[exo]

Цитата goog2e@vk:

Но есть одно большое НО - ActiveSync и IMAP(POP) для админских акков отключены »

хочу поинтересоваться. А кто и зачем отключил эту возможность? у меня прикрасно работает ActiveSync в Нокии на Symbian и на андроидном планшете...
Да, POP3 я сам заблокировал на сервере.

[goog2e@vk]

Как нашел на сайте майкрософта - дескать политика безопасности такая у них - админам низзя свою почту через ActiveSync и IMAP читать... Тока Outlook.....
P.S.Точно на Exchange 2010?? У меня в логе вот такое пишет

Код:

2012-09-12 20:22:09 <server_IP> OPTIONS /Microsoft-Server-ActiveSync/default.eas Cmd=OPTIONS&User=<domain>%5C<user>&DeviceId=SAMSUNG11237366940&DeviceType=SAMSUNGGTP6800&Log=V25_LdapC1_LdapL78_Error:UserDisabledForSync_Mbx:<server>_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F21f7ddb5-dfe0-413e-acc8-6e911b22edf9%2cNorm_ 443 <login_domain>\<user> <user_ip> SAMSUNG-GT-P6800/100.40004 403 0 0 124
2012-09-12 20:21:48 <server_IP> OPTIONS /Microsoft-Server-ActiveSync/default.eas Cmd=OPTIONS&User=<domaun>%5C<user>&DeviceId=SAMSUNG11237366940&DeviceType=SAMSUNGGTP6800&Log=V25_LdapC8_LdapL109_Error:UserDisabledForSync_Mbx:<server>_Dc:<server>_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F21f7ddb5-dfe0-413e-acc8-6e911b22edf9%2cNorm%5bResources%3a(DC)<server>l(Health%3a-1%25%2cHistLoad%3a0)%2c%5d_ 443 <domain>\<user> <user_ip> SAMSUNG-GT-P6800/100.40004 403 0 0 343

[exo]

Цитата goog2e@vk:

Как нашел на сайте майкрософта - дескать политика безопасности такая у них - админам низзя свою почту через ActiveSync и IMAP читать... Тока Outlook..... P.S.Точно на Exchange 2010?? »

ну да. точно на Exchange 2010 SP2. Даже на иФоне при тестах всё работало. Права - админ домена. Знаю есть ограничения у Enterprise Admin. Но я в группу не вхожу, т.к. она нужна только при установке, а дальше в ней нет необходимости.

У меня другой вопрос вот не решён. А амины домена не могут под своей учёткой через autodiscovery подключать чужие ящики.

[goog2e@vk]

Админ домена и админ Exchange две разные вещи. Админ домена не может править настройки Exchange без соответствующей группы exchange(т.н. группы безопасности Exchange)

[Oleg Krylov]

Поведение системы в данном случае зависит от настроек безопасности защищенных групп. Пользователю, емнип, не хватает прав на Create Child Objects. Правка ACL для одного пользователя в данном случае ничего не даст, т.к. сервис AdminSDHolder раз в час пробегается по ACL всех объектов, значение аттрибута AdminCount которых равно единице и приводит ACL в соответсвии с дефолтным ACL Protected Group Members. Другими словами поправив это значение через час вы получите ровно ту же ситуацию. Это поведение Exchange 2010 вызвало море негодования в свое время, но Microsoft тоже можно понять - они с 90-х годов твердят на каждом углу "Не работайте под учетной записью, входящей в привилегированные группы! Это небезопасно!" С учетом того, что дефолтным методом аутентификации для EAS является Basic, т.е. учетные данные идут по сети в PlainText - это не лишено смысла. Представьте на секунду - злоумышленник сниффером съел ваши учетные данные (хэши сейчас вскрываются за три минуты на куче веб-сервисов, этому посвященных) и зашел в ECP. Весело, правда? Вот начиная с 2010 версии принудительно заставляют работать правильно. Что хорошо, на самом деле.
goog2e@vk, создайте учетную запись, входящую ТОЛЬКО в группу DomainUsers. Отцепите ящик от администратора:

Код:

Disable-Mailbox -Identity <AdministratorUserName>

И прицепите его новому пользователю:

Код:

Get-MailboxStatistics -Server <YourServerName> | where {$_.DisconnectDate -ne $null} | Connect-Mailbox -User <NewUserName> -Alias <AdministratorUserName>

Последний аргумент в этой команде нужен для сохранения почтового адреса.

Цитата exo:

У меня другой вопрос вот не решён. А амины домена не могут под своей учёткой через autodiscovery подключать чужие ящики. »

Начиная с версии Exchange 2010 SP1 работает Mailbox-Automapping. Это означает, что при настройке аккаунта через Autodiscover пользователю автоматически в качестве дополнительных цепляются ящики, на которые он имеет права FullAccess. Ограничение 5 дополнительных ящиков. Остальные не примапятся. Выбираются первые из списка.
http://www.msexchange.org/articles_t...010-part1.html

[goog2e@vk]

Oleg Krylov, спасибо большое за разъяснение)

[exo]

Цитата goog2e@vk:

Админ домена и админ Exchange две разные вещи. Админ домена не может править настройки Exchange без соответствующей группы exchange »

это смотря какие настройки выбрать при установке Exchange 2010. У меня объединённая система безопасности. Возможно это настройка SBS редакции.

Цитата Oleg Krylov:

с версии Exchange 2010 SP1 работает Mailbox-Automapping. Это означает, что при настройке аккаунта через Autodiscover пользователю автоматически в качестве дополнительных цепляются ящики, на которые он имеет права FullAccess »

Да, я знаю. Но я отключаю эту функцию (через msExchDelegateListLink) по двум причинам:
1) во время написания письма нельзя выбрать отправителя, а следовательно и автоматически не поменяется подпись.
2) после отправки письма, отправленное письмо попадает в папку "отправленные" основного ящика, а не в папку подключённого ящика.
Т.е. это поведение, как будто если почтовый ящик вручную дополнительным.
Если же не админ подключает дополнительные ящики через Autodiscover - всё работает.

Цитата Oleg Krylov:

Ограничение 5 дополнительных ящиков. »

Это ограничение можно снять:

Цитата:

New-ThrottlingPolicy PolicyNAME -RCAMaxConcurrency $null -RCAPercentTimeInAD $null -RCAPercentTimeInCAS $null -RCAPercentTimeInMailboxRPC $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null -EWSMaxSubscriptions $null -EWSFastSearchTimeoutInSeconds $null -EWSFindCountLimit $null Set-Mailbox "userNAME" -ThrottlingPolicy PolicyNAME

у меня отключено для двух пользователей:
1) пользователь, от имени которого подключаются почтовые ящики в Blackberry Exchange Server
2) пользователь, от имени которого выполняются резервные копии почтовых ящиков (не баз)