Hallo Jungs,
Ihr kennt das vielleicht auch…da gibt es einen Benutzer vor Ort der mehr Berechtigungen hat als gut für ihn sind…
Falls in Exchange ein Benutzer den „Geschützten Gruppen“ (protected groups) angehört wird,
wird für diesen Active Sync deaktiviert.
Diese überprivilegierten Benutzer melden sich dann meist am Telefon, dass ihr neues Smartphone dann den Exchange-Dienst verweigert.
Wie dies aufgeräumt wird folgt in 3..2..1..
Exchange Protected Groups
Erst einmal die Liste für gesicherte Gruppen in Exchange:
| Windows 2000 Server | Windows Server 2003 | Windows Server 2003 | Windows Server 2008 R2 |
| Administrators | Account Operators | Account Operators | Account Operators |
| Domain Admins | Administrator | Administrator | Administrator |
| Enterprise Admins | Administrators | Administrators | Administrators |
| Schema Admins | Backup Operators | Backup Operators | Backup Operators |
| Cert Publishers | Domain Admins | Domain Admins | |
| Domain Admins | Domain Controllers | Domain Controllers | |
| Domain Controllers | Enterprise Admins | Enterprise Admins | |
| Enterprise Admins | Krbtgt | Krbtgt | |
| Krbtgt | Print Operators | Print Operators | |
| Print Operators | Replicator | Read-only Domain Controllers | |
| Replicator | Schema Admins | Replicator | |
| Schema Admins | Server Operators | Schema Admins | |
| Server Operators | Server Operators |
Daher bitte per „Active Directory – Benutzer und Computer“-Snap-In der MMC bereinigen und dem Benutzer ein alternatives Konto für administrative Aufgaben anlegen.
(die meisten diesen Aufgaben betrauten Menschen schaffen es auf dem Kontext-Menü „Ausführen als“ zu verwenden)
Falls man selbst Administrator ist und die Mails bekommen möchte:
Also ich würde mir diese eh im Falle von wichtig auf mein normales Postfach meiner Firma weiterleiten.
Abbildung 1: Benutzer und Computer – Erweiterte Einstellungen
Dieses Häkchen muss gesetzt sein, sonst werden die Sicherheits-Einstellungen der einzelnen AD-Objekte nicht angezeigt.
(siehe Abbildung 2)
Abbildung 2: Active Directory – Sicherheits-Einstellungen: Benutzer-Objekt
Es sollte nun ein Reiter namens: Sicherheit auftauchen,
bei diesem benötigen wir die erweiterte Ansicht.
Weiter mit Abbildung 3…
Abbildung 3: Erweiterte Sicherheits-Einstellungen
Damit die Berechtigungen für Exchange-Active-Sync übernommen werden einfach die Vererbung im AD für dieses Objekt wieder einschalten.
Bei Objekten mit gesicherten Gruppen wird diese entfernt und die Active-Sync-Berechtigungen entfernt.
Das war es schon, der Benutzer sollte nun per OWA wieder Mails auf sein Smartphone synchronisieren können.