Partager via

特定の配布グループに対し送信者または受信者のアクセス権をユーザーに付与出来ない事象について

  • Article

いつも Exchange Server をご利用いただきありがとうございます。Exchange サポート チームの松崎です。
今回は特定の配布グループに対し、送信者または受信者のアクセス権を付与できない事象についてご紹介いたします。

事象について
Exchange 2010 / 2013 において、既存のユニバーサル グループを Enable-Distributiongroup コマンドなどによってメールが有効な配布グループに変更した場合、
その配布グループに対する送信者または受信者のアクセス権をユーザーに付与しようとすると以下のエラーとともに操作が失敗することがあります。

実行コマンド例
==============================
Add-ADPermission -Identity <配布グループ名> -User <ユーザー名> -ExtendedRights "Send As"
==============================

エラー メッセージ
==============================
Active Directory の操作は <ドメイン コントローラー名> で失敗しました。このエラーは再試行可能ではありません。追加情報: アクセスが拒否されました。。
Active Directory の応答: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
==============================

原因について
本事象はAD 上の Exchange サーバー オブジェクトが該当する配布グループ オブジェクトに対してアクセス許可を変更する権限がないため発生します。
AD オブジェクトとして先にグループを作成した場合は、この配布グループ オブジェクトの所有者として通常 "Domain Admins" が登録されます。
Enable-DistributionGroup コマンドなどにより配布グループ オブジェクトのメールアドレスを有効にする際において、配布グループ オブジェクトの所有者は変更されないため、その後 Exchange サーバーからアクセス権の変更操作を行っても上記のエラーとともに操作が失敗します。

また、管理シェル上でのコマンドや管理センター(もしくはコンソール) の操作により配布グループを作成した場合は、操作を行った Exchange サーバーのコンピューター オブジェクトが配布グループ オブジェクトの "所有者" として登録されアクセス権を変更する権限があるため上記の事象は発生しません。
* ただし、Exchange サーバーが複数存在する環境では、配布グループの作成処理を行った Exchange サーバー (グループの所有者) と、アクセス権の変更を試みる Exchange サーバーが異なる場合があり、そのような場合は同様の事象が発生します。

なお、事象発生の原因としては以下の URL 先の情報と関連しております。

-参考情報
Title : Access denied when you try to give user "send-as" or "receive as" permission for a Distribution Group in Exchange Server 2010 or Exchange Server 2013
URL : https://support.microsoft.com/en-us/kb/2983209

対処方法について
上記の参考情報に記載されている操作により、配布グループ オブジェクトに対するアクセス権を変更する権限を、すべての Exchange サーバーに付与することで本事象は解消します。
手順は以下に記載いたしますが、上記の事象が発生しお困りの際は検証環境などでお試しいただけると幸いです。

-手順
1. [Active Directory ユーザーとコンピューター] を起動します。
2. [表示] タブ - [拡張機能] をクリックします。
3. 配布グループが格納されている OU を右クリックし、[プロパティ] をクリックします。
4. [セキュリティ] タブ の [詳細設定] をクリックします。
5. [アクセス許可] タブの [追加] ボタンをクリックします。
6. "Exchange trusted subsystem" を指定し [OK ボタン] をクリックします。
7. [アクセス許可の修正] のチェックボックスにチェックを入れます。
8. 適用先が、"このオブジェクトとすべての子オブジェクト" であることを確認し、[OK] ボタンをクリックします。

今後も当ブログおよびサポート チームをよろしくお願いいたします。