Account per il servizio Exchange ActiveSync
Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:
- In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
- In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.
Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.
Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:
- Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).
Diritti di accesso per gli oggetti di Active Directory
Accesso
Oggetto
Cmdlet
Completo
Thread "CN=Mobile Mailbox Policies,CN=<
Nome organizzazione
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio
>"Add-ADPermission -User <
Nome utente o gruppo
> -Identity "CN=Mobile Mailbox Policies,CN=<
Nome organizzazione
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
Nome dominio
>" -InheritanceType All -AccessRight GenericAll
Lettura
Thread "CN=<
Nome organizzazione
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio
>"Add-ADPermission -User <
Nome utente o gruppo
> -Identity "CN=<
Nome organizzazione
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
Nome dominio
>" -InheritanceType All -AccessRight GenericRead
Lettura/scrittura
Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory
Add-ADPermission -User <
Nome utente o gruppo
> -Identity "DC=<
Nome dominio
>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
Diritto esteso ms-Exch-Store-Active
Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Nome organizzazione
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio
>"Get-MailboxDatabase | Add-ADPermission -User <
Nome utente o gruppo
> -ExtendedRights ms-Exch-Store-Admin