原始 KB 数: 2586832
症状
安装 Microsoft Exchange Server 2010 后,Microsoft Outlook 用户可能无法更改其列为管理员的组的成员身份。 尝试执行此操作时,他们会收到以下错误消息:
无法保存对邮件分发列表成员的更改。 您没有足够的权限对此对象执行此操作。
原因和解决方法
此行为有多种原因。
原因 1
此行为在 Exchange Server 2010、Exchange Server 2013 和 Exchange Server 2016 中设计。 基于角色的访问控制(RBAC)及其相关的自助服务角色首次引入于 Exchange Server 2010。 为了防止客户意外导致组管理问题,组管理自助服务角色现在默认设置为“关闭”。
若要解决此问题,请参阅 如何管理我已在 Exchange 2010 中拥有的组。
原因 2
分发组被配置为由其他分发组和安全组进行管理。 但是,在 Exchange Server 2010 及更高版本中,只能使用启用邮件的安全组或单个用户来管理通讯组。
若要解决此问题,请将所需的通讯组或安全组转换为启用邮件的安全组。
原因 3
当 Outlook 客户端连接到 Exchange 2010 或 Exchange 2013 邮箱时,目录连接现在通过具有客户端访问服务器(CAS)角色的 Exchange 服务器进行定向。 对于 Exchange 2016,目录连接是与具备邮箱服务器角色的 Exchange 服务器建立的。 Exchange 服务器截获组管理的调用,然后通过 RBAC 处理这些调用。 如果 RBAC 引擎确定用户可以管理此组,则它允许调用完成。 但是,如果在 Outlook 客户端上配置了 Closest GC 注册表值,Outlook 将继续通过全局编录服务器连接,而不是通过 Exchange 服务器连接。 Exchange 2010 及更高版本中的邮箱不支持使用最接近的全局目录和 DS 服务器注册表值。
若要解决此问题,请参阅 “添加或删除全局目录”。
原因 4
如果用户尝试编辑的组的别名包含未经授权的字符,则无法从 Outlook 编辑它,即使权限配置正确也是如此。
若要测试此条件,请启动 Exchange PowerShell,然后运行以下命令:
get-distributiongroup <group_name>
注意事项
<group_name>占位符表示用户无法编辑的组。
如果 shell 返回一条错误消息,指出该组验证失败,则必须解决该组的问题,并确保它通过验证。
若要解决此问题,请参阅 Exchange 2007 脚本角:修复别名。
原因 5
要更改的组必须是通用组。 CAS 重定向和 RBAC 引擎无法更改本地或全局组。
若要解决此问题,请将全局组转换为通用组。
原因 6
如果尝试编辑的组不是默认全局地址列表的成员,也会触发此错误。
若要解决此问题,请参阅 管理地址列表。