Como posso restringir o acesso a um usuário com direitos completos de caixa de correio no Exchange 2010?

1

Eu tenho um problema onde os usuários [1..10] têm acesso total à caixa de correio para a caixa de correio do usuário A.

UserA, agora quer restringir o acesso para que todos os Usuários [1..10] tenham acesso, exceto para os "Itens Enviados" e "Itens Excluídos". Neste usuário2 & O usuário 3 deve continuar tendo acesso conforme solicitado anteriormente.

Existe uma maneira simples de restringir o acesso à pasta sem ter que remover a permissão Full Mailbox Right e aplicar os direitos de usuário de cada indivíduo em cada pasta específica?

Desculpe se isso foi perguntado antes e respondido. Eu olhei, mas acho que o Google não conseguiu entender minha consulta.

Estou fazendo isso via powershell, pois isso precisará ser repetido várias vezes em várias caixas de correio.

referenciado em link

    
por RR_SH 09.05.2017 / 11:26

2 respostas

0

Obrigado @Sembee.

Para aqueles de vocês que têm que fazer isso. Aqui está um script rápido e sujo para fazer isso. Por favor, teste-o antes de usar em uma caixa de correio ativa e adapte-o conforme necessário.

# The mailbox to apply the permissions changes on
$mailbox = "[email protected]"

# The users to add to the mailbox folder list
$users = "[email protected]"

# Get a list of folders in the mailbox defined above. We want only the folder path
$folderlist = Get-MailboxFolderStatistics -Identity $mailbox | select FolderPath

# Create a List item consisting of string objects
[Collections.Generic.List[String]]$sList = New-Object -TypeName Collections.Generic.List[String]

# Loop through the entire list of folders and do something
foreach ($folder in $folderlist)
{
# Get the folderpath object from the folderlist and output it as a string value
$sfoldername = $folder.FolderPath | Out-String

# Look for the tree node called "Top of Information Store" and replace it with a /
$sfname = $sfoldername -replace "/Top of Information Store","/"

# replace all back slashes with forward slashes
$sfname = $sfname  -replace "/","\"

# remove any hidden characters that might be lurking around in the string
$sfname = $sfname.Trim()

    #Perform a bunch of IF statements in a simple way.
    switch($sfname)
    {
        # System Folder in Mailbox. Do nothing if these are encountered
        "\Recoverable Items" {break;}
        "\Deletions" {break;}
        "\Purges" {break}
        "\Versions"{break;}
        "\Quick Step Settings"{break}
        "\Conversation Action Settings"{break;}
        "\News Feed"{break;}

        # Add the folder name into the list of strings defined earlier
        default{$sList.Add($sfname);break}
    }    
}

# For each item in the list of strings apply permissions

foreach ($item in $sList)
{
    # concatenate the foldername to contain the mailbox name and the folder path in a format the Set and Add permission command can understand.

    $foldername = $mailbox + ":" + $item | Out-String
    # remove any hidden characters that might be lurking around in the string
    $fname = $foldername.Trim()

    # Add the permissions on the folder assuming permissions haven't already been set
    Add-MailboxFolderPermission -Identity $fname -AccessRights Owner -User $users

    # If the user permissions already exists then set / update the permissions
    Set-MailboxFolderPermission -Identity $fname -AccessRights Owner -User $users
}

Certifique-se de que você é muito cuidadoso com isso. Uma coisa a observar, se você quiser usar um grupo para controlar o acesso, certifique-se de definir o grupo como um grupo de segurança no diretório ativo e, em seguida, usar como um grupo de distribuição. Caso contrário, usar um grupo para controle de acesso não funcionará.

    
por 10.05.2017 / 13:24
2

Não.

O acesso total supera todo o resto à medida que as permissões mais altas ganham com o Exchange, portanto, a caixa de correio cheia é maior do que a permissão no nível da pasta.

Portanto, a única opção é remover o Full Mailbox Access e conceder permissões em um nível de pasta.

Você deve poder usar o PowerShell em algo que conceda as permissões a todas as pastas da caixa de correio e, em seguida, remova as permissões nas pastas necessárias. No entanto, isso também significaria que novas pastas de nível superior precisariam das permissões alteradas nelas (novas sub-pastas herdam).

    
por 09.05.2017 / 22:13