Fehlende AD Rechte ...
 
Notifications
Clear all

Fehlende AD Rechte bei Anpassung der AD Rechte einer Distribution List

1 Posts
1 Users
0 Reactions
1,489 Views
(@derpotsdamer)
Active Member
Joined: 2 years ago
Posts: 6
Topic starter  

Hallo werte Frankys Community

Ich habe noch ein Problem, dass uns schon länger umtreibt, für das wir aber noch keine Lösung haben.
Ich hoffe Ihr habt hier noch einen heißen Tipp.

Kurz zur Umgebung:
Es geht um ein Exchange 2016 Server Cluster aus zwei Maschinen (EXC01 und EXC02), beide sind in der neuesten Version gepatcht.
Es handelt sich bei der Umgebung um eine Exchange Hybrid Umgebung, bei der alle Mailboxen bereits in die Cloud migriert wurden.
Die lokalen Systeme werden wegen der Anbindung von Business Applikationen noch benötigt.
Alle Usermailboxen und Distribution Lists sind gesyncte Objekte aus der lokalen AD, womit sie den üblichen Einschränkungen bei der Administration in der CLoud unterliegen und in vioelen Punkten nur OnPremise bearbeitet werden können.

Im lokalen Netzwerk gibt es zwei Domain Controller, ich nenne sie mal DC01 und DC02.
Der BuiltIn Domain Admin ist nicht in Benutzung, alle Administratoren haben individualisierte Admins, die für die Domain Admins und Orga Admins sind.

Die Anforderung:
Auf eine Distribution List sollen User(Mailboxen) mit "Send As" berechtigt werden, damit sie als diese Mails versenden können.
Das würde man normalerweise über die lokale ECP machen und auf der DL die Delegation einrichten. Auf Grund der bereits migrierten Mailboxen in die Cloud sehe ich bei der Vergabe der Send As Rechte in der Auswahl der Mailboxen aber nur die lokal verbliebenen Mailboxen, nicht die in die Cloud migirierten.

Nun gibt es die Möglichkeit dies per Exchange Management Shell (als Admin gestartet) zu machen, was auch funktioniert.
Dazu gebe ich ein:

Get-DistributionGroup DL-Name | Add-ADPermission -user test01@contoso.com -ExtendedRights "Send As"

DL-Name entspricht hierbei der Verteilerliste, auf die ich die Rechte vergeben möchte, test01 ist der User, der diese erhalten soll.
Wenn ich das auf dem EXC02 ausführe, klappt das auch wunderbar.
Das Gleiche auf dem EXC01 ausgeführt bringt folgende Meldung:

Fehler bei Active Directory-Vorgang mit DC02.contoso.com. Bei diesem Fehler ist kein Wiederholungsversuch

möglich. Zusätzliche Informationen: Zugriff verweigert.

Active Directory-Antwort: 00000005: SecErr: DSID-03152E13, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    + CategoryInfo          : WriteError: (0:Int32) [Add-ADPermission], ADOperationException

    + FullyQualifiedErrorId : [Server=MX01LOKI,RequestId=5b314668-0f21-4256-acfc-cf5de76bedda,TimeStamp=01.06.2023 12:

   25:17] [FailureCategory=Cmdlet-ADOperationException] C5C48BA0,Microsoft.Exchange.Management.RecipientTasks.AddADPe

  rmission

    + PSComputerName        : EXC01.contoso.com

Was ich schon gefunden habe ist ein Artikel von Microsoft dazu:
Access denied when you try to give user "send-as" or "receive as" permission

Ich habe daraus zwei Dinge abgelesen. Erstens könnte es daran liegen, dass unsere personalisierten Admins keine Mailbox haben.
Daraufhin habe ich meinem Admin eine lokale Mailbox erstellt und es nochmal getestet. Leider dasselbe Problem.

Und das zweite sind fehlende Rechte für das Exchange Trusted Subsystem.
Die sehen für mich OK aus und wie beschrieben. Dagegen spricht aber aus meinem Verständnis auch, dass es ja von einem Server aus geht und vom anderen nicht.

Ich hoffe mir kann jemand aus der Sackgasse helfen, wahrscheinlich habe ich nur einen Denkfehler.

Vielen Dank im Voraus
Alexander


   
Quote
Share: