none
Exchange 2010 ActiveSync http 500 RRS feed

  • Domanda

  • Ciao A tutti,

    ho effetuato il test tramite https://www.testexchangeconnectivity.com (mezzo stupendo ..)con 2 utenze diverse. Una che appartiene a Domain Admins, un l'altra utenza classica. Con la seconda utenza il test andato bene con tutti i "baffi verdi", la prima invece mi ha restituto errore "HTTP 500" con riferimenti come risolverlo. Per risolvere il mio problema dovrei modificare oggetto AdminSDHolder o spuntare Includi le autorizzazioni ereditabili del padre ma visto che un'operazione sconsigliata da Microsoft ci sono i rischi forti ??

    Grazie

    Tomasz

    mercoledì 21 marzo 2012 16:32

Risposte

  • Sinceramente non vedo motivi perchè un domain admin debba usare il suo profilo come profilo windows\cassetta exchange. A livello di sicurezza non è mai il massimo. Di solito uno se lo tiene per l'amministrazione e poi ha un profilo user normale per il suo desktop e la posta. Ancora di più se sono domain admins dovrebbero saperlo...io personalmente gli proporrei la soluzione seria e non l'abilitazione dell'active sync...quindi secondo profilo e via così, questo è poi il motivo per cui viene sconsigliato. Sul discorso rischi "forti" quando apri una qualsiasi cosa all'esterno su un profilo di amministratore di tutta la struttura credo che sei in grado di risponderti da solo..se ti bucano l'account poi hanno la pwd dell'amministatore di dominio...che non è una bella cosa....il rischio pratico delle blacklist non esiste, puoi andare in blacklist anche con semplici users se te li bucano...il rischio è molto peggiore. DA NON FARE. :-)

    Ciao! A.


    Alessandro Vannini - IT4YOU ---------------------------- Microsoft MCSE Systems Engineer Microsoft MCSA Systems Administrator Microsoft MCP Certified Professional Microsoft MCTS Exchange 2010 Tech Specialist Cisco Systems SMB Engineer CompTIA A+, Network+, Security+ Kalliope Voip PBX Certified

    • Contrassegnato come risposta Nexustk giovedì 22 marzo 2012 13:18
    giovedì 22 marzo 2012 11:52
    Moderatore

Tutte le risposte

  • Ciao, be' il link mi sembra chiaro, ti dice di farlo solo se necessario, lo è? l'altro link ti spiega anche il perchè

    http://technet.microsoft.com/en-us/library/dd439375(v=exchg.80).aspx 

    ciao A.

    mercoledì 21 marzo 2012 21:01
    Moderatore
  • Ciao Alessandro,

    questo avevo capito, vorrei sapere qualcosa in più tipo .... se lo fai tutta organizazione di tuo Exchange Server andrà a pezzi... o dopo questa modifica rischi di finire nelle black list, un esempio di rischio pratico.

    Grazie mille

    Tomasz

    giovedì 22 marzo 2012 08:26
  • Scusa, non capisco...perchè quanti domain admins hai nella struttura? Lo farai su 1 utente al massimo..no? Oltre questo non riesco a capire a cosa ti serve, mica aprirai un'owa ad un domain admin...forse non capisco, la casella di administrator la usi solo per i controlli e le emergenze, e di solito su owa la lascio disabilitata, avrebbe poco senso lasciare un domain admin libero su owa...

    A.

    giovedì 22 marzo 2012 10:33
    Moderatore
  • Abbiamo un classico Administrator Domain Admin che non è associato alla persona fisica e viene utilizzato appunto nei casi di emergenza , con OWA disabilitato,  poi ci sono due utenze (es, Mario Rossi e Mario Neri) appartenenti al gruppo Domain Admin, almeno una di queste utenze dovrebbe utlizzare ActiveSync.

    Tomasz

    giovedì 22 marzo 2012 11:34
  • Sinceramente non vedo motivi perchè un domain admin debba usare il suo profilo come profilo windows\cassetta exchange. A livello di sicurezza non è mai il massimo. Di solito uno se lo tiene per l'amministrazione e poi ha un profilo user normale per il suo desktop e la posta. Ancora di più se sono domain admins dovrebbero saperlo...io personalmente gli proporrei la soluzione seria e non l'abilitazione dell'active sync...quindi secondo profilo e via così, questo è poi il motivo per cui viene sconsigliato. Sul discorso rischi "forti" quando apri una qualsiasi cosa all'esterno su un profilo di amministratore di tutta la struttura credo che sei in grado di risponderti da solo..se ti bucano l'account poi hanno la pwd dell'amministatore di dominio...che non è una bella cosa....il rischio pratico delle blacklist non esiste, puoi andare in blacklist anche con semplici users se te li bucano...il rischio è molto peggiore. DA NON FARE. :-)

    Ciao! A.


    Alessandro Vannini - IT4YOU ---------------------------- Microsoft MCSE Systems Engineer Microsoft MCSA Systems Administrator Microsoft MCP Certified Professional Microsoft MCTS Exchange 2010 Tech Specialist Cisco Systems SMB Engineer CompTIA A+, Network+, Security+ Kalliope Voip PBX Certified

    • Contrassegnato come risposta Nexustk giovedì 22 marzo 2012 13:18
    giovedì 22 marzo 2012 11:52
    Moderatore
  • bene, l'unica quindi di separare i utenti da Domain Admins.

    Grazie

    Tomasz

    giovedì 22 marzo 2012 13:18