Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Nhiều nhóm đoàn khắc phục sự cố Exchange Online vNext khách hàng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3064053
Triệu chứng
Microsoft Exchange Online vNext khách hàng gặp sự cố với quyền "truy cập đầy đủ", "gửi dưới dạng" quyền và đại diện truy cập các đối tượng trong môi trường khác nhau.
Nguyên nhân
Cho nhiều nhóm đoàn (bao gồm cả quyền "gửi dưới dạng" và "truy cập đầy đủ") để hoạt động như mong đợi, nhiều requirementsmust được đáp ứng.
Giải pháp
Ủy nhiệm nhóm nhiều yêu cầu một cấu hình cụ thể trong đám mây và môi trường bản ghi dịch vụ miền danh mục hiện hoạt (AD DS) tại chỗ. Dưới đây là hai kịch bản khắc phục sự cố phổ biến.
  • Người đại diện/Delegator
  • Người dùng truy cập đầy đủ và gửi quyền hộp thư dùng chung

Người đại diện/Delegator

Tổng quan

Trong trường hợp này, người đại diện có thể xem các cặp trong hộp thư của delegator. Người đại diện có quyền "gửi thay cho" delegator của hộp thư. Người đại diện được thêm vào thuộc tínhpublicDelegates (mà được gọi là các thuộc tính GrantSendOnBehalfTo trong Exchange)trên delegator của hộp thư và được mục cấp quyền truy cập vào mục tin thư thoại hộp thư. Tình huống này yêu cầu sau:
  1. Khả năng thêm người dùng từ một nhóm như người đại diện.

    Các đối tượng cho mỗi người dùng phải tồn tại trong môi trường tại chỗ và ảo. Người dùng sẽ có một đối tượng hộp thư trong một môi trường và người dùng kích hoạt thư trong môi trường khác. Người dùng kích hoạt thư được thêm vào một người đại diện, giá trị của thuộc tínhmsExchRecipientDisplayType phải được đặt -1073741818. Giá trị này cho phép các đối tượng được "ACLable", hoặc nó có thể được thêm vào một điều khiển danh sách truy nhập (ACL). Outlook nhận dạng đối tượng này, được thêm vào như một người đại diện mặc dù nó không phải là một hộp thư trong môi trường Exchange của delegator.

    theo mặc định, giá trị này được cấu hình trong đám mây. Tuy nhiên, khách hàng phải lập trình để cập nhật các giá trị này cho tất cả thư cho phép người dùng trong môi trường Exchange tại chỗ (đại diện cho hộp thư đám mây). Bắt đầu từ Exchange 2013 CU 10 (cài đặt Exchange tại chỗ), tất cả người dùng thư sẽ đặt thuộc tính phù hợp vớimsExchRecipientDisplayType .

    Cho đến khi CU10 được phát hành

    Khách hàng có thể cập nhật cung cấp các kịch bản hoặc quá trình thiết lập bất kỳ hộp thư từ xa được cung cấp mới là ACLable. Điều gì đó tương tự như ví dụ sau sẽ được tích hợp vào quá trình cung cấp. Chạy lệnh sau đây dựa trên cơ sở quảng cáo cho các đối tượng RemoteMailbox , thể hiện như một đối tượng người dùng thư.

    Ví dụ:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    Trong tương lai phát hành công khai Exchange Server 2013 CU10, trường hợp mới được phát hành mà quản trị viên có thể thực hiện một thay đổi tổ chức để đặt các đối tượng synched là ACLable trong Outlook. Sau đó, cuộc gọi đến bản ghi dịch vụ sao chép hộp thư (MRS) sẽ cho phép chỗ Meu là ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. Khả năng truy cập vào mục tin thư thoại hộp thư qua-nhóm trong Outlook.

    Chức năng này có sẵn trong máy tính khách đang chạy Office Outlook 2007 SP1 hoặc phiên bản mới hơn.
  3. Khả năng cho người đại diện cho đại diện cho delegator.

