无法使用 Exchange Server 邮箱从 Outlook 管理通讯组
原始 KB 编号: 2586832
症状
安装 Microsoft Exchange Server 2010 后,Microsoft Outlook 用户可能无法更改他们作为管理员列出的组的成员身份。 尝试执行此操作时,会收到以下错误消息:
无法保存对通讯组列表成员身份的更改。 您没有足够的权限对此对象执行此操作。
原因和解决方法
此行为有多种原因。
原因 1
此行为在 2010 Exchange Server、Exchange Server 2013 和 2016 Exchange Server设计。 基于角色的访问控制 (RBAC) 及其附带的关联自助服务角色是在 2010 Exchange Server中引入的。 为了防止客户意外导致组管理问题,组管理自助服务角色现在默认设置为“关闭”。
若要解决此问题,请参阅 如何管理已在 Exchange 2010 中拥有的组。
原因 2
通讯组配置为由其他分发组和安全组管理。 但是,在 Exchange Server 2010 及更高版本中,只能使用已启用邮件的安全组或单个用户来管理通讯组。
若要解决此问题,请将所需的通讯组或安全组转换为启用邮件的安全组。
原因 3
当 Outlook 客户端连接到 Exchange 2010 或 Exchange 2013 邮箱时,目录连接现在通过具有客户端访问服务器 (CAS) 角色的 Exchange 服务器进行定向。 对于 Exchange 2016,目录连接到具有邮箱服务器角色的 Exchange 服务器。 Exchange 服务器截获组管理的调用,然后通过 RBAC 处理这些调用。 如果 RBAC 引擎确定用户可以管理此组,则它允许完成调用。 但是,如果在 Outlook 客户端上配置了最接近的 GC 注册表值,Outlook 将继续通过全局编录服务器进行连接,而不是通过 Exchange 服务器。 Exchange 2010 及更高版本中的邮箱不支持使用最接近的全局编录和 DS 服务器注册表值。
若要解决此问题,请参阅 添加或删除全局编录。
原因 4
如果用户尝试编辑的组的别名包含未经授权的字符,则无法从 Outlook 对其进行编辑,即使权限配置正确也是如此。
若要测试此条件,请启动 Exchange PowerShell,然后运行以下命令:
get-distributiongroup <group_name>
注意
<group_name>占位符表示用户无法编辑的组。
如果 shell 返回一条错误消息,指出组验证失败,则必须解决组的问题,并确保它通过验证。
若要解决此问题,请参阅 Exchange 2007 脚本角:fix-alias。
原因 5
尝试更改的组必须是通用组。 CAS 重定向和 RBAC 引擎无法更改本地组或全局组。
若要解决此问题,请将全局组转换为通用组。
原因 6
如果尝试编辑的组不是默认全局地址列表的成员,也会触发此错误。
若要解决此问题,请参阅 管理地址列表。