Последний системный администратор, похоже, поигрался с разрешениями в нашей базе данных Exchange, так что администратор показывает, что у него есть доступ к каждому почтовому ящику, когда мы запускаем отчеты (что делает их огромными).
Может кто-нибудь проверить эти разрешения и посоветовать, какие они по умолчанию? Должен ли администратор иметь эти права доступа по умолчанию? Я думаю, это может быть проблемой, поскольку администратор не указан в разделе «Полный доступ» при просмотре почтовых ящиков в ECP, но отображается в отчетах PowerShell.
[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission -User domain\Administrator
Identity User Deny Inherited
-------- ---- ---- ---------
Mailbox Database ... domain\Administrator False False
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator False True
[PS] C:\Windows\system32>
Перечисленные базы данных 4 почтовых ящиков одинаковы. У нас всего 1 база данных.
По умолчанию администратор домена не должен иметь доступ ко всем почтовым ящикам, но в такой конфигурации нет ничего необычного (хотя я бы сказал, что это не лучшая практика). Я предполагаю, что это было сделано по одной из трех причин -
Возможность быстро отозвать электронную почту. Я работал в компании, у которой была дурная привычка отправлять информацию о заработной плате не тому человеку, и часто приходилось быстро удалять электронное письмо из другого почтового ящика. Теоретически предварительное предоставление доступа может сократить время.
Microsoft TAC добавил это для «простоты устранения неполадок» и никогда не убирал (я видел, что это происходило несколько раз в средах, где люди, обращающиеся в службу поддержки MS, не имеют достаточно знаний, чтобы сказать «знать», и достаточно прав, чтобы позволить им выполнить команду.
У вас есть архиватор сообщений или другая служебная программа / устройство, которое извлекает данные из почтового ящика Exchange, а не через ведение журнала. (Хотя, если это так, им действительно следовало использовать учетную запись службы, а не администратора домена.
Если это не третий, вы сможете удалить его без проблем. Если вы решили сохранить его по какой-либо причине, если вы хотите опубликовать скрипт, который используете для создания отчетов, мы можем помочь вам исключить эту учетную запись, чтобы она не длилась бесконечно. (Нам пришлось это сделать, чтобы исключить учетные записи служб, у которых был доступ к вещам по разным причинам).
Я не могу найти технет, который описывает этот точный сценарий, но можно найти дополнительную информацию об изменении разрешений базы данных почтовых ящиков. Вот и Вот.