Un antiguo administrador de sistemas eliminó varios grupos, incluidos los Grupos de seguridad de administración de Exchange.

Para reparar su error, intentó ejecutar prepad. Prepad no se ejecutó correctamente y terminó con este error:

[24/01/2021 17: 30: 48.0403] [2] [ERROR] La longitud de la lista de control de acceso excede el máximo permitido. [24/01/2021 17: 30: 48.0403] [2] [ADVERTENCIA] Se ha producido un error inesperado y se está generando un volcado de Watson: la longitud de la lista de control de acceso supera el máximo permitido. [24/01/2021 17: 30: 50.0794] 1 Se produjeron los siguientes 1 error (s) durante la ejecución de la tarea: [24/01/2021 17: 30: 50.0810] 1 0. ErrorRecord: La longitud de la lista de control de acceso excede la máximo permitido. [24/01/2021 17: 30: 50.0810] 1 0. ErrorRecord: System.OverflowException: La longitud de la lista de control de acceso excede el máximo permitido. en System.Security.AccessControl.RawAcl.InsertAce (índice Int32, GenericAce ace) en System.Security.AccessControl.CommonAcl.AddQualifiedAce (SecurityIdentifier sid, AceQualifier qualifier, Int32 accessMask, AceFlags flags, ObjectAceFlags objectFlags,Guid objectType, Guid heritageObjectType) en System.Security.AccessControl.DiscretionaryAcl.AddAccess (AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags heritageFlags, PropagationFlags propagationFlags, ObjectAceb, Guidid objeto de seguridad. ModifyAccess (modificación AccessControlModification, regla ObjectAccessRule, booleano y modificado) en System.Security.AccessControl.DirectoryObjectSecurity.AddAccessRule (regla ObjectAccessRule) en Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnAcl (WarningLoggingLoggingLoggerLoggerLogger, TaskVerboseLoggingLoggerLoggerLogger, Error ActiveDirectorySecurity acl, eliminación booleana,ActiveDirectoryAccessRule [] aces) en Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnSd (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObjectId id. DirectoryCommon.SetAces (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObject obj, Boolean remove, ActiveDirectoryAccessRule [] aces) en Microsoft.Exchange.Management.Tasks.Initialize.Tambio. () en Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc (String funcName, Action func, Boolean terminatePipelineIfFailed) en Microsoft.Exchange.Configuration.Tasks.Task.ProcessTaskStage (TaskStage taskStage, Action initFunc, Action mainFunc, Action completeFunc) en Microsoft.Exchange.Configuration.Tasks.Task.ProcessRecord () en System.Management.Automation.CommandProcessor.ProcessRecord () [01/24 / 2021 17: 30: 50.0810] 1 [ERROR] Se generó el siguiente error cuando "$ error.Clear (); $ createTenantRoot = ($ RoleIsDatacenter -o $ RoleIsPartnerHosted); $ createMsoSyncRoot = $ RoleIsDatacenter;$ createMsoSyncRoot = $ RoleIsDatacenter;$ createMsoSyncRoot = $ RoleIsDatacenter;

# $ RoleDatacenterIsManagementForest se establece solo en la implementación del centro de datos; interpreta su ausencia como $ false [bool] $ isManagementForest = ($ RoleDatacenterIsManagementForest -eq $ true);

if ($ RolePrepareAllDomains) {initialize-DomainPermissions -AllDomains: $ true -CreateTenantRoot: $ createTenantRoot -CreateMsoSyncRoot: $ createMsoSyncRoot -IsManagementForest: $ isManagementForest; } elseif ($ RoleDomain -ne $ null) {initialize-DomainPermissions -Domain $ RoleDomain -CreateTenantRoot: $ createTenantRoot -CreateMsoSyncRoot: $ createMsoSyncRoot -IsManagementForest: $ isManagementForest; } else {initialize-DomainPermissions -CreateTenantRoot: $ createTenantRoot -CreateMsoSyncRoot: $ createMsoSyncRoot -IsManagementForest: $ isManagementForest; } "se ejecutó:" System.OverflowException: la longitud de la lista de control de acceso excede el máximo permitido. en System.Security.AccessControl.RawAcl.InsertAce (índice Int32, GenericAce ace) en System.Security.AccessControl.CommonAcl.AddQualifiedAce (SecurityIdentifier sid, AceQualifier calificador, Int32 accessMask,Banderas AceFlags, ObjectAceFlags objectFlags, Guid objectType, Guid heritageObjectType) en System.Security.AccessControl.DiscretionaryAcl.AddAccess (AccessControlType accessType, SecurityIdentifier sid, Int32 accessMask, InheritanceFlags heritageFlagsFlagslags de objeto, Objeto propagación. Security.AccessControl.DirectoryObjectSecurity. ErrorLoggerDelegate errorLogger, String objectIdentityString, ActiveDirectorySecurity acl,Boolean remove, ActiveDirectoryAccessRule [] aces) en Microsoft.Exchange.Management.Tasks.DirectoryCommon.ApplyAcesOnSd (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObjectRage.dcriptor id. .Tasks.DirectoryCommon.SetAces (TaskVerboseLoggingDelegate verboseLogger, TaskWarningLoggingDelegate warningLogger, ErrorLoggerDelegate errorLogger, ADObject obj, Boolean remove, ActiveDirectoryAccessRule [] aces) en Microsoft.Exchange.ManagementRecess.Tasks. Task.b__b () en Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc (String funcName, Action func,Boolean terminatePipelineIfFailed) en Microsoft.Exchange.Configuration.Tasks.Task.ProcessTaskStage (TaskStage taskStage, Action initFunc, Action mainFunc, Action completeFunc)

El producto final fue un grupo de administración duplicado sin roles asignados:

Consola de Exchange, permisos

¿Alguien sabe si hay una manera de asignar roles a los nuevos grupos de administración o si prepad tiene un interruptor detallado o de depuración para verificar que el objeto no puede agregar el permiso acl?

cualquier idea es bienvenida.

answer

preparado ? ¿Quiso decir Prepare AD ?

Si es así, según el error en el registro y los grupos de roles en su instantánea, el error en los registros parece deberse a la longitud de la sintaxis que setup.exe usó para generar grupos de roles (especialmente los roles de Gestión de la organización ).

Y hubo grupos de roles duplicados excepto ( Organization Management) creados después de preparar AD (supongo que este grupo de roles es el que se eliminó accidentalmente). Según su instantánea, a estos grupos duplicados no se les asignan los roles correspondientes, significa que podría eliminarlos.

Para el grupo de roles eliminado Administración de la organización , puede crear manualmente un grupo llamado Administración de la organización y asignarle los roles predeterminados (regulares) en el EAC: Roles de administración asignados a este grupo de roles (Seleccione / agregue las asignaciones regulares , y podría También asigne algunas asignaciones de delegación si desea usar cierta cuenta para ver / modificar la configuración del servidor). No olvide agregar sus miembros originales en Miembros :

ingrese la descripción de la imagen aquí