Администратор может получить доступ ко всем почтовым ящикам - как я могу остановить его?
В нашей организации DOMAIN\Administrator учетная запись может получить доступ ко всем почтовым ящикам т.е. войти в систему Веб-доступа Outlook как DOMAIN\Administrator и затем откройте другой почтовый ящик, и тот пользовательский почтовый ящик появляется.
Я понятия не имею, почему это было сделано, я подозрителен, но это не моя проблема, я не хочу быть ответственным за такой так хотят удалить это разрешение.
Действительно ли возможно перерыть все почтовые ящики и удалить доступ это DOMAIN\Administrator имеет (ли это быть Полным доступом, Отправьте Как или Отправьте от Имени)?
Мы выполняем 4 сервера Windows Server 2012 с Microsoft Exchange 2013.
Вероятно, это связано с тем, что DOMAIN\Administrator является членом группы по управлению организацией . Из описания этой группы:
Члены этой группы управляющих ролей имеют разрешения на управление объектами Exchange и их свойствами в организации Exchange. Члены также могут делегировать группы ролей и роли управления в организации. Эту группу ролей не следует удалять.
Администраторы, являющиеся членами группы ролей управления организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любые задачи против любого объекта Exchange 2013, за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск по почтовым ящикам и управление неуправляемыми ролями верхнего уровня.
По сути, это группа в Exchange, которая похожа на группу Domain Admins в Active Directory - члены этой группы обладают административными привилегиями в Exchange, которые включают в себя возможность входа в любой почтовый ящик (по умолчанию). Вы, конечно, можете удалить DOMAIN\Administrator из этой группы, но любой, кто изменяет привилегии в этой группе (например, администраторы домена), может тривиально добавить обратно в нее этого пользователя или любого другого.
В маловероятном случае, если DOMAIN\Administrator пользователь явно определен как имеющий права на каждый почтовый ящик, вы можете использовать сценарий PowerShell для его удаления , но у вас будет та же проблема - этот пользователь, и любой, у кого изменяются права в группе Organization Management, может тривиально добавить этого пользователя, или любого другого, обратно в эту группу.
В итоге, администраторы имеют (или могут с легкостью дать себе) права делать все, что захотят. Такова природа административной учетной записи, и обойти ее действительно невозможно
.Управление организацией на самом деле не дает разрешения на доступ к почтовым ящикам с помощью OWA. На самом деле, по умолчанию этой группе явно отказано в доступе ко всем почтовым ящикам, по тем же самым причинам, по которым вы хотите это сделать. Я подозреваю, что учетной записи были даны права на каждый отдельный почтовый ящик по отдельности.
Вы можете проверить это с помощью команды:
Get-Mailbox | Get-MailboxPermission -User DOMAIN\Administrator |, где {-не $.IsInherited}. Get-Mailbox | Get-ADPermission |, где {-не $.IsInherited}
Чтобы удалить их, вы просто добавляете Remove-MailboxPermission или Remove-ADPermission в конец. (Сделайте это на свой страх и риск ... Это все не в моей голове, поэтому я не включаю полные команды. Вероятно, есть некоторые почтовые ящики, которые вы захотите исключить, например, собственный почтовый ящик администратора)
Вот почему учетные записи служб Blackberry Enterprise Servers не должны быть помещены в систему управления организацией. Вместо этого у них есть специальные инструкции по предоставлению доступа ко всем почтовым ящикам.
Я не рассматривал это специально для Exchange 2013, но ни один из других ответов не претендует на то, что он новый для Exchange 2013, поэтому я подозреваю, что они просто ошибаются.
.Из вашего сообщения следует, что вы можете быть администратором. Если это так, то у вас есть права, потому что иногда они вам понадобятся. Примите, но не злоупотребляйте предоставленными вам привилегиями. Надежный администратор будет использовать права только тогда, когда это необходимо для выполнения ваших обязанностей. Эти обязанности могут включать в себя сканирование электронной почты на наличие определенного содержимого, отслеживание источников электронной почты и другие действия, требующие доступа к электронной почте других пользователей.
Если вы назначаете кого-то администратором, учтите следующее.
Любой человек, обладающий более или менее административными правами, имеет ключи от королевства. Если вы не можете доверять им, не делайте их администраторами. Они должны быть в состоянии отменить все, что вы делаете для удаления доступа.
Я ожидаю, что большинство решений будет лучше всего реализовано администратором. Почтовый сервер должен быть способен расшифровывать почтовые ящики. Это дало бы администратору доступ к почтовым ящикам.
Можно было бы шифровать почтовые сообщения с обоих концов. Однако, это сильно ограничило бы возможности обмена электронной почтой. Скорее всего, вы захотите, чтобы администратор мог устанавливать и отлаживать программы для шифрования.
Скорее всего, администратор также сможет получить доступ к почте путем перехвата пакетов. Это более сложно, но не чрезвычайно сложно.
Надежный администратор не будет злоупотреблять своими полномочиями. Там, где им действительно нужен доступ к почтовым папкам, они будут ограничивать свой доступ насколько это возможно.
.