Incluir permissões herdáveis deste pai de objetos se desmarca - Server 2008R2 / Exchange 2010

1

Para que a sincronização de e-mail móvel funcione em nosso Exchange 2010 / Server 2008R2, precisamos acessar a conta de usuários no AD, acessar propriedades, segurança avançada e selecionar o objeto de topo, que é uma permissão do Exchange Servers com ' crie msExchActiveSyncDevices o ... 'e a versão de exclusão dele nela.

Em seguida, o objeto que assinalar 'inclui permissões herdáveis desse pai de objetos'.

Admito que não tenho conhecimento suficiente sobre como isso funciona, mas estamos enfrentando um problema em que isso é desmarcado aleatoriamente para alguns usuários e eles não conseguem sincronizar seus e-mails.

Isso é revogado de alguma forma se o usuário fizer alguma coisa? Ou alguém sabe alguma coisa sobre por que seria desmarcando-se? Temos as atualizações mais recentes instaladas para o Exchange e o Windows

    
por RodH257 25.10.2010 / 00:40

1 resposta

3

Acho que a verdadeira pergunta que você deve fazer é por que você deve aplicar essas permissões do AD em primeiro lugar. Você não precisa fazer nada para ativar o ActiveSync, ele simplesmente funciona.

O que você está enfrentando quando seus usuários tentam sincronizar com o ActiveSync? Qualquer mensagem de erro específica pode ser útil.

Algumas informações sobre por que isso está acontecendo

Estou disposto a apostar que os usuários estão em (ou estão em) um grupo privilegiado, como Admins. do Domínio ou Administradores de Empresa (ou foram copiados de um usuário em um grupo privilegiado).

Este é um recurso de segurança incorporado ao Active Directory para impedir que usuários com acesso delegado a contas com privilégios mais altos removam suas permissões administrativas (acidentalmente ou não).

Se você examinar o ADSI Edit nos usuários afetados, provavelmente encontrará uma propriedade chamada adminCount , que é definida como 1. Se os usuários não estiverem em nenhum grupo privilegiado, você deverá poder para definir essa propriedade como 0 e tornar as permissões herdadas, e elas devem ficar. Se o usuário ainda estiver em um grupo privilegiado, o sinalizador adminCount será redefinido a cada hora junto com as permissões que você tenha definido.

Na memória, os grupos privilegiados são Administradores de Empresa, Administradores de Domínio e Operadores de Conta (embora possa haver mais alguns).

    
por 25.10.2010 / 00:58