Exchange 2010 domainprep 弄乱了现有 Exchange 2003 服务器上的邮箱权限

Exchange 2010 domainprep 弄乱了现有 Exchange 2003 服务器上的邮箱权限

因此,我们的环境基本上是有一个 Exchange 2003 服务器,并且我们正尝试逐步迁移到 Exchange 2010,同时迁移到新硬件。

因此,我们的第一步显然是在新机器上安装 Exchange 2010。但是,在运行了http://technet.microsoft.com/en-us/library/bb125224.aspx(包括 PrepareLegacyExchangePermissions)我们的邮箱权限变得混乱。

通常,我们为 Exchange 管理员设置了一个 AD 安全组,允许该组中的任何人查看任何用户邮箱内的所有文件夹。但是,现在此功能已消失,我们的 Exchange 管理员无法访问任何人的邮箱。如果可以的话,我们希望恢复此功能。

谢谢

答案1

Exchange 邮箱上的标准 AD 权限包括明确拒绝域管理员和企业管理员组(以及其他一些组);此 ACE 应用于组织级别,并由一切与 Exchange 相关(包括数据库和邮箱)。我不知道您的环境中如何配置 ALC,但 Exchange 2010 的准备步骤很有可能应用了一些与您习惯的默认权限不同的权限;Exchange 的标准规则是,除非所有者明确授予此类访问权限,否则任何人都无权访问他人的邮箱内容,这对每个人(包括 Exchange 组织管理员)都适用。

我建议使用某些工具(例如 ADSIEdit)查看实际的对象 ACL;或者,您可以使用 Active Directory 站点和服务控制台的“服务”节点管理 Exchange 组织对象(及向下)的安全性。

答案2

当您查看邮箱的 ACL 时,您的 Exchange 管理员组是否还在?或者已被删除。

另外,域管理员的 ACL 中通常有一个拒绝条目,因此即使您有另一个允许的组,拒绝也会覆盖该条目。

相关内容