管理员可以访问所有邮箱 - 我该如何阻止它?

管理员可以访问所有邮箱 - 我该如何阻止它?

在我们的组织中,该DOMAIN\Administrator帐户可以访问所有邮箱,即以身份登录 Outlook Web Access,DOMAIN\Administrator然后打开另一个邮箱,然后就会出现该用户的邮箱。

我不知道为什么要这样做,我很怀疑,但这不是我的问题,我不想为此负责,所以想删除这个权限。

是否可以搜索所有邮箱并删除任何具有访问权限的邮箱DOMAIN\Administrator(无论是完全访问权限、代理发送还是代表发送)?

我们正在运行 4 台 Windows Server 2012 服务器和 Microsoft Exchange 2013。

答案1

DOMAIN\Administrator这可能是因为Organization Management组。从该组的描述来看:

此管理角色组的成员有权管理 Exchange 组织中的 Exchange 对象及其属性。成员还可以委派组织中的角色组和管理角色。不应删除此角色组。

或者来自 Technet

属于组织管理角色组的管理员具有对整个 Exchange 2013 组织的管理访问权限,并且可以针对任何 Exchange 2013 对象执行几乎任何任务(但有一些例外)。默认情况下,此角色组的成员无法执行邮箱搜索和无作用域顶级管理角色的管理。

这基本上是 Exchange 中的组,类似于 Active Directory 中的域管理员组 - 成员在 Exchange 中具有管理权限,包括登录任何邮箱的能力(默认情况下)。当然,您可以DOMAIN\Administrator从该组中删除,但任何对该组具有修改权限的人(如域管理员)都可以轻松地将该用户或任何其他用户重新添加到该组中。

在极少数情况下,如果DOMAIN\Administrator用户被明确定义为对每个邮箱都有权限,你可以使用 PowerShell 脚本来删除它,但您会遇到同样的问题 - 该用户以及对组织管理组具有修改权限的任何人都可以轻松地将该用户或任何其他用户添加回其中。

归根结底,管理员拥有(或可以轻松授予自己)做任何他们想做的事情的权限。这是管理帐户的本质,而且确实无法绕过它。

答案2

组织管理实际上并未授予使用 OWA 访问邮箱的权限。事实上,默认情况下,出于与您想要这样做相同的原因,明确拒绝该组访问所有邮箱。我怀疑该帐户被授予了对每个邮箱的单独权限。

您可以使用以下命令进行检查:

获取邮箱 | 获取邮箱权限 -User DOMAIN\Administrator | 其中 {-not $.IsInherited} 获取邮箱 | 获取 ADPermission | 其中 {-不是 $.是否继承}

要删除它们,只需在末尾添加 Remove-MailboxPermission 或 Remove-ADPermission。(请自行承担风险……这些都是我凭空想象出来的,这就是为什么我没有包含完整的命令。您可能想要排除某些邮箱,例如管理员自己的邮箱。)

这就是为什么 Blackberry Enterprise Servers 的服务帐户不能放入组织管理中的原因。相反,它们有特定的指令来授予对所有邮箱的访问权限。

我还没有专门针对 Exchange 2013 研究过这个问题,但是其他答案都没有声称是针对 Exchange 2013 的新功能,所以我怀疑他们只是弄错了。

答案3

从您的消息中可以看出您可能是管理员。如果是这样,您就拥有这些权限,因为有时您会需要它们。接受,但不要滥用授予您的权限。值得信赖的管理员只会在需要执行您的职责时使用这些权限。这些职责可能包括扫描电子邮件中的特定内容、跟踪电子邮件来源以及其他需要访问其他用户电子邮件的活动。

如果您要任命某人为管理员,请考虑以下事项。

任何拥有管理权限的人或多或少都掌握着王国的钥匙。如果你不能信任他们,就不要让他们成为管理员。他们应该有能力撤销你为删除访问权限所做的任何操作。

我希望大多数解决方案最好由管理员实施。邮件服务器需要能够解密邮箱。这将使管理员能够访问邮箱。

可以对两端的邮件消息进行加密。但是,这会严重限制您可以与谁交换电子邮件。您可能希望管理员能够安装和调试加密软件。

管理员也可能能够通过数据包捕获来访问邮件。这比较困难,但也不是非常困难。

值得信赖的管理员不会滥用其权限。当他们确实需要访问邮件文件夹时,他们会尽可能地限制其访问权限。

相关内容