Анализ разрешений Microsoft Exchange Server
Мне только что было поручено управление нашими серверами Exchange. Человек, установивший и настроивший наши серверы Exchange 2010, неправильно установил разрешения. Я заметил, что любой в организации может открывать почтовый ящик пользователей без их назначения. Это то, что организация НЕ признала проблемой, но как сетевой администратор это серьезная проблема безопасности.
Вот пример того, о чем я говорю.
При желании инженер начального уровня может открыть другой почтовый ящик инженеров. Опять же, я НЕ устанавливал разрешения таким образом.
Я сейчас читаю об Exchange 2010 Server, чтобы все как следует разобраться. Однако мне нужно быстрое решение прямо сейчас. Как я могу установить разрешения, чтобы кто-то вроде инженера начального уровня не мог открыть почтовый ящик другого инженера?
Опубликуйте список групп AD, к которым принадлежит этот «инженер начального уровня».
В консоли управления Exchange выберите представителя пользователя и выберите «Управление разрешением на полный доступ». Должно получиться так:
Если в этом диалоговом окне присутствуют другие пользователи или группы, вам нужно начать удаление доступа.
Это то, что организация НЕ признала проблемой, но как сетевой администратор это серьезная проблема безопасности.
Однако с политической точки зрения не входите огнестрельное оружие чтобы указать на то, что предыдущий администратор сделал неправильно. Возможно, был включен этот тип доступа по какой-то причине. Вы будете выглядеть придурком, если будете преследовать эту цель, не зная всего контекста.
Например, я управляю ~ 38 почтовыми системами Exchange через множество клиентов. В некоторых средах нетехнические руководители или руководители отделов запрашивают доступ к почтовым ящикам своих пользователей. Я не думаю любой окружающая среда дает презумпцию конфиденциальности электронной почты в системах компании. Более продвинутые сайты используют ведение журнала для достижения того же. Так что узнайте всю историю, прежде чем превращать это в крестовый поход ...