Benutzerkonto für die Arbeit des Dienstes Exchange ActiveSync
Während der Installation des Exchange ActiveSync-Servers für mobile Geräte wird in Active Directory automatisch ein Benutzerkonto erstellt:
- Auf dem Microsoft Exchange Server 2010–2013 wird das Benutzerkonto KLMDM4ExchAdmin ***** mit der Rolle KLMDM Role Group erstellt.
- Auf dem Microsoft Exchange Server 2007 wird das Benutzerkonto KLMDM4ExchAdmin ***** erstellt, das Mitglied in der Sicherheitsgruppe KLMDM Secure Group ist.
Unter diesem Benutzerkonto wird der Dienst des Exchange ActiveSync-Servers für mobile Geräte ausgeführt.
Wenn Sie auf das automatische Erstellen eines Benutzerkontos verzichten möchten, müssen Sie ein eigenes Benutzerkonto erstellen, das über die folgenden Berechtigungen verfügt:
- Wenn der Microsoft Exchange Server 2010–2013 verwendet wird, muss das Benutzerkonto über die Rolle verfügen, für die das Ausführen der folgenden Cmdlet erlaubt wird:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- Wenn der Microsoft Exchange Server 2007 verwendet wird, müssen dem Benutzerkonto die Zugriffsberechtigungen zu den Objekten Active Directory (s. nachfolgende Tabelle unten) zugewiesen werden.
Zugriffsrechte auf die Active Directory-Objekte
Zugriff
Objekt
Cmdlet
Vollständig
Verzweigung "CN=Mobile Mailbox Policies,CN=<
Name der Firma
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne
>"Add-ADPermission -User <
Benutzer- oder Gruppenname
> -Identity "CN=Mobile Mailbox Policies,CN=<
Name der Organisation
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
Domänenname
>" -InheritanceType All -AccessRight GenericAll
Lesen
Verzweigung "CN=<
Name der Firma
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne
>"Add-ADPermission -User <
Benutzer- oder Gruppenname
> -Identity "CN=<
Name der Organisation
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
Domänenname
>" -InheritanceType All -AccessRight GenericRead
Lesen und Schreiben
Eigenschaften von msExchMobileMailboxPolicyLink und msExchOmaAdminWirelessEnable für Active Directory-Objekte
Add-ADPermission -User <
Benutzer- oder Gruppenname
> -Identity "DC=<
Domänenname
>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
Erweiterte Berechtigung ms-Exch-Store-Active
Datenverwaltung der E-Mail-Postfächer des Exchange-Servers, Verzweigung "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Name der Firma
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Name der Domäne
>"Get-MailboxDatabase | Add-ADPermission -User <
Benutzer- oder Gruppenname
> -ExtendedRights ms-Exch-Store-Admin