Conceder acesso total à caixa de correio aos administradores de domínio no Exchange 2010, incluindo todas as novas caixas de correio?

Navegue suas respostas
4

Estou tentando conceder ao grupo Admins. do Domínio acesso total a todas as caixas de correio do Exchange 2010, incluindo novas criadas depois que isso for implementado. Fazendo algumas leituras, eu criei o seguinte comando do Powershell: 

Get-MailboxDatabase | Add-ADPermission -User "Domain Admins" -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As

Isso não funcionou, no entanto. Como posso fazer isso?

Obrigado!

    
por NaOH 30.11.2012 / 18:02

4 respostas

4

DISCLAIMER: be careful of legal implications of allowing administrators to access mailbox contents.

A maneira mais fácil de realizar isso é remover as permissões negadas explícitas para Enviar como e Receber como, que são atribuídas aos grupos Admins. do Domínio e Administradores de Empresa no objeto principal da Organização do Exchange no AD e, subsequentemente, herdadas em qualquer lugar. Essas permissões estão exatamente para impedir que os administradores acessem o conteúdo da caixa de correio, que de outra forma poderiam acessar livremente.

Você pode modificar as permissões para o objeto Organização usando os Serviços e Sites do AD (apenas certifique-se de mostrar o nó Serviços).

    
por 30.11.2012 / 18:45
2

Eu continuei a usar esse link desde a implantação do Exchange 2010: link

Especificamente: 

Get-Mailbox | Where { $_.Database –eq “” } | Add-MailboxPermission -User “Domain Admins” -AccessRights Fullaccess -InheritanceType all

And then this one for send as:
Get-Mailbox | Where { $_.Database –eq “” } | Add-AdPermission -User “Domain Admins” -AccessRights extendedright -ExtendedRights “send as

Crie scripts PS para eles e configure-os como tarefas planejadas todas as noites (ou qualquer outra) e ele também tratará de todas as novas caixas de correio.

Toda a negação explícita para administradores empresariais e administradores de domínio no Exchange causa todos os tipos de problemas como este.

    
por 30.11.2012 / 18:33
0

A única maneira que encontrei é:

  1. Script de um loop para aplicar a permissão a todas as caixas de correio existentes.
  2. Asse na atribuição de permissões de administrador de domínio ao meu novo script de configuração de caixa de correio.

Estou esperançoso de que alguém tenha um caminho melhor, já que isso não é ideal. Ter permissões para herdar as caixas de correio do armazenamento de correio ou do nível do banco de dados seria bom ...

    
por 30.11.2012 / 18:12
0

Você precisa do Agente de scripts ! Isso executa um script do PowerShell toda vez que uma caixa de correio é criada.

Usamos para atribuir a diretiva de limpeza de caixa de correio e definir o idioma e o fuso horário do usuário para que eles não sejam solicitados ao fazer logon no OWA. Aqui está nosso roteiro: 

<?xml version="1.0" encoding="utf-8" ?>
<Configuration version="1.0">
 <Feature Name="MailboxProvisioning" Cmdlets="new-mailbox">
  <ApiCall Name="OnComplete">

   if($succeeded)    {
    $newmailbox = $provisioningHandler.UserSpecifiedParameters["Name"]
    set-mailbox -identity $newmailbox -language 'en-US' -RetentionPolicy "Mailbox Cleanup"
    set-mailboxregionalconfiguration -identity $newmailbox -language 'en-US' -timezone 'Eastern Standard Time'
   }
  </ApiCall>
 </Feature>
</Configuration>
    
por 30.11.2012 / 18:26

Tags

DNS Issue - ambiente Windows 2003 Como verificar se todos os instantâneos do ZFS dentro de um pool estão sem espera antes de destruir esse pool