2 Voraussetzungen gibt es nämlich für die erfolgreiche Verbindung mit ActiveSync zu beachten:
- Der UserAccount darf nicht Mitglied einer ProtectedGroup sein!
Das sind die Gruppen:
– Enterprise Admins
– Schema Admins
– Domain Admins
– Administrators
– Account Operators
– Server Operators
– Print Operators
– Backup Operators
– Cert Publishers - Der AD-UserAccount des Benutzers muß die Vererbung der Sicherheit aktiviert haben.
Die Vererbung der Rechte ist eigentlich bei jedem normalen User Standard und sollte manuell auch nicht ohne wirklich guten Grund abgedreht werden. War der Benutzer jedoch einmal Mitglied in einer der genannten Gruppen (und wenn es auch nur mal kurz versehentlich oder zum "testen eines Problems" war, ist die Vererbung deaktiviert.
Da hilft es leider auch nicht einfach den Benutzer aus der Gruppe herauszunehmen. Die Vererbung bleibt abgedreht und muß wieder manuell aufgedreht werden.
Überprüfen und gleich Richtigstellen kann man das Ganze folgendermaßen:
1. "Active Directory Users and Computers" öffnen.
2. Unter View (Ansicht) die "Advanced Features" aktivieren.
3. Das Benutzerobjekt im AD auswählen.
4. Auf dem Reiter Security "Advanced" auswählen.
5. Auf "Enable inheritance" klicken und bestätigen.
6.Kurz warten bis die AD-Replizierung durch ist und Active Sync auf dem Gerät einrichten.
7. Fertig
Hier auch nochmal ein Hinweis für Admins: Man sollte seinen normalen Account nie, niemals und überhaupt nicht, in eine der oben genannten geschützten Gruppen geben. Leider ist es immer wieder "üblich" das Admins nur einen Account haben und der ist dann Domain-Admin. Das ist nicht nur wegen ActiveSync eine schlechte Idee. Schon so mancher firmenweiter Ausfall, liess sich darauf zurückführen dass ein IT-Mitarbeiter versehentlich auf etwas geklickt hat, und leider mit seinem StandardUser zu viele Rechte hatte.
Ein seperater Admin-Acoount mit dem man auf Servern einsteigen kann ist eigentlich ein Muss!
Keine Kommentare:
Kommentar veröffentlichen