Grupa zabezpieczeń nie może uzyskać dostępu do folderu publicznego w usłudze Exchange Online

• Dotyczy:

  Exchange Online

Symptomy

Członkowie grupy zabezpieczeń nie mogą uzyskać dostępu do folderu publicznego w usłudze Exchange Online, mimo że grupa zabezpieczeń wydaje się mieć odpowiednie prawa dostępu.

Na przykład polecenie cmdlet Get-PublicFolderClientPermission programu PowerShell generuje następujące dane wyjściowe.

Dane wyjściowe pokazują, że Security group1 ma uprawnienia dostępu PublishingEditor do folderu publicznego. Jeśli jednak członkowie grupy zabezpieczeń spróbują utworzyć, przenieść lub usunąć podfolder w folderze publicznym, otrzyma komunikat o błędzie wskazujący brak uprawnień.

Przyczyna

Problem występuje, jeśli identyfikator zabezpieczeń obiektu grupy zabezpieczeń w identyfikatorze Entra firmy Microsoft zmieni się po udzieleniu grupie dostępu do folderu publicznego. W przypadku zmiany identyfikatora zabezpieczeń grupa zabezpieczeń nie jest już zgodna z wpisem na liście praw dostępu dla folderu publicznego. Dlatego nawet jeśli wpis grupy zabezpieczeń nadal znajduje się na liście praw dostępu, członkowie grupy zabezpieczeń nie mogą już uzyskiwać dostępu do folderu publicznego.

Uwaga

Aby sprawdzić wartość identyfikatora zabezpieczeń dla grupy zabezpieczeń, uruchom następujące polecenia w programie PowerShell usługi Exchange Online:

$permissions = Get-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
$permissions.User.RecipientPrincipal | FL DisplayName, Sid

Oba poniższe scenariusze powodują zmianę identyfikatora zabezpieczeń.

Scenariusz 1

Krok 1. Tworzysz grupę zabezpieczeń w programie Exchange Server, a następnie synchronizujesz z lokalnej usługi Active Directory do identyfikatora Microsoft Entra. Grupa zabezpieczeń z włączoną obsługą poczty jest wyświetlana w usłudze Exchange Online.

Krok 2. Przyznaj grupie zabezpieczeń w usłudze Exchange Online prawa dostępu do folderu publicznego w usłudze Exchange Online. Członkowie grupy zabezpieczeń mogą teraz uzyskiwać dostęp do folderu publicznego.

Krok 3. Usunięcie lokalnej grupy zabezpieczeń w lokalnej usłudze Active Directory.

Krok 4. Przywracasz lokalną grupę zabezpieczeń w lokalnej usłudze Active Directory, a następnie ponownie zsynchronizujesz lokalną usługę Active Directory z identyfikatorem Microsoft Entra.

Po zakończeniu kroku 4 członkowie grupy zabezpieczeń nie mogą już uzyskiwać dostępu do folderu publicznego.

Scenariusz 2

Krok 1. Tworzysz grupę zabezpieczeń z obsługą poczty w usłudze Exchange Online.

Krok 2: Przyznaj grupie zabezpieczeń prawa dostępu do folderu publicznego w usłudze Exchange Online. Członkowie grupy zabezpieczeń mogą teraz uzyskiwać dostęp do folderu publicznego.

Krok 3. Usuwasz grupę zabezpieczeń.

Krok 4. W usłudze Exchange Online tworzysz nową grupę zabezpieczeń z obsługą poczty, która ma taką samą nazwę jak usunięta grupa zabezpieczeń.

Po ukończeniu kroku 3 członkowie grupy zabezpieczeń nie mogą już uzyskiwać dostępu do folderu publicznego. Po ukończeniu kroku 4 członkowie grupy zabezpieczeń nie odzyskają dostępu.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki, aby zaktualizować grupę zabezpieczeń na liście praw dostępu dla folderu publicznego:

1. Uruchom następujące polecenie cmdlet w programie Exchange Online PowerShell , aby usunąć prawa dostępu do folderu publicznego dla oryginalnej grupy zabezpieczeń:

   Remove-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
   

2. Uruchom następujące polecenie cmdlet w programie PowerShell usługi Exchange Online, aby dodać prawa dostępu do folderu publicznego dla przywróconej lub nowej grupy zabezpieczeń:

   Add-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>" -AccessRights "<access rights>"
   

Na przykład polecenia cmdlet Remove-PublicFolderClientPermission i Add-PublicFolderClientPermission programu PowerShell generują następujące dane wyjściowe.