"没有足够的访问权限执行的操作"错误,当您尝试执行 Exchange Server 管理任务

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3096158
症状
当您尝试在多域环境中执行诸如设置邮箱和移动邮箱的 Microsoft Exchange Server 管理任务时,您将收到以下错误消息:

对 dc1.contoso.com,活动目录操作失败。此错误不是可重试。附加信息: 没有足够的访问权限来执行该操作。活动目录响应: 00002098: SecErr: DSID-03150889,问题 4003 (INSUF_ACCESS_RIGHTS) 数据 0

仅当您要针对 Exchange 通用安全组所在的域中的邮箱运行 命令 时,将出现此问题。例如,此问题 occurswhen 您正在 命令 对交换受信任子系统中的邮箱。
原因
如果在同一个目录林中的域之间启用 SID 筛选隔离,则会出现此问题。启用此功能后,交换通用安全组所在的域将放弃从其他域中的用户的任何标记的通用安全组的 Sid。这意味着对 Exchange 服务器本身,如成员交换受信任子系统,用户将不能时这些成员位于其他域中的作用的交换受信任子系统添加为成员。因为 Exchange 管理 命令 使用计算机帐户的安全上下文来更新收件人,这会导致任何尝试更新此域中的收件人失败。
解决方案
若要解决此问题,请不要启用 SID 筛选器隔离同一目录林中的域之间。有关如何禁用 SID 筛选器隔离功能的信息,请参阅以下文章:
更多信息
有关 SID 筛选器隔离的详细信息,请参阅以下文章:

警告:本文已自动翻译

属性

文章 ID:3096158 - 上次审阅时间:12/04/2015 01:35:00 - 修订版本: 1.0

  • kbsurveynew kbmt KB3096158 KbMtzh
反馈