Exchange 2010에서 '다른 사람 이름으로 보내기'권한을 부여 할 수 없습니다


11

Exchange 2010에서 한 명의 사용자에게 '다른 사람 이름으로 보내기'권한을 부여하려고합니다. 실행중인 Powershell 명령은 다음과 같습니다.

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell은 다음 오류를 반환합니다.

DC.OurDomain.pri에서 Active Directory 작업이 실패했습니다. 이 오류는 재 시도 할 수 없습니다. 추가 정보 : 액세스가 거부되었습니다. 활성 디렉토리 응답 : 00000005 : SecErr : DSID-031521D0, 문제 4003 (INSUFF_ACCESS_RIGHTS), 데이터 0 + CategoryInfo : WriteError : (0 : Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId : EDBB94A3, Microsoft.Exchange.Management.RecipientTasks. AddADPermission

Powershell 명령에 대한 여러 가지 대안을 시도했습니다. -Identity 등을 사용하지만 EMC 마법사는 모두 동일한 오류를 반환합니다.

"INSUFF_ACCESS_RIGHTS" 가 명령을 실행중인 사람 또는 내가 다른 사람 이름으로 보내기 권한을 부여한 사용자를 나타내는 지 확실하지 않습니까?

Microsoft Technet "사서함의 다른 사람 이름으로 보내기 권한 관리" 웹 페이지를 팔로우하고 있습니다. http://technet.microsoft.com/en-us/library/bb676368.aspx

이 작업을 수행하는 데 필요한 두 가지 권한을 추가했습니다.

조직 관리

받는 사람 관리

그러나 그것은 도움이되지 않습니다. 어떤 아이디어?

최신 정보

내가 다음을 수행하면 :

  • "고급 기능"보기로 "AD 사용자 및 컴퓨터"를 엽니 다.
  • User1의 속성으로 이동
  • 보안 탭에서 "고급"을 누르십시오
  • "추가"를 선택하십시오
  • "User2"에 입력하고 "다른 이름으로 보내기"를 선택하고 허용

ADUaC를 닫았다가 다시 열고 새 권한이 다시 있는지 확인하면 작동합니다. 약 10 분 후에 돌아 오면 해당 권한이 사라집니다. user2는 user1의 보안 권한에 전혀 표시되지 않습니다.

내가 이런 종류의 AD 행동을 본 적이 있다고 생각하지 마십시오.


1
User1이 우연히 권한있는 사용자입니까 (예 : Domain Admin, Enterprise Admin, Account Operator)?
벤 필 브로우

아니요, 도메인 사용자 및 인쇄 운영자의 구성원 일뿐입니다.
Kieran Walsh

1
아, 인쇄 운영자는 보호 그룹 중 하나입니다. 나는 순간에 답변을 업데이트 할 위치에 있지 않습니다. 그동안 귀하의 문제가 adminSDHolder 스레드-Google 과 관련이 있다고 생각합니다. Google은 더 많은 정보를 원하지만 발진은하지 않습니다! 나는 좋은 세부 사항을 위해이 멋진 게시물 을 추천 합니다 .
벤 필 브로우

맞다-나는 전에 adminSDHolder에 대해 들어 본 적이 없다. 인쇄 운영자에서 사용자를 제거하려고했지만 Powershell 명령이 같은 위치에서 실패합니다.
Kieran Walsh

답변:


8

나는 마침내 이것을 고쳤다.

흥미롭게도 Send-As는 AD 권한이며 예상 한 교환 권한이 아닙니다.

어쨌든 다음 단계는 다음과 같습니다.

Exchange Server의 Powershell에서이 명령을 사용하여 대상 사서함을 "공유 가능"으로 만드십시오.

Set-Mailbox user1 -type:shared

이 오류가 발생하면 (첫 번째 게시물과 동일) : 광고 실패

AD에서 해당 사용자를 찾아 속성 >> 보안 >> 고급으로 이동해야합니다.

광고 속성

"이 개체의 부모로부터 상속 가능한 권한 포함"옵션 을 활성화 해야합니다 .

여기에 이미지 설명을 입력하십시오

완료되면 폴더 공유 스크립트를 완료 할 수 있습니다.

그런 다음 실제로이 명령을 사용하여 권한을 부여하십시오.

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

같은 문제를 겪는 다른 사람들에게 도움이되기를 바랍니다.

키어런


참고 : 사용자 속성에서 "보안"탭을 보려면 먼저 메뉴에서 고급 옵션보기를 활성화해야합니다.
Andreas Reiff

4

액세스 거부 메시지는 일반적으로 충분한 권한이없는 PowerShell 세션을 실행하는 계정에서 가져옵니다. 관리 사용자 계정으로 실행하는 대신 Exchange 관리 셸을 시작할 때 항상 이 정보를 얻습니다 .

