Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   [решено] Доступ с мобильного устройства к почтовому ящику администратора (http://forum.oszone.net/showthread.php?t=242626)

goog2e@vk 13-09-2012 23:02 1988292
Доступ с мобильного устройства к почтовому ящику администратора
 
Стоит домашний почтовый сервер. Я на нем админ и мне нужно получать свою почту на мобильнике и планшете.
Но есть одно большое НО - ActiveSync и IMAP(POP) для админских акков отключены.

Соответственно вопрос - как это можно реализовать?(На телефоне и планшете Android)

P.S.Думал о варианте с созданием акка, на который будет дублироваться(ну или перенаправляться) вся моя почта, но тогда встает проблема с сохранением адреса доставки
P.S.S.Ну или как вариант просто создать для себя обычный акк с почтой..

А вообще интересно как можно такую фишку провернуть - чтобы с админского акка просматривать почту(owa не катит)
Заранее спасибо)

exo 13-09-2012 23:14 1988306
Цитата:
Цитата goog2e@vk
Но есть одно большое НО - ActiveSync и IMAP(POP) для админских акков отключены »
хочу поинтересоваться. А кто и зачем отключил эту возможность? у меня прикрасно работает ActiveSync в Нокии на Symbian и на андроидном планшете...
Да, POP3 я сам заблокировал на сервере.

goog2e@vk 13-09-2012 23:25 1988317
Как нашел на сайте майкрософта - дескать политика безопасности такая у них - админам низзя свою почту через ActiveSync и IMAP читать... Тока Outlook.....
P.S.Точно на Exchange 2010?? У меня в логе вот такое пишет
Код:
2012-09-12 20:22:09 <server_IP> OPTIONS /Microsoft-Server-ActiveSync/default.eas Cmd=OPTIONS&User=<domain>%5C<user>&DeviceId=SAMSUNG11237366940&DeviceType=SAMSUNGGTP6800&Log=V25_LdapC1_LdapL78_Error:UserDisabledForSync_Mbx:<server>_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F21f7ddb5-dfe0-413e-acc8-6e911b22edf9%2cNorm_ 443 <login_domain>\<user> <user_ip> SAMSUNG-GT-P6800/100.40004 403 0 0 124
2012-09-12 20:21:48 <server_IP> OPTIONS /Microsoft-Server-ActiveSync/default.eas Cmd=OPTIONS&User=<domaun>%5C<user>&DeviceId=SAMSUNG11237366940&DeviceType=SAMSUNGGTP6800&Log=V25_LdapC8_LdapL109_Error:UserDisabledForSync_Mbx:<server>_Dc:<server>_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F21f7ddb5-dfe0-413e-acc8-6e911b22edf9%2cNorm%5bResources%3a(DC)<server>l(Health%3a-1%25%2cHistLoad%3a0)%2c%5d_ 443 <domain>\<user> <user_ip> SAMSUNG-GT-P6800/100.40004 403 0 0 343

exo 13-09-2012 23:39 1988325
Цитата:
Цитата goog2e@vk
Как нашел на сайте майкрософта - дескать политика безопасности такая у них - админам низзя свою почту через ActiveSync и IMAP читать... Тока Outlook.....
P.S.Точно на Exchange 2010?? »
ну да. точно на Exchange 2010 SP2. Даже на иФоне при тестах всё работало. Права - админ домена. Знаю есть ограничения у Enterprise Admin. Но я в группу не вхожу, т.к. она нужна только при установке, а дальше в ней нет необходимости.

