none
"you don't have sufficient permission" при изменении членов или менеджеров группы безопасности RRS feed

  • Общие обсуждения

  • доброго дня.

    ситуация следующая:
    после миграции с Exchange 2010 sp3 на Exchange 2013 невозможно выполнять через ECP некоторые действия по управлению группами, если не числишься в ее овнерах:
    -добавить/удалить члена группы
    -добавить/удалить овнера группы
    -удалить группу
    при попытке сделать что-то из этого выдается ошибка "You don't have sufficient permissions. This operation can only be performed by a manager of the group." (такую ошибку получают в том числе и те, кому назначена Organization Management, т.е. все возможные права учетке выданы)

    это касается как старых групп, так и созданных уже в 2013 из этого же интерфейса (т.е. создал группу, но не указал себя овнером - и не могу ее удалить), но только групп безопасности. проблема появилась не сразу, похоже что после удаления последнего сервера с 2010 (на тот момент все базы уже некоторое время были на новых серверах).
    при этом через PowerShell я могу выполнять все эти операции, если выполнять с "-BypassSecurityGroupManagerCheck".

    подскажите пожалуйста, в чем причина и как это лечить (т.е. по сути как заставить веб-интерфейс работать с -BypassSecurityGroupManagerCheck)? все что нашел в гугле относится к Exchange 2010 до SP1 (пишут что в SP1 это было исправлено)

    3 января 2014 г. 11:48

Все ответы

  • Это "by design". Косвенное описание можно найти в разделе Role group delegation http://technet.microsoft.com/en-us/library/dd638105(v=exchg.150).aspx

    Назначить необходимые права можно с помощью RBAC. Вам нужна роль Distribution Groups Role

    http://technet.microsoft.com/en-us/library/dd876848(v=exchg.150).aspx


    Сазонов Илья http://isazonov.wordpress.com/

    6 января 2014 г. 8:50
    Модератор
  • то есть получается, что я не могу через GUI управлять группами, для которых я не являюсь менеджером? Distribution Groups Role у меня есть, т.к. я  в группе organization management, также эта роль есть у сотрудников, которые у нас занимаются созданием/управлением группами, и они тоже не могут через GUI ничего сделать. так и должно быть, нужно учить их использовать PowerShell?

    8 января 2014 г. 8:05
  • Насколько я помню, для работы через EAC нужно для группы обязательно поставить хотя бы одного собственника, а потом члены группы  organization management смогут управлять ей, даже не входя в собственники группы.

    Сазонов Илья http://isazonov.wordpress.com/

    8 января 2014 г. 12:21
    Модератор
  • у нас это не так (как будет время, попробую в тестовом окружении установить чистый домен и Exchange, возможно там по-другому)... у группы есть собственники (сейчас EAC не дает создать группу без них - это поле обязательно для заполнения, но у нас и раньше для всех создаваемых групп задавался собственник в любом случае), однако член группы organization management не может управлять этой группой (или удалить ее), если не входит в их число. причем все работало так как вы написали до момента, когда мы удалили последний сервер с Exchange 2010. а после удаления - не дает управлять группами тем, кто не является их собственником

    8 января 2014 г. 14:45
  • Проверьте настройки RBAC - возможно у вас кто-то внес изменения.

    Как вариант сбросить настройки, если у вас нет кастомизаций или не должно быть.


    Сазонов Илья http://isazonov.wordpress.com/

    8 января 2014 г. 15:05
    Модератор
  • сделал сброс настроек RBAC, не помогло - поведение осталось прежним
    8 января 2014 г. 16:03
  • Возможно нет прав на уровне AD: делегируйте права.

    Сазонов Илья http://isazonov.wordpress.com/

    8 января 2014 г. 16:11
    Модератор
  • права на уровне AD есть, я проверил. проблема проявляется даже если использовать учетку, которая входит в Domain Admins
    10 января 2014 г. 12:54
  • для проверки поднял в тестовом окружении домен и Exchange. никаких дополнительных настроек, установил эксчендж, создал два маилбокса, создал группу, назначил ее хозяином один аккаунт, попытался управлять членами группы из-под другого (состоящего в группах Domain Admins, Enterprise Admins, Schema Admins, Organization Management) - "You don't have sufficient permissions"
    10 января 2014 г. 14:40