Назад | Перейти на главную страницу

Предоставить полный доступ к почтовому ящику администраторам домена в Exchange 2010, включая все новые почтовые ящики?

Я пытаюсь предоставить группе администраторов домена полный доступ ко всем почтовым ящикам в Exchange 2010, включая новые, созданные после того, как это будет реализовано. Почитав немного, я придумал следующую команду Powershell:

Get-MailboxDatabase | Add-ADPermission -User "Domain Admins" -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As

Однако это не сработало. Как я могу это сделать?

Спасибо!

exchange exchange-2010

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: будьте осторожны с юридическими последствиями предоставления администраторам доступа к содержимому почтовых ящиков.

Самый простой способ добиться этого - удалить явные разрешения Deny для «Отправить как» и «Получить как», которые назначаются группам «Администраторы домена» и «Администраторы предприятия» в главном объекте организации Exchange в AD и впоследствии наследуются везде. Эти разрешения есть именно заблокировать администраторам доступ к содержимому почтовых ящиков, к которому они могли бы получить свободный доступ.

Вы можете изменить разрешения для объекта "Организация", используя сайты и службы AD (только убедитесь, что отображается узел "Службы").

Я продолжал использовать эту ссылку с момента нашего развертывания Exchange 2010: http://msundis.wordpress.com/2011/06/21/manage-full-access-permissions-on-mailboxes-in-exchange-2010/

В частности:

Get-Mailbox | Where { $_.Database –eq “” } | Add-MailboxPermission -User “Domain Admins” -AccessRights Fullaccess -InheritanceType all

And then this one for send as:
Get-Mailbox | Where { $_.Database –eq “” } | Add-AdPermission -User “Domain Admins” -AccessRights extendedright -ExtendedRights “send as

Создайте для них сценарии PS и установите их как запланированные ночные (или любые другие) задачи, и он также будет обрабатывать любые новые почтовые ящики.

Полный явный запрет для администраторов предприятия и администраторов домена в Exchange вызывает всевозможные проблемы, подобные этой.

Я нашел единственный способ:

Создайте цикл сценария для применения разрешения ко всем существующим почтовым ящикам.
Запекать назначение прав администратора домена для моего нового сценария настройки почтового ящика.

Я надеюсь, что у кого-то есть способ получше, поскольку он не совсем идеален. Было бы неплохо иметь разрешения, наследуемые до почтовых ящиков от уровня почтового хранилища или базы данных ...

Вам нужен Агент сценария! При этом каждый раз при создании почтового ящика выполняется сценарий PowerShell.

Мы используем его, чтобы назначить политику очистки почтового ящика и установить язык и часовой пояс пользователя, чтобы они не запрашивались при входе в OWA. Вот наш сценарий:

<?xml version="1.0" encoding="utf-8" ?>
<Configuration version="1.0">
 <Feature Name="MailboxProvisioning" Cmdlets="new-mailbox">
  <ApiCall Name="OnComplete">

   if($succeeded)    {
    $newmailbox = $provisioningHandler.UserSpecifiedParameters["Name"]
    set-mailbox -identity $newmailbox -language 'en-US' -RetentionPolicy "Mailbox Cleanup"
    set-mailboxregionalconfiguration -identity $newmailbox -language 'en-US' -timezone 'Eastern Standard Time'
   }
  </ApiCall>
 </Feature>
</Configuration>