У меня другой вопрос вот не решён. А амины домена не могут под своей учёткой через autodiscovery подключать чужие ящики.

goog2e@vk 14-09-2012 07:44 1988404
Админ домена и админ Exchange две разные вещи. Админ домена не может править настройки Exchange без соответствующей группы exchange(т.н. группы безопасности Exchange)

Oleg Krylov 14-09-2012 10:37 1988471
Поведение системы в данном случае зависит от настроек безопасности защищенных групп. Пользователю, емнип, не хватает прав на Create Child Objects. Правка ACL для одного пользователя в данном случае ничего не даст, т.к. сервис AdminSDHolder раз в час пробегается по ACL всех объектов, значение аттрибута AdminCount которых равно единице и приводит ACL в соответсвии с дефолтным ACL Protected Group Members. Другими словами поправив это значение через час вы получите ровно ту же ситуацию. Это поведение Exchange 2010 вызвало море негодования в свое время, но Microsoft тоже можно понять - они с 90-х годов твердят на каждом углу "Не работайте под учетной записью, входящей в привилегированные группы! Это небезопасно!" С учетом того, что дефолтным методом аутентификации для EAS является Basic, т.е. учетные данные идут по сети в PlainText - это не лишено смысла. Представьте на секунду - злоумышленник сниффером съел ваши учетные данные (хэши сейчас вскрываются за три минуты на куче веб-сервисов, этому посвященных) и зашел в ECP. Весело, правда? Вот начиная с 2010 версии принудительно заставляют работать правильно. Что хорошо, на самом деле.
goog2e@vk, создайте учетную запись, входящую ТОЛЬКО в группу DomainUsers. Отцепите ящик от администратора:
Код:
Disable-Mailbox -Identity <AdministratorUserName>
И прицепите его новому пользователю:
Код:
Get-MailboxStatistics -Server <YourServerName> | where {$_.DisconnectDate -ne $null} | Connect-Mailbox -User <NewUserName> -Alias <AdministratorUserName>
Последний аргумент в этой команде нужен для сохранения почтового адреса.

Цитата:
Цитата exo
У меня другой вопрос вот не решён. А амины домена не могут под своей учёткой через autodiscovery подключать чужие ящики. »
Начиная с версии Exchange 2010 SP1 работает Mailbox-Automapping. Это означает, что при настройке аккаунта через Autodiscover пользователю автоматически в качестве дополнительных цепляются ящики, на которые он имеет права FullAccess. Ограничение 5 дополнительных ящиков. Остальные не примапятся. Выбираются первые из списка.
http://www.msexchange.org/articles_t...010-part1.html

goog2e@vk 14-09-2012 11:48 1988516
Oleg Krylov, спасибо большое за разъяснение)

exo 14-09-2012 11:52 1988518
Цитата:
Цитата goog2e@vk
Админ домена и админ Exchange две разные вещи. Админ домена не может править настройки Exchange без соответствующей группы exchange »
это смотря какие настройки выбрать при установке Exchange 2010. У меня объединённая система безопасности. Возможно это настройка SBS редакции.

Цитата:
Цитата Oleg Krylov
с версии Exchange 2010 SP1 работает Mailbox-Automapping. Это означает, что при настройке аккаунта через Autodiscover пользователю автоматически в качестве дополнительных цепляются ящики, на которые он имеет права FullAccess »
Да, я знаю. Но я отключаю эту функцию (через msExchDelegateListLink) по двум причинам:
1) во время написания письма нельзя выбрать отправителя, а следовательно и автоматически не поменяется подпись.
2) после отправки письма, отправленное письмо попадает в папку "отправленные" основного ящика, а не в папку подключённого ящика.
Т.е. это поведение, как будто если почтовый ящик вручную дополнительным.
Если же не админ подключает дополнительные ящики через Autodiscover - всё работает.

Цитата:
Цитата Oleg Krylov
Ограничение 5 дополнительных ящиков. »
Это ограничение можно снять:
Цитата:
New-ThrottlingPolicy PolicyNAME -RCAMaxConcurrency $null -RCAPercentTimeInAD $null -RCAPercentTimeInCAS $null -RCAPercentTimeInMailboxRPC $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null -EWSMaxSubscriptions $null -EWSFastSearchTimeoutInSeconds $null -EWSFindCountLimit $null

Set-Mailbox "userNAME" -ThrottlingPolicy PolicyNAME
у меня отключено для двух пользователей:
1) пользователь, от имени которого подключаются почтовые ящики в Blackberry Exchange Server
2) пользователь, от имени которого выполняются резервные копии почтовых ящиков (не баз)


Время: 02:41.

Время: 02:41.
© OSzone.net 2001-