Включите наследуемые разрешения от этих объектов, родительские элементы которых отключены - Server 2008R2 / Exchange 2010

Question

Включите наследуемые разрешения от этих объектов, родительские элементы которых отключены - Server 2008R2 / Exchange 2010

Чтобы заставить мобильную синхронизацию электронной почты работать в нашем Exchange 2010 / Server 2008R2, нам нужно зайти в учетную запись пользователя в AD, перейти к свойствам, безопасности, расширенным настройкам и выбрать верхний объект, который является разрешением сервера Exchange с помощью команды "create msExchActiveSyncDevices o".... "и удалить версию этого в нем.

Затем на этом объекте мы отмечаем "включить наследуемые разрешения от родительского объекта".

Я признаю, что у меня недостаточно базовых знаний о том, как это работает, но у нас возникла проблема, когда это случайно выбирается для некоторых пользователей, и тогда они не могут синхронизировать свою электронную почту.

Отменяется ли это как-то, если пользователь что-то делает? Или кто-нибудь знает что-нибудь еще о том, почему это будет само по себе? У нас установлены последние обновления для Exchange и Windows

1

windows-server-2008-r2 exchange-2010 mobile-devices

Источник

RodH257 24 окт '10 в 22:40

1 ответ

Решение

Другие вопросы по тегам windows-server-2008-r2 exchange-2010 mobile-devices

Ben Pilbrow 24 окт '10 в 22:58 2010-10-24 22:58 · Accepted Answer · 2010-10-24 22:58

Я думаю, что реальный вопрос, который вы должны задать, заключается в том, почему вы должны применять эти разрешения AD в первую очередь. Вам не нужно ничего делать, чтобы запустить ActiveSync, он просто работает ™.

Что вы испытываете, когда ваши пользователи пытаются синхронизироваться с ActiveSync? Любые конкретные сообщения об ошибках могут быть полезны.

Некоторый фон о том, почему это происходит

Я готов поспорить, что пользователи входят (или были) в привилегированную группу, такую как администраторы домена или корпоративные администраторы (или были скопированы с пользователя в привилегированной группе).

Это функция безопасности, встроенная в Active Directory, чтобы пользователи с делегированным доступом к учетным записям с более высокими привилегиями не могли удалять у них административные разрешения (случайно или иначе).

Если вы посмотрите в редакторе ADSI для затронутых пользователей, вы, вероятно, найдете свойство с именем adminCount, которое установлено в 1. Если пользователи не входят ни в какие привилегированные группы, вы должны иметь возможность установить это свойство в 0 и наследовать разрешения, и они должны придерживаться. Если пользователь все еще находится в привилегированной группе, флаг adminCount будет сбрасываться каждый час вместе с любыми установленными вами разрешениями.

Из памяти привилегированными группами являются Администраторы предприятия, Администраторы домена и Операторы учетных записей (хотя их может быть несколько).