管理 Exchange 2007 中继承的邮箱权限

管理 Exchange 2007 中继承的邮箱权限

使用 Exchange 管理控制台 (EMC) 查看邮箱的完全访问权限并不能让您了解全部情况。示例 - EMC 显示 Joe Bloggs 邮箱上的 Domain\administrator 帐户没有任何权限,但 Get-Mailbox cmdlet 却讲述了不同的情况:

[PS] C:\Powershell>Get-Mailbox -Identity "Joe Bloggs" | Get-MailboxPermission | Where { $_.User.ToString() -eq "Domain\administrator"}

Identity              User                  AccessRights                            IsInherited Deny
--------              ----                  ------------                            ----------- ----
Domain.local/Users... Domain\administrator  {FullAccess}                            False       True
Domain.local/Users... Domain\administrator  {FullAccess}                            False       False
Domain.local/Users... Domain\administrator  {FullAccess}                            True        True
Domain.local/Users... Domain\administrator  {FullAccess, DeleteItem, ReadPermiss... True        False

我假定我可以使用 Add-MailboxPermission 和 Remove-MailboxPermission 来管理非继承的权限,但是继承的权限在哪里设置以及如何管理它们?

有问题的邮箱位于域的用户容器中。我使用 ADSIedit 检查了域和用户容器的安全性,没有看到适用于域\管理员帐户的拒绝权限。

Exchange 2007(08.03.0083.000)

答案1

您是在问为什么您看到域管理员帐户的邮箱被拒绝?或者继承的权利从何而来?

在 Exchange 2007 中,AD 中的某些组默认获得硬拒绝设置以及 Exchange 设置的许多其他“继承”权限。

您可以在此处阅读完整详细信息:http://technet.microsoft.com/en-us/library/bb310770%28v=exchg.80%29.aspx

以下是简短的总结:

http://technet.microsoft.com/en-us/library/bb310792%28v=exchg.80%29.aspx

除了继承的权限之外,Exchange 安装程序还为企业管理员组和根域管理员组添加了“以身份发送”和“以身份接收”的“拒绝 ACE”。这可防止这些管理员访问和欺骗林中的邮箱。

还要记住(阅读第一个链接),在 AD 模式的配置上下文中设置了大量 Exchange 权限/ACL。

相关内容