업데이트 후, User1이 보호 그룹 (인쇄 운영자)의 일부이므로 Exchange는 다음 시간에만 제거 될 것이므로 User2에 다른 사람 이름으로 보내기 권한을 부여 할 수 없습니다. ADUC를 사용하여 다른 사람 이름으로 보내기를 수동으로 추가하고 잠시 후 제거 된 것으로 확인 된 것으로 보입니다.

PDC 에뮬레이터 FSMO 역할을 실행하는 도메인 컨트롤러에서 1 시간마다 adminSDHolder 스레드가 실행됩니다. 이 작업은 보호 된 그룹 (Enterprise Admins, Domain Admins, Account Operators, Print Operators)에서 보호 된 그룹에있는 모든 계정 (또는 이후에 제거 된 적이 있더라도)을 사용하여 모든 계정을 제거합니다. 개체에 부여 된 권한은 명시 적으로 정의 된 특정 권한으로 대체됩니다. 위임 된 계정으로 인해 도메인 관리자가 자신의 권한을 혼란에 빠뜨릴 수 없다는 아이디어가 있습니다.

명시 적으로 권한 부여 권한에 대한 수정 프로그램이 작동하고 매시간 재설정되지는 않을 것이라고 전적으로 확신하지는 못하지만 이전에는 틀 렸었습니다. 그러나 사용자가 인쇄 운영자 그룹에 속하지 않아도되는 경우 ADSI 편집을 사용하여 계정을 수정하고 adminCount 속성을 0으로 설정하는 것이 좋습니다 . 그런 다음 사용자 개체에서 상속 가능한 권한을 활성화하고 기본 권한을 재설정하십시오. 이 작업을 완료 한 후에는 Exchange cmdlet을 다시 시도하고 약간의 행운을 빕니다 (AD 복제가 발생하기에 충분한 시간 제공).

나는 당신이 이것을 수용하기 위해 cmdlet을 수정할 수 있다고 생각하지 않는다.-내가 말했듯이, Exchange는 권한이 제거 될 것임을 알기 때문에 Exchange를 허용하지 않을 것이라고 상상 한다. 그 후 얼마 지나지 않아 귀하의 혼란을 막으려 고합니다. "정상"상황 (예 : 표준 사용자)에서는 전체 adminSDHolder 스레드가 작동하지 않기 때문에 cmdlet이 문제없이 작동합니다.


업데이트 : 다른 게시물이 제안한대로 오래 작동하지 않습니다. ADSIEdit는 adminCount가 1로 설정되어 있으므로 0으로 변경했습니다. adminSDHolder 스레드가 실행될 때 이것을 업데이트합니다.
Kieran Walsh

약 5 시간 후에도 ADSIEDIT 속성이 여전히 0으로 설정되어 있지만 Powershell 또는 EMS 변경으로 여전히 동일한 액세스 거부 문제가 발생합니다. :(
Kieran Walsh

1

이 KB를 보셨습니까 : Exchange Server 2010 또는 Exchange Server 2013에서 메일 그룹에 대해 "다른 사람 이름으로 보내기"또는 "다음으로 받기"권한을 부여하려고하면 액세스가 거부되었습니다.

원인

기본적으로 Exchange Trusted Subsystem에는 "수정 권한"권한이 부여되지 않습니다. 이로 인해 Add-ADPermission cmdlet이 액세스 거부 오류와 함께 실패합니다.

해결

이 문제를 해결하려면 다음 단계에 따라 Exchange Trusted Subsystem에 대한 "권한 수정"권한을 메일 그룹이 포함 된 OU (조직 구성 단위)에 추가하십시오.

  1. Active Directory 사용자 및 컴퓨터를 엽니 다.
  2. 보기를 클릭 한 다음 고급 기능을 클릭하십시오.
  3. 메일 그룹이 포함 된 OU를 마우스 오른쪽 단추로 클릭 한 다음 속성을 클릭합니다.
  4. 보안 탭에서 고급을 클릭하십시오.
  5. 권한 탭에서 추가를 클릭하십시오.
  6. 선택할 개체 이름 입력 상자에 Exchange trusted subsystem을 입력 한 다음 확인을 클릭합니다.
  7. 개체 탭의 적용 대상 목록에서이 개체 및 모든 하위 개체를 선택하고 사용 권한 목록에서 사용 권한 수정을 찾은 다음 허용으로 설정합니다.
  8. 확인을 클릭하십시오.

1

o365 로의 마이그레이션을 설정하는 동안 사용자의 계정에서이 '상속이 활성화되지 않았습니다'가 발생했습니다. Exchange 속성을 가져올 수 없습니다. 이 작은 루틴을 작성하여 '상속 가능한 권한'확인란을 활성화했습니다.

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.