Kezdőlap > Exchange > Exchange Send as… jog

Exchange Send as… jog


Exchange 2010 környezetben abban kérték a segítségem, hogy egy megfelelő jogosultságú fiókkal próbálták egy másik fióknak a „Send as…” beállításait módosítani, s az hibával elhasalt:

Error:

Active Directory operation failed on Server.Domain.hu. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

The user has insufficient access rights.

Ez annál is érdekesebb volt, ugyanis eddig az illető csont nélkül tudta kezelni a fiókokat, elvileg nem változott semmi – de attól még jogosultsági problémára hivatkozott a kezelőfelület.

Nem tudott vele mit kezdeni, így hozzám került a dolog, sőt, kapásból egy kérdés is felmerült: amikor az ESM-et (Exchange Management Shell, a PowerShell levelező kiszolgálóra „felkészített” verziója) próbálta más felhasználó nevében futtatni (vész esetére van egy másik, magas jogosultságú fiók), akkor ugyanazt a PS parancsot kiadva, az kiakadt egy hibaüzenettel:

The term ‘Add-ADPermission’ is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

Kezdjük mindjárt ezzel. Más felhasználóval futtatva az ESM-et egy „sima” PowerShell felületet kapunk, ami nincs felkészítve az Exchange funkciók kezelésére. Bár MS nem támogatja az RBAC kikerülése miatt, de ebbe is be tudjuk tölteni a levelezőkiszolgáló funkcióit:

add-pssnapin Microsoft.Exchange.Management.PowerShell.E2010

Ezután már ugyanúgy használhatjuk az Exchange-specifikus utasításokat, más felhasználó nevében is.

Visszatérve az eredeti problémához. Ahhoz, hogy egy felhasználó az előbb említett jogot tudja módosítani, az „Organization management” csoport tagja kell legyen. De az ugye nem elég, az is szükséges, hogy a csoportnak joga legyen a célfiókhoz – s a kérdéses rendszerben itt csúszott valahol egy porszem a gépezetbe. Mint másik cikkemben is, itt is legegyszerűbben az öröklődés bekapcsolásával lehetett orvosolni a gondot…

Reklámok
Kategóriák:Exchange Címke: , ,
  1. Adam_1979
    április 5, 2013 - 4:31 du.

    Én is belefutottam ebbe a hibába, mint amit leírtál csak sp3 update után jött elő. Ha bepipálom az öröklődést a felhasználónál akkor 1 óra múlva felülíródik. 😦 A 200 felhasználóból kb.30-nál szintél eltűnt az öröklődés pipa a többi rendben van. Ha jól sejtem AdminSDHolder-nél lehet a probléma, de nem tudom, hogy mi. Esetleg valami ötlet?

  2. Adam_1979
    április 9, 2013 - 6:39 de.

    Köszi, én is megtaláltam csak nem mertem megcsinálni mert 2007-hez volt nekünk meg 2010 van.

    • április 9, 2013 - 6:58 de.

      Első körben ellenőrizném/esetleg exportálnám/ a jelenlegi jogokat (ugyanazzal az említett beépített eszközzel), de véleményem szerint ez jó lesz 2010-re is. Esetleg egy teszt-rendszeren (ha ki tudod próbálni) ellenőrizném.

  3. Adam_1979
    április 9, 2013 - 8:19 de.

    azon vagyok, hogy lehetne teszteni, próbálom a technet virtula lab-ját és próbálom elrontani a rendszert 🙂 .. nem megy 🙂

    • április 9, 2013 - 8:21 de.

      S a saját rendszered próbáltad virtualizálni? 🙂

  4. Adam_1979
    április 9, 2013 - 8:48 de.

    igen, de túl régi verzió van meg. úgy látom nincsen mit tennem … update

    • április 9, 2013 - 8:58 de.

      Így van, az mindenképp segíthet 😉

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: