Symptomy
Załóżmy, że utworzyć grupę dystrybucyjną na jeden Microsoft Exchange Server. W tej sytuacji nie można udzielić użytkownikom wysyłania-jako lub odbierania-jako uprawnienie do grupy dystrybucyjnej za pomocą polecenia cmdlet add-ADPermission z innych serwerów Exchange. Pojawi się komunikat podobny do poniższego:
Operacja usługi Active Directory nie powiodła się na <computer.domain.com>. Ten błąd nie jest retriable. Informacje dodatkowe: odmowa dostępu. Odpowiedź usługi Active directory: 00000005: SecErr: DSID - 031521D 0, problem 4003 (INSUFF_ACCESS_RIGHTS), dane 0 + CategoryInfo: WriteError: 0: (Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId: 5557AD82,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
W tym przykładzie <computer.domain.com> reprezentuje pełną nazwę domeny komputera.
Przyczyna
Domyślnie podsystem zaufanego programu Exchange nie przyznano uprawnienie "Modyfikowanie uprawnień". Powoduje to, że polecenia cmdlet Add-ADPermission się niepowodzeniem z błąd odmowy dostępu, w pewnych okolicznościach.
W szczególności ten błąd wystąpi w jeden z następujących okoliczności:
-
Jeśli użytkownik admin, który sprawia, że zmiany ma skojarzone skrzynki pocztowej, ten błąd występuje, jeśli właściciel modyfikowany obiekt grupy usługi Active Directory różni się od komputera, który obsługuje skrzynki pocztowej.
-
Jeśli użytkownika admin, który sprawia, że zmiany nie ma skojarzonej skrzynki pocztowej, ten błąd występuje, jeśli właściciel modyfikowany obiekt grupy usługi Active Directory różni się z komputera, na którym znajduje się Skrzynka pocztowa arbitrażu (skrzynki pocztowej arbitrażu ma nazwę, która podobny do SystemMailbox {bb558c35-97f1-4cb9-8ff7-d53741dc928c).
Rozwiązanie
Aby obejść ten problem, należy dodać uprawnienia "Modyfikowanie uprawnień" dla podsystemu zaufanego programu Exchange do jednostki organizacyjnej (OU), która zawiera grupę dystrybucyjną. Aby to zrobić, wykonaj następujące kroki:
-
Otwórz komputery i użytkownicy usługi Active Directory.
-
Wybierz Widok > Zaawansowane funkcje.
-
Kliknij prawym przyciskiem myszy jednostkę Organizacyjną, która zawiera listy dystrybucyjne, a następnie wybierz polecenie Właściwości.
-
Wybierz opcję Zabezpieczenia > Zaawansowane.
-
Wybierz uprawnienia > Dodaj.
-
W oknie Wpis uprawnienia dla < nazwa jednostki Organizacyjnej > wybierz Wybierz podmiot zabezpieczeń.
-
W polu Wprowadź nazwę obiektu do wybrania wpisz Podsystem zaufanego programu Exchange, a następnie wybierz przycisk OK.
Uwaga
Jeśli Exchange Server jest zainstalowany w domenie innej niż domena tej jednostki organizacyjnej, Podsystem zaufanego programu Exchange nie można odnaleźć w bieżącej domenie. Należy zmienić ustawienie z tej lokalizacji do domeny, w której Exchange jest zainstalowany.
-
W oknie Wpis uprawnienia dla < nazwa jednostki Organizacyjnej > Zmień wartość dotyczą na obiekty grupy elementów podrzędnych.
-
To wyczyścić wszystkie wybory uprawnienia, które zostały dodane domyślnie srzewijania do dolnej części okna, a następnie wybierz polecenie Wyczyść wszystkie.
-
W sekcji uprawnienia okna swybiera Modyfikowanie uprawnień.
-
To zastosować uprawnienia i zamknąć wszystkie okna, kliknij przycisk OK trzy razy.
