[Troubleshooting] – Permissão Send As não funciona no Exchange

Salve, salve pessoal do Cooperati, essa semana peguei um problema bem esquisito no Exchange 2010 onde um usuário tinha que enviar e-mails em nome de outro usuário, operação bem simples, é somente dar a permissão de Send As e pronto, porém não funcionava nem com reza brava então a seguir contarei minha saga para resolver esse problema.

Como disse chegou, na segunda, uma requisição para mim para dar permissão de Send As a um usuário, então fui lá tranquilamente e dei a permissão e me retornou como realizado com sucesso, esperei um pouco e pedi para o usuário testar e ele me relatou que não funcionou, achei estranho, pedi para dar logoff e logar de novo para atualizar as permissões, o usuário fez e nada! Sabia que o Exchange tem um cache de permissão que atualiza de 2 em 2 horas, pensei que era isso, e falei para o usuário esperar um tempo e testar novamente. Deu-se o tempo e ele me liga dizendo que continuava com o problema.

Fiquei intrigado e fui até a mesa do usuário para ver, pensei que ele poderia estar colocando o e-mail no campo “De” do Outlook errado, porém estava certo, retirei o modo de Transferencia em cache no Outlook para ver se era algum erro com esse modo, porém o erro persistiu, como era quase fim de expediente, deixei para o dia seguinte para resolver.

Ontem quando cheguei na empresa, primeira coisa foi ver se a permissão do Send As estava setada e para minha surpresa ela NÃO estava, achei estranho, como na aba Segurança das propriedas do usuário estava com marcado para herdar as permissões das OU Pais para ele, desmarquei pensando que algo tinha herdado e feito o usuário sumir da lista, retirei e voltei a dar a permissão de Send As e pedi para o usuário testar, resposta negativa novamente, fiquei com a pulga atrás da orelha, então resolvi dar Acesso Total a Mailbox para o usuário e essa permissão funcionou perfeitamente, então pedi para realizar o teste de novo e para minha surpresa, resposta negativa DENOVO!! Fiquei MUITO bolado com isso, comecei a tomar medidas drasticas quanto a isso, fui na conta do AD onde a permissão de send as tinha que estar setada para o usuário em questão e dei o famoso “FULL CONTROL” na conta do AD (não façam isso em casa :D), pensei “se agora não for, chuta que é macumba”, fiz o teste novamente e tive que chutar pois era macumba, pois não funcionou NOVAMENTE!!

Resetei a conta da mailbox que não aceitava o Send As e refiz o procedimento novamente, e continuou dando o mesmo erro, fui verificar as permissões e para minha surpresa tinham sumido DENOVO!!!! Já estava pensando em chamar um Pai de Santo para exorcizar, mas não tive outra escolha se não procurar no Pai dos Burros, o São Google, pesquisei por quase 3 horas sem nenhuma resposta a única coisa que vi foi que contas privilegiadas tais como Administradores de Dominio, Administradores de Empresa e Operadores de Conta a permissão Send As não funcionava e ocorria EXATAMENTE o que acontecia comigo, só que esse usuário NÃO era membro de nenhum desses grupos, já tinha perdido mais um dia de trabalho por causa desse problema  e fui embora.

Hoje então voltei ao batente novamente a esse problema, fiquei mais 4 horas pesquisando e com a informação das contas privilegiadas na cabeça, pensando será que algum dia essa conta pertenceu a um desses grupos e continuei procurando, vi muitas respostas até a de deletar o usuário vinculado a mailbox problemática e recriá-lo e reconectar a mailbox em questão, só que como “Sou Brasileiro e Não Desisto NUNCA”, continuei minha sina até que achei uma resposta dizendo que essas contas privilegiadas tinham uma propriedade chamada “Admin Count” definida em 1 e usuários normais definida em 0, então fui verificar essa propriedade na conta da mailbox que não aceitava o Send As e para minha surpresa, não é que a propriedade estava definida em 1, foi só definir para 0, refazer a operação de Send As e Vualá, o usuário conseguiu enviar um e-mail em nome dessa conta.

Fui verificar o que pode ter ocorrido e descobri que essa conta foi criada sendo copiada de uma outra que em um passado sombrio pertenceu a um dos grupos citados acima, porém o AD não atualizou essa propriedade quando ele foi removido desse grupo ou já herdou da outra conta esse atributo.

Conclusão: Problema resolvido e tudo por causa de má criação de usuário, se esse usuário tivesse sido criado usando um modelo padrão, nada disso teria acontecido, eu não teria perdido quase 2 dias e meio com esse problema (somando o tempo da abertura do chamado com o tempo de conclusão) e eu teria alguns fios de cabelo a mais na cabeça :D. Espero que venha a ajudar alguém, pois realmente custei achar essa solução.

