我是 Exchange 的新管理员,我希望能够在 Outlook 中安装文件夹,以便在需要时可以查看用户的邮箱。我在 Outlook 中添加了对其他用户邮箱的访问权限,但当我尝试展开他们的文件夹时,系统显示“无法显示文件夹。Microsoft Office Outlook 无法访问指定的文件夹位置。”
我认为我需要授予自己对服务器上所有电子邮箱的权限,但不确定如何做到这一点!
答案1
导航到 Exchange 2003 服务器上相关用户帐户的属性,打开其属性,并在“Exchange 高级”选项卡上为自己分配邮箱的全部权限。
答案2
这有严肃的安全和隐私问题,并受到许多国家的法律约束;这就是默认情况下无法做到这一点的原因:即使是权限最高的管理员默认情况下也不能访问其他人的邮箱。
现在,如果你真的需要这样做,如果你已授权我们来谈谈贵公司的技术方面。
与 Exchange 相关的信息存储在 Active Directory 对象中,这些对象与 AD 中的其他内容一样带有内置访问控制列表 (ACL);Exchange 相关对象层次结构的根是 Exchange 组织,其中包含许多内容,其中包括管理组、路由组、服务器以及最后的邮箱存储(数据库);所有这些对象都从父对象继承了一些 ACL,并且它们都从组织对象继承了根级 ACL。这对于您的问题很重要,因为这是为整个组织设置两个非常重要的权限的地方:
- 企业管理员拥有对所有内容的完全控制权,而域管理员拥有几乎完全的控制权。
- 明确拒绝这两个组访问其他用户的邮箱内容和以其他用户身份发送邮件的权限。
这两个设置似乎相互矛盾,但如果你仔细观察,就会发现其中的逻辑非常明显:这两组用户需要提升权限才能管理 Exchange,但这些权限又使他们能够访问其他用户的邮箱;因此,这种访问被明确拒绝。
为了允许您想要的操作,您需要在组织级别删除此明确拒绝;然后,企业管理员或域管理员组的成员将能够打开其他用户的邮箱。
由于您默认情况下无法直接编辑 Exchange 组织对象(以及许多其他与 Exchange 相关的对象)的 ACL,因此这变得更加困难;但是,有一些方法可以做到这一点,但它们涉及使用非标准工具,例如 ADSIEdit 或 Active Directory 站点和服务 MMC 中的服务节点(您可以在其下找到与 Exchange 相关的 AD 对象树)。
最简单的解决方案是允许在 Exchange 系统管理器中编辑 ACL;为此,您应该修改注册表项,如下所述这里:转到HKCU\Software\Microsoft\Exchange\ExAdmin
,创建一个名为 的新 DWORD 值ShowSecurityPage
并将其设置为 1。现在启动 ESM,右键单击顶级对象(其名称与您的 Exchange 组织相同),查看其属性,您应该能够查看和修改其 ACL。如果删除应用于企业管理员和域管理员的显式拒绝设置,则在使用管理帐户时您应该能够访问所有内容。当然,您也可以应用更精细的设置,还可以编辑较低级别对象(例如管理组、服务器和数据库)的 ACL,并将权限分配给特定用户或组;但在执行此操作之前,您应该非常仔细地研究现有的 ACL,否则您将面临破坏某些内容的严重风险。
注意:Exchange 2007/2010 中的情况略有不同,但基本概念保持不变:默认情况下,管理用户被拒绝访问其他用户的邮箱。