Один из наших подрядчиков сказал, что по умолчанию любой может подключиться к экземпляру PowerShell сервера CAS и выполнить Export-mailbox (или аналогичную команду).
Может ли кто-нибудь сказать мне, правильно ли это, как это делается и как я могу отключить эту функцию?
Больше информации:
Несколько пользователей мультитенантной системы покинут нашу компанию. Был нанят подрядчик, чтобы облегчить миграцию.
Это нормально, что у людей есть доступ к OST и обычной электронной почте, но я не хочу, чтобы подрядчик выполнял массовый экспорт данных без нашей координации. Я слышал, как они обсуждали, как им понадобится пароль каждого пользователя для выполнения экспорта. Меня беспокоит, что если они продолжат, произойдет массовый экспорт, что вызовет конкуренцию в интернет-каналах и дисковом вводе-выводе.
Они могут экспортировать свою почту локально в файл PST, но я не понимаю, как они могут получить доступ к сеансу Powershell сервера CAS для экспорта почтового ящика.
В Exchange 2010 всем (включая администраторов) должно быть явным образом предоставлено право на импорт / экспорт.
Конкретная роль - «Импорт и экспорт почтового ящика».
Такие как:
New-ManagementRoleAssignment –Role "Mailbox Import Export" –User BobSmith
Таким образом, если вы уже не предоставили эту роль всем пользователям, у пользователя не будет возможности, даже если бы у него был доступ к оболочке Exchange на сервере CAS, выполнить командлет запроса экспорта.