none
Ошибка при отправке сообщения от имени другого пользователя RRS feed

  • Вопрос

  • Добрый день.

    следующая ситуация.
    был exch-2003 на нем было несколько мэилбоксов,
    к ним был доступ с терминального сервера, но из других аккаунтов.  т.е. к примеру, чистый терминальный user1 открывал outlook и пользовался почтой v.pupkin@domain.ru.  у user1 права fullaccess на учетную запись v.pupkin - все замечательно работало.
    далее -  они переехали на exch-2007.
    все теоретически должно было остаться по прежднему.
    почта полностью доступна кроме возможности отправить что-либо.
    при попытке отправить сообщение любому адресату, на стороне клиента появляется сообщение (дословно) "У вас нет прав для отправки сообщения вместо указанного пользователя".  клиенты  outlook 2003, 2007.

    FullAccess давал и из MMC и из консоли
    [PS] C:\>Get-MailboxPermission -Identity v.pupkin | fl
    AccessRights    : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny            : False
    InheritanceType : All
    User            : domain.ru\user1
    Identity        : domain.ru/IT/??????????? ??????? ??????????
    IsInherited     : False
    IsValid         : True
    ObjectState     : Unchanged
    если я прально понимаю, что если даже напрямую не указано, то FullAccess должен включать права на send on behalf или send as...

    повышал уровень логов по следующим параметрам, но по ним ничего криминального не отлавливается:
    SERVER16\MSExchangeIS\9000 Private\Transport General                 Medium
    SERVER16\MSExchangeIS\9000 Private\General                           Medium
    SERVER16\MSExchangeIS\9000 Private\Transport Sending                 Medium
    SERVER16\MSExchangeIS\9000 Private\Transport Delivering              Medium
    SERVER16\MSExchangeIS\9000 Private\Transfer Into Gateway             Medium
    SERVER16\MSExchangeIS\9000 Private\Transfer Out Of Gateway           Medium
    SERVER16\MSExchangeIS\9000 Private\MTA Connections                   Medium
    SERVER16\MSExchangeIS\9000 Private\Logons                            Medium
    SERVER16\MSExchangeIS\9000 Private\Access Control                    Medium
    SERVER16\MSExchangeIS\9000 Private\Send On Behalf Of                 Medium
    SERVER16\MSExchangeIS\9000 Private\Send As                           Medium
    SERVER16\MSExchangeIS\9000 Private\Rules                             Medium
    SERVER16\MSExchangeIS\9000 Private\Storage Limits                    Medium
    SERVER16\MSExchangeIS\9000 Private\Background Cleanup                Medium
    SERVER16\MSExchangeIS\9000 Private\DS Synchronization                Medium
    SERVER16\MSExchangeIS\9000 Private\Views                             Medium
    SERVER16\MSExchangeIS\9000 Private\Download                          Medium
    SERVER16\MSExchangeIS\9000 Private\Local Replication                 Medium


    вобщем - не знаю где еще порыться, может где-то что-то не нажал..  подскажите плиз - какие идеи есть?
    • Перемещено Hengzhe Li 12 марта 2012 г. 10:46 forum merge (От:Exchange Server 2007)

Ответы

  • Итого.. не решение конечно, но видимо причина моих мытарств.
    Изначально пойдя по пути экспериментаторства где-то видимо допустил ошибку и напортачил.

    в итоге одна ошибка повлекла за собой невозможность выполнения некоторых операций.

    в пользователе с которым экспериментировал, были отключены наследования прав безопасности.. после того как включил и снова проделал все операции по раздаче прав и перезапустил службу IS - все заработало...

    вот..

Все ответы

  • Схожая тема
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • спасибо, как-раз ее изучаю.
  • Full Access не включает в себя SendAs и Send on Behalf. Эти права даются отдельно.
    http://okrylov.wordpress.com
    Модератор
  • поднимаю тему ибо все возможные способы перепробывал, в том числе предложенные cognize_  
    но творится что-то странное

    вчера в течении дня несколько раз разными способами давал права юзеру2 send as на юзера1.
    мало того, что оно не заработало. так сегодня утром проверяя права выяснилось, что никаких прав уже нет.  мистика..

    от имени группы - отправляется нормально.. но это разрешение переехало с 2003 сервера. дать новые разрешения Send as на новом не удается.

    ЗЫ. юзер2  не  mail-enabled. это чистая учетная запись в АД

    при этом 1 пользователь переехавший с 2003 сервера работает нормально..

    в евент-логи попадают только успешные Send as сессии. никаких уведомлений и ошибок не видно.

    создавал пользователя заново, удалял, перезапускал сервис. вобщем вопрос все еще открыт.
  • Как пытаетесь отправить почту (из какой программы)
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • из терминальной сессии outlook 2003  в режиме без кеширования
    и просто с 2007 outlook пробывал и с кешированием и без.
  • Клиент из терминальной сессии 2003 оутлук без использования режима кеширования
    и на рабочей станции 2007 оутлук..  пробывал в обоих режимах отправлять
  • что пишите в поле from ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • пробовал из адресной книги подставлять..
    руками не пробивал.
    там суть в чем.. пользователь с чистой учетной записью (для которой нет маилбокса) логинится на терминальный сервер..
    там запускается оутлук и в качестве клиента выбирается аккаунт mail-emabled пользователя...
  • В поле From желательно не писать, а выбирать из адресной книги.


    http://okrylov.wordpress.com
    Модератор
  • там суть в чем.. пользователь с чистой учетной записью (для которой нет маилбокса) логинится на терминальный сервер..
    там запускается оутлук и в качестве клиента выбирается аккаунт mail-emabled пользователя...

    не уверен, что такой сценарий работает. Вы можете назначить права пользователя mail-enabled\mailbox-enabled на чужой ящик? Это срабатывает?
    Диагностику SERVER16\MSExchangeIS\9000 Private\Send As повысьте до High, посмотрите в логи.
    http://okrylov.wordpress.com
    Модератор
  • Какой командой права дали ?

    Add-ADPermission user1 -ExtendedRights send-as -user user2

    +

    Add-ADPermission user1 -ExtendedRights all -user user2

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
  • Это и из EMC можно сделать. Вопрос в том, что с точки зрения Exchange, пользователь не имеющий Exchange-аттрибутов не является участником безопасности. Попробуйте Set-Mailbox -ItShared


    http://okrylov.wordpress.com
    Модератор
  • Какой командой права дали ?

    Add-ADPermission user1 -ExtendedRights send-as -user user2

    +

    Add-ADPermission user1 -ExtendedRights all -user user2

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    примерно так get-mailbox -Identity User1 | Add-ADPermission -User user2 -ExtendetRights send-as
  • Странно как-то..
    только, что дал права send as на давно существующий аккаунт другому давнему аккаунту.  все махом сработало..

    а вот дать возможность недавно созданному аккаунту (простому и mailbox-enabled) на старый аккаунт.  не получается.. вернее права есть.. но отправить не удается.. 

    "\9000 Private\Send As"  повышал до Expert.  нет ничего кроме успешных отправок..
  • Итого.. не решение конечно, но видимо причина моих мытарств.
    Изначально пойдя по пути экспериментаторства где-то видимо допустил ошибку и напортачил.

    в итоге одна ошибка повлекла за собой невозможность выполнения некоторых операций.

    в пользователе с которым экспериментировал, были отключены наследования прав безопасности.. после того как включил и снова проделал все операции по раздаче прав и перезапустил службу IS - все заработало...

    вот..
  • Вот Вам и ответ :)


    http://okrylov.wordpress.com
    Модератор