exchange 2019 - глупость с правами. нужна помощь.

[Руслан_2023]

Одной "темной" ночью (не надо работать по ночам) сглупил и на корне дерева АД в свойствах безопасности, в дополнительно нажал "Восстановить значения по умолчанию" (было это давно вариант с бэкапом не предлагать там перезаписалось уже все по нескольку раз)

Exchange 2019 работает, почта ходит, через ECP заходит, дает настроить правила в потоке обработки почты, даже дает создавать контакты. Но вот любые действия по добавлению почтовых ящиков, удалению, изменению любой почтовой записи, вылетает ошибка что нет прав. (скрин прилагается ошибка одна и та же по сути).

Что необходимо сделать чтобы в схеме АД при работающем EXCHANGE 2019 полностью восстановилась структура прав которая была "уничтожена" кнопкой "восстановить значения по умолчанию"

Достаточно ли и безопасно ли выполнить просто Setup /PrepareAD на чанге в шелле ?

...может есть команды которые могут тупо чекнуть на чанге что нарушилось в схеме АД, чего именно не хватает ? и попробовать воссоздать права в АДу руками ? (не хочется проверять, но есть ощущения, что если на корне АДа выдать фул разрешения скажем чанг серверу, менеджменту организации, пермишинам чанги то в целом все взлетит - но это в корне неправильно.

(не пинайте сильно ногами, это мало мне чем поможет и да спасибо заранее за любую помощь).

 

[Руслан_2023]

в одной теме советуют следующее
Setup.exe /PrepareAD /OrganizationName:"OrgName" /IAcceptExchangeServerLicenseTerms

...безопасно ли это при работающей чанге ?

 

[awocose]

Да, хуже не будет. Либо сделать бэкап AD в качестве страховки, затем Setup.exe /PrepareAD

 

[NanoSuit]

Операция active Directory над SRV-SSD10 не выполнена. Данная ошибка не допускает повторения ошибки. Для выполнения операции права недостаточны.
Отклик Active Directory:00002098: SecErrSID-0315145A, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Я думаю ошибка уйдет после Setup.exe /PrepareAD

 

[Doctor]

в одной теме советуют следующее
Setup.exe /PrepareAD /OrganizationName:"OrgName" /IAcceptExchangeServerLicenseTerms

...безопасно ли это при работающей чанге ?

При обновлении Exchange или установки cummulative update эта команда выполняется, ничего же не падает..

 

[Fedor]

To fix this issue, don't enable SID filter quarantining between domains in the same forest. For information about how to disable SID filter quarantining, see Disable SID filter quarantining.

 

[zero]

Одной "темной" ночью (не надо работать по ночам) сглупил и на корне дерева АД в свойствах безопасности, в дополнительно нажал "Восстановить значения по умолчанию" (было это давно вариант с бэкапом не предлагать там перезаписалось уже все по нескольку раз)

Exchange 2019 работает, почта ходит, через ECP заходит, дает настроить правила в потоке обработки почты, даже дает создавать контакты. Но вот любые действия по добавлению почтовых ящиков, удалению, изменению любой почтовой записи, вылетает ошибка что нет прав. (скрин прилагается ошибка одна и та же по сути).

Что необходимо сделать чтобы в схеме АД при работающем EXCHANGE 2019 полностью восстановилась структура прав которая была "уничтожена" кнопкой "восстановить значения по умолчанию"

Достаточно ли и безопасно ли выполнить просто Setup /PrepareAD на чанге в шелле ?

...может есть команды которые могут тупо чекнуть на чанге что нарушилось в схеме АД, чего именно не хватает ? и попробовать воссоздать права в АДу руками ? (не хочется проверять, но есть ощущения, что если на корне АДа выдать фул разрешения скажем чанг серверу, менеджменту организации, пермишинам чанги то в целом все взлетит - но это в корне неправильно.

(не пинайте сильно ногами, это мало мне чем поможет и да спасибо заранее за любую помощь).

Open user account properties in Active Directory Users and Computers, change to Security tab > Advanced - check Include inheritable permissions from this object's parents.

 

[Руслан_2023]

Open user account properties in Active Directory Users and Computers, change to Security tab > Advanced - check Include inheritable permissions from this object's parents.

...да и такое видел но это совсем мимо кассы, было бы что наследовать. Сброс на дефолтные параметров безопасности выполнялся на корне, соответственно сам корень АДа не имеет уже никаких отсылок к чанге. Подожду до вечера посмотрим что даст команда "PrepareAD"

 

[Goblin]

...да и такое видел но это совсем мимо кассы, было бы что наследовать. Сброс на дефолтные параметров безопасности выполнялся на корне, соответственно сам корень АДа не имеет уже никаких отсылок к чанге. Подожду до вечера посмотрим что даст команда "PrepareAD"

бэкап схемы не забудьте сделать предварительно

 

[Руслан_2023]

бэкап схемы не забудьте сделать предварительно

бэкапы то есть (спасибо за совет), делаются постоянно, перезатирая более старые, штуки три четыре есть, просто все они уже (судя по срокам) с той же проблемой отсутствия прав... всплыло то из за чего, надо удалить учетку с чанги и не дало, отсюда и начал копать какого хора не дало с админскими правами... пока исследовал понял что в АДу по чанге ни сном ни духом, и вспомнил это долбаный мисклик которому на тот момент не придал значения ибо нельзя сидеть по ночам ... если не добавлять и не удалять учетки с чанги то в целом то все пашет, почта ходит, спамеров ежедневно пополняю в базе, антиспам корректирую если ложные срабатывания идут, то есть сломалось именно связка изменения каких либо данных в чанге которые должны отразиться в АДу, а если изменения вносятся только касаемо самой чанги все отрабатывает, не ругается

 

[CheBuRek]

бэкапы то есть (спасибо за совет), делаются постоянно, перезатирая более старые, штуки три четыре есть, просто все они уже (судя по срокам) с той же проблемой отсутствия прав... всплыло то из за чего, надо удалить учетку с чанги и не дало, отсюда и начал копать какого хора не дало с админскими правами... пока исследовал понял что в АДу по чанге ни сном ни духом, и вспомнил это долбаный мисклик которому на тот момент не придал значения ибо нельзя сидеть по ночам ... если не добавлять и не удалять учетки с чанги то в целом то все пашет, почта ходит, спамеров ежедневно пополняю в базе, антиспам корректирую если ложные срабатывания идут, то есть сломалось именно связка изменения каких либо данных в чанге которые должны отразиться в АДу, а если изменения вносятся только касаемо самой чанги все отрабатывает, не ругается

А еще какой то учетке нельзя делегировать фулл права ? И из под нее уже сделать. Или я не совсем понял?.. Ну добавить кого то в organization management

 

[Руслан_2023]

А еще какой то учетке нельзя делегировать фулл права ? И из под нее уже сделать. Или я не совсем понял?.. Ну добавить кого то в organization management

суть вопроса в чем. открываешь корень АДа, свойства, безопасность, ни одной записи про сервер чанги, organization management и прочих групп касательно почты нету (есть только все штатное которое изначально ставится по дефолту при установке АДа), как следствие нету и нигде в структуре дерева АДа... какая разница кого добавить в organization management (да группа сама осталась и она есть) если сама группа ни на что прав не имеет ?