Назад | Перейти на главную страницу

Администратор может получить доступ ко всем почтовым ящикам - как я могу это остановить?

В нашей организации DOMAIN\Administrator учетная запись может получить доступ ко всем почтовым ящикам, то есть войти в Outlook Web Access как DOMAIN\Administrator а затем откройте другой почтовый ящик, и появится этот почтовый ящик пользователя.

Я понятия не имею, почему это было сделано, я подозрительно, но это не моя проблема, я не хочу нести ответственность за это, поэтому хочу удалить это разрешение.

Можно ли выполнить поиск по всем почтовым ящикам и удалить доступ, DOMAIN\Administrator есть (будь то полный доступ, «Отправить как» или «Отправить от имени»)?

У нас работает 4 сервера Windows Server 2012 с Microsoft Exchange 2013.

Вероятно, это результат DOMAIN\Administrator будучи членом Organization Management группа. Из описания этой группы:

Члены этой группы ролей управления имеют разрешения на управление объектами Exchange и их свойствами в организации Exchange. Члены также могут делегировать группы ролей и роли управления в организации. Эту группу ролей нельзя удалять.

Или от Technet:

Администраторы, являющиеся членами группы ролей «Управление организацией», имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любую задачу в отношении любого объекта Exchange 2013, за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью.

По сути, это группа в Exchange, которая похожа на группу администраторов домена в Active Directory - участники имеют административные привилегии в Exchange, включая возможность входа в любой почтовый ящик (по умолчанию). Вы, конечно, можете удалить DOMAIN\Administrator из этой группы, но любой, у кого есть права на изменение в этой группе (например, администраторы домена), может тривиально добавить этого пользователя или любого другого обратно в нее.

В том маловероятном случае, если DOMAIN\Administrator пользователь явно определяется как имеющий разрешения на каждый почтовый ящик, вы можете использовать сценарий PowerShell, чтобы удалить его, но у вас возникнет та же проблема - этот пользователь и любой, у кого есть права на изменение в группе управления организацией, могут тривиально добавить этого пользователя или любого другого обратно в нее.

В итоге администраторы имеют (или могут легко дать себе) разрешения делать все, что хотят. Такова природа административной учетной записи, и от этого никуда не деться.

Управление организацией фактически не дает разрешения на доступ к почтовым ящикам с помощью OWA. Фактически, по умолчанию этой группе явно запрещен доступ ко всем почтовым ящикам по тем же причинам, по которым вы хотите это сделать. Я подозреваю, что учетной записи были предоставлены права на каждый почтовый ящик индивидуально.

Вы можете проверить это с помощью такой команды, как:

Get-Mailbox | Get-MailboxPermission -User DOMAIN \ Administrator | где {-not $.IsInherited} Get-Mailbox | Get-ADPermission | где {-not $.IsInherited}

Чтобы удалить их, достаточно добавить в конец Remove-MailboxPermission или Remove-ADPermission. (Делайте это на свой страх и риск ... Это все не в моей голове, поэтому я не включаю полные команды. Вероятно, есть некоторые почтовые ящики, которые вы хотели бы исключить, например, собственный почтовый ящик администратора.)

Вот почему служебные учетные записи для серверов Blackberry Enterprise Servers нельзя помещать в Управление организацией. Вместо этого у них есть конкретные инструкции по предоставлению доступа ко всем почтовым ящикам.

Я не рассматривал это специально для Exchange 2013, но ни один из других ответов не претендует на то, чтобы быть новым для Exchange 2013, поэтому я подозреваю, что они просто ошибаются.

Из вашего сообщения следует, что вы можете быть администратором. Если да, то у вас есть права, потому что иногда они вам понадобятся. Примите, но не злоупотребляйте предоставленной вам привилегией. Надежный администратор будет использовать права только тогда, когда это необходимо для выполнения ваших обязанностей. Эти обязанности могут включать сканирование электронной почты на предмет определенного содержимого, отслеживание источников электронной почты и другие действия, требующие доступа к электронной почте другого пользователя.

Если вы делаете кого-то администратором, примите во внимание следующее.

У любого, у кого есть административные права, есть более или менее ключи от королевства. Если вы не можете им доверять, не делайте из них администраторов. Они должны быть в состоянии отменить все, что вы делаете, чтобы закрыть доступ.

Я ожидал, что большинство решений будет лучше всего реализовано администратором. Почтовый сервер должен иметь возможность расшифровывать почтовые ящики. Это даст администратору доступ к почтовым ящикам.

Шифрование почтовых сообщений на обоих концах может быть выполнено. Однако это сильно ограничит круг лиц, с которыми вы можете обмениваться электронной почтой. Вполне вероятно, что вы захотите, чтобы администратор мог устанавливать и отлаживать программное обеспечение для шифрования.

Администратор, вероятно, также сможет получить доступ к почте с помощью захвата пакетов. Это сложнее, но не очень сложно.

Надежный администратор не станет злоупотреблять своим авторитетом. Там, где им действительно нужен доступ к почтовым папкам, они будут максимально ограничивать свой доступ.