Чтобы синхронизация мобильной электронной почты работала в нашем Exchange 2010 / Server 2008R2, мы должны перейти к учетной записи пользователя в AD, перейти к свойствам, безопасности, расширенному и выбрать верхний объект, который является разрешением серверов Exchange, с помощью 'create msExchActiveSyncDevices o ... 'и удалить версию этого в нем.
Затем для этого объекта мы отмечаем «включить наследуемые разрешения от этого родительского объекта».
Я признаю, что у меня недостаточно базовых знаний о том, как это работает, но мы сталкиваемся с проблемой, из-за которой у некоторых пользователей это случайно снимается, и они не могут синхронизировать свою электронную почту.
Это как-то отменяется, если пользователь что-то делает? Или кто-нибудь знает еще что-нибудь о том, почему он отключается? У нас установлены последние обновления для Exchange и Windows.
Я думаю, что реальный вопрос, который вы должны задать, - это зачем вам вообще нужно применять эти разрешения AD. Вам не нужно ничего делать, чтобы ActiveSync заработал, он просто работает ™.
Что вы испытываете, когда ваши пользователи пытаются синхронизироваться с ActiveSync? Любые конкретные сообщения об ошибках могут быть полезны.
Некоторая предыстория Зачем это происходит
Я готов поспорить, что пользователи входят (или были) в привилегированную группу, такую как администраторы домена или администраторы предприятия (или были скопированы из пользователя в привилегированной группе).
Это функция безопасности, встроенная в Active Directory, чтобы не дать пользователям с делегированным доступом к учетным записям с более высокими привилегиями удалить у них административные разрешения (случайно или иным образом).
Если вы посмотрите в ADSI Edit на затронутых пользователей, вы, вероятно, найдете свойство под названием adminCount который установлен в 1. Если пользователи не входят в какие-либо привилегированные группы, вы должны иметь возможность установить для этого свойства значение 0 и сделать разрешения наследованными, и они должны остаться. Если пользователь все еще находится в привилегированной группе, флаг adminCount будет сбрасываться каждый час вместе с любыми разрешениями, которые вы могли установить.
По памяти, привилегированные группы - это администраторы предприятия, администраторы домена и операторы учетных записей (хотя их может быть еще несколько).