Exchange 2016 CU12安装报错

1.         报错信息：

Exchange 2016 升级 CU12补丁报错，主要是在进行第10步安装管理工具时报SeSecurityPrivilega错误，详细如下：

查看安装log信息如下：

[07/20/2019 06:03:01.0928] [2] User specified parameters:

[07/20/2019 06:03:01.0928] [2] Beginning processing Set-LocalPermissions

[07/20/2019 06:03:01.0940] [2] [ERROR] 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

[07/20/2019 06:03:01.0942] [2] [ERROR] 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

[07/20/2019 06:03:01.0947] [2] Ending processing Set-LocalPermissions

[07/20/2019 06:03:01.0951] [1] The following 1 error(s) occurred during task execution:

[07/20/2019 06:03:01.0951] [1] 0.  ErrorRecord: 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

[07/20/2019 06:03:01.0951] [1] 0.  ErrorRecord: System.Security.AccessControl.PrivilegeNotHeldException: 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

   在 Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)

   在 Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)

   在 Microsoft.Exchange.Management.Deployment.SetLocalPermissions.InternalProcessRecord()

   在 Microsoft.Exchange.Configuration.Tasks.Task.<ProcessRecord>b__91_1()

   在 Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)

[07/20/2019 06:03:01.0951] [1] [ERROR] The following error was generated when "$error.Clear();

          if ($RoleIsDatacenter -eq $true)

          {

            # CommonPermissionSet in LocalPermissions.xml has not changed since 2007

            # directory permission does not change in BuildToBuild mode, skipping it in Datacenter is fine.

            Write-ExchangeSetupLog -Info "Skip Set-LocalPermissions"

          }

          else

          {

            Set-LocalPermissions

          }

        " was run: "System.Security.AccessControl.PrivilegeNotHeldException: 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

   在 Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)

   在 Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)

   在 Microsoft.Exchange.Management.Deployment.SetLocalPermissions.InternalProcessRecord()

   在 Microsoft.Exchange.Configuration.Tasks.Task.<ProcessRecord>b__91_1()

   在 Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)".

[07/20/2019 06:03:01.0951] [1] [ERROR] 该进程不具有执行此操作所需的“SeSecurityPrivilege”特权。

[07/20/2019 06:03:01.0952] [1] [ERROR-REFERENCE] Id=AllRolesCommonFirst_RunOnce___00573a17b6e34c26842a6646830d57fa Component=EXCHANGE14:\Current\

 

2.         主要原因：

Exchange 升级执行用户不具有“管理审核和安全日志”的权限，查找组策略管理器，看是否应用了此策略，计算机> windows安全设置> 安全设置>本地策略>用户权限分配>“管理审核和安全日志”，本人环境是因为部署卓豪的AD审计产品，修改组策略造成。

可能用到命令：

• 本地组策略命令：secpol.msc
• 组策略结果集命令：rsop.msc

3.         解决方案：

方案1：新建OU，将Exchange服务器移动到此OU，并取消继承组策略，使此OU没有任何组策略，DC上 gpupdate /force ，EX上 gpupdate /force，然后重启EX服务器进行安装即可

 

方案2：修改审计组策略，导航至计算机> windows安全设置> 安全设置>本地策略>用户权限分配>“管理审核和安全日志”，添加EX升级安装用户；DC上 gpupdate /force ，EX上 gpupdate /force，然后重启EX服务器进行安装即可