我是一个新的Exchangepipe理员,我希望能够在我的Outlook中安装文件夹,以便我可以在需要时检查用户的电子邮箱。 我添加了访问另一个用户的电子邮箱在我的Outlook,但是当我尝试展开他们的文件夹时,我得到“无法显示文件夹,Microsoft Office Outlook无法访问指定的文件夹位置。
我假设我需要给服务器上的所有邮箱赋予权限,但不知道如何去做这个!
导航到Exchange 2003服务器上有问题的用户帐户的属性,打开它的属性,然后在“Exchange高级”选项卡上指定自己对该邮箱的完全权限。
这具有严重的安全和隐私影响,并在许多国家受到法律成本的限制; 这就是默认情况下不可行的原因:即使是最高权限的pipe理员也不能默认访问其他人的邮箱。
现在,如果你真的需要这样做,而且如果你是由你的公司授权 ,让我们去技术方面。
与Exchange相关的信息存储在Active Directory对象中,这些对象与AD中的所有其他内容一样,具有内置的访问控制列表(ACL) 在与Exchange相关的对象层次结构的根部是Exchange组织,其中包含许多事物,其中包括pipe理组,路由组,服务器和最终邮箱存储(数据库); 所有这些对象都从父对象inheritance了一些ACL,并且它们都从组织对象inheritance了根级ACL。 这对您的问题很重要,因为这是整个组织设置了两个非常重要的权限的地方:
这两个设置似乎自相矛盾,但如果你看一会儿,逻辑变得非常明显:这两组用户需要提升权限才能pipe理Exchange,但这些权限会让他们访问其他用户的邮箱; 所以这种types的访问被明确拒绝。
为了允许你想要的东西,你需要在组织层面消除这个明确的拒绝; 那么Enterprise Admins或Domain Admins组的成员将能够打开其他用户的邮箱。
由于您不能默认直接编辑Exchange组织对象(以及许多其他与Exchange相关的对象)的ACL,因此更加困难。 但是有一些方法可以做到这一点,但是它们涉及使用ADSIEdit或Active Directory站点和服务MMC中的服务节点(可以在其中find与Exchange相关的AD对象树)的非标准工具。
最简单的解决scheme是允许在Exchange系统pipe理器中编辑ACL; 为了做到这一点,你应该修改一个registry项,如下所述:去HKCU\Software\Microsoft\Exchange\ExAdmin ,创build一个名为ShowSecurityPage的新DWORD值并将其设置为1.现在启动ESM,右键单击在顶层对象(具有Exchange组织的名称)上查看其属性,并且应该能够查看和修改其ACL。 如果您删除应用于Enterprise Admins和Domain Admins的显式拒绝设置,则在使用pipe理帐户时应该可以访问所有内容。 您当然也可以应用更精细的设置,还可以在较低级别的对象(如pipe理组,服务器和数据库)上编辑ACL,并为特定用户或组分配权限; 但是在做这些之前,你应该仔细研究现有的ACL,否则你将面临严重的破坏风险。
NB在Exchange 2007/2010中,情况有所不同,但仍然有相同的基本概念:pipe理用户默认拒绝访问其他用户的邮箱。