跨樹系委派疑難排解 Office 365 Dedicated/ITAR 客戶 (vNext)

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3064053
徵狀
Microsoft Exchange Online 的 vNext 客戶會有的 「 完整存取 」 權限問題、 「 以下列傳送 」 權限,和代理人在不同環境中的物件的存取權限。
發生的原因
跨樹系 (包括 「 完整存取 」 和 「 以下列傳送 」 權限) 的委派能夠如預期般,符合多個 requirementsmust。
解決方案
跨樹系委派需要特定的組態定域機組中,並先 Active Directory 網域服務 (AD DS) 環境中。以下是兩種常見的疑難排解案例。
  • 委派/委派人
  • 完整的使用者存取 」 及 「 傳送為共用信箱的權限

委派/委派人

概觀

在這個案例中,委派可以檢視特定委派者的信箱中的資料夾。委派也具有委派者的信箱"代表傳送 」 權限。委派會加入至publicDelegates屬性(這就所謂的交換中的GrantSendOnBehalfTo屬性)上委派者的信箱,而授與信箱資料夾的資料夾層級權限。這種情況下需要下列項目:
  1. 若要新增為代理人的另一個樹系的使用者能力。

    每個使用者的物件必須位於定域機組,並先環境而定。使用者會在一個環境中的信箱物件,並在其他環境中擁有郵件功能的使用者。若要新增至委派的擁有郵件功能的使用者,msExchRecipientDisplayType屬性的值必須設-1073741818。這個值會使物件ACLable,或者它可以讓新增到存取控制清單 (ACL) 的物件。Outlook 會辨識這個物件,即使它不是在委派者的 Exchange 環境中的信箱新增為代理人。

    根據預設,這個值被設定定域機組中。不過,客戶必須設定來更新這個值 (表示定域機組信箱) 其先 Exchange 環境中所有擁有郵件功能的使用者的處理程序。在 Exchange 啟動 2013 CU10 (先 Exchange 安裝),所有的郵件使用者,會將適當的msExchRecipientDisplayType屬性的設定。

    傳統的專用的客戶將移至 vNext

    在傳統的專用的環境和 vNext 中的郵件使用者便可 ACLable。需要任何變更不。

    Exchange 2010 和 Exchange 2013 (布 CU10)

    客戶可以更新佈建的指令碼或將任何新提供的遠端信箱設定為 ACLable 的處理程序。類似下列的範例指令程式應該整合到佈建程序。此指令程式執行上場所對於RemoteMailbox物件,這表示郵件的使用者物件為 AD DS。

    範例:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    WhenExchange 伺服器 2013 CU10 公開釋出,您會發現新功能的 letsan 系統管理員執行有組織的變更進行同步作業的物件設定為在 Outlook 中的 ACLable。然後,呼叫透過信箱複寫服務 (女士) 也會啟用先 MEUs,為 ACLable。
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. 存取信箱資料夾跨樹系在 Outlook 中的能力。

    這項功能適用於正在執行 Office Outlook 2007 SP1 或更新版本的用戶端。
  3. 委派,以代表委派者傳送的能力。

    在 Outlook 中加入委派時,裝載委派人信箱的環境中,存在"代表傳送 」 權限。PublicDelegatesAD 屬性設定在一個環境,並已同步處理為使用 Azure AD 同步 (AAD 同步) 的另一個環境時,會授與此權限。在 Exchange 中屬性的名稱是GrantSendOnBehalfTo

    根據預設,這個屬性的值是從先環境同步化定域機組。不過值並不會從定域機組到同步先環境。客戶必須在 AAD 的同步處理傳送到其目錄的這個屬性建立手動轉換。客戶在他們的 AAD 同步化的安裝,必須設定這些轉換。
    • 連入新同步定域機組 AD 本機 metaverse 的流程
      FlowType = 直接
      目標屬性 = publicDelegates
      來源 = cloudPublicDelegates
    • 連出同步的流程,從本機 metaverse 上場所廣告
      FlowType = 直接
      目標屬性 = publicDelegates
      來源 = publicDelegates

    這表示從委派者的信箱在定域機組,移除委派,而且再變更會同步處理先環境 AAD 同步。

    附註根據預設,AADConnect 的未來版本將這個屬性向下排列從 Azure 的 AD。

功能責任

客戶:
  • AAD 同步以手動方式將publicDelegates屬性從定域機組轉換上場所 AD。
  • 擁有郵件功能的使用者先在 AD 必須設定msExchRecipientDisplayType屬性的值為-1073741818(這是在 Exchange 2013 CU9 和更新版本的預設值)。因此,就會 ACLable。
Microsoft:
  • 從 Azure 的 AD 中將同步轉寄給 Exchange 時線上

