none
Глобальный доступ на просмотр всех п/ящиков MS Exchange 2010 RRS feed

  • Вопрос

  • Уважаемые коллеги!

    Подскажите пожалуйста, есть ли возможность предоставить определённым пользователям доступ на просмотр всего содержимого ящиков MS Exchange 2010 ?

    Поиск (Mailbox Search) используем, хочется бОльшего - прямой просмотр всего содержимого ящиков, например, предоставлением Full Access Permission ко всем ящикам.

    Также, не до конца понимаю, почему группа Exchange Organization Administrator не имеет таких прав, хотя и входит в список Full Access Permission в каждом почтовом ящике.

    28 июня 2010 г. 6:37

Ответы

  • Используйте EMS команду Get-OrganizationConfig | Remove-ADPermission -user "Exchange Organization Administrators" -ExtendedRights "receive-as" -Deny

    Это разрешит группе Exchange Organization Administrator доступ к ящикам. По умолчанию его действительно нет.

    Так же используя команды EMS вы можете предоставлять требуемые права пользователям на уровне организации и базы данных.

    • Помечено в качестве ответа Daniil KhabarovModerator 30 июня 2010 г. 8:51
    • Снята пометка об ответе Ivan Tsybanenko 2 июля 2010 г. 11:25
    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:13
    28 июня 2010 г. 6:57
    Модератор
  • Тут по сути не нужно роли, достаточно выполнить одну команду

    Get-MailboxDatabase -server "YourServerName" | Add-ADPermission -User "YourUserName" -ExtendedRights Receive-As

    Это предоставит пользователю YourUserName доступ к содержимому всех почтовых ящиков на сервере YourServerName

    Это будет касаться и новых ящиков, создаваемых на сервере YourServerName


    http://exchangeitnow.ru
    • Помечено в качестве ответа Daniil KhabarovModerator 30 июня 2010 г. 8:51
    • Снята пометка об ответе Ivan Tsybanenko 2 июля 2010 г. 11:25
    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:12
    28 июня 2010 г. 11:38
  • Уважаемый Big Muzzy,

    я так понимаю что вот может вам помочь:

    <ServerName> does not have the right Exchange Server version or role required to support this operation. (Error 4E7FF2A9)

    The specified server is does not have the Microsoft Exchange Server 2010 Mailbox role installed.

    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:12
    5 июля 2010 г. 12:57
    Модератор

Все ответы

  • Используйте EMS команду Get-OrganizationConfig | Remove-ADPermission -user "Exchange Organization Administrators" -ExtendedRights "receive-as" -Deny

    Это разрешит группе Exchange Organization Administrator доступ к ящикам. По умолчанию его действительно нет.

    Так же используя команды EMS вы можете предоставлять требуемые права пользователям на уровне организации и базы данных.

    • Помечено в качестве ответа Daniil KhabarovModerator 30 июня 2010 г. 8:51
    • Снята пометка об ответе Ivan Tsybanenko 2 июля 2010 г. 11:25
    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:13
    28 июня 2010 г. 6:57
    Модератор
  • Так же используя команды EMS вы можете предоставлять требуемые права пользователям на уровне организации и базы данных.

    Какую роль я должен предоставить пользователю, чтобы он смог просматривать содержимое всех ящиков на сервере MS Exchange?
    28 июня 2010 г. 10:03
  • Тут по сути не нужно роли, достаточно выполнить одну команду

    Get-MailboxDatabase -server "YourServerName" | Add-ADPermission -User "YourUserName" -ExtendedRights Receive-As

    Это предоставит пользователю YourUserName доступ к содержимому всех почтовых ящиков на сервере YourServerName

    Это будет касаться и новых ящиков, создаваемых на сервере YourServerName


    http://exchangeitnow.ru
    • Помечено в качестве ответа Daniil KhabarovModerator 30 июня 2010 г. 8:51
    • Снята пометка об ответе Ivan Tsybanenko 2 июля 2010 г. 11:25
    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:12
    28 июня 2010 г. 11:38
  • Спасибо, понял. Есть ещё вопрос.

    В Exchange 2010 Microsoft настоятельно рекомендует работать с RBAC и категорически не рекомендует использовать Add-ADPermission. Выполнима ли в данном случае эта рекомендация?

    Я бы предпочёл найти "правильную" роль, а потом назначать пользователей в группу, добавляющую эту роль.

    28 июня 2010 г. 12:44
  • Вообще для таких вещей существует функция Multi-Mailbox Search, для использования которой необходимо быть членом группу Discovery Management, эта группа имеет доступ к почтовому ящику Diskovery Search Mailbox, соответственно, если другим ящикам в Access Permissions добавить эту группу, то пользователи, имеющие право осуществлять поиск будут иметь и прямой доступ к самим ящикам.

    Например, дать полный доступ группе  Discovery Management на все почтовые ящики можно так:

    Get-Mailbox | Add-MailboxPermission -User "Discovery Management" -AccessRights FullAccess -InheritanceType All


    Alexx
    29 июня 2010 г. 5:30
  • Вообще для таких вещей существует функция Multi-Mailbox Search, для использования которой необходимо быть членом группу Discovery Management, эта группа имеет доступ к почтовому ящику Diskovery Search Mailbox, соответственно, если другим ящикам в Access Permissions добавить эту группу, то пользователи, имеющие право осуществлять поиск будут иметь и прямой доступ к самим ящикам.

    Спасибо, ужЕ. См. стартовый постинг:

    Поиск (Mailbox Search) используем, хочется бОльшего

    Сотрудникам, использующим данную функцию, пользоваться ею (в некоторых случаях) жутко неудобно.

