无法使用 Exchange Server 邮箱管理 Outlook 中的通讯组

原始 KB 数:   2586832

症状

安装 Microsoft Exchange Server 2010 后,Microsoft Outlook 用户可能无法更改作为管理者列出的组的成员身份。 当用户尝试执行此操作时,会收到以下错误消息:

无法保存对通讯组列表成员身份的更改。 您没有足够的权限对此对象执行此操作。

来自 outlook 的错误消息

原因和解决方法

此行为有多种原因。

原因1

此行为是 Exchange Server 2010、Exchange Server 2013 和 Exchange Server 2016 中的设计。 基于角色的访问控制 (RBAC) ,以及在 Exchange Server 2010 中引入与此相关联的相关自助角色。 为了防止客户意外地导致组管理问题,组管理自助服务角色在默认情况下设置为 Off。

若要解决此问题,请参阅 如何管理已在 Exchange 2010 中已拥有的组

原因2

通讯组配置为由其他通讯组和安全组管理。 遗憾的是,当 Exchange 2010 采用 RBAC 模型时,您将无法再拥有一个组来管理其他组。 在 Exchange Server 2010、Exchange Server 2013 和 Exchange Server 2016 中,您必须列出组管理员和单个用户而不是组。

若要解决此问题,请参阅 如何使用 Exchange 2010 中的组管理组

原因3

当 Outlook 客户端连接到 Exchange 2010 或 Exchange 2013 邮箱时,目录连接现在将通过具有客户端访问服务器 (CAS) 角色的 Exchange 服务器进行定向。 对于 Exchange 2016,目录连接使用邮箱服务器角色建立到 Exchange 服务器。 Exchange 服务器将拦截对组管理的呼叫,然后通过 RBAC 处理这些呼叫。 如果 RBAC 引擎确定用户可以管理此组,则将允许该呼叫完成。 但是,如果您在 Outlook 客户端上配置了最接近的 GC 注册表值,Outlook 将继续通过全局编录服务器进行连接,而不是通过 Exchange 服务器。 Exchange 2010 及更高版本中的邮箱不支持对最接近的全局编录和 DS 服务器注册表值的使用。

若要解决此问题,请参阅 如何将 Outlook 配置为特定的全局编录服务器或最接近的全局编录服务器

原因4

如果用户尝试编辑的组的别名包含未经授权的字符,则不能从 Outlook 编辑它,即使权限配置正确也是如此。

若要测试此条件,请启动 Exchange PowerShell,然后运行以下命令:

get-distributiongroup <group_name>

备注

<group_name>占位符表示用户无法编辑的组。

如果命令行管理程序返回一条错误消息,指出该组验证失败,则必须解决该组的问题,并确保它通过验证。

若要解决此问题,请参阅 Exchange 2007 脚本拐角:修复别名

原因5

您尝试更改的组必须是通用组。 CAS 重定向和 RBAC 引擎无法更改本地或全局组。

若要解决此问题,请将全局组转换为通用组。

原因6

如果您尝试编辑的组不是默认全局地址列表的成员,也会触发此错误。

若要解决此问题,请参阅 管理地址列表