none
Problème avec l'AD pour activer l'autorisation Send As RRS feed

  • Question

  • Bonjour à tous,

    Je souhaite que USER1 puisse envoyer un mail en tant que USER2. Autant avec l'EAC qu'avec Powershell j'ai la même erreur :

    Échec de l'opération Active Directory sur DC.MACHIN.FR. Cette erreur n'est pas reproductible. Informations
    supplémentaires : Accès refusé.
    Réponse d'Active Directory : 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
        + CategoryInfo          : WriteError: (0:Int32) [Add-ADPermission], ADOperationException
        + FullyQualifiedErrorId : [Server=MACHIN,RequestId=24c84f74-4197-4ebb-8a04-d1ff98407f8e,TimeStamp=06/12/2
       013 15:39:24] 5FB3FD44,Microsoft.Exchange.Management.RecipientTasks.AddADPermission
        + PSComputerName        : MAIL.MACHIN.FR

    Du coup bien entendu je cherche sur le net comme tout bon admin et il se trouve qu'il y a un problème de droits au niveau AD:

    Dans AD => en ouvrant les propriétés de l'utilisateur de la BAL que je veux déléguer => onglet sécurité => bouton avancé, je vois que la cas "Inclure les autorisations pouvant être héritées du parent de cet objet" est décochée alors que normalement elle doit être cochée. Bizarre non ?

    Du coup je coche. Je retente la manip d'attribuer le droit Send AS et BINGO ! CA MARCHE ! Moi tout content je préviens l'utilisateur que le problème est résolu en me la racontant un petit peu... :)

    1h plus tard USER1 me dit que les mails envoyés "en tant que" ne partent plus... JE vais dans mon AD et je remarque que la case s'est décochée toute seule !!!!

    J'ai beau chercher sur le net je ne trouve pas grand chose. Sauf peut être que mon AD pourrait être protégé par un certain AdminSDHolder... Mais je ne trouve rien dessus...

    Avez vous une idée svp ?

    Pour info,

    •  J'effectue toutes les manips avec le compte Administrateur
    • Exchange 2013 sur une VM Windows server 2012
    • AD 2008R2
    • Le problème se présente pour tous les utilisateurs de mon AD

    Un grand merci à celui qui trouve la solution car comme par hasard USER1 et USER2 sont le PDG et la secrétaire de direction...

    Bonne journée,


    • Modifié shinobitom vendredi 6 décembre 2013 16:37
    vendredi 6 décembre 2013 16:27

Réponses

  • Votre compte est bien protégé par le système AdminSDHolder, pour le vérifier en ADSIEDIT vous verrez que ces utilisateurs ont l'attribut AdminCount avec une valeur.

    Pour l'enlever : vérifier que ces personnes ne font pas du tout partie des groupes cités ci-dessus (ou l'un de leur groupe imbriqué), mettre AdminCount à null (not set), puis recocher l'héritage et attendre.

    Si AdminCount repasse sur une valeur, c'est qu'ils sont membres d'une façon ou d'une autre d'un groupe protégé.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse shinobitom lundi 9 décembre 2013 15:37
    vendredi 6 décembre 2013 18:16
    Modérateur
  • Impeccable Bruce ! Ca à l'air de tenir rien n'a bougé depuis ce matin. Pour moi le problème est donc résolu. D'ailleurs je ne viens pas souvent sur ce forum, y a t'il une manip de ma part à effectuer pour clore le sujet ?

    Merci 1000 fois ;)

    Bonne journée

    • Marqué comme réponse Florin Ciuca mardi 10 décembre 2013 14:07
    lundi 9 décembre 2013 15:37

Toutes les réponses

  • Pour info,

    J'ai trouvé ceci mais je n'ose pas appliquer le contournement car d'après la KB il s'applique à de l'AD 2003 voir 2000 :

    http://support.microsoft.com/kb/907434

    vendredi 6 décembre 2013 17:00
  • Je rectifie, après recherche, le problème ne se produit que pour les comptes qui sont retournés par la commande powershell :

    Get-ADUser -LDAPFilter "(objectcategory=person)(samaccountname=*)(admincount=1)"

    D'après plusieurs recherches, ce serait parce que ces utilisateurs seraient membres des groupes :

    DistinguishedName : CN=Administrateurs du schéma,CN=Users,DC=machin,DC=fr
    DistinguishedName : CN=Administrateurs de l'entreprise,CN=Users,DC=machin,DC=fr
    DistinguishedName : CN=Admins du domaine,CN=Users,DC=machin,DC=fr
    DistinguishedName : CN=Duplicateurs,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Opérateurs de compte,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Administrateurs,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Opérateurs d'impression,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Opérateurs de serveur,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Opérateurs de sauvegarde,CN=Builtin,DC=machin,DC=fr
    DistinguishedName : CN=Contrôleurs de domaine,CN=Users,DC=machin,DC=fr
    DistinguishedName : CN=Éditeurs de certificats,CN=Users,DC=machin,DC=fr
    DistinguishedName : CN=Contrôleurs de domaine en lecture seule,CN=Users,DC=machin,DC=fr

    Et bien pas tous ! J'ai 2 utilisateurs pour lesquels le problème survient mais qui ne font pas partie de ces groupes !

    Avez vous une idée svp ?

    Un grand merci d'avance pour celui qui trouvera la solution...

    vendredi 6 décembre 2013 17:27
  • Votre compte est bien protégé par le système AdminSDHolder, pour le vérifier en ADSIEDIT vous verrez que ces utilisateurs ont l'attribut AdminCount avec une valeur.

    Pour l'enlever : vérifier que ces personnes ne font pas du tout partie des groupes cités ci-dessus (ou l'un de leur groupe imbriqué), mettre AdminCount à null (not set), puis recocher l'héritage et attendre.

    Si AdminCount repasse sur une valeur, c'est qu'ils sont membres d'une façon ou d'une autre d'un groupe protégé.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse shinobitom lundi 9 décembre 2013 15:37
    vendredi 6 décembre 2013 18:16
    Modérateur
  • Merci Bruce,

    Je viens de faire cela. J'attends une demie journée afin de voir si ça ne bouge pas et je tient au courant.

    A tout à l'heure.

    • Marqué comme réponse shinobitom lundi 9 décembre 2013 15:37
    • Non marqué comme réponse shinobitom lundi 9 décembre 2013 15:39
    lundi 9 décembre 2013 09:08
  • Impeccable Bruce ! Ca à l'air de tenir rien n'a bougé depuis ce matin. Pour moi le problème est donc résolu. D'ailleurs je ne viens pas souvent sur ce forum, y a t'il une manip de ma part à effectuer pour clore le sujet ?

    Merci 1000 fois ;)

    Bonne journée

    • Marqué comme réponse Florin Ciuca mardi 10 décembre 2013 14:07
    lundi 9 décembre 2013 15:37
  • Il suffit juste d'indiquer les réponses qui vous ont aidé, comme vous l'avez déjà fait.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    lundi 9 décembre 2013 15:38
    Modérateur