识库: 当您尝试为Exchange Server 2010或Exchange Server 2013中的通讯组授予用户“send-as”或“receive as”权限时,拒绝访问
原因
默认情况下,Exchange受信任的子系统未被授予“修改权限”权限。 这会导致Add-ADPermission cmdlet失败并显示Access Denied错误。
parsing度
要解决此问题,请按照以下步骤将Exchange Trusted Subsystem的“修改权限”权限添加到包含通讯组的组织单位(OU)中:
- 打开Active Directory用户和计算机。
- 单击查看,然后单击高级function。
- 用鼠标右键单击包含通讯组列表的OU,然后单击属性。
- 在安全选项卡上,单击高级。
- 在“权限”选项卡中,单击“添加”。
- 在input对象名称来select框中键入Exchange受信任的子系统,然后单击确定。
- 在“对象”选项卡中,select“应用于”列表中的“此对象和所有后代”对象,在“权限”列表中find“修改权限”,然后将其设置为“允许”。
- 点击OK。
遇到这个“未启用inheritance”的用户的帐户,而试图设置迁移到o365。 无法导入Exchange属性。 写了这个小例程来启用“可inheritance权限”checkbox。
$user = Get-ADuser -Filter "(displayname -eq "Joe Cool") $ou = [ADSI](“LDAP://” + $user) $sec = $ou.psbase.objectSecurity If ($sec.get_AreAccessRulesProtected()) { $isProtected = $false ## allows inheritance $preserveInheritance = $true ## preserver inhreited rules $sec.SetAccessRuleProtection($isProtected, $preserveInheritance) $ou.psbase.commitchanges() Write-Host “$user is now inherting permissions”; }
上述解决scheme没有解决我的问题,但这样做: http : //support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-对设置发送-AS-权限上,一个邮箱,在交换-2010 /
我试图设置Send As perms的特定AD用户帐户没有在AD中检查的可inheritance权限。