使用Exchangepipe理控制台(EMC)查看邮箱上的完全访问权限不会显示全部内容。 示例 – EMC对Joe Bloggs的邮箱的Domain \ administrator帐户没有显示权限,但Get-Mailbox cmdlet告诉了另一个故事:
[PS] C:\Powershell>Get-Mailbox -Identity "Joe Bloggs" | Get-MailboxPermission | Where { $_.User.ToString() -eq "Domain\administrator"} Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- Domain.local/Users... Domain\administrator {FullAccess} False True Domain.local/Users... Domain\administrator {FullAccess} False False Domain.local/Users... Domain\administrator {FullAccess} True True Domain.local/Users... Domain\administrator {FullAccess, DeleteItem, ReadPermiss... True False 我认为我可以使用Add-MailboxPermission和Remove-MailboxPermission来pipe理非inheritance权限,但是在哪里inheritance权限集以及如何pipe理?
有问题的邮箱位于域的用户容器中。 我已经使用ADSIedit检查了域和用户容器上的安全性,并且没有看到适用于域\pipe理员帐户的拒绝权限。
Exchange 2007(08.03.0083.000)
你问你为什么看到邮箱上的DENY域的pipe理员帐户? 或者inheritance的权利来自哪里?
AD中的某些组默认情况下会在Exchange 2007中设置硬DENY以及由Exchange设置的许多其他“inheritance”权限。
您可以在这里阅读完整的详细信息: http : //technet.microsoft.com/en-us/library/bb310770%28v=exchg.80%29.aspx
并在此简要总结:
http://technet.microsoft.com/en-us/library/bb310792%28v=exchg.80%29.aspx
除了inheritance的权限之外,Exchange安装程序还为“发送方”和“接收方”添加了“企业pipe理员”组和“根域pipe理员”组的拒绝ACE。 这可以防止这些pipe理员访问和欺骗林中的邮箱。
请记住(阅读第一个链接),在AD架构的configuration上下文中设置了许多Exchange权限/ ACL。