Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Chyba Exchange 2010 při vytváření distribuční skupiny
červen 22
Chyba Exchange 2010 při vytváření distribuční skupiny

Celkem běžný problém

Už jsem to párkrát zaznamenal. Máte Exchange 2010 a snažíte se vytvořit distribuční skupinu, nebo třeba kontakt. A ono to prostě nechce jít, i když toho průvodce pouštíte znovu a znovu a dokonce to zkusíte i přes PowerShell. A přitom jste třeba doménoví administrátoři. A pak se dáte do Enterprise Admins i Schema Admins. A pak do toho kopnete a zkusíte dvakrát restartovat. A pořád nic :-)

Hláška je tato:

Active Directory operation failed on DC1. This error is not retirable.
Additional information: Access is denied.
Active Directory response: 00000005: problem 4003 (INSUFF_ACCESS_RIGHTS)

Event Type: Error
Event ID: 6
Source: MSExchange CmdletLogs
Log Name: MSExchange Management
Description: Cmdlet failed New-DistributionGroup

A zajímavé na tom je, že pokud tu skupinu, nebo kontakt vytváříte přímo pomocí Active Directoru Users and Computers konzole, tak to jde. Prostě se pak musí jen použít Exchange konzole a dané skupině se přidělí emailová adresa. Není to divné?

Důvod a řešení

Takže to znamená, že jste nainstalovali Exchange 2010 do režimu tzv. split permissions. Toho se dosáhne takovým nenápadným zaškrtávátkem během instalace, které se jmenuje Apply strict split permissions security model to the Exchange Organization. Člověk to někdy zaškrtne v blahé víře, že to bude všechno mnohem bezpečnější. A ono fakt je. Akorát je to potom komplikovanější.

Prověříte to například tím, že se podíváte do Active Directory Users and Computers (dsa.msc) a uvidíte tam kontejner Microsoft Exchange Protected Groups a v něm skupinu Exchange Windows Permissions. Je celkem jedno, jestli v té skupině někdo je, nebo není.

Faktem zůstává, že tato skupina nemá přidělen žádný přístup v b>Active Directory a tím pádem nemůžete nic dělat. Tedy vy jako členové Domain Admins dělat můžete cokoliv přímo v Active Directory. Jen to nelze přes PowerShell a jeho nějaký Exchange CmdLet. Exchange příkazy totiž běží pod účtem serveru, ke kterému je PowerShell připojen. Exchange prostě nevytváří účty v Active Directory pod vaším uživatelským účtem, ale naopak pod svým počítačovým. Účty počítačů na kterých je Exchange nainstalován jsou členem právě skupiny Exchange Windows Permissions.

Opravíte to jednoduše. Buď se s tím smiřte a vždycky nejprve vytvořte skupinu nebo kontakt přímo v Active Directory. A teprve potom mu pomocí Exchange konzole jenom přidělte emailovou adresu. To je nakonec přesně ten efekt, který jste zřejmě chtěli mít, když jste při instalaci tu volbu Apply strict split permissions security model to the Exchange Organization vybrali. Split permissions znamenají prostě jen to, že správci Exchange nejsou schopni nic vytvářet přímo v Active Directory, ale mohou si spravovat jen svoje Exchange objekty.

 A nebo to můžete přepnout zpět do normálu pomocí:

setup.com /PrepareAD /ActiveDirectorySplitPermissions:false

Rozhodně si prosím k tomu přečtěte článek rovnou na Microsoftu.


A neváhejte se přihlásit na GOPAS TechEd. Nebudete litovat!

 

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments