电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2504|回复: 0

Exchange 2007 如何禁止完全访问权限

[复制链接]
admin 发表于 2010-7-26 15:10:22 | 显示全部楼层 |阅读模式
问题:

在Exchange2007中,有一个“管理完全访问权限”的功能,可以设置一个账户可以打开其他用户的邮箱,这个功能能否禁止使用呢?

因为这涉及到安全性问题.
解答:
   经过我的仔细研究,从技术手段上还是有办法的(我给个思路):

你打开Exchange命令行管理程序,输入如下cmdlet:
Add-MailboxPermission -Identity lisi -user everyone -AccessRights FullAccess -Deny

稍微解释一下,通过这个cmdlet添加一个everyone(实际上就是代表所有用户)拒绝拥有对lisi邮箱的完全访问的权限。
这样就导致尽管你添加了哪个账号对哪些邮箱的完全访问权限,但是由于此处我设置了Everyone都拒绝,所以最终拒绝优先。(这样可能会影响你的正常设置。另外还需要注意,这样设置好后,lisi自己也无法打开自己的邮箱了,因为lisi本身也隶属于Everyone组中)

你可能不太希望这种太霸道的设置,所以你可以将Everyone修改为“人品不良”的管理员账号。举个例子,如果禁止BadAdmin这个用户对所有邮箱的安全访问权限,就可以运行如下cmdlet:
Get-mailbox | Add-MailboxPermission -user BadAdmin -AccessRights FullAccess -Deny

和上面同理,这样设置好后,BadAdmin自己也无法打开自己的邮箱,也许你不希望看到这样,那么可以再次运行:
Remove-MailboxPermission -identity BadAdmin -user BadAdmin -AccessRights FullAccess -Deny

通过以上设置后,就满足了你的需求,这样不听话的管理员无论在Exchange管理控制台还是在Exchange命令行管理程序中,将自己添加到目标邮箱的完全访问权限中去后,都没有办法打开别人的邮箱,因为还有个拒绝完全访问权限的ACL是优先的。

当然,还是我在2楼说的那样,如果他权限很大,又知道你是如何限制他的,他完全可以为自己“解封”后再赋权给自己:
Get-mailbox | Remove-MailboxPermission -user BadAdmin -AccessRights FullAccess -Deny

所以总结下来,这个方法虽然好,但是只能从表面限制,属于“障眼法”。现在只能希望这个不听话的管理员技术不那么好,能知难而退。呵呵。
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-23 20:05 , Processed in 0.114309 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表