症状
假设您在一个 Microsoft Exchange Server 上创建一个通讯组。在此情况下,您不能授予用户发送的作为或接收-为使用来自其他 Exchange 服务器添加 ADPermission cmdlet 的通讯组的权限。您会收到一条消息,如下所示:
对 <computer.domain.com>,活动目录操作失败。此错误不是可重试。附加信息: 访问被拒绝。 活动目录响应: 00000005: SecErr: DSID-031521 D 0、 问题 4003 (INSUFF_ACCESS_RIGHTS) 数据 0 + CategoryInfo: WriteError: (0:Int32) [添加-ADPermission],ADOperationException + FullyQualifiedErrorId: 5557AD82,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
在此示例中,<computer.domain.com> 表示该计算机的完全合格的域名称。
原因
默认情况下,Exchange 受信任子系统不授予"修改权限"权限。这将导致添加 ADPermission cmdlet 失败,并在某些情况下出现访问被拒绝错误信息。
具体而言,在下列情况下将发生此错误:
-
如果进行更改的管理员用户具有关联的邮箱,如果正在修改的 Active Directory 组对象的所有者与承载该邮箱的计算机,将出现此错误。
-
如果正在修改的 Active Directory 组对象的所有者与仲裁邮箱的计算机进行更改的管理员用户不具有关联的邮箱,如果出现此错误 (仲裁邮箱都有一个名称,类似于SystemMailbox {bb558c35-97f1-4cb9-8ff7-d53741dc928c)。
解决方案
若要变通解决此问题,请添加到包含该通讯组的组织单位 (OU) 交换受信任子系统"修改权限"的权限。若要执行此操作,请执行以下步骤:
-
打开Active Directory 用户和计算机。
-
选择视图 > 的高级功能。
-
此 OU 包含通讯组列表中,用鼠标右键单击,然后选择属性。
-
选择安全性>高级。
-
选择权限>添加。
-
在< OU 名称 > 的权限项目窗口中,选择选择主体。
-
在输入对象名称来选择框中,键入Exchange 受信任的子系统,然后选择确定。
注意
如果 Exchange Server 安装在此组织单位的域以外的域中,交换受信任子系统可能找到当前域中。它将有必要将从该位置设置更改为在其中安装 Exchange 域。
-
在< OU 名称 > 的权限项目窗口中,对后代组对象更改的适用于值。
-
To 清除所有权限选择已添加默认情况下,scroll 到底部的窗口和都清除所有选择都。
-
在窗口中的权限部分中 s选择修改权限。
-
To 应用权限并关闭所有窗口,选择确定三次。
