为了使移动电子邮件同步在我们的Exchange 2010 / Server 2008R2中运行,我们必须转到AD中的用户帐户,转到属性,安全性和高级,然后selectExchange Server权限最高的对象,其中包含“create msExchActiveSyncDevices o …“以及其中的删除版本。
然后在那个对象上,我们勾选'包含来自这个对象父对象的可inheritance权限'。
我承认我没有足够的背景知识来说明这是如何工作的,但是我们遇到了一些问题,这些问题对于某些用户是随机的,他们无法同步他们的邮件。
如果用户做了某些事情,这是否会被撤销? 还是有人知道为什么它会自己解开呢? 我们为Exchange和Windows安装了最新的更新
我认为你应该问的真正的问题是为什么你必须首先应用这些AD权限。 你不需要做任何事情来让ActiveSync去,它只是运作™。
当用户尝试与ActiveSync同步时,您遇到了什么问题? 任何特定的错误消息可能是有用的。
一些背景为什么发生这种情况
我敢打赌,用户在(或已经)是一个特权组,例如域pipe理员或企业pipe理员(或已经从特权组中的用户复制)。
这是Active Directory中内置的一项安全function,可防止具有更高特权帐户的委派访问权限的用户(不小心或以其他方式)移除pipe理权限。
如果您在ADSI Edit中查看受影响的用户,则可能会发现名为adminCount的属性,该属性设置为1.如果用户不在任何特权组中,则应该可以将此属性设置为0,并使权限inheritance,他们应该坚持下去。 如果用户仍然处于特权组中,adminCount标志将随着您设置的任何权限每小时重置一次。
从内存中,特权组是企业pipe理员,域pipe理员和帐户操作员(尽pipe可能还有更多)。