Grupos en Exchange 2013 – No tiene permisos suficientes para realizar esta operacion

Hace unos días un cliente recientemente migrado de Exchange 2007 a 2013CU2v2 reportó que no podía cambiar la membresía de usuarios en un grupo universal de seguridad utilizando el ECP de Exchange 2013 (a partir de 2013: “Exchange Admin Center” o “EAC” pero el directorio virtual sigue llamándose como en 2010 “/ECP”). La cuenta de usuario que estaba utilizando era la del Administrator builtin de Active Directory, el mismo usuario con el cual se ejecutó todo el proceso de instalación y migración.

El error completo es el siguiente (en inglés y en español):

“You don’t have sufficient permissions. This operation can only be performed by a manager of the group”

“No tiene permisos suficientes para realizar esta operación. Esta operación solo la puede efectuar un administrador del equipo”

"Esta operación solo la puede efectuar un administrador del equipo"

Si bien uno puede recibir un error de permisos insuficientes por múltiples razones (por ejemplo herencia deshabilitada en un objeto), en este caso no tenia mucho sentido.

Luego de profundizar un poco más en el error verifiqué la opción de ownership (equivalente a “managed by”) y me encuentro con que esta en blanco (de forma predeterminada al crear el grupo este campo se completa con el usuario que lo creó). Una de las posibles causas para que este atributo este en blanco es que en un principio se haya creado con una cuenta de usuario que al momento ya no existe en la organización, por ejemplo porque fue eliminada (pueden haber otras posibilidades pero esta sería la más común).

Al intentar establecer al administrator como propietario (como se muestra en la imagen a continuación), me encuentro con que me devuelve el mismo error de permisos.

Modificacion de la membresia de grupos en el Exchange Admin Center (EAC)

Como prueba adicional decidí ejecutar la misma operación a través del shell:

You don’t have sufficient permissions. This operation can only be performed by a manager of the group

El resultado fue exactamente el mismo.

Solución al error de permisos insuficientes

Establecer un propietario utilizando el shell de Exchange con el parámetro “ByPassSecurityGroupManagerCheck”:

Set-DistributionGroup –identity Seguridad2 –ManagedBy Administrator    –BypassSecurityGroupManagerCheck

BypassSecurityGroupManagerCheck

A partir de este momento se pudo cambiar la membresía del grupo utilizando el Exchange Admin Center (EAC) sin inconvenientes . La alternativa sería realizar todas las operaciones de administración del grupo desde el shell utilizando el mismo parámetro “BypassSecurityGroupManagerCheck”.

Esta situación también podría aplicar a escenarios con Exchange 2010.

Como información adicional  dejo un link a un artículo de Microsoft que describe parcialmente esta situación mostrando varios ejemplos sobre como utilizar el parámetro ByPassSecurityGroupManagerCheck. Si bien esta escrito para Office 365 aplica en su mayoría para Exchange on premises:

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *