在我们的组织中, DOMAIN\Administrator帐户可以访问所有邮箱,即以DOMAIN\Administrator身份login到Outlook Web Access,然后打开另一个邮箱并显示用户邮箱。
我不知道为什么这样做,我很怀疑,但这不是我的问题,我不想为这样的负责,所以想要删除这个权限。
是否可以search所有邮箱并删除DOMAIN\Administrator任何访问权限(无论是“完全访问”,“代理发送”还是“代表发送”)?
我们使用Microsoft Exchange 2013运行4台Windows Server 2012服务器。
这可能是DOMAIN\Administrator是Organization Management组成员的结果。 从该组的描述:
此pipe理angular色组的成员有权pipe理Exchange组织中的Exchange对象及其属性。 成员还可以委派组织中的angular色组和pipe理angular色。 这个angular色组不应该被删除。
或来自Technet :
作为“组织pipe理”angular色组成员的pipe理员具有对整个Exchange 2013组织的pipe理访问权限,并且几乎可以针对任何Exchange 2013对象执行任何任务,但有一些例外情况。 默认情况下,此angular色组的成员不能执行邮箱search和pipe理未经显示的顶级pipe理angular色。
这基本上是Exchange中的组,与Active Directory中的Domain Admins组相似 – 成员在Exchange中具有pipe理权限,包括可以login到任何邮箱(默认情况下)。 当然,您可以从该组中删除DOMAIN\Administrator ,但是对该组具有修改权限的任何人(如域pipe理员)都可以简单地将该用户或其他任何用户添加回该用户。
如果DOMAIN\Administrator用户被明确定义为拥有对每个邮箱的权限, 那么您可以使用PowerShell脚本将其删除 ,但是您将遇到相同的问题 – 该用户以及任何具有组织修改权限的人pipe理组可以简单地将该用户或其他任何用户添加到其中。
底线,pipe理员有(或可以很容易地给自己)权限做任何他们想要的。 这是一个pipe理帐户的性质,真的没有得到解决。
组织pipe理实际上不授予使用OWA访问邮箱的权限。 事实上,出于同样的原因,默认情况下,该组被明确拒绝访问所有邮箱。 我怀疑该帐户被授予单独的每个邮箱的权利。
您可以使用以下命令来检查它:
Get-Mailbox | Get-MailboxPermission – 用户DOMAIN \ Administrator | 其中{ -not $ .IsInherited} Get-Mailbox | Get-ADPermission | 其中{ -not $ .IsInherited}
要删除它们,只需将Remove-MailboxPermission或Remove-ADPermission添加到最后。 (这样做需要您自担风险…这一切都是我的头,这就是为什么我没有包括完整的命令,可能有一些邮箱是你想要排除的,比如pipe理员自己的邮箱。
这就是为什么Blackberry Enterprise Server的服务帐户不能放入组织pipe理的原因。 相反,他们有特定的指示来授予对所有邮箱的访问权限。
我还没有专门针对Exchange 2013进行研究,但没有其他答案声称是Exchange 2013的新增function,所以我怀疑他们只是错了。
从您的消息看来,您可能是pipe理员。 如果是这样,你有权利,因为有时你会需要他们。 接受,但不要滥用授予您的特权。 值得信赖的pipe理员只有在需要履行职责时才会使用权利。 这些职责可能包括扫描特定内容的电子邮件,追踪电子邮件来源以及其他需要访问其他用户电子邮件的活动。
如果您要让某人成为pipe理员,请考虑以下事项。
任何拥有行政权的人都拥有王国的钥匙。 如果你不能相信他们,不要让他们成为pipe理员。 他们应该能够很好地解决你所做的任何删除访问的方法。
我希望大多数解决scheme最好由pipe理员来实施。 邮件服务器将需要能够解密邮箱。 这将使pipe理员能够访问邮箱。
encryption邮件的两端可以完成。 但是,这会严重限制您可以与谁交换电子邮件。 您可能希望pipe理员能够安装和debuggingencryption软件。
pipe理员很可能能够通过数据包捕获访问邮件。 这是比较困难的,但不是非常困难。
值得信赖的pipe理员不会滥用权力。 他们需要访问邮件文件夹的地方,他们会尽可能地限制他们的访问。