    Cho phép "gửi thay mặt" tồn tại trong môi trường lưu trữ ứng dụng hộp thư delegator khi người đại diện được thêm vào Outlook. Quyền này được khi các thuộc tính publicDelegatesquảng cáo được đặt trong một môi trường được đồng bộ hoá với một môi trường sử dụng đồng bộ hóa AD Azure (AAD Sync). Tên thuộc tính trong Exchange làGrantSendOnBehalfTo.

    theo mặc định, giá trị của thuộc tính này được đồng bộ hoá từ môi trường tại chỗ tới đám mây. Tuy nhiên giá trị không đồng bộ hoá từ đám mây môi trường tại chỗ. Khách hàng phải tạo biến đổi thủ công trong AAD Sync lưu thuộc tính này vào mục tin thư thoại của họ. Những biến đổi phải được cấu hình của khách hàng trong cài đặt chuyên biệt của họ AAD Sync.
    • Đến mới đồng bộ hoá dòng từ đám mây AD với metaverse cục bộ
      FlowType = trực tiếp
      Thuộc tính target = publicDelegates
      Nguồn = cloudPublicDelegates
    • Đồng bộ hóa dòng metaverse cục bộ vào chỗ đi quảng cáo
      FlowType = trực tiếp
      Thuộc tính target = publicDelegates
      Nguồn = publicDelegates

    Điều này có nghĩa là người đại diện bị xoá khỏi hộp thư của delegator ảo, và sau đó thay đổi được đồng bộ hoá môi trường tại chỗ bằng AAD Sync.

    Lưu ý theo mặc định, các phiên bản sắp tới của AADConnect sẽ lưu thuộc tính này xuống từ Azure.

Tính năng trách nhiệm

Đối với khách hàng:
  • Đồng bộ hoá AAD theo cách thủ công chuyển thuộc tính publicDelegates từ đám mây trên cơ sở quảng cáo.
  • Người dùng kích hoạt thư tại chỗ quảng cáo phải đặt giá trị của thuộc tínhmsExchRecipientDisplayType -1073741818(đây là giá trị mặc định trong Exchange 2013 CU9 và phiên bản mới hơn). Do đó, chúng là ACLable.
Microsoft:
  • Chuyển tiếp đồng bộ hoá từ Azure AD Exchange trực tuyến

    Khi một thuộc tính được đồng bộ hoá với AAD Sync Azure quảng cáo, quá trình đồng bộ hoá tiếp sẽ đồng bộ hoá các giá trị phù hợp trong Exchange trực tuyến.
  • Người dùng kích hoạt thư ảo phải đặt giá trị của thuộc tínhmsExchRecipientDisplayType -1073741818. Do đó, chúng là ACLable (Office 365 dành cho khách hàng).
  • BackSync chuyển các thuộc tính CloudPublicDelegates từ Exchange Online Azure quảng cáo. Điều này cho phép khách hàng AAD chuyển đổi đồng bộ dòng giá trị từ Azure tại chỗ quảng cáo (Office 365 dành cho khách hàng).

Khắc phục sự cố

Nếu một người dùng báo cáo vấn đề về hoàn thành người đại diện liên quan đến công việc rất quan trọng để thực hiện theo các bước sau:
  1. Phạm vi trường hợp thích hợp.
    • Người báo cáo sự cố - người đại diện hoặc delegator?
    • Vấn đề họ thấy là gì, ví dụ: người dùng không thể thêm người đại diện mới, không thể loại bỏ người đại diện hoặc người đại diện không thể gửi thay mặt hoặc truy cập vào một mục tin thư thoại cụ thể?
  2. Kiểm tra publicDelegates thuộc tính (được gọi là GrantSendonBehalfTo thuộc tính trong Exchange) từ chỗ quảng cáo và Azure AD để xác nhận rằng các quyền được cấu hình đúng.
    1. Thuộc tính Thư mục Họat động trên cơ sở có thể được xuất khẩu bằng cách sử dụng Windows PowerShell Thư mục Họat động mô-đun.
    2. Thuộc tính Thư mục Họat động xanh có thể được xuất khẩu bằng cách sử dụng mô-đun Azure AD (tải xuống và hướng dẫn tạiQuản lý Azure AD bằng Windows PowerShell).
  3. Dựa trên thông tin được cung cấp, kiểm tra tổng quan về các tính năng và trách nhiệm để xác định vị trí sai có thể tồn tại.

