Säkerhetsgruppen kan inte komma åt en gemensam mapp i Exchange Online

• Gäller för:

  Exchange Online

Symptom

Medlemmar i säkerhetsgrupper kan inte komma åt en gemensam mapp i Exchange Online även om säkerhetsgruppen verkar ha rätt åtkomsträttigheter.

Till exempel genererar PowerShell-cmdleten Get-PublicFolderClientPermission följande utdata.

Utdata visar att Security group1 har PublishingEditor-åtkomsträttigheter till en gemensam mapp. Men om medlemmarna i säkerhetsgruppen försöker skapa, flytta eller ta bort en undermapp i den gemensamma mappen får de ett felmeddelande som anger att behörighet saknas.

Orsak

Problemet uppstår om säkerhetsidentifieraren för säkerhetsgruppsobjektet i Microsoft Entra-ID ändras efter att gruppen har beviljats åtkomst till den gemensamma mappen. Om säkerhetsidentifieraren ändras matchar säkerhetsgruppen inte längre posten i åtkomstbehörighetslistan för den gemensamma mappen. Även om säkerhetsgruppposten fortfarande finns i listan över åtkomsträttigheter kan säkerhetsgruppens medlemmar därför inte längre komma åt den gemensamma mappen.

Obs!

Om du vill kontrollera säkerhetsidentifierarvärdet för en säkerhetsgrupp kör du följande kommandon i Exchange Online PowerShell:

$permissions = Get-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
$permissions.User.RecipientPrincipal | FL DisplayName, Sid

Båda följande scenarier gör att säkerhetsidentifieraren ändras.

Scenario 1

Steg 1: Du skapar en säkerhetsgrupp i Exchange Server och synkroniserar sedan från lokal Active Directory till Microsoft Entra-ID. Den e-postaktiverade säkerhetsgruppen visas i Exchange Online.

Steg 2: Du beviljar säkerhetsgruppen i Exchange Online åtkomstbehörighet till en gemensam mapp i Exchange Online. Medlemmar i säkerhetsgruppen kan nu komma åt den gemensamma mappen.

Steg 3: Du tar bort den lokala säkerhetsgruppen i den lokala Active Directory.

Steg 4: Du återställer den lokala säkerhetsgruppen i den lokala Active Directory och sedan synkroniserar du om den lokala Active Directory till Microsoft Entra-ID.

När steg 4 har slutförts kan medlemmarna i säkerhetsgruppen inte längre komma åt den gemensamma mappen.

Scenario 2

Steg 1: Du skapar en e-postaktiverad säkerhetsgrupp i Exchange Online.

Steg 2: Du ger säkerhetsgruppen åtkomstbehörighet till en gemensam mapp i Exchange Online. Medlemmar i säkerhetsgruppen kan nu komma åt den gemensamma mappen.

Steg 3: Du tar bort säkerhetsgruppen.

Steg 4: Du skapar en ny e-postaktiverad säkerhetsgrupp i Exchange Online som har samma namn som den borttagna säkerhetsgruppen.

När steg 3 har slutförts kan medlemmarna i säkerhetsgruppen inte längre komma åt den gemensamma mappen. När steg 4 har slutförts återfår inte säkerhetsgruppens medlemmar åtkomst.

Åtgärd

Åtgärda problemet genom att följa dessa steg för att uppdatera säkerhetsgruppen i åtkomstbehörighetslistan för den gemensamma mappen:

1. Kör följande cmdlet i Exchange Online PowerShell för att ta bort åtkomsträttigheterna för den gemensamma mappen för den ursprungliga säkerhetsgruppen:

   Remove-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
   

2. Kör följande cmdlet i Exchange Online PowerShell för att lägga till åtkomsträttigheter för den återställda eller nya säkerhetsgruppen:

   Add-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>" -AccessRights "<access rights>"
   

Till exempel genererar PowerShell-cmdletarna Remove-PublicFolderClientPermission och Add-PublicFolderClientPermission följande utdata.