收发邮件时出现以上这种情况,系统提示550 5.7.1 Client does not have permissions to send as this sender,这是什么原因赞成的呢?
活动目录服务有个处理过程是为了保证受保护组的安全标识符不被改动。如果一个属于受保护组的账号的安全标识符跟AdminSDHolder Object的安全标识符不匹配的话, 那么这个账号的安全标识符会被AdminSDHolder Object的安全标识符所覆盖。
由于修改Send As权限是通过修改用户的安全标识符来实现的,因此假如一个用户是属于某个受保护组的话,上述修改会在一小时左右执行,即把AdminSDHolder Object的安全标识符覆盖到这个用户的安全标识符,因为Send As属于安全标识符的其中的一个权限,所以同时也会被覆盖,最终导致NT AuthoritySelf权限丢失。
测试发现,凡是属于受保护组的账号,都没有Send As权限。以下是受保护组:
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Domain Admins
Schema Admins
Enterprise Admins
Cert Publishers
解决方案:
给邮箱用户添加另外发送为权限:Get-Mailbox | Add-ADPermission -User 'NT AuthoritySelf' -ExtendedRights 'Send-as'