Auf den Exchange Servern kann Outlook Anywhere (RPC over HTTPS) nur eingeschaltet oder abgeschaltet werden. Eine Konfiguration welcher Benutzer Outlook Anywhere verwenden darf, ist leider nicht so einfach möglich. Zwar kann mittels Forefront TMG der Zugriff auf Active Directory Gruppen beschränkt werden, aber per Autodiscover wird jeder Client auf Outlook Anywhere konfiguriert. Das hat jedoch den Nachteil das Benutzer die Outlook offline nutzen möchten permanent aufgefordert werden Benutzernamen und Passwort einzugeben, da Outlook ja eine gültige Outlook Anywhere Konfiguration kennt und lediglich Forefront die Verbindung verweigert.
Auf diesem Screenshot sieht man, dass nur Benutzer die in der Gruppe “Outlook Anywhere Benutzer” sind, Zugriff via Forefront und RPCoverHTTPS bekommen.
Trotzdem erhält Outlook via Autodiscover die Outlook Anywhere Einstellungen und versucht die im Falle einer Remote Verbindung dann auch zu benutzen
Sobald Outlook dann versucht eine Verbindung aufzubauen, werden immer wieder Benutzername und Passwort abgefragt, da Forefront die Verbindung verweigert.
Um dieses Problem zu umgehen, sollte man also Outlook Anywhere auf allen Clients deaktivieren die es nicht benutzen dürfen. Am Einfachsten funktioniert das per Gruppenrichtlinie (GPO), leider ist die nötige Einstellung aber nicht in den Standard Templates für Office enthalten, sondern etwas versteckt. Hier also eine kleine Anleitung (NICHT ANWENDEN AUF OUTLOOK 2010 UND EXCHANGE 2013)
Zuerst das Template mit dem sprechenden Namen 2426686 runterladen, welches die Einstellungen für Outlook 2010 enthält und auf einen Domain Controller kopieren:
Dann eine neue GPO erstellen um Outlook Anywhere global zu deaktivieren, die GPO wird mit der Domain verknüpft:
Als nächstes zum Reiter “Delegierung” wechseln und auf “Erweitert” klicken
Jetzt die entsprechende Active Directory Gruppe hinzufügen, für die Outlook Anywhere erlaubt sein soll (in meinem Fall ist das die Gruppe “DL_Outlook_Anywhere_Benutzer”), dann den Haken bei “Gruppenrichtlinie übernehmen” auf “Verweigern” setzen
Dann die GPO bearbeiten und unter der Benutzerkonfiguration den Punkt Richtlinien –> Administrative Vorlagen auswählen. Dort wird nun das Template hinzugefügt
Sobald das Template hinzugefügt wurde, wird der Punkt “Klassische administrative Vorlage (ADM)” sichtbar, dort findet sich die Einstellung “RPC/HTTP Connection Flags”
Die Einstellung wird nun aktiviert und auf “No Flags” festgelegt
Jetzt ist Outlook Anywhere für alle Benutzer deaktiviert die nicht der entsprechenden Active Directory Gruppe angehören (in meinem Fall “DL_Outlook_Anywhere_Benutzer”)
Alle andern Benutzer bekommen weiterhin die Einstellungen via Autodiscover.