Active-Directory

在 Exchange 2007 中管理繼承的郵箱權限

  • January 22, 2014

使用 Exchange 管理控制台 (EMC) 查看郵箱的完全訪問權限並不能顯示全部情況。範例 - EMC 在 Joe Bloggs 的郵箱中顯示帳戶 Domain\administrator 沒有權限,但 Get-Mailbox cmdlet 講述了一個不同的故事:

[PS] C:\Powershell>Get-Mailbox -Identity "Joe Bloggs" | Get-MailboxPermission | Where { $_.User.ToString() -eq "Domain\administrator"}

Identity              User                  AccessRights                            IsInherited Deny
--------              ----                  ------------                            ----------- ----
Domain.local/Users... Domain\administrator  {FullAccess}                            False       True
Domain.local/Users... Domain\administrator  {FullAccess}                            False       False
Domain.local/Users... Domain\administrator  {FullAccess}                            True        True
Domain.local/Users... Domain\administrator  {FullAccess, DeleteItem, ReadPermiss... True        False

我認為我可以使用 Add-MailboxPermission 和 Remove-MailboxPermission 管理非繼承權限,但是繼承權限集在哪里以及如何管理?

有問題的郵箱位於域的使用者容器中。我已經使用 ADSIedit 檢查了域和使用者容器的安全性,並且看不到適用於域\管理員帳戶的拒絕權限。

交換 2007 (08.03.0083.000)

您是在問為什麼您在郵箱上看到域的管理員帳戶帶有 DENY?或者繼承權從何而來?

預設情況下,AD 中的某些組在 Exchange 2007 上設置硬拒絕,以及由 Exchange 設置的許多其他“繼承”權限。

你可以在這裡閱讀完整的細節:http ://technet.microsoft.com/en-us/library/bb310770%28v=exchg.80%29.aspx

並在這裡做一個簡短的總結:

http://technet.microsoft.com/en-us/library/bb310792%28v=exchg.80%29.aspx

除了繼承的權限外,Exchange 安裝程序還為 Enterprise Admins 組和根 Domain Admins 組添加了拒絕代理髮送和接收代理的 ACE。這可以防止這些管理員訪問和欺騙林中的郵箱。

還要記住(閱讀第一個連結),在 AD 架構的配置上下文中設置了很多 Exchange 權限/ACL。

引用自:https://serverfault.com/questions/569049