禁用 Exchange 郵箱有什麼副作用?
使用 Exchange Server 2007 或更高版本時,禁用郵箱是相當常見的操作。但是,Technet 文件沒有關於禁用郵箱的副作用的詳細資訊。這就是它所說的一切。
“此任務從 Active Directory 中的使用者對像中刪除所有 Exchange 屬性。根據已刪除項目保留策略,Exchange 儲存將保留使用者對象的郵箱數據。”
資料來源:http ://technet.microsoft.com/en-us/library/bb123730(v=exchg.141).aspx
但僅此而已嗎?現實世界中的 Exchange 郵箱往往是高度互連的。也許老闆已經將日曆控制權委託給了一位秘書。也許一個工作人員團隊都共享對公共文件夾的訪問權限。也許高級使用者已被授予在多個不同地址接收電子郵件的能力。我想到了兩個明確的問題。
- 郵箱斷開後郵箱之間的連結會怎樣?
- 操作可以
Disable-Mailbox輕鬆撤消嗎?
Microsoft 的文件似乎表明禁用郵箱是一項簡單的操作。不幸的是,有一些“陷阱”。
郵箱保留
當郵箱被禁用時,它被重新分類為“斷開連接的郵箱”。預設情況下,Exchange 會將斷開連接的郵箱保留 30 天。這是郵箱所在的數據庫的一個屬性。但是,Exchange 管理員可以更改此值。如果 的值
MailboxRetention設置為 0,郵箱將被立即刪除。(糟糕。)(technet.com 上的已刪除郵箱保留)編輯:斷開未初始化的郵箱也將導致其立即且不可恢復的刪除。未初始化的郵箱是從未通過 OWA 或 Outlook 訪問過的郵箱。這可能會在編寫斷開和重新連接郵箱的腳本時造成困難,因為某些郵箱可能無法重新連接。
重新連接郵箱
禁用和連接郵箱並不是一蹴而就的。當您只想禁用郵箱時這很好,但如果您打算立即重新連接郵箱,則需要注意兩件事。
- 在清除郵箱數據庫之前,不會填充“斷開連接的郵箱”列表。如果您因為找不到剛剛禁用的郵箱而感到恐慌,請告訴 Exchange 開始清理數據庫並等待幾分鐘。
- 如果您正在編寫 PowerShell 腳本,則必須等待更改傳播到 Active Directory,然後再執行任何進一步的操作。根據你的環境和你的運氣,這個時間從幾秒到幾分鐘不等。(Protip:您可以
Get-User在循環中呼叫以確定更改是否已完全傳播。)郵箱元數據
當郵箱斷開連接時,配額資訊將被丟棄。如果要保留郵箱配額,則需要在發出禁用郵箱的命令之前記錄這些值。
這同樣適用於 EmailAddresses 列表和郵箱別名。
委託和權限
現在事情開始變得不友好了。對於任何給定的使用者,與正常交換郵箱或舊式公用文件夾有幾個可能的連結。
普通郵箱
- 代理權
- 代發
- 郵箱子文件夾上的 ACL
- 完全訪問權限
公共文件夾
- 代理權
- 代發
- 文件夾權限
郵箱 -> 發送為
權限由 Active Directory 使用者對像上的
Send-AsACL 表示,ACL 在內部儲存為 SID 值列表。因此,此權限可以完全在 Exchange 之外進行管理。當郵箱被禁用時,它對作為發送權限沒有影響。使用者對像上的 ACL 不變,因此不會失去任何資訊。
如果斷開連接的郵箱重新連接到同一使用者,則以前能夠以該使用者身份發送的任何使用者都將重新獲得該能力。
如果斷開連接的郵箱連接到其他使用者,則沒有使用者能夠以新使用者身份發送。您需要將所需的“代理髮送”權限重新應用到新使用者。
郵箱 -> 代發
Send on behalf權利與 Outlook 客戶端提出的“委託”概念密切相關。授予send on behalf其他使用者權限是很常見的,尤其是在委派日曆管理時。尚不清楚 Exchange 如何在內部儲存它,但我知道Send on behalf權限連接郵箱對象,而不是使用者。當郵箱被禁用時,所有“代表發送”連接都將被丟棄。這不僅會影響被禁用的郵箱,而且如果另一個郵箱已授權代表此郵箱發送,則該連結現在將被刪除。
不用說,如果郵箱重新連接到任何使用者,“代表發送”權限不會恢復。當郵箱被禁用時,該資訊會立即永遠失去。我將這些連結稱為“易失性”。這種波動源於這樣一個事實,即代表發送權限是唯一不與 SID 在內部儲存的權限。
額外提示:Exchange 將填充 AD 使用者對像上的兩個屬性,
publicDelegates它們publicDelegatesBL分別包含委託郵箱和已提供委託權限的郵箱的可分辨名稱。郵箱 -> 子文件夾上的 ACL
