Exchange ActiveSync 服务账户
安装 Exchange 移动设备服务器后,会自动在 Active Directory 中创建账户:
- 在 Microsoft Exchange Server (2010, 2013) 上:带有 KLMDM 角色组角色的 KLMDM4ExchAdmin***** 账户。
- 在 Microsoft Exchange Server (2007) 上:KLMDM4ExchAdmin***** 账户,KLMDM 安全组成员。
Exchange 移动设备服务器在此账户下运行。
如果您要取消账户的自动生成,您需要创建具有以下权限的自定义账户:
- 当使用 Microsoft Exchange Server (2010, 2013) 时,账户必须被分配允许执行以下 cmdlets 的角色:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- 当使用 Microsoft Exchange Server (2007) 时,账户必须被授予到活动目录对象的访问权限(参见下表)。
到活动目录对象的访问权限
权限
对象
Cmdlet
完全
线程 "CN=Mobile Mailbox Policies,CN=<组织名称>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<域名>"
Add-ADPermission -User <用户或组名称> -Identity "CN=Mobile Mailbox Policies,CN=<企业名称>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<域名>" -InheritanceType All -AccessRight GenericAll读取
线程 "CN=<组织名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<域名>"
Add-ADPermission -User <用户或组名> -Identity "CN=<企业名称>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<域名>" -InheritanceType All -AccessRight GenericRead读/写
Properties msExchMobileMailboxPolicyLink and msExchOmaAdminWirelessEnable for objects in Active Directory
Add-ADPermission -User <用户或组名> -Identity "DC=<域名>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable扩展权限 ms-Exch-Store-Active
Exchange 服务器邮箱存储库,线程 "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<组织名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<域名>"
Get-MailboxDatabase | Add-ADPermission -User <用户或组名> -ExtendedRights ms-Exch-Store-Admin