Active-Directory
在 Exchange 2007 中管理繼承的郵箱權限
使用 Exchange 管理控制台 (EMC) 查看郵箱的完全訪問權限並不能顯示全部情況。範例 - EMC 在 Joe Bloggs 的郵箱中顯示帳戶 Domain\administrator 沒有權限,但 Get-Mailbox cmdlet 講述了一個不同的故事:
[PS] C:\Powershell>Get-Mailbox -Identity "Joe Bloggs" | Get-MailboxPermission | Where { $_.User.ToString() -eq "Domain\administrator"} Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- Domain.local/Users... Domain\administrator {FullAccess} False True Domain.local/Users... Domain\administrator {FullAccess} False False Domain.local/Users... Domain\administrator {FullAccess} True True Domain.local/Users... Domain\administrator {FullAccess, DeleteItem, ReadPermiss... True False
我認為我可以使用 Add-MailboxPermission 和 Remove-MailboxPermission 管理非繼承權限,但是繼承權限集在哪里以及如何管理?
有問題的郵箱位於域的使用者容器中。我已經使用 ADSIedit 檢查了域和使用者容器的安全性,並且看不到適用於域\管理員帳戶的拒絕權限。
交換 2007 (08.03.0083.000)
您是在問為什麼您在郵箱上看到域的管理員帳戶帶有 DENY?或者繼承權從何而來?
預設情況下,AD 中的某些組在 Exchange 2007 上設置硬拒絕,以及由 Exchange 設置的許多其他“繼承”權限。
你可以在這裡閱讀完整的細節:http ://technet.microsoft.com/en-us/library/bb310770%28v=exchg.80%29.aspx
並在這裡做一個簡短的總結:
http://technet.microsoft.com/en-us/library/bb310792%28v=exchg.80%29.aspx
除了繼承的權限外,Exchange 安裝程序還為 Enterprise Admins 組和根 Domain Admins 組添加了拒絕代理髮送和接收代理的 ACE。這可以防止這些管理員訪問和欺騙林中的郵箱。
還要記住(閱讀第一個連結),在 AD 架構的配置上下文中設置了很多 Exchange 權限/ACL。