Exchange 2010 - เปิดปัญหาการอนุญาตกล่องจดหมายผู้ใช้อื่น


1

ฉันเพิ่งเริ่มทำงานให้กับ บริษัท ขนาดเล็กนี้ (30 คน) เล็กน้อยแล้วแทนที่ผู้ดูแลระบบของพวกเขา สิ่งแรกที่ฉันสังเกตเห็นคือ Exchange Server 2010 เป็นวิธีที่ล้าสมัย เชื่อหรือไม่ว่าไม่ได้ติดตั้ง SP1 ไว้ ดังนั้นหลังจากฉันติดตั้งและกำหนดค่า Exchange 2010 SP3 และเปลี่ยนเส้นทาง OWA ฉันสังเกตเห็นบางสิ่งใน OWA ฉันสามารถเพิ่มกล่องจดหมายผู้ใช้ของใครก็ได้โดยไม่ต้องให้สิทธิ์กล่องจดหมาย ฉันสร้างผู้ใช้ทดสอบสองคนในสิ่งเดียวกัน ฉันยังมีพนักงานคนอื่นให้ฉันเข้าถึง OWA ของพวกเขาและพวกเขาสามารถเปิดกล่องจดหมายของใครก็ได้โดยไม่ได้รับอนุญาต ฉันไม่ต้องการเล่นเกมตำหนิ แต่ฉันรู้สึกตกใจที่เกิดขึ้น โชคดีที่ได้เป็น บริษัท เล็ก ๆ ฉันจะสามารถครอบคลุมข้อผิดพลาดที่ฉันไม่ได้สร้างขึ้นมาได้อย่างไร แต่อย่างไร

ฉันเดาว่าฉันต้องทราบว่าที่ผ่านมาผู้ดูแลระบบผิดพลาดในการให้สิทธิ์การเข้าถึงแบบเต็มหรือไม่ หรือนี่อาจเป็นปัญหาการจับคู่อัตโนมัติ

ฉันพบบทความนี้: http://technet.microsoft.com/en-us/library/hh529943.aspx

สิ่งนี้อาจใช้ได้ $FixAutoMapping = Get-MailboxPermission sharedmailbox |where {$_.AccessRights -eq "FullAccess" -and $_.IsInherited -eq $false} $FixAutoMapping | Remove-MailboxPermission $FixAutoMapping | ForEach {Add-MailboxPermission -Identity $_.Identity -User $_.User -AccessRights:FullAccess -AutoMapping $false}

อย่างไรก็ตามฉันจะแทรกโค้ดด้านบนลงใน Powershell ได้อย่างไร

อีกครั้งที่ฉันถูกโยนลงไปในระเบียบนี้และฉันแค่พยายามที่จะรีดออกมายุ่งเหยิงยุ่งเหยิงนี้


ไม่ทราบคำตอบที่ฉันกลัว แต่ฉันขอแนะนำให้คุณอย่าพยายามซ่อนปัญหา - อย่างน้อยเมื่อคุณมีความคิดเกี่ยวกับวิธีการแก้ไข;) มันอาจกลับมาหลอกหลอนคุณได้อย่างง่ายดาย ไม่ใช่ความผิดของคุณตรวจสอบให้แน่ใจว่าคนเข้าใจล่วงหน้า
Julian Knight

คำตอบ:


2

การอนุญาตสำหรับกล่องจดหมายถูกตั้งค่าในสองระดับที่แตกต่างกัน คุณสามารถกำหนดสิทธิ์ที่ระดับฐานข้อมูลและระดับกล่องจดหมาย กล่องจดหมายจะสืบทอดสิทธิ์การเข้าถึงจากฐานข้อมูลดังนั้นฉันขอแนะนำให้คุณเริ่มต้นที่นั่น รหัส PowerShell เพื่อดูว่าใครมีสิทธิ์และสิทธิ์เหล่านั้นคืออะไรในระดับฐานข้อมูล:

$Database = "your database name here"
Get-ADPermission $Database | Where-Object {$_.Deny -eq $False} | Select User,AccessRights

รหัสนั้นจะให้ข้อมูลว่าใครมีสิทธิ์ในฐานข้อมูล (ฉันพนันได้ว่า "ทุกคน" หรือ "ผู้ใช้ที่ได้รับการรับรองความถูกต้อง" สามารถเข้าถึงได้เต็มรูปแบบ) ใช้Add-ADPermissionและ / หรือRemove-ADPermissioncmdlets เพื่อเป็นสื่อกลางอีกครั้งลบและเปลี่ยนสิทธิ์การเข้าถึง

เนื่องจากคุณยังใหม่ต่อการบริหารการแลกเปลี่ยนโปรดใช้ความระมัดระวังและใช้-Whatifตัวเลือกที่เป็นไปได้ คุณอาจต้องการพิจารณานำผู้ดูแลระบบ Exchange มาทำสัญญาเพื่อดูเครือข่ายของคุณและตรวจสอบให้แน่ใจว่าการกำหนดค่าถูกต้องและเหมาะสม


1
@BenjaminJones ฉันตระหนักว่ามีทรัพยากรบางอย่างที่คุณจะพบว่ามีประโยชน์ อย่างแรกคือtechnet.microsoft.com/en-us/library/bb124403(v=exchg.141).aspxซึ่งอธิบายว่าสิทธิ์การเข้าถึงที่เป็นไปได้คืออะไร (ขยายแท็บพารามิเตอร์) และtechnet.microsoft.com/en-us/library/dd638132(v=exchg.141).aspxสำหรับรายละเอียดการอนุญาตที่มากขึ้น
Colyn1337
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.