Sintomas
Suponha que você crie um grupo de distribuição em um Microsoft Exchange Server. Nessa situação, você não pode conceder aos usuários a enviar-como ou receber-como permissão para o grupo de distribuição usando o cmdlet add-ADPermission de outros servidores Exchange. Você recebe uma mensagem como a seguinte:
Operação do Active Directory falhou em <computer.domain.com>. Esse erro não é passível de repetição. Informações adicionais: acesso negado. Resposta do Active directory: 00000005: SecErr: DSID - 031521D 0, problema 4003 (INSUFF_ACCESS_RIGHTS), dados 0 + CategoryInfo: WriteError: (0:Int32) [Adicionar-ADPermission], ADOperationException + FullyQualifiedErrorId: 5557AD82,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
Neste exemplo, <computer.domain.com> representa o nome de domínio totalmente qualificado do computador.
Causa
Por padrão, o subsistema confiável do Exchange não é concedido a permissão "alterar permissões". Isso faz com que o cmdlet Add-ADPermission a falhar com um erro de acesso negado em algumas circunstâncias.
Especificamente, este erro ocorrerá em qualquer uma das seguintes circunstâncias:
-
Se o usuário administrador que faz com que a alteração tiver uma caixa de correio associada, este erro ocorre se o proprietário do objeto de grupo do Active Directory está sendo modificado for diferente do computador que hospeda essa caixa de correio.
-
Se o usuário administrador que faz com que a alteração não tem uma caixa de correio associada, este erro ocorre se o proprietário do objeto de grupo do Active Directory está sendo modificado for diferente do computador que hospeda a caixa de correio de arbitragem (a caixa de correio de arbitragem tem um nome que é semelhante a {bb558c35-97f1-4cb9-8ff7-d53741dc928c) SystemMailbox.
Resolução
Para contornar esse problema, adicione a permissão "alterar permissões" para o subsistema confiável do Exchange para a unidade organizacional (UO) que contém o grupo de distribuição. Para fazer isso, execute as seguintes etapas:
-
Abra a computadores e usuários do Active Directory.
-
Selecione Exibir > recursos avançados.
-
Clique com botão direito a unidade Organizacional que contém as listas de distribuição e, em seguida, selecione Propriedades.
-
Selecione Security > Avançado.
-
Selecione permissões > Adicionar.
-
Na janela de Entrada de permissões para < nome do UO > , selecione uma entidade.
-
Na caixa Digite o nome do objeto para selecionar , digite Subsistema confiável do Exchangee, em seguida, selecione Okey.
Observação
Se o Exchange Server estiver instalado em um domínio diferente do domínio da unidade organizacional, Subsistema confiável do Exchange não pode ser encontrado no domínio atual. Será necessário alterar a configuração de local no domínio em que o Exchange está instalado.
-
Na janela de Entrada de permissões para < nome do UO > , altere o valor aplica-se a objetos de Grupo de descendente.
-
To limpar todas as seleções de permissão que foram adicionadas por padrão, sgem na parte inferior da janela e selecione Limpar tudo.
-
Na seção permissões da janela, soptar por modificar permissões.
-
O aplicar a permissão e fechar todas as janelas, selecione Okey três vezes.