Exchange 2010で「送信者」権限を付与することはできません
Exchange 2010で1人のユーザーに "送信者"アクセス許可を与えようとしています。実行しているPowershellコマンドは次のとおりです。
Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"
Powershellは次のエラーを返します。
DC.OurDomain.priでActive Directory操作が失敗しました。このエラーは再試行できません。追加情報:アクセスが拒否されました。 Active Directoryの応答:00000005:SecErr:DSID-031521D0、問題4003(INSUFF_ACCESS_RIGHTS)、データ0 + CategoryInfo:WriteError:(0:Int32)[Add-ADPermission]、ADOperationException + FullyQualifiedErrorId:EDBB94A3、Microsoft.Exchange.Management.RecipientTasks。 AddADPermission
私はPowershellコマンドの複数の代替案を試しました-すなわち。 -Identityなどを使用しますが、それとEMCウィザードはすべて同じエラーを返します。
"INSUFF_ACCESS_RIGHTS"が、コマンドを実行している私を指しているのか、それとも送信者権限を与えているユーザーを指しているのかわからない?
ここでは、Microsoft Technet「メールボックスの送信者アクセス許可の管理」Webページをフォローしています。 http://technet.Microsoft .com/en-us/library/bb676368.aspx
これを行うために必要な2つの権限を追加しました。
組織管理
受信者管理
しかし、それは役に立ちません。何か案は?
更新
次の場合:
- 「高度な機能」ビューで「ADユーザーとコンピュータ」を開きます
- User1のプロパティに移動します
- [セキュリティ]タブで[詳細]をクリックします
- 「追加」を選択
- 「User2」に入力し、「Send As」を選択します。
ADUaCを閉じて再度開き、それらがまだそこにある新しいアクセス許可を再確認すると、それは機能します。約10分後に戻った場合、これらの権限はなくなりました。user2はuser1のセキュリティ権限にまったく表示されません。
このようなADの振る舞いを見たことがないと思います。
ようやく修正しました。
興味深いことに、Send-AsはADのアクセス許可であり、予想どおりの交換アクセス許可ではありません。
とにかく、これらはステップです:
ExchangeサーバーのPowershellで次のコマンドを使用して、ターゲットメールボックスを「共有可能」にします。
Set-Mailbox user1 -type:shared
このエラーが発生した場合(最初の投稿と同じ): 
ADでそのユーザーを見つけて、プロパティ>>セキュリティ>>詳細に移動する必要があります。
[〜#〜] enable [〜#〜]「このオブジェクトの親からの継承可能なアクセス許可を含める」オプション:
これが完了すると、フォルダー共有スクリプトを完了することができるはずです。
次に、このコマンドを使用して実際に権限を付与します。
Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"
同じ問題を抱えている他の人を助けることを願っています。
キーラン
アクセス拒否メッセージは通常、十分な権限がないPowerShellセッションを実行しているアカウントから送信されます。私はこれを取得します常時管理ユーザーアカウントとして実行するのではなく、Exchange管理シェルを起動しただけです。
更新後、私が疑っているのは、User1が保護されたグループ(Print Operators)の一部であるため、ExchangeはUser2に送信者を許可することを許可していないためです。 ADUCを使用して手動で送信者を追加し、しばらくして削除されることを確認して、その理論を確認したようです。
PDC Emulator FSMO roleを実行するドメインコントローラーでは、1時間ごとにadminSDHolderスレッドと呼ばれるものが実行されます。これにより、(またはその後も、保護されたグループ(Enterprise Admins、Domain Admins、Account Operators、Print Operators)で削除され、オブジェクトに付与されているすべてのアクセス許可が削除され、特定の明示的に定義されたアクセス許可に置き換えられます。アカウントは、大混乱を引き起こし、ドメイン管理者の特権を取り除くことができません。
明示的に許可を付与するという修正が機能し、1時間ごとにリセットされないことを完全に確信しているわけではありませんが、以前は間違っていました。ただし、ユーザーがPrint Operatorsグループに属している必要がない場合は、ADSI Editを使用してアカウントを変更し、adminCountプロパティをゼロに設定することをお勧めします。次に、ユーザーオブジェクトの継承可能なアクセス許可を有効にし、デフォルトのアクセス許可をリセットします。それが完了したら、Exchangeコマンドレットを再試行してください。少し運が良ければ機能します(明らかにADレプリケーションが発生するのに十分な時間を与えます)。
コマンドレットを変更してこれに対応することはできないと思います-私が言ったように、私は想像する(確かではありません) Exchangeは、アクセス許可がすぐに削除されることを認識しており、ユーザーの混乱を回避しようとしているため、これを許可しません。 「通常の」状況(つまり、標準ユーザー)では、adminSDHolderスレッド全体が機能しないため、コマンドレットは問題なく機能するはずです。
このKBをご覧になりましたか? Exchange Server 2010またはExchange Server 2013の配布グループに対してユーザーに "送信者"または "受信者"のアクセス許可を付与しようとすると、アクセスが拒否されました
原因
デフォルトでは、Exchange Trusted Subsystemには「アクセス許可の変更」アクセス許可は付与されていません。これにより、Add-ADPermissionコマンドレットがアクセス拒否エラーで失敗します。
解決
この問題を回避するには、次の手順に従って、Exchange Trusted Subsystemの「権限の変更」権限を、配布グループを含む組織単位(OU)に追加します。
- Active Directoryユーザーとコンピューターを開きます。
- [表示]をクリックし、[拡張機能]をクリックします。
- 配布リストを含むOUを右クリックし、[プロパティ]をクリックします。
- [セキュリティ]タブで、[詳細]をクリックします。
- [権限]タブで、[追加]をクリックします。
- [選択するオブジェクト名を入力してください]ボックスに「Exchange信頼済みサブシステム」と入力し、[OK]をクリックします。
- [オブジェクト]タブで、[適用先]リストの[このオブジェクトとすべての子孫オブジェクト]を選択し、[アクセス許可]リストで[アクセス許可の変更]を見つけて、[許可]に設定します。
- OKをクリックします。
O365への移行をセットアップしようとしているときに、ユーザーのアカウントでこの「継承が有効になっていません」に遭遇しました。 Exchangeプロパティをインポートできませんでした。この小さなルーチンを書いて、「継承可能な権限」チェックボックスを有効にします。
$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
$isProtected = $false ## allows inheritance
$preserveInheritance = $true ## preserver inhreited rules
$sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
$ou.psbase.commitchanges()
Write-Host “$user is now inherting permissions”;
}
上記の解決策は私の問題を解決しませんでしたが、これは解決しました: http://support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error- when-trying-to-set-send-as-permissions-on-a-mailbox-in-exchange-2010 /
送信者権限を設定しようとした特定のADユーザーアカウントには、ADでチェック可能な継承可能なアクセス許可がありませんでした。