O administrador pode acessar todas as caixas de correio - como posso pará-lo?

Question

O administrador pode acessar todas as caixas de correio - como posso pará-lo?

#1 resposta do (17 votos)
#2 resposta do (4 votos)
#3 resposta do (2 votos)

2

Em nossa organização, a conta DOMAIN\Administrator pode acessar todas as caixas de correio, ou seja, efetuar login no Outlook Web Access como DOMAIN\Administrator e depois abrir outra caixa de correio e essa caixa de correio de usuários é exibida.

Eu não tenho ideia de por que isso foi feito, eu sou suspeito, mas isso não é problema meu, eu não quero ser responsável por isso, então eu quero remover essa permissão.

É possível pesquisar em todas as caixas de correio e remover qualquer acesso que DOMAIN\Administrator tenha (seja acesso total, enviar como ou enviar em nome)?

Estamos executando 4 servidores do Windows Server 2012 com o Microsoft Exchange 2013.

windows exchange windows-server-2012 exchange-2013

por user4166144 10.12.2014 / 20:09

3 respostas

Tags windows exchange windows-server-2012 exchange-2013

Criando VMs (VMware) automaticamente O Linux Admin precisa de ajuda para obter acesso ao Windows Server PDC

score 17 · Answer 1

Isso provavelmente é resultado de DOMAIN\Administrator ser membro da Organization Management grupo. A partir da descrição desse grupo:

Members of this management role group have permissions to manage Exchange objects and their properties in the Exchange organization. Members can also delegate role groups and management roles in the organization. This role group shouldn't be deleted.

Ou do Technet :

Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles.

Esse é basicamente o grupo no Exchange que é como o grupo Admins. do Domínio no Active Directory - os membros têm privilégios administrativos no Exchange, o que inclui a capacidade de fazer logon em qualquer caixa de correio (por padrão). Você poderia, é claro, remover DOMAIN\Administrator desse grupo, mas qualquer pessoa com privilégios de modificação nesse grupo (como administradores de domínio) pode adicionar esse usuário trivialmente, ou qualquer outro, de volta a ele.

No evento improvável de que o usuário DOMAIN\Administrator seja explicitamente definido como tendo permissões para cada caixa de correio, você poderia usar um script do PowerShell para removê-lo , mas você teria o mesmo problema - esse usuário, e qualquer um com privilégios de modificação no grupo Organization Management, pode adicionar esse usuário trivialmente ou qualquer outro, de volta para ele.

Em resumo, os administradores têm (ou podem se dar facilmente) permissões para fazer o que quiserem. É a natureza de uma conta administrativa e não há como evitar isso.

score 4 · Answer 2

O Organization Management na verdade não dá permissão para acessar caixas de correio usando o OWA. Na verdade, por padrão, esse grupo tem o acesso negado a todas as caixas de correio, pelas mesmas razões que você deseja fazer. Suspeito que a conta recebeu direitos para todas as caixas de correio individualmente.

Você pode verificar usando um comando como:

Get-Mailbox | Get-MailboxPermission -User DOMAIN \ Administrator | onde {-not $ .IsInherited} Get-Mailbox | Get-ADPermission | onde {-not $ .IsInherited}

Para removê-los, basta adicionar Remove-MailboxPermission ou Remove-ADPermission ao final. (Faça isso por sua conta e risco ... Isso está tudo errado, e é por isso que não estou incluindo os comandos completos. Provavelmente há algumas caixas de correio que você gostaria de excluir, como a própria caixa de correio do Administrador.)

É por isso que as contas de serviço dos Blackberry Enterprise Servers não devem ser colocadas no Organization Management. Em vez disso, eles têm instruções específicas para conceder acesso a todas as caixas de correio.

Eu não olhei isso especificamente para o Exchange 2013, mas nenhuma das outras respostas afirmam ser novas para o Exchange 2013, então suspeito que elas estejam equivocadas.

score 2 · Answer 3

Aparece na sua mensagem que você pode ser um administrador. Se assim for, você tem os direitos, porque às vezes você vai precisar deles. Aceite, mas não abuse do privilégio concedido a você. Um administrador confiável só usará os direitos quando necessário para cumprir suas obrigações. Essas tarefas podem incluir a verificação de e-mails de conteúdo específico, rastreamento de fontes de e-mail e outras atividades que exigem acesso ao e-mail de outro usuário.

Se você for alguém como administrador, considere o seguinte.

Qualquer pessoa com direitos administrativos mais ou menos tem as chaves do reino. Se você não pode confiar neles, não os torne administradores. Eles devem estar em condições de desfazer muito bem qualquer coisa que você faça para remover o acesso.

Espero que a maioria das soluções seja melhor implementada pelo administrador. O servidor de email precisaria ser capaz de descriptografar as caixas de correio. Isso daria ao administrador acesso às caixas de correio.

Criptografar as mensagens de e-mail em ambas as extremidades pode ser feito. No entanto, isso limitaria severamente com quem você pode trocar e-mails. É provável que você deseje que o administrador possa instalar e depurar o software de criptografia.

O administrador provavelmente estará em condições de acessar o correio também por meio da captura de pacotes. Isso é mais difícil, mas não extremamente difícil.

Um administrador confiável não abusará de sua autoridade. Onde eles precisam acessar as pastas de email, eles limitarão o acesso deles o máximo possível.