Итак, наша среда в основном состоит из сервера Exchange 2003, и мы пытаемся постепенно перейти на Exchange 2010 и перейти на новое оборудование, пока мы на нем.
Итак, нашим первым шагом, очевидно, было установить Exchange 2010 на новом компьютере. Однако после выполнения шагов domainprep, перечисленных в http://technet.microsoft.com/en-us/library/bb125224.aspx (включая PrepareLegacyExchangePermissions) наши разрешения для почтового ящика запутались.
Обычно у нас есть группа безопасности AD для администраторов Exchange, которая позволяет любому члену этой группы просматривать все папки в почтовом ящике любого пользователя. Однако сейчас этой функции больше нет, и наши администраторы Exchange не могут получить доступ к чьим-либо почтовым ящикам. Мы бы хотели вернуть эту функциональность, если бы могли.
Спасибо
Когда вы смотрите на ACL почтового ящика, ваша группа администраторов Exchange все еще там? Или его удалили.
Также обычно есть запись Deny в ACL для администраторов домена, поэтому, даже если у вас есть другая группа с Allow, Deny переопределит это.
Стандартные разрешения AD для почтовых ящиков Exchange включают явный запрет для групп администраторов домена и администраторов предприятия (и некоторых других); этот ACE применяется на уровне организации и наследуется все Связанные с Exchange (включая базы данных и почтовые ящики). Я не знаю, как ALC были настроены в вашей среде, но есть большая вероятность, что на подготовительных этапах Exchange 2010 были применены некоторые разрешения по умолчанию, которые отличались от тех, к которым вы привыкли; стандартное правило для Exchange состоит в том, что никто не должен иметь доступа к содержимому чьего-либо почтового ящика, если такой доступ явно не предоставлен владельцем, и это верно для всех, включая администраторов организации Exchange.
Я предлагаю изучить списки ACL реальных объектов, используя какой-нибудь инструмент, например ADSIEdit; В качестве альтернативы вы можете управлять безопасностью объекта организации Exchange (и ниже) с помощью узла «Службы» консоли «Сайты и службы Active Directory».