Revista Informática

Grupos en Exchange 2013 – No tiene permisos suficientes para realizar esta operacion

Publicado el 19 diciembre 2013 por Aprendiendoexchange
Facebook0LinkedIn0Google+0Twitter0

Hace unos días un cliente recientemente migrado de Exchange 2007 a 2013 reportó que no podía cambiar la membresía de usuarios en un grupo universal de seguridad utilizando el ECP de Exchange 2013 (a partir de 2013: “Exchange Admin Center” o “EAC” pero el directorio virtual sigue llamándose como en 2010 “/ECP”). La cuenta de usuario que estaba utilizando era la del Administrator builtin de Active Directory, el mismo usuario con el cual se ejecutó todo el proceso de instalación y migración.

El error completo es el siguiente (en inglés y en español):

“You don’t have sufficient permissions. This operation can only be performed by a manager of the group”

“No tiene permisos suficientes para realizar esta operación. Esta operación solo la puede efectuar un administrador del equipo”

Grupos en Exchange 2013 – No tiene permisos suficientes para realizar esta operacion

Si bien uno puede recibir un error de permisos insuficientes por múltiples razones (por ejemplo herencia deshabilitada en un objeto), en este caso no tenia mucho sentido.

Luego de profundizar un poco más en el error verifique la opción de ownership (equivalente a “managed by”) y me encuentro con que esta en blanco (de forma predeterminada al crear el grupo este campo se completa con el usuario que lo creó). Una de las posibles causas para que este atributo este en blanco es que en un principio se haya creado con una cuenta de usuario que al momento ya no existe en la organización, por ejemplo porque fue eliminada (pueden haber otras posibilidades pero esta sería la más común).

Al intentar establecer al administrator como propietario (como se muestra en la imagen a continuación), me encuentro con que me devuelve el mismo error de permisos.

Modificacion de la membresia de grupos en el Exchange Admin Center (EAC)

Como prueba adicional decidí ejecutar la misma operación a través del shell:

You don’t have sufficient permissions. This operation can only be performed by a manager of the group

El resultado fue exactamente el mismo.

Solución:

Establecer un propietario utilizando el shell de Exchange con el parámetro “ByPassSecurityGroupManagerCheck”:

Set-DistributionGroup –identity Seguridad2 –ManagedBy Administrator   –BypassSecurityGroupManagerCheck

BypassSecurityGroupManagerCheck

A partir de este momento se pudo cambiar la membresía del grupo utilizando el Exchange Admin Center (EAC) sin inconvenientes . La alternativa sería realizar todas las operaciones de administración del grupo desde el shell utilizando el mismo parámetro “BypassSecurityGroupManagerCheck”.

Esta situación también podría aplicar a escenarios con Exchange 2010.

Como información adicional les dejo un link a un artículo de Microsoft que describe parcialmente esta situación mostrando varios ejemplos sobre como utilizar el parámetro ByPassSecurityGroupManagerCheck. Si bien esta escrito para Office 365 aplica en su mayoría para Exchange on premises:

http://support.microsoft.com/kb/2731947

Facebook0LinkedIn0Google+0Twitter0
Volver a la Portada de Logo Paperblog