    屬性會在 AAD Azure 的 AD 的同步處理同步處理,順向的同步處理程序將同步處理適當的值在 [Exchange 線上。
  • 定域機組中的擁有郵件功能的使用者都必須設定為-1073741818msExchRecipientDisplayType屬性的值。因此,就會 ACLable (專用的 Office 365 客戶)。
  • BackSync 會將CloudPublicDelegates屬性從 Exchange 線上傳輸至 Azure 的廣告。這可讓客戶 AAD 同步轉換流程上場所的值從 Azure 的 AD AD (只有 Office 365 專用客戶)。

疑難排解

如果完成委派相關工作的相關使用者報告問題,請務必遵循這些步驟:
  1. 適當範圍的大小寫。
    • 誰報告問題-委派或委派人?
    • 他們看見問題所在,例如使用者就無法新增新的委派,無法移除委派或委派不能代表傳送或存取特定的資料夾嗎?
  2. 檢閱publicDelegates屬性 (也就所謂的交換中的GrantSendonBehalfTo屬性) 上先從 AD 和 Azure 的廣告,確認已正確設定權限。
    1. 先 Active Directory 屬性可以藉由使用 Windows PowerShell 使用中的目錄模組匯出。
    2. Azure 的 Active Directory 屬性可以藉由使用 Azure 的 AD 模組 (下載和指示匯出管理使用 Windows PowerShell 的 Azure 廣告).
  3. 根據所提供的資訊,請檢閱的概觀和功能的責任,以判斷錯誤組態可能存在的地方。

完整的使用者存取 」 及 「 傳送為共用信箱的權限

概觀

每個使用者的物件必須存在於的定域機組 」 和 「 先環境。使用者會在一個環境中的信箱物件和擁有郵件功能的使用者的其他環境中。以傳送和完整的存取權限會儲存在 [存取控制清單 (ACL) 在使用者物件中,並不會由 AAD 同步複寫。按照檢查權限環境中的 [寄件者或委派的信箱傳送。這可以加入包含委派和在不同環境中的共用的信箱案例的複雜度。可讓您存取信箱的完整使用者存取權限不受影響的不同環境中的信箱。在混合環境中,它被預期中的該傳送因為權限可能會有兩個物件上進行管理。

傳送定域機組中的權限由使用線上交換的 cmdlet 大致相同,管理 新增 RecipientPermission.先使用 Exchange cmdlet 大致相同,管理的權限以傳送 新增 ADPermission.

完整的存取權限由使用管理新增 MailboxPermission 指令程式。

有兩個包含權限的案例:
  1. 委派的信箱上場所,就必須共用的信箱定域機組中。

    當共用的信箱移動到定域機組時,Exchange 信箱複寫服務 (女士) 將複製完整的存取權,並在遷移期間傳送 as 權限 Acl。已經在信箱上設定的所有使用權限將會傳送而且不會對擁有郵件功能的使用者先環境中。委派會繼續能夠以傳送並存取信箱,因為使用權限有 「 先 」 環境中的物件。如果稍後委派被移動到定域機組,沒有其他的變更是必要的。它們會繼續,才能夠傳送為信箱,因為權限也存在於定域機組中的信箱。如果移動信箱後變更權限,則可能需要額外的步驟。
  2. 委派的信箱位於定域機組,並且共用的信箱前提上。

    以傳送權限

    必須在擁有郵件功能的物件,表示共用的信箱定域機組中加入 as 權限傳送。客戶可以準備遷移中,完成一次掃描的信箱權限,先環境中,並手動將這些權限加入至定域機組中的物件。在信箱移動必須以手動方式更新兩個環境中的共用的信箱物件上後,會變更的權限為任何傳送。

    完整的存取權權限

    在移轉之後,完整存取權限將會保留在信箱上-裝載上卡車。當您新增新的權限時,可能需要額外的步驟。

功能責任

客戶:
  • 先在的權限的管理和定域機組的 Exchange 環境

疑難排解

  1. 適當範圍的大小寫:
    • 牽涉到哪些使用者和共用的信箱?
    • 何種環境裝載每個信箱?
  2. 要求一份 AD 權限,先從 AD 和 Exchange 線上:
    1. 先 AD 屬性可以藉由使用 Windows PowerShell 使用中的目錄模組匯出:
    2. 使用遠端 PowerShell (每秒要求數量),可以匯出 Exchange 線上的權限:
  3. 根據所提供的資訊,請檢閱的概觀和功能的責任,以判斷錯誤組態可能存在的地方。

警告:本文為自動翻譯

內容

文章識別碼:3064053 - 最後檢閱時間:03/01/2016 00:36:00 - 修訂: 2.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtzh
意見反應