:strip_exif()/u/27392/logofcdh.gif?f=community)
Vorige week is er bij ons iemand langs geweest om een Avaya module te installeren op onze Exchange omgeving tbv voicemails. Daarbij hebben ze een kleine schema update uitgevoerd in onze AD en hebben een Powershell script uitgevoerd (Zie onderin deze post) op onze Exchange omgeving.
Schema update is het gedaan op MS-Exch-Extension-Data attribute en isMemberOfPartialAttributeSet is op TRUE gezet.
Sindsdien merkte de servicedesk op dat zij geen aanpassingen meer konden maken op de usermailboxen terwijl ze wel in de Exchange Recipient Admin groep zaten. Zij zagen de mailbox stores niet meer. Na enig onderzoek merkte wij zelf op dat we als Domain Admin ook niets meer konden aanpassen in de Org Config en de Server Config (nog wel in de Recipient Config).
In eerste instantie dachten wij aan de Exchange groepen/Rollen en Permissie's. Nadat we deze nagekeken hadden (get-ExchangeAdministrator) en in AD gechecked hadden blijkt dat dat allemaal nog steeds goed stond.
Het vreemde is dat ik als test wel een send connector aan kon maken
Als ik hem dan wil editten of verwijderen krijg ik een Insufficient Acces error:
--------------------------------------------------------
Microsoft Exchange Error
--------------------------------------------------------
Action 'Remove' could not be performed on object 'Test Connector'.
Test Connector
Failed
Error:
Active Directory operation failed on FL-DC-02.Florence.local. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151CAD, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
The user has insufficient access rights.
Heb het idee dat er iets goed mis is met de Exchange/AD koppeling en/of de Rollen/Exchange groepen. Ik heb ook al een support call ingeschoten bij Microsoft, dus als ik daar antwoord op krijg post ik dat sowieso hier ook. Maar als iemand dit ooit heeft gezien? Of tegengekomen is? Best lastig als je niets meer kunt aanpassen in je config..
Ik draai overigens Exchange 2007 Enterprise op W2k3 R2 SP2.
Schema update is het gedaan op MS-Exch-Extension-Data attribute en isMemberOfPartialAttributeSet is op TRUE gezet.
Sindsdien merkte de servicedesk op dat zij geen aanpassingen meer konden maken op de usermailboxen terwijl ze wel in de Exchange Recipient Admin groep zaten. Zij zagen de mailbox stores niet meer. Na enig onderzoek merkte wij zelf op dat we als Domain Admin ook niets meer konden aanpassen in de Org Config en de Server Config (nog wel in de Recipient Config).
In eerste instantie dachten wij aan de Exchange groepen/Rollen en Permissie's. Nadat we deze nagekeken hadden (get-ExchangeAdministrator) en in AD gechecked hadden blijkt dat dat allemaal nog steeds goed stond.
Het vreemde is dat ik als test wel een send connector aan kon maken
Als ik hem dan wil editten of verwijderen krijg ik een Insufficient Acces error:--------------------------------------------------------
Microsoft Exchange Error
--------------------------------------------------------
Action 'Remove' could not be performed on object 'Test Connector'.
Test Connector
Failed
Error:
Active Directory operation failed on FL-DC-02.Florence.local. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151CAD, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
The user has insufficient access rights.
Heb het idee dat er iets goed mis is met de Exchange/AD koppeling en/of de Rollen/Exchange groepen. Ik heb ook al een support call ingeschoten bij Microsoft, dus als ik daar antwoord op krijg post ik dat sowieso hier ook. Maar als iemand dit ooit heeft gezien? Of tegengekomen is? Best lastig als je niets meer kunt aanpassen in je config..
Ik draai overigens Exchange 2007 Enterprise op W2k3 R2 SP2.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
| #
# PowerShell script to create MM Permissions Group and assign permissions.
#
#
# Load in the Exchange management cmdlets
#
$output = "C:\createmmgrpps1log.txt"
function debug-log([string] $logline)
{
write-output $logline >> $output
}
$starttime = get-date;
debug-log ""
debug-log "****************Create MM Permissions Group Start*********************"
debug-log $starttime
debug-log "**********************************************************************"
debug-log ""
$mmcust = $args[0]
$mmtech = $args[1]
$name = $args[2]
$alias = $args[3]
$OU = $args[4]
$domain = $args[5]
$exorg = $args[6]
write-output $mmcust >> $output
write-output $mmtech >> $output
write-output $name >> $output
write-output $alias >> $output
write-output $OU >> $output
write-output $domain >> $output
write-output $exorg >> $output
#
# Create MM Permissions Group
#
new-DistributionGroup -Name $name -Type 'Security' -OrganizationalUnit $OU -SamAccountName $name -Alias $alias >> $output
#
# Add required permissions to MM Permissions Group
#
Add-ADPermission -Identity $exorg -User $name -AccessRights 'CreateChild','ReadProperty','WriteProperty','ReadControl','ListChildren' >> $output
Add-ADPermission -Identity $exorg -User $name -AccessRights extendedright -ExtendedRights 'Administer Information Store','Create named properties in the information store','Receive As','Send As','View Information Store Status' >> $output
#
# Add MM Permissions Group to be member of Exchange Recipient Administrators
#
Add-ExchangeAdministrator -Identity $name -Role RecipientAdmin >> $output
#
# Add MM Accounts to be members of the MM Permissions Group
#
Add-DistributionGroupMember -Identity $name -Member $mmcust >> $output
debug-log ""
debug-log "**********Added mmcust to permissions group***************************"
debug-log ""
Add-DistributionGroupMember -Identity $name -Member $mmtech >> $output
debug-log ""
debug-log "**********Added mmtech to permissions group***************************"
debug-log ""
$endtime = get-date;
debug-log ""
debug-log "****************Create MM Permissions Group End***********************"
debug-log "$endtime"
debug-log "**********************************************************************"
debug-log "" |
13-05-2016 15:00 | 08-11-2017 8:30 | 25-11-2024 13:47