Não é possível conceder permissões 'send-as' no Exchange 2010

11

Estou tentando conceder permissões 'enviar como' a um usuário no Exchange 2010. Aqui está o comando do Powershell que estou executando:

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell retorna este erro:

Active Directory operation failed on DC.OurDomain.pri. This error is not retriable. Additional information: Access is denied. Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 + CategoryInfo : WriteError: (0:Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId : EDBB94A3,Microsoft.Exchange.Management.RecipientTasks.AddADPermission

Eu tentei várias alternativas para o comando Powershell - ou seja. usando -Identity etc., mas isso e o assistente do EMC retornam o mesmo erro.

Não tenho certeza se o "INSUFF_ACCESS_RIGHTS" está se referindo a quem está executando o comando ou ao usuário para quem estou concedendo os direitos send-as?

Tenho acompanhado a "Gerenciar permissões de envio para uma caixa de correio" da Web da Microsoft Technet aqui: link

Portanto, adicionamos as duas permissões necessárias para fazer isso:

Gerenciamento da organização

Gerenciamento de destinatários

Mas isso não está ajudando. Alguma idéia?

Atualizar

Se eu fizer o seguinte:

  • abra "Usuários e computadores com AD" com a visualização "Recursos avançados"
  • Ir para as propriedades do usuário1
  • Pressione "Avançado" na guia Segurança
  • Selecione "Adicionar"
  • insira "Usuário2" e selecione "Enviar como" Permitir

Isso funciona, se eu fechar o ADUaC e abri-lo novamente e verificar novamente as novas permissões que eles ainda estão lá. Se eu retornar cerca de 10 minutos depois, essas permissões desaparecerão - o usuário2 não aparece nas permissões de segurança do user1.

Não pense que já vi esse tipo de comportamento de anúncios antes.

    
por Kieran Walsh 12.04.2011 / 11:58

5 respostas

8

Eu finalmente consertei isso.

Curiosamente, Send-As é uma permissão do AD - não uma permissão de troca como você poderia esperar.

De qualquer forma, estas são as etapas:

Torne a caixa de correio de destino "compartilhável" usando este comando no Powershell no seu Exchange Server:

Set-Mailbox user1 -type:shared

Se você receber este erro (igual ao meu primeiro post):

VocêprecisaráencontraresseusuárionoADeacessaraspropriedades>>Segurança>>Avançado:

Você precisa HABILITAR a opção "Incluir permissões herdáveis do pai desse objeto":

Depoisdisso,vocêpoderáconcluiroscriptdecompartilhamentodepasta.

Emseguida,concedaosdireitosusandoestecomando:

Add-ADPermissionuser1-UserOurdomain\User2-ExtendedRights"Send As"

Espero que ajude outras pessoas que tenham o mesmo problema.

Kieran

    
por 24.08.2011 / 14:12
4

As mensagens de acesso negado geralmente vêm da conta executando a sessão do PowerShell sem permissão suficiente. Eu recebo isso o tempo todo quando eu inicio o Shell de Gerenciamento do Exchange em vez de executar como minha conta de usuário administrativo.

Após sua atualização, o que suspeito pode estar acontecendo é que o User1 faz parte de um grupo protegido (Print Operators), portanto o Exchange não está permitindo que você conceda o Send As ao User2 porque ele sabe que só será retirado na próxima hora. Parece que você confirmou essa teoria adicionando manualmente o Send As usando o ADUC e vendo isso sendo tirado pouco tempo depois.

No Controlador de Domínio que executa a função FSMO do Emulador PDC, a cada hora, algo chamado segmento adminSDHolder é executado. O que isto faz é levar todas as contas que estão (ou já foram, mesmo que tenham sido removidas posteriormente) em grupos protegidos (Administradores de Empresa, Admins do Domínio, Operadores de Conta, Operadores de Impressão para citar alguns dos mais comuns) e remove todos permissões concedidas aos objetos e as substitui por certas permissões explicitamente definidas. A ideia é que uma conta delegada não é capaz de causar estragos e privar um administrador de domínio de seus privilégios.

Não estou totalmente convencido de que sua correção de conceder permissão explicitamente irá funcionar e não será redefinida a cada hora, mas eu estava errado antes - então, se isso acontecer, ótimo! Se, no entanto, o usuário não precisar estar no grupo Operadores de impressão, recomendo que você modifique sua conta usando o ADSI Edit e defina a propriedade adminCount como zero. Em seguida, ative as permissões herdáveis no objeto do usuário e redefina as permissões padrão. Depois de fazer isso, tente novamente o cmdlet do Exchange e, com um pouco de sorte, ele funcionará (obviamente, dê tempo suficiente para que a replicação do AD ocorra).

Eu não acho que você será capaz de modificar o seu cmdlet para acomodar isso - como eu disse, eu imagino (não tenho certeza) que ele não permitirá que você faça isso porque O Exchange sabe que a permissão só será removida logo depois e está tentando salvar a confusão de sua parte. Em circunstâncias "normais" (por exemplo, um usuário padrão), o cmdlet deve funcionar sem problemas, porque nem todo o segmento adminSDHolder entra em ação.

    
por 12.04.2011 / 19:56
1

Você já viu este KB: Acesso negado ao tentar enviar ao usuário "send-as" ou "receive as "permissão para um grupo de distribuição no Exchange Server 2010 ou Exchange Server 2013

Causa

By default Exchange Trusted Subsystem is not granted the "modify permissions" permission. This causes the Add-ADPermission cmdlet to fail with an Access Denied error.

Resolução

To work around this issue, add the "modify permissions" permission for the Exchange Trusted Subsystem to the organizational unit (OU) that contains the Distribution Group by following these steps:

  1. Open Active Directory Users and Computers.
  2. Click View, and then click Advanced Features.
  3. Right-click the OU that contains the distribution lists, and then click Properties.
  4. In the Security tab, click Advanced.
  5. In the Permissions tab, click Add.
  6. In the Enter object name to select box, type Exchange trusted subsystem, and then click OK.
  7. In the Object tab, select This object and all descendants objects in the Apply onto list, locate Modify Permissions in the Permissions list, and then set it to Allow.
  8. Click OK.
    
por 22.09.2015 / 20:46
1

Encontrou esta 'herança não habilitada' na conta de um usuário, enquanto tentava configurar a migração para o365. Não foi possível importar as propriedades do Exchange. Escreveu essa pequena rotina para ativar a caixa de seleção "Permissões herdáveis".

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}
    
por 11.08.2017 / 21:58
0

As soluções acima não resolveram meu problema, mas este foi o seguinte: link

A conta de usuário do AD em particular na qual eu estava tentando definir o Send As perms não tinha permissões herdáveis verificadas no AD.

    
por 25.04.2016 / 20:55