无法在Exchange 2010中授予“发送为”权限

我正在尝试向Exchange 2010中的一个用户授予“发送为”权限。这是我正在运行的Powershell命令：

Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As"

Powershell返回此错误：

Active Directory操作在DC.OurDomain.pri上失败。该错误不可重试。附加信息：拒绝访问。活动目录响应：00000005：SecErr：DSID-031521D0，问题4003（INSUFF_ACCESS_RIGHTS），数据0 + CategoryInfo：WriteError：（0：Int32）[Add-ADPermission]，ADOperationException + FullyQualifiedErrorId：EDBB94A3，Microsoft.Exchange.Management.RecipientTasks。 AddADPermission

我已经尝试过Powershell命令的多种替代方法-即。使用-Identity等，但是与EMC向导都返回相同的错误。

我不确定“ INSUFF_ACCESS_RIGHTS”是指我正在运行命令的人还是授予我发送权限的用户？

我一直在关注Microsoft Technet的“管理邮箱的代理发送权限”网页：http : //technet.microsoft.com/zh-cn/library/bb676368.aspx

因此，添加了执行此操作所需的两个权限：

组织管理

收件人管理

但这无济于事。有任何想法吗？

更新资料

如果我执行以下操作：

• 使用“高级功能”视图打开“ AD用户和计算机”
• 转到用户1的属性
• 点击“安全”选项卡上的“高级”
• 选择“添加”
• 输入“ User2”并选择“发送为”允许

如果我关闭ADUaC并再次打开它，然后重新检查那些新权限，它们仍然存在，那行得通。如果我在大约10分钟后返回，这些权限现在就消失了-用户2根本不会出现在用户1的安全权限中。

不要以为我以前见过这种广告行为。

我终于解决了这个问题。

有趣的是，“发送为”是AD权限-并非您所期望的交换权限。

无论如何，这些是步骤：

使用Exchange Server上Powershell中的此命令，使目标邮箱“可共享”：

Set-Mailbox user1 -type:shared

如果您收到此错误（与我的第一篇文章相同）：

您将需要在AD中找到该用户，然后转到属性>>安全>>高级：

您需要启用 “包含此对象的父级的可继承权限”选项：

完成后，您应该能够完成文件夹共享脚本。

然后使用以下命令实际授予权限：

Add-ADPermission user1 -User Ourdomain\User2 -ExtendedRights "Send As"

希望对其他有同样问题的人有所帮助。

基兰

访问被拒绝的消息通常来自运行PowerShell会话的帐户，权限不足。当我仅启动Exchange命令行管理程序而不是以我的管理用户帐户身份运行时，便会得到所有这些。

更新之后，我怀疑可能发生的情况是User1是受保护组的一部分（打印操作员），因此Exchange不允许您授予User2上的代理发送权限，因为它知道它将在下一个小时内被剥离。您似乎已通过使用ADUC手动添加“代理发送”并在不久后将其删除而确认了该理论。

在运行PDC Emulator FSMO角色的域控制器上，每小时运行一次称为adminSDHolder线程的事件。这样做是将受保护的组（企业管理员，域管理员，帐户操作员，打印操作员（仅列举一些更常见的））中的所有（或曾经使用过的帐户，即使它们随后已被删除）也将被删除。对对象授予的权限，并用某些明确定义的权限替换它们。想法是委派帐户无法造成破坏，并剥夺域管理员的特权。

我并不完全相信您的显式授予权限的修补程序将起作用，并且不会每小时重置一次，但是以前我错了-如果这样做的话，太好了！但是，如果用户不需要位于“打印操作员”组中，则建议您使用ADSI Edit修改其帐户，并将adminCount属性设置为零。然后，对用户对象启用可继承权限，并重置默认权限。完成此操作后，请再次尝试使用Exchange cmdlet，如果运气好的话，它将起作用（显然，有足够的时间进行AD复制）。

我认为您无法修改cmdlet以适应此问题-就像我说的，我想（虽然不确定）它不会让您这样做，因为Exchange知道该权限只会被删除。此后不久，我们正在努力避免造成混乱。在“正常”情况下（即标准用户），由于整个adminSDHolder线程甚至都没有起作用，因此cmdlet应该可以正常工作。

您是否看到此KB：尝试为用户授予Exchange Server 2010或Exchange Server 2013中的通讯组的“发送为”或“接收为”权限时，访问被拒绝

原因

默认情况下，不授予Exchange受信任子系统“修改权限”权限。这将导致Add-ADPermission cmdlet失败，并显示“访问被拒绝”错误。

解析度

要变通解决此问题，请按照下列步骤将Exchange受信任子系统的“修改权限”权限添加到包含通讯组的组织单位（OU）中：

1. 打开Active Directory用户和计算机。
2. 单击查看，然后单击高级功能。
3. 用鼠标右键单击包含通讯组列表的OU，然后单击“属性”。
4. 在“安全性”选项卡中，单击“高级”。
5. 在“权限”选项卡中，单击“添加”。
6. 在“输入对象名称进行选择”框中，键入“ Exchange受信任子系统”，然后单击“确定”。
7. 在“对象”选项卡中，在“应用到”列表中选择“此对象”和所有后代对象，在“权限”列表中找到“修改权限”，然后将其设置为“允许”。
8. 单击确定。

尝试将迁移设置为o365时，在用户帐户中遇到此“未启用继承”功能。无法导入Exchange属性。编写了这个小例程以启用“可继承权限”复选框。

$user = Get-ADuser -Filter "(displayname -eq "Joe Cool")
$ou = [ADSI](“LDAP://” + $user)
$sec = $ou.psbase.objectSecurity
If ($sec.get_AreAccessRulesProtected()) {
   $isProtected = $false ## allows inheritance
   $preserveInheritance = $true ## preserver inhreited rules
   $sec.SetAccessRuleProtection($isProtected, $preserveInheritance)
   $ou.psbase.commitchanges()
   Write-Host “$user is now inherting permissions”;
}

以上解决方案无法解决我的问题，但此解决方案可以解决：http : //support.risualblogs.com/blog/2012/02/07/the-user-has-insufficient-access-rights-error-when-trying-设置允许在交换中的邮箱上发送权限2010 /

我尝试在其上设置“代理发送”权限的特定AD用户帐户未在AD中检查可继承权限。