使用 Exchange 管理控制台 (EMC) 查看邮箱的完全访问权限并不能让您了解全部情况。示例 - EMC 显示 Joe Bloggs 邮箱上的 Domain\administrator 帐户没有任何权限,但 Get-Mailbox cmdlet 却讲述了不同的情况:
[PS] C:\Powershell>Get-Mailbox -Identity "Joe Bloggs" | Get-MailboxPermission | Where { $_.User.ToString() -eq "Domain\administrator"}
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
Domain.local/Users... Domain\administrator {FullAccess} False True
Domain.local/Users... Domain\administrator {FullAccess} False False
Domain.local/Users... Domain\administrator {FullAccess} True True
Domain.local/Users... Domain\administrator {FullAccess, DeleteItem, ReadPermiss... True False
我假定我可以使用 Add-MailboxPermission 和 Remove-MailboxPermission 来管理非继承的权限,但是继承的权限在哪里设置以及如何管理它们?
有问题的邮箱位于域的用户容器中。我使用 ADSIedit 检查了域和用户容器的安全性,没有看到适用于域\管理员帐户的拒绝权限。
Exchange 2007(08.03.0083.000)
答案1
您是在问为什么您看到域管理员帐户的邮箱被拒绝?或者继承的权利从何而来?
在 Exchange 2007 中,AD 中的某些组默认获得硬拒绝设置以及 Exchange 设置的许多其他“继承”权限。
您可以在此处阅读完整详细信息:http://technet.microsoft.com/en-us/library/bb310770%28v=exchg.80%29.aspx
以下是简短的总结:
http://technet.microsoft.com/en-us/library/bb310792%28v=exchg.80%29.aspx
除了继承的权限之外,Exchange 安装程序还为企业管理员组和根域管理员组添加了“以身份发送”和“以身份接收”的“拒绝 ACE”。这可防止这些管理员访问和欺骗林中的邮箱。
还要记住(阅读第一个链接),在 AD 模式的配置上下文中设置了大量 Exchange 权限/ACL。