このオブジェクトから継承可能なアクセス許可を含める親が自分自身のチェックを外す-Server2008R2 / Exchange 2010
Exchange 2010/Server 2008R2でモバイルメールの同期を機能させるには、ADのユーザーアカウントに移動し、プロパティ、セキュリティ、詳細に移動して、ExchangeServerのアクセス許可である最上位のオブジェクトを選択する必要があります。'createmsExchActiveSyncDeviceso ... 'とその中の削除バージョン。
次に、そのオブジェクトで、「このオブジェクトの親から継承可能なアクセス許可を含める」にチェックマークを付けます。
これがどのように機能するかについての十分な背景知識がないことは認めますが、一部のユーザーがランダムにチェックを外し、メールを同期できないという問題が発生しています。
ユーザーが何かをした場合、これはどういうわけか取り消されますか?それとも、なぜそれが自分自身を解き放つのかについて誰かが他に何か知っていますか? ExchangeとWindows用に最新のアップデートがインストールされています
質問すべき本当の質問は、そもそもなぜこれらのADアクセス許可を適用する必要があるのかということだと思います。 ActiveSyncを実行するために何もする必要はありません、それはただ機能します™。
ユーザーがActiveSyncと同期しようとすると、何が発生しますか?特定のエラーメッセージが役立つ場合があります。
whyこれが起こっている理由
ユーザーがドメイン管理者やエンタープライズ管理者などの特権グループに属している(または属している)(または特権グループのユーザーからコピーされている)ことに賭けたいと思います。
これは、Active Directoryに組み込まれているセキュリティ機能であり、より高い特権のアカウントへの委任されたアクセス権を持つユーザーが、(偶然またはその他の方法で)管理者権限を削除するのを防ぎます。
影響を受けるユーザーのADSIEditを見ると、おそらく1に設定されているadminCountというプロパティが見つかります。ユーザーが特権グループに属していない場合は、これを設定できるはずです。プロパティを0に設定し、権限を継承させます。これらは固定する必要があります。ユーザーがまだ特権グループに属している場合、adminCountフラグは、設定した権限とともに1時間ごとにリセットされます。
メモリからの特権グループは、エンタープライズ管理者、ドメイン管理者、およびアカウントオペレーターです(ただし、さらにいくつかある場合があります)。