能夠在 Exchange 2003 中添加任何使用者的郵箱
我是一名新的 Exchange 管理員,我希望能夠在我的 Outlook 中裝載文件夾,以便在需要時檢查使用者的郵箱。我在 Outlook 中添加了對其他使用者電子郵件郵箱的訪問權限,但是當我嘗試展開他們的文件夾時,我得到“無法顯示文件夾。Microsoft Office Outlook 無法訪問指定的文件夾位置”。
我假設我需要授予自己對伺服器上所有郵箱的權限,但不知道如何去做!
導航到 Exchange 2003 伺服器上相關使用者帳戶的屬性,打開它的屬性,然後在“Exchange 高級”選項卡上為自己分配郵箱的完全權限。
這具有嚴重的安全和隱私影響,並且在許多國家受到法律成本限制;這就是預設情況下不可行的原因:即使是最高權限的管理員也無法預設訪問其他人的郵箱。
現在,如果你真的需要這樣做,並且如果你得到了你的公司的授權,那麼讓我們來看看它的技術方面。
與 Exchange 相關的資訊儲存在 Active Directory 對像中,這些對象與 AD 中的其他所有內容一樣帶有內置的訪問控制列表 (ACL);與 Exchange 相關的對象層次結構的根是 Exchange 組織,它包含許多東西,其中包括管理組、路由組、伺服器,最後是郵箱儲存(數據庫);所有這些對像都從父對象繼承了一些 ACL,並且它們都從 Organization 對象繼承了根級別的 ACL。這對您的問題很重要,因為這是為整個組織設置兩個非常重要的權限的地方:
- 企業管理員可以完全控制一切,域管理員幾乎可以完全控制。
- 這兩個組明確拒絕訪問其他使用者的郵箱內容和以其他使用者身份發送郵件的權限。
這兩個設置似乎自相矛盾,但仔細觀察一下,邏輯就很明顯了:這兩組使用者需要提升權限才能管理 Exchange,但這些權限會授予他們訪問其他使用者郵箱的權限;所以這種類型的訪問被明確拒絕。
為了允許您想要的,您需要在組織級別刪除這種明確的拒絕;然後,Enterprise Admins 或 Domain Admins 組的成員將能夠打開其他使用者的郵箱。
由於預設情況下您不能直接編輯 Exchange 組織對象(以及許多其他與 Exchange 相關的對象)的 ACL,因此這變得更加困難;然而,有一些方法可以做到這一點,但它們涉及使用非標準工具,如 ADSIEdit 或 Active Directory 站點和服務 MMC 中的服務節點(您可以在其下找到與 Exchange 相關的 AD 對象樹)。
最簡單的解決方案是允許在 Exchange 系統管理器中編輯 ACL;為此,您應該修改系統資料庫項,如下所述:轉到,創建一個名為的新 DWORD值
HKCU\Software\Microsoft\Exchange\ExAdmin``ShowSecurityPage並將其設置為 1。現在啟動 ESM,右鍵點擊頂級對象(具有您的 Exchange 組織的名稱),查看其屬性,您應該能夠查看和修改其 ACL。如果您刪除應用於企業管理員和域管理員的顯式拒絕設置,您應該能夠在使用管理帳戶時訪問所有內容。當然,您也可以應用更精細的設置,還可以在較低級別的對象(例如管理組、伺服器和數據庫)上編輯 ACL,並將權限分配給特定的使用者或組;但是在這樣做之前,您應該非常仔細地研究現有的 ACL,否則您將面臨破壞某些東西的嚴重風險。注意 在 Exchange 2007/2010 中有些不同,但基本概念相同:預設情況下,管理使用者被拒絕訪問其他使用者的郵箱。