Разрешения для базы данных Exchange 2013 по умолчанию
Последний системный администратор, кажется, играл с разрешениями в нашей базе данных Exchange, так что администратор показывает, что имеет доступ ко всем почтовым ящикам, когда мы запускаем отчеты (что делает их огромными).
Кто-нибудь может проверить эти разрешения и сообщить, какие по умолчанию есть? Должен ли администратор иметь эти права доступа по умолчанию? Я думаю, это может быть проблемой, поскольку администратор не указан в разделе «Полный доступ» для просмотра почтовых ящиков в ECP, но отображается в отчетах PowerShell.
[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission -User domain\Administrator
Identity User Deny Inherited
-------- ---- ---- ---------
Mailbox Database ... domain\Administrator False False
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator True True
Mailbox Database ... domain\Administrator False True
[PS] C:\Windows\system32>
Указанные 4 базы данных почтовых ящиков одинаковы. У нас всего 1 база данных.
По умолчанию Администратор домена не должен иметь доступ ко всем почтовым ящикам, но в такой конфигурации нет ничего необычного (хотя я бы сказал, что это не лучшая практика). Я предполагаю, что это было сделано по одной из трех причин -
Возможность быстро отозвать электронное письмо. Я работал в компании, у которой была дурная привычка отправлять информацию о заработной плате не тому человеку, и часто приходилось удалять письмо из другой почтовый ящик быстро. Теоретически предварительное предоставление доступа может сократить время.
Центр технической поддержки Microsoft добавил это для «простоты устранения неполадок» и никогда не убирал (я видел, как это происходило несколько раз в средах, где люди, звонящие в службу поддержки MS, не имеют достаточно знаний, чтобы сказать «знают», и достаточно прав, чтобы позволить им запускать
У вас есть архиватор сообщений или другая утилита / устройство, которое извлекает данные из почтового ящика Exchange вместо ведения журнала. (Хотя, если это так, им действительно следовало использовать учетную запись службы, а не администратора домена.
Если он не третий, вы сможете удалить его без проблем. Если вы решили сохранить его по какой-либо причине, если вы хотите опубликовать скрипт, который используете для создания отчетов, мы можем помочь вам исключить эта учетная запись, поэтому она не бесконечно длинна. (Нам пришлось сделать это, чтобы исключить учетные записи служб, которые имели доступ к вещам по разным причинам).
Я не могу найти технет, который описывает этот точный сценарий, но есть дополнительная информация об изменении разрешения базы данных почтовых ящиков могут быть найдено здесь и здесь .