Exchange

在未啟用審核的情況下審核 Exchange 2010 上的完全訪問權限

  • November 19, 2013

我們目前正在執行 Exchange 2010 SP1。我想查看誰已被授予對特定郵箱的完全訪問權限或作為權限發送,問題是我們沒有打開此郵箱的審核日誌記錄。我們可能有一名 IT 員工正在窺探,我們想阻止這種情況……

我的問題是:我可以在其他任何地方(系統日誌等)跟踪此交易嗎?

這可能有點痛苦(因為審計日誌已關閉),但您可以查看 Powershell 歷史記錄。由於 Exchange 2007/2010/2013 中的所有內容都是基於 Powershell 的,因此您可以看到有人使用相關參數執行 cmdlet Add-MailboxPermission 的位置。要查找 Powershell 命令的日誌,請打開 eventvwr.msc。不要查看通常的 Windows 日誌區域,而是查看應用程序和服務日誌。您將看到一個 MSExchange 管理事件源,其中包含所有 powershell 執行歷史記錄。

我剛剛檢查了我自己的 2010 環境並添加了完整的郵箱權限,它會立即在該日誌中彈出。

引用自:https://serverfault.com/questions/556085