Segue o link da resposta salvadora(em inglês): http://serverfault.com/questions/194338/include-inheritable-permissions-from-this-objects-parent-unticks-itself-server

  • Salve Pessoal Cooperati,

    Laerte,

    Eu passei exatamente por este problema na semana retrasada para dar permissão para usuário, fiquei 1 dia batendo cabeça e no dia seguinte recriei a conta e o problema foi resolvido, gostei muito da solução!!!

    • Leandro, obrigado pelo comentário, eu, como disse no post, fiquei 2 dias e meio :D, mas literalmente, não sou adepto da solução “formatar computador”, que é “apaga e faz de novo”, prefiro descobrir a razão dele, nessa insistência acabo descobrindo muita coisa como essa, que realmente é um problema pelo que pesquisei bastante comum, mas muitos fazem a sua solução de refazer o usuário, porém pena que a minha solução veio um pouco tarde para você, mas pelo menos se acontecer de novo não vai precisar recriar o usuário 😀
      Abraços

  • Artur de Souza Aragão

    Bom,

    Isto já aocnteu comigo no Exchange Server 2007 e a operação pelo Exchange Server Manager não era concluída. Realizei a mesma operação pelo Powershell e tudo foi resolvido. Acionei a Microsoft e relatei a anomlia que realmente tratava-se de um bug.

    Experimentaram realizar as operações pelo Powershell alguma vez?

    • Artur, no meu caso, a operação no manager era concluída com exito, tanto que a permissão ficava setada por um tempo, depois sem mais nem menos ela desaparecia, isso acontecia frequentemente e do mesmo jeito, os comandos realizados no manager nada mais são que comandos executados no powershell através de uma interface gráfica, mas valeu pela informação 😀

      Abraços

      • Artur de Souza Aragão

        Laerte,

        Em meu caso ela estava setada com sucesso e assim permanecia. No entanto, este estado estava apenas registrado para a interface gráfica do produto. Eu já tinha ciência de que o Manager do Exchange Server é apenas um front-end para os comandos do Powershell. Foi aí que executando o comando no Powershell que descobri a origem rela do problema, gerando assim um caso de resolução pela Microsoft.

        Seu problema é parecido com o que ocorreu comigo, com a única diferença de que contigo a informação retorna ao estado anterior à modificação na UI.

        • Ok Artur, entendi errado, pensei que na interface gráfica já gerava o erro, mas que estranho, ele na interface gráfica dizer que estava setado e não estava, pois ele pega essa informação no AD, realmente estranho, mas pelo menos é mais uma solução para esse problema 😀
          Vivendo é aprendendo 😀

  • Julio Cesar

    Boa Laerte, Tirou a duvida de muitos …

    Parabéns

  • Rafael Paulino Soares

    Isso que é um Troubleshooting…

    • Opa, obrigado Rafael, estamos ai para isso 😉

  • Tiago

    Olá, eu estou com um problema ao contrário. Os usuários que possuem acesso de ADM conseguem enviar e-mail em nome de qualquer pessoa.Mesmo alterando o admin count como vc mencionou acima não tive sucesso. Tem alguma idéia do que possa ser?

    • Tiago, o admin count das contas está setado em 1 ou 0? Tem como colocar aqui o status desse atributo de uma conta que funciona e de outra que não? Verificou a questão dos grupos que não possuem permissão para send as? Detalha um pouco mais para que posso te ajudar melhor 😉

  • Lucas

    Laerte, estou com um problema parecido.

    Fui tentar utilizar o comando por PowerShell:

    Add-ADPermission “John Simpson” -User “Domain\User” -Extendedrights “Send As”

    Porém não funciona devido ao fato de eu não ter acesso ao AD da Microsoft. Posso apenas gerenciar o Exchange.

    Você sabe alguma outra forma de realizar a mesma coisa da linha de comando acima sem necessitar de acesso ao AD, porém ainda sim utilizando o PowerShell?

    Grato e parabens pela solução!

    • Lucas, o comando para dar permissão send as via powershell é esse que você passou. Mas primeiro qual é o cenário, você tem? É de um usuário que precisa enviar um e-mail em nome de outro e quando você vai dar essa permissão, ele te dá acesso negado? Ou gera ou erro? Quais são suas reais permissões no domínio e no Exchange?

      As perguntas é só para entender melhor o seu cenário e te ajudar da melhor forma possível 😉

  • tiago

    Estou com o mesmo problema para habilitar o send as para um usuário em um mailbox, já fiz todas as verificações citadas e até agora nada. Um coisa que notei é que se desabilitar o mode cash no outlook consigo enviar em nome de normalmente. Sou adm do exchange e ad.