Вчера столкнулся с любопытной проблемой — пользователь, используя адресную книгу Outlook, не может добавить в группу рассылки новых участников из-за нехватки прав, ошибка «Недостаточно прав доступа для выполнения операции над объектом». Я раньше с подобным не сталкивался и никаких изменений в системе в этой области не происходило, SCOM тоже не рапортует об ошибках. Что-то было не так и я начал разбираться. Немного истории. Очень давно я, как администратор электронной почты, создавал по запросу пользователей группы рассылки и добавлял/удалял членов этих групп. Потом появилось две проблемы — таких заявок стало слишком много и это занимало приличное количество моего времени, а также я не знал насколько правомерны эти запросы. Скажем есть группа "Финансовый отдел" и например, работник склада может попросить добавить его в эту группу. Мне что в таком случае делать? Процесс согласования занимал тоже время. Поэтому мы ввели следующую систему — пользователь присылает запрос, содержащий название группы, адрес, размер сообщений, возможность отправки из Интернета и самое главное — ответственного человека(менеджера группы), который решает, давать доступ сотруднику или нет. Администраторы электронной почты больше этим не занимались. Жизнь стала прекрасной. Вчера по запросу была создана группа, назначен менеджер. Но изменять членство группы рассылки он не смог, т.к. получил следующую ошибку.
Рис.1 Сообщение об ошибке при изменение членства в группе в адресной книге Outlook
Как же так, ведь все работало хорошо, другие менеджеры групп могут добавлять и удалять пользователей, а во вновь созданной группе возникает проблема. В свойствах группы в EMC Exchange 2007 менеджер назначен, вроде все хорошо.
Рис.2 Свойства группы в EMC. Microsoft Exchange 2007
Но забыл я вот про что. Раньше, в Exchange server 2003 свойства группы добавлялись и менялись через оснастку Active Directory Users and Computers(ADUC). Там была галочка «Manager can update membership list». А в EMC Exchange Server 2007 (рис 2) ее нет. Поскольку данную операцию я выполняю редко, то про галочку просто забыл.
Рис.3 Свойства группы в ADUC Windows Server 2008
Необходимая галочка о том, что владелец группы может изменять членство, нашлась в ADUC Windows Server 2008(рис.3) Почему ее нет в EMC Exchange 2010 я уж не знаю.
Через EMS через свойства группы этот параметр тоже не изменить. А меняется он с помощью следующей команды:
Add-ADPermission -Identity <name of distribution group> -User <name of user> -AccessRights WriteProperty -Properties “Member”
Вот такая небольшая проблемка приключилась со мной пятничным утром. 🙂 Хороших выходных.
по теме на сайт Микрософт.
Похожие посты:
- Как мы с Сашей Трофимовым боролись с зомби в Exchange 2007
- Exchange 2007. Управление получателями через ADUC
- Как изменять свойства Exchange из ADUC без установки ESM в Exchange 2003
- Я в шоке или как пользователь может менять свои данные в AD
- Секреты Autodiscover при публикации Exchange 2007 SP1 на ISA 2006 SP1