При работе с Exchange Server 2007 или новее отключение почтового ящика - довольно распространенная операция. Однако в документации Technet нет подробностей о побочных эффектах отключения почтового ящика. Это все, что там написано.
«Эта задача удаляет все атрибуты Exchange из объекта пользователя в Active Directory. На основе политики хранения удаленных элементов в хранилище Exchange будут сохраняться данные почтового ящика для объекта пользователя».
Источник: http://technet.microsoft.com/en-us/library/bb123730(v=exchg.141).aspx
Но это все? Почтовые ящики Exchange в реальном мире, как правило, сильно взаимосвязаны. Возможно, начальник делегировал управление календарем секретарю. Может быть, все сотрудники имеют общий доступ к общей папке. Возможно, опытному пользователю была предоставлена возможность получать электронную почту на несколько разных адресов. На ум приходят два ясных вопроса.
Disable-Mailbox операцию легко отменить?Документация от Microsoft, кажется, предполагает, что отключение почтового ящика - простая операция. К сожалению, есть несколько "подводных камней".
Когда почтовый ящик отключен, он реклассифицируется как «Отключенный почтовый ящик». По умолчанию Exchange сохраняет отключенные почтовые ящики в течение 30 дней. Это атрибут базы данных, в которой находится почтовый ящик. Однако администратор Exchange может изменить это значение. Если значение MailboxRetention установлено значение 0, почтовый ящик будет немедленно удален. (Ой.) (Удалено сохранение почтового ящика на сайте technet.com)
РЕДАКТИРОВАТЬ: отключение неинициализированного почтового ящика также приведет к его немедленному и безвозвратному удалению. Неинициализированный почтовый ящик никогда не был доступен через OWA или Outlook. Это может вызвать трудности при написании сценариев, которые отключают + повторно подключают почтовые ящики, потому что некоторые почтовые ящики не могут быть повторно подключены.
Отключение и подключение почтовых ящиков не происходит мгновенно. Это нормально, если вы хотите отключить только почтовый ящик, но если вы планируете сразу же снова подключить почтовый ящик, вам нужно знать о двух вещах.
Get-User в цикле, чтобы определить, полностью ли распространились изменения.)При отключении почтового ящика информация о квотах сбрасывается. Если вы хотите сохранить квоты почтовых ящиков, вам необходимо записать эти значения перед выдачей команды на отключение почтового ящика.
То же самое относится к списку адресов электронной почты и псевдониму почтового ящика.
Теперь все становится недружелюбным. Для любого данного пользователя существует несколько возможных связей либо с обычными почтовыми ящиками Exchange, либо с общими папками устаревшего стиля.
В Send-As right представлен списком управления доступом к объекту пользователя Active Directory, а этот список управления хранится внутри как список значений SID. Следовательно, этим разрешением можно полностью управлять за пределами Exchange.
Когда почтовый ящик отключен это не влияет на права отправки. ACL для пользовательского объекта не изменяется, поэтому информация не теряется.
Если отключенный почтовый ящик переподключен для того же пользователя, любые пользователи, которые ранее могли отправить как этот пользователь, восстановят эту возможность.
Если отключенный почтовый ящик подключен к другой пользователь, ни один пользователь не сможет отправить сообщение от имени нового пользователя. Вам необходимо повторно применить желаемые права «Отправить как» новому пользователю.
В Send on behalf Справа тесно связана с идеей «делегирования», представленной клиентом Outlook. Обычно предоставляют send on behalf другому пользователю, особенно при делегировании управления календарем. Непонятно, как Exchange хранит это внутри, но я знаю, что Send on behalf права подключать объекты почтового ящика, а НЕ пользователи.
Когда почтовый ящик отключен, все соединения "отправить от имени" отбрасываются. Это влияет не только на отключение почтового ящика, но также, если другой почтовый ящик разрешил отправку от имени для этого почтового ящика, эта ссылка будет удалена сейчас.
Излишне говорить, что если почтовый ящик переподключен ни одному пользователю права «отправить от имени» не восстанавливаются. Эта информация немедленно теряется навсегда при отключении почтового ящика. Я называю эти ссылки «изменчивыми». Эта нестабильность проистекает из того факта, что права на отправку от имени - единственная привилегия, которая не хранится внутри вместе с SID.
Дополнительный совет: Exchange заполнит два атрибута пользовательского объекта AD, publicDelegates и publicDelegatesBL которые содержат различающееся имя почтовых ящиков делегатов и почтовых ящиков, которые предоставили разрешения делегатов, соответственно.
Разрешения на папки почтовых ящиков - одна из наиболее часто используемых ссылок между почтовыми ящиками. Разрешения для папок важны как вторая половина «делегирования» Outlook, но они часто назначаются вручную и без соответствующих прав на отправку имени.
