在未啟用審核的情況下審核 Exchange 2010 上的完全訪問權限

我們目前正在執行 Exchange 2010 SP1。我想查看誰已被授予對特定郵箱的完全訪問權限或作為權限發送，問題是我們沒有打開此郵箱的審核日誌記錄。我們可能有一名 IT 員工正在窺探，我們想阻止這種情況……

我的問題是：我可以在其他任何地方（系統日誌等）跟踪此交易嗎？

這可能有點痛苦（因為審計日誌已關閉），但您可以查看 Powershell 歷史記錄。由於 Exchange 2007/2010/2013 中的所有內容都是基於 Powershell 的，因此您可以看到有人使用相關參數執行 cmdlet Add-MailboxPermission 的位置。要查找 Powershell 命令的日誌，請打開 eventvwr.msc。不要查看通常的 Windows 日誌區域，而是查看應用程序和服務日誌。您將看到一個 MSExchange 管理事件源，其中包含所有 powershell 執行歷史記錄。

我剛剛檢查了我自己的 2010 環境並添加了完整的郵箱權限，它會立即在該日誌中彈出。

引用自：https://serverfault.com/questions/556085