Celkem běžný problém
Už jsem to párkrát zaznamenal. Máte Exchange 2010 a snažíte se vytvořit distribuční skupinu, nebo třeba kontakt. A ono to prostě nechce jít, i když toho průvodce pouštíte znovu a znovu a dokonce to zkusíte i přes PowerShell. A přitom jste třeba doménoví administrátoři. A pak se dáte do Enterprise Admins i Schema Admins. A pak do toho kopnete a zkusíte dvakrát restartovat. A pořád nic :-)
Hláška je tato:
Active Directory operation failed on DC1. This error is not retirable.
Additional information: Access is denied.
Active Directory response: 00000005: problem 4003 (INSUFF_ACCESS_RIGHTS)
Event Type: Error
Event ID: 6
Source: MSExchange CmdletLogs
Log Name: MSExchange Management
Description: Cmdlet failed New-DistributionGroup
A zajímavé na tom je, že pokud tu skupinu, nebo kontakt vytváříte přímo pomocí Active Directoru Users and Computers konzole, tak to jde. Prostě se pak musí jen použít Exchange konzole a dané skupině se přidělí emailová adresa. Není to divné?
Důvod a řešení
Takže to znamená, že jste nainstalovali Exchange 2010 do režimu tzv. split permissions. Toho se dosáhne takovým nenápadným zaškrtávátkem během instalace, které se jmenuje Apply strict split permissions security model to the Exchange Organization. Člověk to někdy zaškrtne v blahé víře, že to bude všechno mnohem bezpečnější. A ono fakt je. Akorát je to potom komplikovanější.
Prověříte to například tím, že se podíváte do Active Directory Users and Computers (dsa.msc) a uvidíte tam kontejner Microsoft Exchange Protected Groups a v něm skupinu Exchange Windows Permissions. Je celkem jedno, jestli v té skupině někdo je, nebo není.
Faktem zůstává, že tato skupina nemá přidělen žádný přístup v b>Active Directory a tím pádem nemůžete nic dělat. Tedy vy jako členové Domain Admins dělat můžete cokoliv přímo v Active Directory. Jen to nelze přes PowerShell a jeho nějaký Exchange CmdLet. Exchange příkazy totiž běží pod účtem serveru, ke kterému je PowerShell připojen. Exchange prostě nevytváří účty v Active Directory pod vaším uživatelským účtem, ale naopak pod svým počítačovým. Účty počítačů na kterých je Exchange nainstalován jsou členem právě skupiny Exchange Windows Permissions.
Opravíte to jednoduše. Buď se s tím smiřte a vždycky nejprve vytvořte skupinu nebo kontakt přímo v Active Directory. A teprve potom mu pomocí Exchange konzole jenom přidělte emailovou adresu. To je nakonec přesně ten efekt, který jste zřejmě chtěli mít, když jste při instalaci tu volbu Apply strict split permissions security model to the Exchange Organization vybrali. Split permissions znamenají prostě jen to, že správci Exchange nejsou schopni nic vytvářet přímo v Active Directory, ale mohou si spravovat jen svoje Exchange objekty.
A nebo to můžete přepnout zpět do normálu pomocí:
setup.com /PrepareAD /ActiveDirectorySplitPermissions:false
Rozhodně si prosím k tomu přečtěte článek rovnou na Microsoftu.
A neváhejte se přihlásit na GOPAS TechEd. Nebudete litovat!