最后的系统管理员似乎玩弄了我们 Exchange 数据库的权限,以便当我们运行报告时,管理员显示为可以访问每个邮箱(使报告变得非常庞大)。
有人可以检查这些权限并告知默认权限是什么吗?管理员是否应该默认拥有这些访问权限?我认为这可能是问题所在,因为管理员未在 ECP 中查看邮箱的“完全访问权限”部分列出,但却出现在 PowerShell 报告中。
[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission -User domain\Administrator
Identity User Deny Inherited
-------- ---- ---- ---------
Mailbox Database ... domain\Administrator False False
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator False True
[PS] C:\Windows\system32>
列出的 4 个邮箱数据库是相同的。我们只有 1 个数据库。
答案1
默认情况下,域管理员不应有权访问所有邮箱,但这种配置并不罕见(尽管我认为这不是最佳实践)。我猜这样做是出于以下三个原因之一 -
能够快速撤回电子邮件,我曾经在一家公司工作过,这家公司有将工资信息发送给错误人员的坏习惯,因此经常需要快速从其他收件箱中删除电子邮件。从理论上讲,预先授予访问权限可以节省时间。
Microsoft TAC 添加了此功能以“便于故障排除”并且从未清除过(我曾多次看到这种情况发生,在这种环境中,致电 MS 支持的人没有足够的知识来了解情况,也没有足够的权限让他们运行该命令。
您有一个消息存档器或其他实用程序/设备,它们从 Exchange 邮箱而不是通过日志提取数据。(但如果是这种情况,他们确实应该使用服务帐户而不是域管理员。
只要不是第三个,您就应该能够毫无问题地将其删除。如果您出于某种原因决定保留它,如果您想发布用于生成报告的脚本,我们可以帮助您排除该帐户,这样它就不会无限长。(我们必须这样做才能排除因各种原因有权访问事物的服务帐户)。