Benutzerkonto für die Arbeit des Dienstes Exchange ActiveSync
Während der Installation des Exchange ActiveSync-Servers für mobile Geräte wird in Active Directory automatisch ein Benutzerkonto erstellt:
- Auf dem Microsoft Exchange Server 2010–2013 wird das Benutzerkonto KLMDM4ExchAdmin ***** mit der Rolle KLMDM Role Group erstellt.
- Auf dem Microsoft Exchange Server 2007 wird das Benutzerkonto KLMDM4ExchAdmin ***** erstellt, das Mitglied in der Sicherheitsgruppe KLMDM Secure Group ist.
Unter diesem Benutzerkonto wird der Dienst des Exchange ActiveSync-Servers für mobile Geräte ausgeführt.
Wenn Sie auf das automatische Erstellen eines Benutzerkontos verzichten möchten, müssen Sie ein eigenes Benutzerkonto erstellen, das über die folgenden Berechtigungen verfügt:
- Wenn der Microsoft Exchange Server 2010–2013 verwendet wird, muss das Benutzerkonto über die Rolle verfügen, für die das Ausführen der folgenden Cmdlet erlaubt wird:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- Wenn der Microsoft Exchange Server 2007 verwendet wird, müssen dem Benutzerkonto die Zugriffsberechtigungen zu den Objekten Active Directory (s. nachfolgende Tabelle unten) zugewiesen werden.
Zugriffsrechte auf die Active Directory-Objekte
Zugriff
Objekt
Cmdlet
Vollständig
Verzweigung "CN=Mobile Mailbox Policies,CN=<
Name der Firma>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne>"Add-ADPermission -User <Benutzer- oder Gruppenname> -Identity "CN=Mobile Mailbox Policies,CN=<Name der Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domänenname>" -InheritanceType All -AccessRight GenericAllLesen
Verzweigung "CN=<
Name der Firma>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne>"Add-ADPermission -User <Benutzer- oder Gruppenname> -Identity "CN=<Name der Organisation>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Domänenname>" -InheritanceType All -AccessRight GenericReadLesen und Schreiben
Eigenschaften von msExchMobileMailboxPolicyLink und msExchOmaAdminWirelessEnable für Active Directory-Objekte
Add-ADPermission -User <Benutzer- oder Gruppenname> -Identity "DC=<Domänenname>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnableErweiterte Berechtigung ms-Exch-Store-Active
Datenverwaltung der E-Mail-Postfächer des Exchange-Servers, Verzweigung "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Name der Firma>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne>"Get-MailboxDatabase | Add-ADPermission -User <Benutzer- oder Gruppenname> -ExtendedRights ms-Exch-Store-Admin