为了使移动电子邮件同步在我们的 Exchange 2010 / Server 2008R2 中正常工作,我们必须转到 AD 中的用户帐户,转到属性、安全、高级并选择顶部对象,即具有“创建 msExchActiveSyncDevices o...”的 Exchange 服务器权限及其中的删除版本。
然后在该对象上我们勾选“包括从该对象父级继承的权限”。
我承认我对其工作原理没有足够的背景知识,但我们遇到了一个问题,某些用户的此功能随机被取消勾选,因此他们无法同步他们的电子邮件。
如果用户做了某事,这个功能是否会以某种方式被撤销?或者有谁知道为什么它会自己取消勾选?我们已为 Exchange 和 Windows 安装了最新更新
答案1
我认为您真正应该问的问题是为什么首先要应用这些 AD 权限。您不需要做任何事情来启动 ActiveSync,它就可以正常工作™。
当您的用户尝试与 ActiveSync 同步时,您遇到了什么问题?任何特定的错误消息都可能有用。
一些背景知识为什么这正在发生
我愿意打赌这些用户位于(或曾经位于)特权组,例如域管理员或企业管理员(或者是从特权组中的用户复制而来的)。
这是 Active Directory 内置的安全功能,用于防止被委派访问更高权限帐户的用户(意外或非故意)删除他们的管理权限。
如果您在 ADSI Edit 中查看受影响的用户,您可能会发现一个名为管理员数量设置为 1。如果用户不属于任何特权组,您应该能够将此属性设置为 0 并使权限继承,并且它们应该会保留。如果用户仍然属于特权组,则 adminCount 标志将每小时重置一次,以及您可能设置的任何权限。
根据记忆,特权组是企业管理员、域管理员和帐户操作员(尽管可能还有其他一些)。