none
Ограничение на доступ к почтовому ящику через ActivSync RRS feed

  • Вопрос

  • Установлен Exchange 2010 на Windows server 2012R2, AD Windows Server 2012R2

    Подскажите пожалуйста для членов какой группы безопасности может блокироваться доступ к почтовым ящикам через ActiveSync. Идиотская ситуация часть пользователей не имеющая административных прав в домене, не может получить доступ через ActiveSync. При этом обнаружилось что все эти пользователи являются членами защищенной группы adminSDHolder (вообще непонятно по каким критериям они туда попали), но изменение ручками атрибута adminCount не меняет ситуацию.


    Sergey Laptev

    7 сентября 2016 г. 15:41

Ответы

  • Любая учетная запись, которая когда либо входила в группу с административными привилегиями (администраторы домена, предприятия, схемы, операторы) попадает под действие объекта AdminSDHolder. Исключение учетной записи из любой из этих групп не вызывает обратного действия, то есть эта учетная запись остается по сути защищенной. Поэтому, либо создается новая учетная запись пользователя, без администраторских полномочий, либо придется с этим мириться и каждый раз, когда какой-либо системе требуется изменить/добавить разрешения для учетной записи, вам придется включать наследование (которое отключится в течение 60 минут). Примеры - ActiveSync, включение пользователя для Lync (Skype for Business) Server.

    Если интересно, посмотрите эту статью.


    Do not multiply entities beyond what is necessary

    8 сентября 2016 г. 4:47

Все ответы

  • Ну вы снимаете adminsdholder и в течение получаса система автоматически опять ставит. Плюс после этого надо включить наследование в разрешениях учетной записи и только после этого пробовать подключать ActiveSync.

    scientia potentia est
    My blog

    7 сентября 2016 г. 17:26
  • Любая учетная запись, которая когда либо входила в группу с административными привилегиями (администраторы домена, предприятия, схемы, операторы) попадает под действие объекта AdminSDHolder. Исключение учетной записи из любой из этих групп не вызывает обратного действия, то есть эта учетная запись остается по сути защищенной. Поэтому, либо создается новая учетная запись пользователя, без администраторских полномочий, либо придется с этим мириться и каждый раз, когда какой-либо системе требуется изменить/добавить разрешения для учетной записи, вам придется включать наследование (которое отключится в течение 60 минут). Примеры - ActiveSync, включение пользователя для Lync (Skype for Business) Server.

    Если интересно, посмотрите эту статью.


    Do not multiply entities beyond what is necessary

    8 сентября 2016 г. 4:47