问题描述:
Exch2003迁移到2010后,迁移用户无法使用activesync功能
现象描述:
在事件日志查看器有1053的错误提示,说“exchange activesync没有AD权限”,在exchange2010邮件服务器打开ems命令窗口,运行Dsacls " CN=support,OU=IT部,OU=技术公司,DC=zhffc,DC=net " >C:\dsaclssupport-P.log,
打开输出的log文件有以下错误提示:
访问列表:
{该对象受保护,无法从父对象继承权限}

按照以下方法解决时,还需手工确认在其中一个域控上的操作设置是否都自动同步到所有域控上。

解决方法:

(原因是因为客户之前在exch2003时没有启用activesync功能)

(参考:"发送为"权限会从用户对象后在 Active Directory 用户和计算机中配置的"发送为"权限管理单元在 Exchange Server

http://support.microsoft.com/kb/907434)


对 adminSDHolder 容器启用继承操作:
如果对 adminSDHolder 容器启用继承,则会禁用两个访问控制列表 (ACL) 保护机制中的任一个,并应用默认权限。不过,如果在组织单位级别启用继承,则受保护组中的所有成员将从组织单位和任何父组织单位继承权限。

要为管理用户提供继承保护,请将所有管理用户(以及需要继承保护的其他用户)移至他们自己的组织单位。在组织单位级别,删除继承然后将权限设置为与 adminSDHolder 容器上当前的 ACL 相匹配。由于 adminSDHolder 容器上的权限可能会有所不同(例如,Microsoft Exchange Server 添加了某些权限或者某些权限可能已被修改),因此需针对 adminSDHolder 容器上的当前权限,查看受保护组中的成员。请注意,用户界面 (UI) 不显示 adminSDHolder 容器上的所有权限。可以使用 DSacls 查看 adminSDHolder 容器上的所有权限。

注意:如果使用“Active Directory 用户和计算机”,请确保选中“查看”菜单上的“高级功能”。

对 adminSDHolder 容器和用户启用继承:
1. 右键单击该容器,然后单击“属性”。
2. 单击“安全”选项卡。
3. 单击“高级”。
4. 单击以选中“允许将可继承权限传播到该对象和所有子对象”复选框。
5. 单击“确定”,然后单击“关闭”。
6. 右键单击某个用户,单击属性->安全->高级->单击以选中“允许将可继承权限传播到该对象和所有子对象”复选框。
下次运行 SDProp 线程时,系统会对受保护组中的所有成员设置继承标志。此过程可能最多需要 60 分钟。应预留充足的时间进行此更改,以便从主域控制器 (PDC) 进行复制。