Hace unos días un cliente recientemente migrado de Exchange 2007 a 2013 reportó que no podía cambiar la membresía de usuarios en un grupo universal de seguridad utilizando el ECP de Exchange 2013 (a partir de 2013: “Exchange Admin Center” o “EAC” pero el directorio virtual sigue llamándose como en 2010 “/ECP”). La cuenta de usuario que estaba utilizando era la del Administrator builtin de Active Directory, el mismo usuario con el cual se ejecutó todo el proceso de instalación y migración.
El error completo es el siguiente (en inglés y en español):
“You don’t have sufficient permissions. This operation can only be performed by a manager of the group”
“No tiene permisos suficientes para realizar esta operación. Esta operación solo la puede efectuar un administrador del equipo”
Si bien uno puede recibir un error de permisos insuficientes por múltiples razones (por ejemplo herencia deshabilitada en un objeto), en este caso no tenia mucho sentido.
Luego de profundizar un poco más en el error verifique la opción de ownership (equivalente a “managed by”) y me encuentro con que esta en blanco (de forma predeterminada al crear el grupo este campo se completa con el usuario que lo creó). Una de las posibles causas para que este atributo este en blanco es que en un principio se haya creado con una cuenta de usuario que al momento ya no existe en la organización, por ejemplo porque fue eliminada (pueden haber otras posibilidades pero esta sería la más común).
Al intentar establecer al administrator como propietario (como se muestra en la imagen a continuación), me encuentro con que me devuelve el mismo error de permisos.
Como prueba adicional decidí ejecutar la misma operación a través del shell:
El resultado fue exactamente el mismo.
Solución:
Establecer un propietario utilizando el shell de Exchange con el parámetro “ByPassSecurityGroupManagerCheck”:
Set-DistributionGroup –identity Seguridad2 –ManagedBy Administrator –BypassSecurityGroupManagerCheck
A partir de este momento se pudo cambiar la membresía del grupo utilizando el Exchange Admin Center (EAC) sin inconvenientes . La alternativa sería realizar todas las operaciones de administración del grupo desde el shell utilizando el mismo parámetro “BypassSecurityGroupManagerCheck”.
Esta situación también podría aplicar a escenarios con Exchange 2010.
Como información adicional les dejo un link a un artículo de Microsoft que describe parcialmente esta situación mostrando varios ejemplos sobre como utilizar el parámetro ByPassSecurityGroupManagerCheck. Si bien esta escrito para Office 365 aplica en su mayoría para Exchange on premises:
http://support.microsoft.com/kb/2731947
Facebook0LinkedIn0Google+0Twitter0