Я новый администратор Exchange и хотел бы иметь возможность монтировать папки в моем Outlook, чтобы при необходимости можно было проверить почтовый ящик пользователя. Я добавил доступ к почтовому ящику электронной почты другого пользователя в моем Outlook, но когда я пытаюсь расширить его папку, я получаю «Невозможно отобразить папку. Microsoft Office Outlook не может получить доступ к указанному местоположению папки».
Я предполагаю, что мне нужно предоставить себе разрешения для всех почтовых ящиков на сервере, но не знаю, как это сделать!
Это серьезный последствия для безопасности и конфиденциальности, и во многих странах на него накладываются судебные издержки; по этой причине это невозможно по умолчанию: даже администратор с самыми высокими привилегиями по умолчанию не может получить доступ к почтовым ящикам других людей.
Теперь, если ты действительно нужно сделать это, и если вы уполномоченный от вашей компании, давайте перейдем к технической стороне вопроса.
Связанная с Exchange информация хранится в объектах Active Directory, которые, как и все остальное в AD, поставляются со встроенными списками контроля доступа (ACL); в основе иерархии объектов, связанных с Exchange, находится организация Exchange, которая содержит множество вещей, среди которых административные группы, группы маршрутизации, серверы и, наконец, хранилища почтовых ящиков (базы данных); все эти объекты наследуют некоторые ACL от родительских объектов, и все они наследуют ACL корневого уровня от объекта Organization. Это важно для вашего вопроса, потому что здесь устанавливаются два очень важных разрешения для всей организации:
Эти две настройки кажутся противоречащими друг другу, но если вы посмотрите на них некоторое время, логика станет совершенно очевидной: этим двум группам пользователей требуются повышенные разрешения для управления Exchange, но эти разрешения предоставят им доступ к почтовым ящикам других пользователей; так что этот тип доступа явно запрещен.
Чтобы разрешить то, что вы хотите, вам необходимо удалить это явное запрещение на уровне организации; тогда члены групп администраторов предприятия или администраторов домена смогут открывать почтовые ящики других пользователей.
Это усложняется тем, что по умолчанию вы не можете напрямую редактировать ACL объекта Exchange Organization (и многих других объектов, связанных с Exchange); Однако есть несколько способов сделать это, но они включают использование нестандартных инструментов, таких как ADSIEdit или узел Services в Active Directory Sites and Services MMC (в котором вы можете найти связанное с Exchange дерево объектов AD).
Самое простое решение - разрешить редактирование списков ACL в диспетчере Exchange System Manager; для этого вам следует изменить ключ реестра, как указано Вот: перейти к HKCU\Software\Microsoft\Exchange\ExAdmin, создайте новое значение DWORD с именем ShowSecurityPage и установите для него значение 1. Теперь запустите ESM, щелкните правой кнопкой мыши объект верхнего уровня (который имеет имя вашей организации Exchange), просмотрите его свойства, и вы сможете увидеть и изменить его списки управления доступом. Если вы удалите настройки явного запрета, применяемые к администраторам предприятия и администраторам домена, вы сможете получить доступ ко всему при использовании учетной записи администратора. Вы также можете, конечно, применять более точные настройки, а также редактировать ACL для объектов более низкого уровня (таких как административные группы, серверы и базы данных) и назначать разрешения для определенных пользователей или групп; но вам следует очень внимательно изучить существующие ACL, прежде чем делать это, иначе вы серьезно рискуете что-то сломать.
N.B. В Exchange 2007/2010 все несколько иначе, но основная концепция остается прежней: административным пользователям по умолчанию запрещен доступ к почтовым ящикам других пользователей.
Перейдите к свойствам соответствующей учетной записи пользователя на сервере Exchange 2003, откройте ее свойства и на вкладке «Exchange Advanced» назначьте себе полные права на почтовый ящик.