Exchange 2013 с неудачным выполнением предварительной настройки, что привело к группам управления без назначенных ролей
Бывший системный администратор удалил несколько групп, включая группы безопасности управления Exchange.
Чтобы исправить свою ошибку, он попытался выполнить подготовительную операцию. Prepad работал некорректно, заканчиваясь этой ошибкой:
[24.01.2021 17: 30: 48.0403] [2] [ERROR] Длина списка управления доступом превышает максимально допустимый . [24.01.2021 17: 30: 48.0403] [2] [ПРЕДУПРЕЖДЕНИЕ] Произошла непредвиденная ошибка, создается дамп Watson: длина списка управления доступом превышает разрешенный максимум. [24.01.2021 17: 30: 50.0794] 1 Во время выполнения задачи произошла 1 ошибка (я): [24.01.2021 17: 30: 50.0810] 1 0. ErrorRecord: длина списка управления доступом превышает разрешенный максимум. [24.01.2021 17: 30: 50.0810] 1 0. ErrorRecord: System.OverflowException: длина списка управления доступом превышает разрешенный максимум. в System.Security.AccessControl.RawAcl.InsertAce (индекс Int32, GenericAce ace) в System.Security.AccessControl.CommonAcl.AddQualifiedAce (SecurityIdentifier sid, квалификатор AceQualifier, Int32 accessMask, флаги AceFlags, GuitarTime ObjectFlags, унаследованный от объекта GuitarObjectFlags) System.Security.AccessControl.DiscretionaryAcl.AddAccess (AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags наследованиеFlags, PropagationFlagsprogationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) в System.Secccesslecurity. .AccessControl.DirectoryObjectSecurity.AddAccessRule (ObjectAccessRule правило) на Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnAcl (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, струнного objectIdentityString, ActiveDirectorySecurity ACL, булевой удалить, ActiveDirectoryAccessRule [] тузов) в Microsoft.Exchange .Management.Tasks.DirectoryCommon.ApplyAcesOnSd (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObjectId id, RawSecurityDescriptor rsd, Boolean remove, ActiveDirectoryAccessRule [] aces) в Microsoft.Exchange.Management.Tasks.DirectoryCommon.SetAces (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger.AccessObject_AccessSize.ActiveLoggerDelegate_Access_Access_Access_Object_Object_Access_Object_Access_Object_Access_Object_Access_Object_Access .InternalProcessRecord () в Microsoft.Exchange.Configuration.Tasks.Task.b__b () в Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc (String funcName, Action func, Boolean terminatePipelineIfFailed) в Microsoft.Exchange.Configuration.Tasks.Tasks. .ProcessTaskStage (TaskStage taskStage, Action initFunc, Action mainFunc, Action completeFunc) в Microsoft.Exchange.Configuration.Tasks.Task.ProcessRecord () в System.Management.Automation.CommandProcessor.ProcessRecord () [24.01.2021 17:30: 50.0810] 1 [ОШИБКА] Следующая ошибка была сгенерирована, когда «$ error.Clear (); $ createTenantRoot = ($ RoleIsDatacenter -or $ RoleIsPartnerHosted); $ createMsoSyncRoot = $ RoleIsDatacenter;
# развертывание $ RoleDatacenagement только в центре данных ; интерпретировать его отсутствие как $ false [bool] $ isManagementForest = ($ RoleDatacenterIsManagementForest -eq $ true);
if ($ RolePrepareAllDomains) {initialize-DomainPermissions -AllDomains: $ true -CreateTenantRoot: $ createTenantRoot: $ createTenantRoot: $ createTenantRoot: $ createTenantRoot: $ createTenantRoot: $ createTenantRoot IsManagementForest: $ isManagementForest;} elseif ($ RoleDomain -ne $ null) {initialize-DomainPermissions -Domain $ RoleDomain -CreateTenantRoot: $ createTenantRoot -CreateMsoSyncRoot: $ createMsoSyncRoot} -IsManagement; иначе {инициализировать-DomainPermissions -CreateTenantRoot: $ createTenantRoot -CreateMsoSyncRoot: $ createMsoSyncRoot -IsManagementForest: $ isManagementForest; } "было выполнено:" System.OverflowException: длина списка управления доступом превышает разрешенный максимум. в System.Security.AccessControl.RawAcl.InsertAce (индекс Int32, GenericAce ace) в System.Security.AccessControl.CommonAcl.AddQualifiedAce (SecurityIdentifier sid, квалификатор AceQualifier, Int32 accessMask, флаги AceFlags, GuitarTime ObjectFlags, унаследованный от объекта GuitarObjectFlags) System.Security.AccessControl.DiscretionaryAcl.AddAccess (AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags inheritanceFlags, PropagationFlagsprogationFlags, ObjectAceFlags objectFlags, Guid objectType, Guid inheritedObjectType) в System.Security.AccessControlify.Direcurity.AccessControl.AccessControlModification модификация, ObjectAccessRule правило, булева & модифицировано) при System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule (ObjectAccessRule правила) в Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnAcl (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, струнный objectIdentityString, ActiveDirectorySecurity ACL , Boolean remove, ActiveDirectoryAccessRule [] aces) в Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnSd (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogces, ErrorLoggerDelegurity, errorLoggerDelegate, ActiveLoggerDelegurity, errorLogger), ActiveLoggerDelegate, errorLoggerItem, ADO_Delegate, ошибка Management.Tasks.DirectoryCommon.SetAces (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObject obj, Boolean remove, ActiveDirectoryAccessRule [] aces) в Micr osoft.Exchange.Management.Tasks.InitializeDomainPermissions.InternalProcessRecord () в Microsoft.Exchange.Configuration.Tasks.Task.b__b () в Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc (String funcName, terminate funcipelineI Microsoft.Exchange.Configuration.Tasks.Task.ProcessTaskStage (TaskStage taskStage, Action initFunc, Action mainFunc, Action completeFunc)
Конечный продукт представлял собой дублирующие группы управления без назначенных ролей:
Кто-нибудь знает, есть ли способ назначать роли новым группам управления или если у PrePad есть переключатель verbose или debug для проверки объекта, что он не может добавить разрешение acl?
любая идея действительно приветствуется.
препада ? Возможно, вы имели в виду Подготовить AD ?
Если это так, на основании ошибки в журнале и групп ролей в вашем снимке, ошибка в журналах, по-видимому, вызвана длиной синтаксиса, который setup.exe используется для создания групп ролей (особенно ролей Управления организацией ).
И были дублированные группы ролей, за исключением ( Управление организацией ), созданных после подготовки AD (я предполагаю, что это группа ролей, которая была удалена случайно).Согласно вашему снимку, этим дублированным группам не назначены соответствующие роли, это означает, что вы можете их удалить.
Для удаленной группы ролей Управление организацией можно вручную создать группу с именем Управление организацией и назначить ей стандартные (обычные) роли в центре администрирования Exchange: {{1} } Управляющие роли, назначенные этой группе ролей (Пожалуйста, выберите / добавьте обычные назначения , и вы также можете назначить некоторые делегирующие назначения , если хотите использовать определенную учетную запись для просмотра / изменения настроек сервера.). Не забудьте добавить своих первоначальных участников в Участники :
