none
Exchange 2013 и Android 4.4 - не получается настроить почту RRS feed

  • Вопрос

  • Добрый день!

    Контроллер домена 2008R2, Exchange 2013.

    Обычные пользователи прекрасно подключаются с мобильных устройств  Android  через внешний доступ. А вот пользователь с учеткой администратора домена - нет, ему дается отлуп. Вопрос - как его подключить?

Ответы

  • Как то я подобным встречался. Проблема в том, что для учетных записей, защищенных AdminSDHolder (те, у которых AdminСount установлен в 1) не разрешены наследования разрешений от контейнеров-родителей. Как временная мера - попробуйте включить наследование и тут же попытаться подключиться с мобильного клиента.

    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа vadik7 22 мая 2014 г. 7:03

Все ответы

  • а через какое приложение вы подключаетесь?
  • Как то я подобным встречался. Проблема в том, что для учетных записей, защищенных AdminSDHolder (те, у которых AdminСount установлен в 1) не разрешены наследования разрешений от контейнеров-родителей. Как временная мера - попробуйте включить наследование и тут же попытаться подключиться с мобильного клиента.

    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа vadik7 22 мая 2014 г. 7:03
  • а через какое приложение вы подключаетесь?
    Через "Почта"
  • Как то я подобным встречался. Проблема в том, что для учетных записей, защищенных AdminSDHolder (те, у которых AdminСount установлен в 1) не разрешены наследования разрешений от контейнеров-родителей. Как временная мера - попробуйте включить наследование и тут же попытаться подключиться с мобильного клиента.

    Do not multiply entities beyond what is necessary


    Включение наследования помогло. Подскажите, чем оно чревато с точки зрения безопасности? Как я понимаю, для корректной работы его нужно держать включенным?
  • Галка наследования слетит через 15 минут, кажется.

    Ничем не чревато. Просто неудобство.

  • Статус-кво восстанавливается в период до одного часа, так что волноваться не о чем. Дальнейшие подключения должны происходить без проблем. На будущее - при планировании служб каталогов AD откажитесь от назначения любых административных прав в домене для пользовательских учетных записей. Для администрирования используйте специальные административные записи. Поверьте - проблем будет намного меньше.

    Do not multiply entities beyond what is necessary

  • Еще вопрос. Как можно подключиться к общему почтовому ящику? Можно, конечно, прописать маршрутизацию почты, но хотелось бы, чтобы ящик был виден отдельной учетной записью.

  • Вам для какого клиента?

    Do not multiply entities beyond what is necessary

  • Для Андроида, Outlook видит его нормально. Клиент AquaMail
  • Если клиент может подключиться к почтовому ящику пользователя, то точно так же он может подключиться и к общему почтовому ящику. Надо лишь дать на него разрешения для пользователя/группы. 

    Do not multiply entities beyond what is necessary

  • Увы, неOutlook его не видит.
  • такая проблема у пользователя с админскими правами, на телефоне с андроидом не получается пишет не удаеться подключиться к серверу, пробовал делать включить наследование и тут же попытаться подключиться с мобильного клиента ничего не получается значение стоит 0, другие без проблем
    5 августа 2014 г. 18:06
  • Посмотрите, наделена ли учетная запись проблемного пользователя требуемыми разрешениями, по аналогии с "нормальной" учетной записью. Простое включение наследования не всегда может дать требуемые разрешения.

    Do not multiply entities beyond what is necessary

    6 августа 2014 г. 4:33
  • проверил разрешения все одинаковые для группы Exhange servers? что еще можно глянуть?
    6 августа 2014 г. 7:22
  • попробуйте подключиться с мобильного телефона под другим пользователем, без админских прав.

    Do not multiply entities beyond what is necessary

    6 августа 2014 г. 7:35
  • подключается обычный пользователь нормально, без проблем, а вот пользователь с админскими правами нет. 
    • Изменено LumberSaint 6 августа 2014 г. 15:56
    6 августа 2014 г. 8:35
  • Так и не получается подключить  подключить activesync? уже удалял все разрешения на него потом добавлял делал наследование, удалял из административных групп делал все заново, все равно не хочет подключаться, другой пользователь все нормально, сертификат установлен и даже заново удалял, вообщем много чего делал но ничего не помогает.

    Подскажите еще какое нибудь решение?

    7 августа 2014 г. 17:30
  • Здравствуйте,

    Откажитесь от идеи, это очень плохая практика. Ненапрасно компания MS не предоставила такой функционал для Доменного Администратора.

    Дело принципа или надо сделать ради того чтоб сделать?

    Да, есть лазейки, позволяющие обходить ограничение, но крайне не советовал бы ими пользоваться.

    Всегда, у тех кого есть какие либо привилегии должны пользоваться двумя учетными записями:

    1. Стандартная учетная запись для работы в домене: вход систему, получение доступа к ресурсам, сервисам.

    2. Учетная запись с привилегиями (Домен админ, админ тех поддержки) данную учетную запись нужно использовать только тогда, когда в этом есть необходимость. Когда требуется выполнение задач требующих привилегированные права.

    Используя такую учетную запись ежедневной работе, Вы рискуете многим. Утечка данных, Вирусная эпидемия, доведения всей инфраструктуры до нерабочего состояния.



    • Изменено Zaza Abramov 7 августа 2014 г. 20:22
    7 августа 2014 г. 20:21
  • Подключение необходимо сделать т.к. эта учетная запись начальника департамента и у него есть привилегии доменного админа, и именно у него и не получается все остальные дополнительные администраторы настроены стандартно и работает что на андроиде что на айфоне.
    • Предложено в качестве ответа Zaza Abramov 8 августа 2014 г. 6:19
    • Отменено предложение в качестве ответа Zaza Abramov 8 августа 2014 г. 6:19
    8 августа 2014 г. 6:06
  • Подключение необходимо сделать т.к. эта учетная запись начальника департамента и у него есть привилегии доменного админаи именно у него и не получается все остальные дополнительные администраторы.

    А если потом будет доказано, что от имени данного пользователя были заражены все компьютеры в домене?

    Создайте начальнику департамента вторую учетную запись с правами Доменного администратора.

    Проверьте, что старая учетная запись не состоит в защищенных AdminSDHolder группах безопасности.

    Список можно получить так:

    Get-ADGroup –LDAPFilter “(admincount=1)” | ft Name

    Посмотрите у кого еще из пользователей AdminCount=1

    get-aduser -ldapfilter ` "(objectcategory=person) ` (admincount=1)" | ft name

    Через ADSI Edit найдите объект учетной записи и измените значение AdminCount на 0

    Проверте наследование прав безопасности еще раз.



    • Изменено Zaza Abramov 8 августа 2014 г. 8:47
    8 августа 2014 г. 7:09
  • На самом деле нужно ставить параметр AdminCount не 0 а <не задано> и все сразу получилось.

    Спасибо.

    8 августа 2014 г. 8:21
  • еще если кому не помогло установка параметра AdminCount <не задано> но есть учетные записи на русском языке, и нужно подключить внешних мобильных пользователей использую сертификат выпущенный внутренним центром сертификации, делаем так:

    -импортируем  корневой сертификат, либо через почту gmail.com либо подключаемся к внутренней сети например по wi-fi подключаемся к центру сертификации и устанавливаем сертификат.

    -в свойствах учетной записи (которую нужно подключить) в поле Имя входа учетной записи прописываем имя почтового ящика (получится типа ivanov     @domain.ru) а поле Преl-Windows2000 оставляем как есть т.е. Domain\ИвановИ

    И все начитает работать.

    12 августа 2014 г. 19:56