郵箱文件夾的權限是郵箱之間最常用的連結之一。文件夾權限作為 Outlook“委派”的後半部分很重要,但它們通常是手動分配的,沒有相關的發送代表權限。
儘管 Exchange 使用基於使用者 SID 的典型 ACL 表示文件夾權限,但您不能像正常 ACL 那樣操作它們。Outlook 僅允許選擇已啟用郵件的使用者,同樣,PowerShell
Add-MailboxFolderPermissioncmdlet 僅允許您為其他使用者添加權限(如果他們有關聯的郵箱)。如果使用者代理被授予文件夾權限(例如,審閱者、編輯)並且該代理的郵箱後來被禁用,則權限將顯示為“NT User:DOM\samname”。
如果代理人的郵箱重新連接到同一使用者,他們顯然能夠利用這些權限,儘管他們現在的外觀不正確。
但是,如果委託人的郵箱連接到不同的使用者,則該新使用者將不會繼承原始委託,因為他們沒有匹配的 SID。雖然看起來文件夾權限是授予郵箱的,但實際上它們是授予 AD 安全主體的。
郵箱 -> 完全訪問
完全訪問權限只能由 Exchange 管理員分配。與 Send-As 權限非常相似,它們被授予 AD 使用者對象並基於 SID 在內部儲存。但與代理髮送權限不同的是,完全訪問權限實際上儲存為 Exchange 郵箱對象的一部分。
如果郵箱斷開連接,具有完全訪問權限的使用者列表將保留在郵箱對像中。
如果重新連接斷開連接的郵箱,無論它連接到哪個使用者,之前擁有完全訪問權限的任何使用者都將重新獲得對該郵箱行使完全訪問權限的能力。
額外提示:完全訪問權限有一個可選功能,稱為
AutoMapping. 如果在啟用 AutoMapping 的情況下授予完全訪問權限,Exchange 將填充msExchDelegateListBL接收完全訪問權限的使用者的屬性。這使您可以輕鬆查看您擁有 FullAccess 的權限,但它並不總是啟用,因此您不能依賴它來獲得完整的答案。公共文件夾 -> 發送為
Send-As公用文件夾的權限與普通郵箱的工作方式大致相同。“但公用文件夾不與使用者對象相關聯!” 你喊。實際上,Exchange 確實會在 Active Directory 中為您創建的每個公用文件夾創建機密對象。(您可以使用 ADSI Edit 打開安裝 Exchange 伺服器的林中根域的預設命名上下文,然後查找“CN=Microsoft Exchange System Objects”。在此容器中,您將找到每個公用文件夾的對象,並且每個對像都有一個包含
Send-As權限的 ACL。)公共文件夾 -> 代發送
為公用文件夾“代表發送”的想法有點奇怪,因為 Outlook 中的“委託”概念根本不適用於公用文件夾。但它就在那裡,儘管如此。
公用文件夾上的代表發送權限的不同之處在於,它們永遠不會填充已被授予代表發送權限的使用者對象的“publicDelegatesBL”屬性。
在這一點上,我不清楚公用文件夾上的發送代表權限是否也不穩定。如果有人知道這一點,請隨時編輯此答案!(待辦事項/修復)
公共文件夾 -> 權限
公用文件夾的權限不同於郵箱的權限。因為它們連結到郵箱,所以它們是易變的。
如果郵箱斷開連接,則該郵箱將失去其被授予的任何公用文件夾權限。(TODO/FIXME 還是他們遵循 NT USER 格式?)
“無縫遷移”
如果您有一個人在兩個不同的域中擁有 AD 使用者帳戶,並且您想將郵箱從一個域中的使用者移動到另一個域中的使用者,那麼您將面臨一場艱苦的戰鬥。
不幸的是,Exchange 無法輕鬆跟踪權限和委派的應用方式。如果您需要將郵箱從一個 AD 使用者移動到同一林中的另一個使用者,並且希望完全保留這些權限,則需要自己發現並恢復這些權限。
即使在中型森林中,這也會成為一項非常昂貴的操作,因此如果您經常移動郵箱,那麼值得對所有郵箱進行一次大列舉以收集所有目前連結的列表。然後,當您想要將郵箱分配給不同的 AD 使用者帳戶時,您就可以準確地知道哪些其他郵箱需要更新權限。
結論
這些權限是持久的。在郵箱被禁用後它們保持不變。
- 發送為
- 郵箱文件夾 ACL
- 完全訪問
- 公用文件夾發送為
這些權限是不穩定的。當郵箱被禁用時,它們會失去。
- 代發
- 公用文件夾代發
- 公用文件夾權限
斷開郵箱有許多副作用。
- 配額設置失去
- 連接的電子郵件地址失去
編寫禁用或連接郵箱的腳本時,請注意 AD 傳播導致的延遲。