Exchange ActiveSync 服務帳戶
當安裝了 Exchange 行動裝置伺服器被安裝後,帳戶在 Active Directory 裡自動建立:
- 在 Microsoft Exchange Server (2010, 2013) 上:帶有 KLMDM 角色群組角色的 KLMDM4ExchAdmin***** 帳戶。
- 在 Microsoft Exchange Server (2007) 上:KLMDM4ExchAdmin***** 帳戶,它是 KLMDM 安全群組成員。
Exchange 行動裝置伺服器在此帳戶下執行。
如果您要取消帳戶的自動產生,您需要建立具有以下權限的自訂帳戶:
- 當使用 Microsoft Exchange Server (2010, 2013) 時,帳戶必須被分配允許執行以下 cmdlets 的角色:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- 當使用 Microsoft Exchange Server (2007) 時,帳戶必須被授予到 Active Directory 物件的存取權限(參見下表)。
到 Active Directory 物件的存取權限
權限
物件
Cmdlet
完全
執行緒 "CN=Mobile Mailbox Policies,CN=<
組織名稱
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<網域名稱
>"Add-ADPermission -User <
使用者或群組名稱
> -Identity "CN=Mobile Mailbox Policies,CN=<
組織名稱
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
網域名稱
>" -InheritanceType All -AccessRight GenericAll
讀取
執行緒 "CN=<
組織名稱
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<網域名稱
>"Add-ADPermission -User <
使用者或群組名稱
> -Identity "CN=<
組織名稱
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<
網域名稱
>" -InheritanceType All -AccessRight GenericRead
讀/寫
Active Directory 物件的 msExchMobileMailboxPolicyLink 和 msExchOmaAdminWirelessEnable 內容
Add-ADPermission -User <
使用者或群組名稱
> -Identity "DC=<
網域名稱
>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
延伸權限 ms-Exch-Store-Active
Exchange 伺服器信箱儲存區,執行緒 "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
組織名稱
>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<網域名稱
>"Get-MailboxDatabase | Add-ADPermission -User <
使用者或群組名稱
> -ExtendedRights ms-Exch-Store-Admin