Jo, tak tohle přesně na vás hukne Exchange Server, když např. nějakou nehodou přijdete o Exchange Security skupiny v AD, konkrétně umístěné v OU Exchange Server Security Groups.

Takže jste ve stavu, kdy se nejde zalogovat do GUI konzoly (EMC, EAC), ani Exchange Management Shell, protože nemáte potřebná oprávnění.

Úkoly máte tedy v zásadě dva:

1. Obnovit Exchange Security skupiny v AD
2. Obnovit Assigment Role navázané na tyto defaultní skupiny

Obnovení Exchange Security skupin v AD

Pokud máte forest 2008R2+ a máte zapnutý AD Recycle Bin, můžete zkusit tuto cestu. Osobně jsem ji nezkoušel, ale myslím, že by fungovat měla bez problémů, protože AD Recycle Bin vám zachovává i všechny atributy smazaného AD objektu. Pokud koš zapnutý nemáte, mohli byste skupinu obnovit z kontejneru Deleted Objects (třeba pomocí LDP.exe), ale protože byste tímto obnovili jen objekt skupiny s jejím SIDem, ale bez jejích atributů, nevidím v tom moc smysl.

Namísto toho vezměte instalačku Exchange Serveru (v mém případě Exchange 2013 CU11) a v příkazové řádce spusťte:

Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

Tento příkaz pouze (znovu) připraví AD na to, že v ní bude provozován Exchange Server. Tedy snažil by se upgradovat schema nebo vytvořil Security skupiny v AD – což je přesně to, co potřebujete. Příkaz možná napoprvé skončí s chybou, která vás bude odkazovat do kontejneru CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx, resp. do atributu otherWellKnownObjects. V tomto atributu je potřeba promazat hodnoty, odkazující se na chybějící skupiny – poznáte je podle toho, že jejich DN odkazuje do kontejneru Deleted Objects. Po pročištění tohoto atributu už bude setup.exe spokojený a skupiny vám v AD vytvoří. Hotovo? Úplně ne, ještě zkontrolujte členství. Váš účet by měl být nejspíš ve skupině Organization Management – to jsou největší Exchange správci.

Obnovení Assigment Rolí

No jo, jenomže samotné obnovené skupiny v AD toho moc nezmůžou, dokud si Exchange nevzpomene, že k nim byly dříve asociovány i nějaké Exchange Management Role.

POZOR: Uvedený postup resetuje nastavení Assigment Roles do výchozího nastavení. Nedokáže tedy obnovit dřívější přiřazení rolí tak, jak jste je měli před smazáním skupin!

Na obnovení asociace rolí budeme potřebovat dva CMDLety:

• Install-CannedRBACRoles
• Install-CannedRBACRoleAssignments

Správně vás ale napadá, jak je spustíte, když nejde pustit EMS. Jednoduše – spustíte si “obyčejný” PowerShell a do něj importujete modul pro Exchange, tedy:

1. Spusťte konzoli PowerShell jako Administrator
2. Proveďte příkaz “Add-PSSnapin Microsoft*”
3. Proveďte příkaz “Install-CannedRbacRoles”
4. Proveďte příkaz “Install-CannedRbacRoleAssignments”
5. Zavřete a otevřete konzolu EMS

Uf uf, to byly ale horké chvilky!