Người dùng truy cập đầy đủ và gửi quyền hộp thư dùng chung

Tổng quan

Các đối tượng cho mỗi người dùng phải tồn tại trong môi trường máy chủ ảo và tại chỗ. Người dùng sẽ có một đối tượng hộp thư trong một môi trường và người dùng kích hoạt thư trong môi trường khác. Gửi và quyền truy cập đầy đủ được lưu trữ trong danh sách điều khiển truy nhập (ACL) trong đối tượng người dùng và không được sao chép bằng AAD Sync. Gửi như quyền được chọn trong môi trường của hộp thư của người gửi hoặc người đại diện. Điều này có thể thêm phức tạp cho các trường hợp liên quan đến người đại diện và các hộp thư dùng chung trong môi trường khác nhau. Quyền truy cập đầy đủ người dùng cho phép truy cập vào hộp thư không bị ảnh hưởng bởi các hộp thư trong môi trường khác nhau. Trong một môi trường kết hợp, nó có mong muốn gửi đó như quyền có thể được quản lý trên hai đối tượng.

Gửi như quyền ảo được quản lý bằng cách sử dụng lệnh Exchange Online Thêm RecipientPermission. Gửi tại chỗ được quản lý bằng cách sử dụng lệnh Exchange, quyền Thêm ADPermission.

Quyền truy cập được quản lý bằng cách sử dụng cácAdd-MailboxPermission lệnh ghép ngắn.

Có hai trường hợp liên quan đến quyền:
  1. Người đại diện thư là tại chỗ và hộp thư dùng chung là đám mây.

    Khi hộp thư dùng chung được di chuyển tới đám mây, bản ghi dịch vụ sao chép hộp thư Exchange (MRS) sẽ sao chép đầy đủ phép truy nhập và gửi cho phép ACLs trong quá trình di chuyển. Tất cả các quyền được đặt trong hộp thư sẽ được chuyển và sẽ vẫn còn trên người dùng kích hoạt thư trong môi trường tại chỗ. Người đại diện sẽ tiếp tục có thể gửi và truy cập hộp thư bởi vì các quyền tồn tại trên các đối tượng trong môi trường tại chỗ. Nếu sau đó người đại diện được di chuyển tới đám mây, không có thay đổi bổ sung được yêu cầu. Họ sẽ tiếp tục có thể gửi dưới dạng hộp vì quyền tồn tại trên hộp ảo. Nếu quyền được thay đổi sau khi hộp thư được di chuyển, bước bổ sung có thể được yêu cầu.
  2. Người đại diện thư ở ảo, và hộp thư dùng chung trên cơ sở.

    Gửiquyền

    Gửi như quyền phải được thêm vào đối tượng hỗ trợ thư ảo hộp thư dùng chung. Khách hàng có thể chuẩn bị di chuyển hoàn thành quét một lần quyền hộp thư trong môi trường tại chỗ và tự thêm các quyền cho các đối tượng ảo. Bất kỳ gửi là quyền được thay đổi sau khi di chuyển hộp thư phải được Cập Nhật theo cách thủ công vào các đối tượng hộp thư dùng chung trong cả hai môi trường.

    Truy cập đầy đủquyền

    Quyền truy cập đầy đủ sẽ vẫn còn trên hộp thư tại chỗ sau khi di chuyển. Bước bổ sung có thể được yêu cầu khi bạn thêm quyền mới.

Tính năng trách nhiệm

Đối với khách hàng:
  • quản lý quyền tại chỗ và đám mây môi trường Exchange

Khắc phục sự cố

  1. Phạm vi trường hợp thích hợp:
    • Hộp thư dùng chung và người dùng nào có liên quan?
    • môi trường lưu trữ ứng dụng hộp thư mỗi?
  2. Yêu cầu đồng gửi quảng cáo quyền từ chỗ quảng cáo và Exchange Online:
    1. Tại chỗ quảng cáo thuộc tính có thể được xuất khẩu bằng cách sử dụng Windows PowerShell Thư mục Họat động mô-đun:
    2. Exchange Online quyền có thể được xuất khẩu bằng cách sử dụng PowerShell từ xa (RPS):
  3. Dựa trên thông tin được cung cấp, kiểm tra tổng quan về các tính năng và trách nhiệm để xác định vị trí sai có thể tồn tại.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3064053 - Xem lại Lần cuối: 07/07/2015 23:25:00 - Bản sửa đổi: 1.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtvi
Phản hồi