Перестал работать activesync - exchange

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
Перестал работать activesync - exchange
Exchange 2010 перестала работать почта на мобильных телефонах. (я так понимаю проблема в activesync)
При этом на части пользователей работает а у части нет. (перезжали с Exchange 2003 на Exchange 2010)
Ваша проблема связана с механизмом adminsdholder который срабатывает и снимает наследование для пользователей которые находятся в привелигированных группах

Пример:
В обычной среде AD администраторы регулярно вводят учетные
записи в защищенные группы и выводят их из этих групп. К примеру, возможна
ситуация, когда необходимо временно расширить полномочия той или иной учетной
записи для выполнения конкретной задачи. В таких случаях задача AdminSDHolder
применяет дескриптор безопасности, ассоциированный с объектом AdminSDHolder
(как описано выше), но не возвращается к прежнему дескриптору безопасности,
когда учетная запись удаляется из защищенной группы. Кроме того, задача
AdminSDHolder не удаляет значение атрибута adminCount, равное 1. На мой взгляд,
ситуация оставляет желать лучшего, поскольку у нас имеется дескриптор
безопасности с отключенной функцией наследования разрешений и со значением
атрибута adminCount, которое может вызывать проблемы, если использовать его в
запросах LDAP. На мой взгляд, было бы лучше, если бы задача AdminSDHolder могла
«убирать за собой», но увы, в текущей версии Windows такая возможность не
реализована.

Вот очень приличная документация по AdminSDHolder http://linuxshop.ru/upload/dropbox/adminsdholder_doc.zip

Теперь нюансы и решения:
команды для повер шелл запускаем повер шелл и делаем
Как понять какие пользователи попали в ривелишированную группу:
Get-ADUser -Filter {AdminCount -eq 1} -properties AdminCount
Как понять какие группы относятся к привелигированным(туда может и група доменс юзер )
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"

Как понять снята ли галочка наследование, открываем оснастку АД - вид - продвинутые возможности
Теперь заходим в нужного пользователя и идем в закладку безопасность - дополнительно и там нажимаем галку наследование. и так вот если пользователь администратор домена или относится привегилорованной группы то где то через час эта галка снимется опять.

Собственно что же нам делать если нужно пользоваться почтой админам домена:
Это известная "ситуация" с пользователями в так называемых "защищённых группах".

SDPROP защищает их и сбрасывает параметры безопасности на этих учётных записях. Поэтому у Exchange нет права их изменить.
В Вашей ситуации можете выполнить следующие действия:

1. Включить наследование прав доступа в свойствах учётных записей Администраторов Домена;

2. Настроить им ActiveSync, пока SDPROP снова не сбросил права доступа. Он это делает каждый час, если найдёт расхождения.

После того как Вы настроите почту ActiveSync для этих Учётных Записей, даже когда права доступа будут сброшены снова, почта по протоколу EAS будет работать без проблем.

Еще раз о причинах тут:
Причина проблемы — группа Exchange Servers не имеет прав доступа к объекту почтового ящика пользователя в Active Directory. Нарушается наследование прав ACL в Active Directory. Если быть более точным, не хватает следующих прав доступа:



Для восстановления прав доступа необходимо зайти в закладку Security пользователя, далее Advanced активировать опцию «Include inheritable permissions from this object’s parent» и попробовать доступ к почтовому ящику используя Active Sync. Проблема с доступом к ActiveSync решена, но через некоторое время разрешения «Create, Delete» к объекту msExchActiveSyncDevices будут утеряны. Нехватка прав доступа может приводить к самым разным не предсказуемым проблемам.

Самостоятельные сбрасывания разрешений на объекты чаще всего связаны с AdminSDHolder.

AdminSDHolder — это объект-контейнер в разделе каталога домена CN=AdminSDHolder, CN=System,<Domain DN> — например, CN=AdminSDHolder, CN=System, DC=north, DC=com.

Данный объект предназначен для защиты объектов определенных привилегированных групп и пользователей и используется в качестве объекта-заполнителя.

Каждый час на контроллере домена роли PDC выполняется процесс SDPROP, который просматривает текущие значения ACL защищаемых объектов групп и пользователей и значения объекта AdminSDHolder.  В случае не совпадения ACL защищаемых объектов устанавливаются идентичными ACL объекту AdminSDHolder.

Идентифицировать защищаемые объекты можно по атрибуту adminCount равному 1.

Get-ADUser -LDAPFilter "(objectcategory=person)(samaccountname=*)(admincount=1)"

Для решения проблем с доступом к объектам необходимо выполнить следующие действия:

1. Идентифицировать защищаемые объекты, выполнив следующую команду в Active Directory PowerShell:

Get-ADUser -LDAPFilter «(objectcategory=person)(samaccountname=*)(admincount=1)»

2. В соответствии с security best practise, для административных целей создать специализированные учетные записи, которые не должны иметь почтовые ящики и другие атрибуты Exchange.

3. После того, как учетные записи пользователей были удалены из защищаемых AdminSDHolder административных групп, значение атрибута admincount останется равным 1, поэтому необходимо вручную поменять значение атрибута на 0 (ноль).



4.  Восстановить права доступа см. выше.

После этого права доступа на объекты Exchange будут восстановлены и не будут утеряны после отработки процесса SDPROP.



https://blogs.msdn.microsoft.com/muaddib/2013/12/30/how-to-modify-security-inheritance-on-active-directory-objects-using-powershell/
Страницы: 1
Ответить
Форма ответов
Текст сообщения*
:) ;) :D 8) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.