Acho que a verdadeira pergunta que você deve fazer é por que você deve aplicar essas permissões do AD em primeiro lugar. Você não precisa fazer nada para ativar o ActiveSync, ele simplesmente funciona.
O que você está enfrentando quando seus usuários tentam sincronizar com o ActiveSync? Qualquer mensagem de erro específica pode ser útil.
Algumas informações sobre por que isso está acontecendo
Estou disposto a apostar que os usuários estão em (ou estão em) um grupo privilegiado, como Admins. do Domínio ou Administradores de Empresa (ou foram copiados de um usuário em um grupo privilegiado).
Este é um recurso de segurança incorporado ao Active Directory para impedir que usuários com acesso delegado a contas com privilégios mais altos removam suas permissões administrativas (acidentalmente ou não).
Se você examinar o ADSI Edit nos usuários afetados, provavelmente encontrará uma propriedade chamada adminCount , que é definida como 1. Se os usuários não estiverem em nenhum grupo privilegiado, você deverá poder para definir essa propriedade como 0 e tornar as permissões herdadas, e elas devem ficar. Se o usuário ainda estiver em um grupo privilegiado, o sinalizador adminCount será redefinido a cada hora junto com as permissões que você tenha definido.
Na memória, os grupos privilegiados são Administradores de Empresa, Administradores de Domínio e Operadores de Conta (embora possa haver mais alguns).