Exchange 2010 - открытая проблема с разрешениями почтового ящика пользователя

Я только начал работать в этой небольшой фирме (30 человек) немного раньше, заменив их системного администратора. Первое, что я заметил, было то, что Exchange Server 2010 устарел. Верьте или нет, у них не было установлен SP1. Поэтому после того, как я установил и настроил Exchange 2010 SP3 и перенаправил OWA, я заметил что-то в OWA. Я мог бы добавить ЛЮБОЙ почтовый ящик пользователя БЕЗ предоставления доступа к почтовому ящику. Я создал пару тестовых пользователей, тоже самое. У меня даже был другой сотрудник, предоставивший мне доступ к их OWA, и они могли открыть чей-либо почтовый ящик без разрешения. Я не хочу играть в игру по обвинению, но я был Шокирован, что это продолжалось. К счастью, будучи такой маленькой компанией, я смогу покрыть эту ошибку, которую я не создал, НО КАК?

Я предполагаю, что мне нужно выяснить, где прошлый системный администратор ошибся в предоставлении полного доступа? Или это может быть проблема с автоматическим отображением?

Я нашел эту статью: http://technet.microsoft.com/en-us/library/hh529943.aspx

Это может сработать $FixAutoMapping = Get-MailboxPermission sharedmailbox |where {$_.AccessRights -eq "FullAccess" -and $_.IsInherited -eq $false} $FixAutoMapping | Remove-MailboxPermission $FixAutoMapping | ForEach {Add-MailboxPermission -Identity $_.Identity -User $_.User -AccessRights:FullAccess -AutoMapping $false}

Однако, как мне вставить приведенный выше код в Powershell?

Снова меня бросили в этот беспорядок, и я просто пытаюсь сгладить этот запутанный беспорядок.

1 ответ

Решение

Permissions for mailboxes are set at two different levels. You can define permissions at the database level and at the mailbox level. The mailboxes will inherit access right permissions from the database so I'd recommend you start there. The powershell code to see who has rights and what those rights are at the database level is:

$Database = "your database name here"
Get-ADPermission $Database | Where-Object {$_.Deny -eq $False} | Select User,AccessRights

That code will give you a dump of who has DB rights (I'm betting "Everyone" or "Authenticated Users" has full access). Использовать Add-ADPermission и / или Remove-ADPermission cmdlets in order to re-mediate, remove, and change access rights.

Поскольку вы новичок в администрировании Exchange, будьте предельно осторожны и используйте -Whatif вариант где это возможно. Вы также можете рассмотреть возможность привлечения администратора Exchange по контракту для проверки вашей сети и проверки правильности и правильности конфигурации.

Другие вопросы по тегам