Хотя Exchange представляет права доступа к папкам с помощью типичного ACL, основанного на пользовательских SID, вы не можете управлять ими, как обычными ACL. Outlook позволяет выбирать только пользователей с включенной поддержкой почты и аналогично PowerShell. Add-MailboxFolderPermission командлет позволит вам добавлять разрешения для другого пользователя, только если у него есть связанный почтовый ящик.
Если делегату пользователя предоставлены права доступа к папке (например, рецензент, редактор), а почтовый ящик этого делегата позже отключен, разрешения будут иметь вид «Пользователь NT: DOM \ samname».
Если почтовый ящик делегата переподключен для одного и того же пользователя они, по-видимому, могут воспользоваться преимуществами разрешений, несмотря на их теперь искаженный внешний вид.
Но если почтовый ящик делегата подключен к другой пользователь, этот новый пользователь не унаследует исходное делегирование, потому что у него нет соответствующего SID. Хотя кажется, что разрешения на доступ к папкам предоставляются почтовому ящику, на самом деле они предоставляются участнику безопасности AD.
Разрешения на полный доступ могут быть назначены только администратором Exchange. Как и разрешения «Отправить как», они предоставляются объекту пользователя AD и хранятся внутри на основе идентификаторов безопасности. Но, в отличие от разрешений «Отправить как», оказывается, что разрешения на полный доступ фактически хранятся как часть объекта почтового ящика Exchange.
Если почтовый ящик отключен, список пользователей с полным доступом сохраняется в объекте почтового ящика.
Если этот отключенный почтовый ящик переподключеннезависимо от того, к какому пользователю он подключен, любые пользователи, у которых ранее был Полный доступ, снова получат возможность пользоваться правами Полного доступа к этому почтовому ящику.
Дополнительный совет: существует дополнительная функция разрешений полного доступа, называемая AutoMapping. Если полный доступ предоставляется с включенным AutoMapping, Exchange заполнит msExchDelegateListBL атрибут пользователя, получившего разрешение FullAccess. Это позволяет легко увидеть, к чему у вас есть полный доступ, но он не всегда включен, поэтому вы не можете полагаться на него для получения полного ответа.
В Send-As права для общих папок работают так же, как и для обычных почтовых ящиков. «Но общие папки не связаны с пользовательскими объектами!» вы кричите. Фактически, Exchange действительно создает секретные объекты в Active Directory для каждой создаваемой вами общедоступной папки.
(Вы можете использовать ADSI Edit, чтобы открыть контекст именования по умолчанию для корневого домена в лесу, где установлен ваш сервер Exchange, затем найдите «CN = Microsoft Exchange System Objects». В этом контейнере вы найдете объект для каждой общей папки , и каждый объект имеет ACL, который включает Send-As разрешения.)
Идея «отправки от имени» для общей папки немного странная, поскольку концепция «делегирования» из Outlook вообще не применяется к общедоступным папкам. Но тем не менее он есть.
Отличительным фактором разрешений на отправку от имени для общих папок является то, что они никогда не будут заполнять атрибут «publicDelegatesBL» объекта пользователя, которому предоставлены права на отправку от имени.
На данный момент мне неясно, изменчивы ли права на отправку имени для общих папок. Если кто-то знает это, не стесняйтесь редактировать этот ответ! (TODO / FIXME)
Разрешения для общих папок отличаются от разрешений для почтовых ящиков. Поскольку они связаны с почтовым ящиком, они непостоянны.
Если почтовый ящик отключен, то этот почтовый ящик потеряет все предоставленные ему разрешения на общедоступную папку. (TODO / FIXME или они следуют формату NT USER?)
Если у вас есть человек с учетными записями пользователей AD в двух разных доменах, и вы хотите переместить почтовый ящик от пользователя в одном домене к пользователю в другом, вам предстоит нелегкая битва.
К сожалению, Exchange не позволяет легко отследить, как были применены разрешения и делегирование. Если вам нужно переместить почтовый ящик от одного пользователя AD к другому пользователю в том же лесу, и вы надеетесь полностью сохранить разрешения, вам необходимо обнаружить и восстановить эти разрешения самостоятельно.
Это становится очень дорогостоящей операцией даже в лесу среднего размера, поэтому, если вы часто перемещаете почтовые ящики, то стоит провести одно большое перечисление по всем почтовым ящикам, чтобы собрать список всех текущих связей. Затем, когда вы хотите назначить почтовый ящик другой учетной записи пользователя AD, вы точно знаете, для каких других почтовых ящиков необходимо обновить разрешения.