Se consideran Protected Groups a los grupos:
- Account Operators.
- Administrator.
- Administrators.
- Backup Operators.
- Domain Admins.
- Enterprise Admins.
- Krbtgt.
- Print Operators.
- Read-Only Domain Controllers.
- Replicator.
- Schema Admins.
- Server Operators.
El propósito de considerar estos grupos como «protegidos» y por tanto, a sus cuentas miembro es evitar que sean inaccesibles mediante la aplicación de permisos restrictivos sobre ellas. Por ejemplo, un administrador podría asignar «Deny all permissions» al grupo de Domain Admins, lo que provocaría que los miembros de este grupo se vieran privados de la capacidad de administrar el dominio.
Si un usuario (cuya cuenta de Directorio Activo es miembro de cualquiera de estos grupos) intenta sincronizar por primera vez su dispositivo móvil con su buzón de correo alojado en Exchange 2010, obtendrá un error en el dispositivo. Además, en el visor de eventos de los servidores Client Access se registrará el siguiente evento:
Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=User1,OU=Users,DC=lab,DC=com” container under Active Directory user “Active Directory operation failed on DC.lab.com. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
“.
Make sure the user has inherited permission granted to domain/Exchange Servers to allow List, Create child, Delete child of object type “msExchangeActiveSyncDevices” and doesn’t have any deny permissions that block such operations.
Details:%3
Una solución sencilla consiste en acceder a la cuenta del usuario de Directorio Activo, acceder a la pestaña Security y habilitar la opción Include inheritable permissions from this object´s parent.
La recomendación de Microsoft es utilizar exclusivamente cuentas de administración dedicadas para administrar, y no utilizar como cuenta de usuario cuentas que pertenezcan a estos grupos protegidos.
