none
Права для Domain Admin на все ящики RRS feed

  • Вопрос

  • Доброго дня !

    Извините, тема наверно уже поднималась, но что то я не нашел. 

    На эксч2003 Domain Admin может видеть содержимое любого ящика в домене, когда ящик цепляешь как дополнительный, а вот как грамотно сделать это на эксч2010 ?

    И еще один вопросик, в эксч2010 появилась возможность архивировать письма на основе политик, архивы можно размещать в той же базе данных или в другой. Вопрос, а можно  выгружать ящики в pst файл? 

    заранее благодарен!

Ответы

  • а 2010 SP1 не требует установки компонентов офиса на сервер ?

    а что может серьезного произойти, если домен админ будет иметь полные права на все ящики

    В SP1 нужен только Office 2010 Filter Pack, в отличии от RTM где командлет Export-mailbox(я изначально неправильно указал название командлета) требовал установленного outlook 2010 64bit.

    Серьозного ничего не произойдет, за исключением того что информация в почтовом ящике пользователя являеется конфидециальной и с юридической точки зрения есть много моментов и вопросов о том что даже админ не имеет права на просмотр данной информации. Но если вернуться к админ вопросам, то должен быть по хорошему принцип минимальных прав, то есть права должны быть такие и только такие, каких достаточно для работы и выполнения служебных обязаностей. Недаром ведь домен админам установлен запрет по умолчанию на просмотр почтовых ящиков. Лично я только в очень редких случаях добавляю себе права на просмотр ящика, в остальных вопросах я обхожусь стандартным поиском и логами, хотя решать конечно Вам. И еще, если учетка домен админа являеется по совместительству вашей учеткой на компе то при добавлении прав на просмотр всех ящиков вы их все получите в Outlook по автомапингу и мне страшно подумать сколько у вас займет синхронизация Outlook с Exchange сервером, да и размер OST вас "приятно" удивит.

    По вопросу New-MailboxExportRequest зайдите через OWA и добавьте Organization manager'ам роль Mailbox Import Export, по умолчанию ее нет. 

    • Предложено в качестве ответа Sidorenko Andrey 25 мая 2012 г. 21:08
    • Отменено предложение в качестве ответа Sidorenko Andrey 25 мая 2012 г. 21:08
    • Изменено Sidorenko Andrey 25 мая 2012 г. 21:23
    • Помечено в качестве ответа kirimey 26 мая 2012 г. 6:48
    • Снята пометка об ответе kirimey 26 мая 2012 г. 6:48
    • Помечено в качестве ответа kirimey 28 мая 2012 г. 11:50

Все ответы

  • День добрый. Ниже ответы на ваши вопросы

    1. Get-MailboxDatabase -identity “[mailbox database name]” | Add-ADPermission -user [username] -AccessRights GenericAll либо FullAccess

    2. Начиная с версии Exchange 2010 SP1 почтовые архивы можно выделять на другую почтовую базу. 

    3. Выгрузка ящиков в pst выполняется командлетами New-MailboxExportRequest (данный командлет есть в версии 2010 SP1 и выше). В версии 2010 RTM есть командлет new-MailboxExport, но он требует дополнительно установки компонентов офиса на сервера.

    В 2010 exchange есть нормальный поиск по почтовому ящику, поэтому я бы вам не рекомендовал давать домен админам полные права на почтовые ящики, по причине безопасности.

  • 3. Выгрузка ящиков в pst выполняется командлетами New-MailboxExportRequest (данный командлет есть в версии 2010 SP1 и выше). В версии 2010 RTM есть командлет new-MailboxExport, но он требует дополнительно установки компонентов офиса на сервера.

    а 2010 SP1 не требует установки компонентов офиса на сервер ?

    а что может серьезного произойти, если домен админ будет иметь полные права на все ящики ?

    ругается

    [PS] C:\Windows\system32>New-MailboxExportRequest
    The term 'New-MailboxExportRequest' is not recognized as the name of a cmdlet, function, script file, or operable progr
    am. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
    At line:1 char:25
    + New-MailboxExportRequest <<<<
        + CategoryInfo          : ObjectNotFound: (New-MailboxExportRequest:String) [], CommandNotFoundException
        + FullyQualifiedErrorId : CommandNotFoundException

    [PS] C:\Windows\system32>


    • Изменено kirimey 25 мая 2012 г. 14:57
  • 1. А вы запускаете данную команду через "Exchange Managment Shell" или из "чистого" Powershell-а?

    2. Тут фокус ещё и в том, что по умолчанию никто не имеет прав (даже группа "Exchange organization administrators", но у неё есть право делегировать данное полномочие) на импорт/экспорт почтовых ящиков. Поэтому нужно под правами участника группы "Exchange organization administrators" выполнить следующую команду:

    New-ManagementRoleAssignment –Role “Mailbox Import Export” –User “Имя пользователя 

    И только после этого у пользователя “Имя пользователя”  появится возможность запускать командлеты связанные с экспортом/импортом.

    http://technet.microsoft.com/en-us/library/ee633452.aspx
  • через Exchange Managment Shell запускаю

    вы имеете ввиду что члены группы Organization Management не могут выполнить команду New-MailboxExportRequest

    и надо делегировать права пользователю для экспорта, даже если он входит в группу Organization Management ?


    • Изменено kirimey 25 мая 2012 г. 16:43
  • и надо делегировать права пользователю для экспорта, даже если он входит в группу Organization Management ?


    Да, именно так.
  • а 2010 SP1 не требует установки компонентов офиса на сервер ?

    а что может серьезного произойти, если домен админ будет иметь полные права на все ящики

    В SP1 нужен только Office 2010 Filter Pack, в отличии от RTM где командлет Export-mailbox(я изначально неправильно указал название командлета) требовал установленного outlook 2010 64bit.

    Серьозного ничего не произойдет, за исключением того что информация в почтовом ящике пользователя являеется конфидециальной и с юридической точки зрения есть много моментов и вопросов о том что даже админ не имеет права на просмотр данной информации. Но если вернуться к админ вопросам, то должен быть по хорошему принцип минимальных прав, то есть права должны быть такие и только такие, каких достаточно для работы и выполнения служебных обязаностей. Недаром ведь домен админам установлен запрет по умолчанию на просмотр почтовых ящиков. Лично я только в очень редких случаях добавляю себе права на просмотр ящика, в остальных вопросах я обхожусь стандартным поиском и логами, хотя решать конечно Вам. И еще, если учетка домен админа являеется по совместительству вашей учеткой на компе то при добавлении прав на просмотр всех ящиков вы их все получите в Outlook по автомапингу и мне страшно подумать сколько у вас займет синхронизация Outlook с Exchange сервером, да и размер OST вас "приятно" удивит.

    По вопросу New-MailboxExportRequest зайдите через OWA и добавьте Organization manager'ам роль Mailbox Import Export, по умолчанию ее нет. 

    • Предложено в качестве ответа Sidorenko Andrey 25 мая 2012 г. 21:08
    • Отменено предложение в качестве ответа Sidorenko Andrey 25 мая 2012 г. 21:08
    • Изменено Sidorenko Andrey 25 мая 2012 г. 21:23
    • Помечено в качестве ответа kirimey 26 мая 2012 г. 6:48
    • Снята пометка об ответе kirimey 26 мая 2012 г. 6:48
    • Помечено в качестве ответа kirimey 28 мая 2012 г. 11:50