none
Send as权限丢失 RRS feed

  • 问题

  • 由于用户经常需要代发邮件,一直都是给某个邮箱添加send as权限来实现,但是有一个用户添加send as权限的时候报错

    Summary: 1 item(s). 0 succeeded, 1 failed.
    Elapsed time: 00:00:00


    CN\XXXX
    Failed

    Error:
    Active Directory operation failed on CNHQDC8.cn.TESCO.org. This error is not retriable. Additional information: Access is denied.
    Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0


    The user has insufficient access rights.
    Click here for help... http://technet.microsoft.com/en-US/library/ms.exch.err.default(EXCHG.141).aspx?v=14.2.342.0&t=exchgf1&e=ms.exch.err.Ex6AE46B

    Exchange Management Shell command attempted:
    Add-ADPermission -Identity 'CN=XXX,OU=01-XXX,OU=XXX,OU=XXX,DC=cn,DC=TOSO,DC=COM' -User 'CN\XXX' -ExtendedRights 'Send-as'

    Elapsed Time: 00:00:00

    而且正常的用户会有一个 NT 的那个权限,但是这个里面都是空的一个都没有

    2017年9月1日 6:38

全部回复

  • 您好,

    请问该账户是管理员组的成员吗?
    如果是的话,这应该是AdminSDHolder引起的。

    通常受保护Object的继承权限是禁用的,而且部分权限是受保护的,所以在Exchange管理工具里面对这些账户设置AD权限时会出现Access Deny的报错提示。
    而且Windows Server中的AdminSDHolder功能能自动把这些受保护Object的设置恢复到默认状态(其中就包括继承权限),从而用来防止人为对这些受保护的Object错误操作所带来的不良影响。

    从安全考虑,我们不建议对管理员组中的成员启用邮箱;或者c我们可以将其移出受保护的Group。

    以下是针对AdminSDHolder的详细说明,以供参考:
    Active Directory AdminSDHolder、受保护组和 SDPROP
    AdminSDHolder, Protected Groups and Security Descriptor Propagator
    Five common questions about AdminSdHolder and SDProp


    Regards,

    Allen Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年9月4日 8:56
  • 您好,

    请问您的问题是否有更新呢?
    如果该用户处于系统默认管理员组的话,建议将其移除该管理员组,然后尝试。

    Regards,

    Allen Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年9月15日 1:51