     

    Например, дать полный доступ группе  Discovery Management на все почтовые ящики можно так:

    Get-Mailbox | Add-MailboxPermission -User "Discovery Management" -AccessRights FullAccess -InheritanceType All

    Спасибо, только в этом случае придётся для каждого нового ящика выполнять это же самое добавление. Что неправильно с точки зрения минимизации ручных операций, и, как следствие, снижение вероятности ошибок.

    Мне больше нравится решение, предложенное Pavel Dugaev - убрать ограничение на просмотр ящиков для всех баз данных на сервере. Если не найду стандартной роли, которая делает то же самое, сделаю такую сам.

    30 июня 2010 г. 5:24
  • Используйте EMS команду Get-OrganizationConfig | Remove-ADPermission -user "Exchange Organization Administrators" -ExtendedRights "receive-as" -Deny

    Это разрешит группе Exchange Organization Administrator доступ к ящикам. По умолчанию его действительно нет.

    Так же используя команды EMS вы можете предоставлять требуемые права пользователям на уровне организации и базы данных.


    Выполнение команды завершилось с ошибкой:

    Can't remove the access control entry on the object "CN=Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=holding,DC=local" for attribute "ExtendedRight (ObjectType: ab721a56-1e2f-11d0-9819-00aa0040529b)" because the ACE isn't present.

        + CategoryInfo          : InvalidOperation: (0:Int32) [Remove-ADPermission], InvalidOperationException
        + FullyQualifiedErrorId : 77479DD3,Microsoft.Exchange.Management.RecipientTasks.RemoveADPermission

    • Изменено Ivan Tsybanenko 5 июля 2010 г. 5:12 добавлено цитирование
    2 июля 2010 г. 11:29
  • Тут по сути не нужно роли, достаточно выполнить одну команду

    Get-MailboxDatabase -server "YourServerName" | Add-ADPermission -User "YourUserName" -ExtendedRights Receive-As

    Это предоставит пользователю YourUserName доступ к содержимому всех почтовых ящиков на сервере YourServerName

    Это будет касаться и новых ящиков, создаваемых на сервере YourServerName


    http://exchangeitnow.ru

    К сожалению, тоже ошибка:

     

    [PS] C:\Windows\system32>Get-MailboxDatabase -server "srv-exchange-01" | Add-ADPermission -User "TheUser" -ExtendedRights Receive-As

     

    'SRV-EXCHANGE-01' does not have the right Exchange Server version or role required to support this operation.
        + CategoryInfo          : InvalidOperation: (srv-exchange-01:ServerIdParameter) [Get-MailboxDatabase], ServerRoleOperationException
        + FullyQualifiedErrorId : 97B252DF,Microsoft.Exchange.Management.SystemConfigurationTasks.GetMailboxDatabase

     

    Не очень понимаю, кому и какой роли не хватает. Подскажите пожалуйста!

    • Изменено Ivan Tsybanenko 5 июля 2010 г. 5:11 добавлено цитирование
    2 июля 2010 г. 11:34
  • Get-Mailbox | Add-MailboxPermission -User "Discovery Management" -AccessRights FullAccess -InheritanceType All

    Спасибо, только в этом случае придётся для каждого нового ящика выполнять это же самое добавление. Что неправильно с точки зрения минимизации ручных операций, и, как следствие, снижение вероятности ошибок.

    Чтобы не пришлось для каждого нового ящика выполнять добавление, можно попробовать использоваться динамические группы рассылки, которые связать с нужной OU.

    Alexx
    2 июля 2010 г. 12:06
  • Чтобы не пришлось для каждого нового ящика выполнять добавление, можно попробовать использоваться динамические группы рассылки, которые связать с нужной OU.

    Alexx

    Прошу прощения, не очень понял.

    Добавить пользователя в группу Discovery Management - не проблема.

    А вот Проблема: при создании нового почтового ящика, придётся добавлять доступ к нему, выполняя каждый раз команду Set-MailboxPermission. Можно чуть подробнее - как эту функцию автоматизировать через динамические группы?

    2 июля 2010 г. 12:40
  • отбой с динамическими группами, немного не так вспомнил задачу...

    Есть другой вариан, уже предложенный Павлом - назначить парва на базу данных:

    Add-ADPermission -Identity "DB01" -User "Ayla" -ExtendedRights Receive-As

    (...Ayla will be able to log on to every mailbox on that database.) Подробнее тут. Но только вместо пользователя использовать RBAC группу.


    Alexx
    2 июля 2010 г. 13:12
  • Уважаемый Big Muzzy,

    я так понимаю что вот может вам помочь:

    <ServerName> does not have the right Exchange Server version or role required to support this operation. (Error 4E7FF2A9)

    The specified server is does not have the Microsoft Exchange Server 2010 Mailbox role installed.

    • Помечено в качестве ответа Ivan Tsybanenko 6 июля 2010 г. 12:12
    5 июля 2010 г. 12:57
    Модератор
  • Уважаемый Big Muzzy,

    я так понимаю что вот может вам помочь:

     

    <ServerName > does not have the right Exchange Server version or role required to support this operation. (Error 4E7FF2A9)

    The specified server is does not have the Microsoft Exchange Server 2010 Mailbox role installed.

    Спасибо! Точно, я был невнимателен - мучил HUB вместо MB.

    Работает, всё супер.

    6 июля 2010 г. 12:11
  • Уважаемые коллеги.

    Хочу возродить эту тему.

    Скажите как реализовать задачу топик стартера, но только дать пользователю или группе пользователь доступ только на просмотр содержимого почтовых ящиков, без возможности удаления или изменения сообщений.

    29 июня 2016 г. 12:46