Поделиться через


Пользователям не удается войти в Outlook Web Access из-за недостаточных прав

 

Последнее изменение раздела: 2008-02-08

В этом разделе объясняется, как исправить права пользователей так, чтобы они смогли входить на Microsoft Office Outlook Web Access, с помощью оснастки «Active Directory — пользователи и компьютеры».

При входе в Outlook Web Access может появиться веб-страница со следующим исключением:

a.Core.Culture.SetPreferredCulture(ExchangePrincipal exchangePrincipal, CultureInfo culture) 
Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, Int32 
timeZoneId, Boolean isOptimized) 
Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext) 
Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie) 
Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext) 
Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext) 
System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() 
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

Inner Exception
Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
Exception message: Active Directory operation failed on ctssgreen.ctss.contoso.com. This error is not retriable. Additional information: 
Insufficient access rights to perform the operation. Active Directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 

Call stack

Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32& retries, Int32 maxRetries) 
Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId) 
Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties) 
Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

Inner Exception
Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
Exception message: The user has insufficient access rights.

Call stack

System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut) 

System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout) 
Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation) 
Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

Причина

Исключение может возникнуть, если для объекта пользователя или контейнера подразделения в оснастке «Active Directory — пользователи и компьютеры» не установлен флажок Разрешить наследование разрешений.

Кроме того, необходимо убедиться, что группа «Серверы Exchange» указана на вкладке «Безопасность» контроллера домена верхнего уровня. Эта группа безопасности требуется для контейнера верхнего уровня. Для успешного входа пользователей в Outlook Web Access эта группа должна быть заполнена во всех подразделениях, которые включают пользователей.

Предварительная подготовка

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать членство в группе администраторов домена.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Microsoft Exchange Server 2007, см. в статье Вопросы, связанные с разрешениями (на английском языке).

Процедура

Установка разрешения для пользователей и подразделений с помощью средства «Active Directory — пользователи и компьютеры»

  1. Откройте оснастку «Active Directory — пользователи и компьютеры».

  2. В меню Вид выберите команду Дополнительные параметры.

  3. Откройте свойства пользователя, которому не удается войти в Outlook Web Access.

  4. Откройте вкладку Безопасность и нажмите кнопку Дополнительно.

  5. Установите флажок Разрешить наследование разрешений, если он еще не установлен.

  6. Повторите действия 3—5 для всех подразделений между объектом пользователя и контейнером верхнего уровня.

  7. Дождитесь завершения репликации.

Установка разрешения для контейнера верхнего уровня с помощью средства «Active Directory — пользователи и компьютеры»

  1. Откройте оснастку «Active Directory — пользователи и компьютеры».

  2. В меню Вид выберите команду Дополнительные параметры.

  3. Откройте свойства контейнера верхнего уровня в домене пользователей, которым не удается войти в систему.

  4. Перейдите на вкладку Безопасность.

  5. Проверьте, указана ли группа «Серверы Exchange» в списке Группы или пользователи. Добавьте эту группу, если она отсутствует в списке. Для группы «Серверы Exchange» не требуется задавать разрешения.

Дополнительные сведения

Дополнительные сведения о параметрах разрешений для Outlook Web Access см. в разделе Параметры IIS и файловой системы для Outlook Web Access.