Не удается предоставить разрешения «отправить как» в Exchange 2010

Я наконец исправил это.

Интересно, что Send-As - это разрешение AD, а не разрешение на обмен, как вы могли ожидать.

В любом случае, вот шаги:

Сделайте целевой почтовый ящик «общедоступным» с помощью этой команды в Powershell на вашем сервере Exchange:

Set-Mailbox user1 -type:shared

Если вы получите эту ошибку (как в моем первом посте):

Вам нужно будет найти этого пользователя в AD и перейти к свойствам >> Безопасность >> Дополнительно:

Тебе надо ВКЛЮЧИТЬ параметр «Включить наследуемые разрешения от родительского объекта этого объекта»:

Как только это будет сделано, вы сможете завершить сценарий общего доступа к папке.

Затем фактически предоставьте права с помощью этой команды:

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

Надеюсь, что это поможет другим, у кого такая же проблема.

Киран

Сообщения об отказе в доступе обычно поступают из учетной записи, в которой запущен сеанс PowerShell, у которого недостаточно прав. Я понял это все время когда я просто запускаю командную консоль Exchange вместо того, чтобы запускать ее как учетную запись администратора.

Я подозреваю, что после вашего обновления может происходить то, что User1 является частью защищенной группы (Операторы печати), поэтому Exchange не позволяет вам предоставлять «Отправить как» для User2, поскольку он знает, что он будет отключен только в течение следующего часа. Похоже, вы подтвердили эту теорию, вручную добавив «Отправить как» с помощью ADUC и увидев, что через некоторое время ее убрали.

На контроллере домена, который выполняет роль FSMO эмулятора PDC, каждый час запускается что-то, называемое потоком adminSDHolder. Это берет все учетные записи, которые находятся (или когда-либо были, даже если они впоследствии были удалены) в защищенных группах (администраторы предприятия, администраторы домена, операторы учетных записей, операторы печати, чтобы назвать некоторые из наиболее распространенных), и удаляет все разрешения, предоставленные объектам, и заменяет их определенными явно определенными разрешениями. Идея состоит в том, что делегированная учетная запись не может нанести ущерб и лишить администратора домена их привилегий.

Я не совсем уверен, что ваше исправление явного предоставления разрешения сработает и не будет сбрасываться каждый час, но я ошибался раньше - так что если это так, отлично! Если, однако, пользователю не обязательно быть в группе «Операторы печати», я бы рекомендовал вам изменить его учетную запись с помощью ADSI Edit и установить adminCount собственность на ноль. Затем включите наследуемые разрешения для объекта пользователя и сбросьте разрешения по умолчанию. Как только вы это сделаете, попробуйте еще раз свой командлет Exchange, и, если повезет, он заработает (очевидно, дайте достаточно времени для репликации AD).

Я не думаю, что вы сможете изменить свой командлет, чтобы приспособиться к этому - как я уже сказал, я представить (хотя и не уверен), что он не позволит вам это сделать, потому что Exchange знает, что разрешение будет удалено только вскоре после этого, и пытается сохранить путаницу с вашей стороны. В «нормальных» условиях (например, у обычного пользователя) командлет должен работать без проблем, потому что весь поток adminSDHolder даже не вступает в игру.

Обнаружено это «наследование не включено» в учетной записи пользователя при попытке настроить миграцию на o365. Не удалось импортировать свойства Exchange. Написал эту небольшую процедуру для включения флажка «наследуемые разрешения».

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

Вы видели этот КБ: Отказано в доступе при попытке предоставить пользователю разрешение «отправить как» или «получить как» для группы рассылки в Exchange Server 2010 или Exchange Server 2013

Причина

По умолчанию доверенной подсистеме Exchange не предоставляется разрешение на изменение. Это приводит к сбою командлета Add-ADPermission с ошибкой «Доступ запрещен».

разрешение

Чтобы обойти эту проблему, добавьте разрешение «на изменение разрешений» для доверенной подсистемы Exchange в подразделение (OU), которое содержит группу рассылки, выполнив следующие действия:

1. Откройте «Пользователи и компьютеры Active Directory».
2. Щелкните Просмотр, а затем щелкните Дополнительные функции.
3. Щелкните правой кнопкой мыши подразделение, содержащее списки рассылки, и выберите команду Свойства.
4. На вкладке «Безопасность» нажмите «Дополнительно».
5. На вкладке "Разрешения" нажмите "Добавить".
6. В поле Введите имя объекта для выбора введите доверенная подсистема Exchange и нажмите кнопку ОК.
7. На вкладке «Объект» выберите «Этот объект и все дочерние объекты» в списке «Применить к», найдите «Изменить разрешения» в списке «Разрешения» и установите для него значение «Разрешить».
8. Щелкните ОК.

Вышеупомянутые решения не решили мою проблему, но это помогло: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-to-set-send-as-permissions-on-a- почтовый ящик-в-обмен-2010 /

Конкретная учетная запись пользователя AD, для которой я пытался установить разрешения «Отправить как», не имела наследуемых разрешений, проверенных в AD.