Применяется к
Exchange Server 2010 Enterprise Exchange Server 2010 Standard

Проблемы

Авторизованный пользователь или сервер не может выполнять Microsoft Exchange Server 2010 административные задачи, такие как, но не ограничиваются следующими:

  • Не удалось добавить сервер в группу доступности базы данных (DAG) с ошибкой "Доступ запрещен" (0x80070005)

  • Появляется сообщение об ошибке "Не удалось создать запись каталога IIS. Сообщение об ошибке Access отказано. При выполнении командлета get-OWAVirtualdirectory

  • Службы Microsoft Exchange 2010 не будут запускаться с событием 2604:Имя журнала: Источник приложения: MSExchange ADAccessИдентификатор события: 2604Категория задач: Общийуровень: ОшибкаОписание:Обработка MSEXCHANGEADTOPOLOGY (PID=xxxx). При обновлении безопасности для удаленного доступа к вызову процедуры (RPC) для службы топологии Exchange Active Directory Exchange не удалось получить дескриптор безопасности для объекта ExchangeServerName — код ошибки=80040a01. Служба топологии Exchange Active Directory будет продолжать работать с ограниченными разрешениями.

Причина

Сервер Exchange 2010 не входит в группу доверенных подсистем Exchange.

Решение

Добавление сервера в группу доверенной подсистемы Exchange

  1. На контроллере домена нажмите кнопку Пуск, нажмите кнопку Выполнить, введите dsa.msc, чтобы открыть оснастку Пользователи и компьютеры Active Directory, а затем нажмите кнопку ОК.

  2. выберите соответствующий домен, а затем щелкните контейнер Группы безопасности Microsoft Exchange.

  3. В области сведений дважды щелкните Доверенные подсистемы Exchange.

  4. Перейдите на вкладку Участники и добавьте сервер в список Участники.

Дополнительная информация

В Microsoft Exchange 2010 все задачи, выполняемые с объектами Exchange, должны выполняться с помощью консоли управления Exchange (EMC), командной консоли Exchange (EMS) или веб-интерфейса администрирования Exchange: Exchange панель управления (ECP). Каждое из этих средств управления использует контроль доступа на основе ролей (RBAC) для авторизации всех выполняемых задач. RBAC — это компонент, который существует на каждом сервере под управлением Exchange 2010, за исключением пограничных транспортных серверов. RBAC проверяет, авторизован ли пользователь, выполняющий действие, на это:

  • Если пользователь не авторизован на выполнение действия, RBAC не разрешает выполнение действия.

  • Если пользователь авторизован на выполнение действия, RBAC проверяет, авторизован ли пользователь на выполнение действия в отношении конкретного запрашиваемого объекта:

    • Если пользователь авторизован, RBAC позволяет продолжить действие.

    • Если пользователь не авторизован, RBAC не позволяет продолжить действие.

Если RBAC позволяет продолжить действие, действие выполняется в контексте доверенной подсистемы Exchange, а не в контексте пользователя. Доверенная подсистема Exchange — это привилегированная универсальная группа безопасности (USG), которая имеет доступ на чтение и запись к каждому связанному с Exchange объекту в организации Exchange. Он также входит в локальную группу безопасности администраторов и группу usG разрешений Windows Exchange, которая позволяет Exchange создавать объекты Active Directory и управлять ими. Дополнительные сведения о различных компонентах RBAC см. в разделе Общие сведения о контроль доступа на основе ролей.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей