use*_*144 2 windows exchange windows-server-2012 exchange-2013
在我们的组织中,该DOMAIN\Administrator帐户可以访问所有邮箱,即以身份登录 Outlook Web Access DOMAIN\Administrator,然后打开另一个邮箱并显示该用户邮箱。
我不知道为什么要这样做,我很怀疑,但这不是我的问题,我不想对此负责,所以想删除此权限。
是否可以搜索所有邮箱并删除任何DOMAIN\Administrator具有的访问权限(无论是完全访问权限、代理发送还是代表发送)?
我们正在运行 4 台装有 Microsoft Exchange 2013 的 Windows Server 2012 服务器。
Hop*_*00b 17
这可能是DOMAIN\Administrator作为Organization Management组成员的结果。根据该组的描述:
此管理角色组的成员有权管理 Exchange 组织中的 Exchange 对象及其属性。成员还可以委派组织中的角色组和管理角色。不应删除此角色组。
作为组织管理角色组成员的管理员具有对整个 Exchange 2013 组织的管理访问权限,并且几乎可以对任何 Exchange 2013 对象执行任何任务,但有一些例外。默认情况下,此角色组的成员无法执行邮箱搜索和无作用域顶级管理角色的管理。
这基本上是 Exchange 中的组,类似于 Active Directory 中的 Domain Admins 组 - 成员在 Exchange 中具有管理权限,包括登录任何邮箱的能力(默认情况下)。当然,您可以DOMAIN\Administrator从该组中删除,但对该组具有修改权限的任何人(如域管理员)都可以轻松地将该用户或任何其他用户添加回该组。
万一DOMAIN\Administrator用户被明确定义为对每个邮箱具有权限,您可以使用 PowerShell 脚本将其删除,但您会遇到同样的问题 - 该用户以及对组织管理组具有修改权限的任何人都可以简单地将该用户或任何其他用户添加回其中。
最重要的是,管理员拥有(或可以轻松地授予自己)做任何他们想做的事情的权限。这是管理帐户的性质,确实无法绕过它。
| 归档时间: |
|
| 查看次数: |
36386 次 |
| 最近记录: |