none
логи в exchange RRS feed

  • Вопрос

  • Добрый день.

    Можно ли где то в логах отследить дату и время подключения чужого почтового ящика в рамках одного домена?

    Возможно ли случайное подключения почтового ящика после сбоя при обновлении сервера?


    1 ноября 2019 г. 13:11

Ответы

  • В рамках одного домена одному почтовому ящику добавляют другой почтовый ящик через Manage full access permission ( Exchange management console), далее у первого почтового ящика слева появляется открывающаяся вкладка второго почтового ящика.

    Ситуация в следующем: человеку А по ошибке дали доступ для просмотр почтового ящика человека В. Администратор утверждает, что ошибка возникла в результате сбоя сервера во время консолидации данных. Нужно выяснить : как долго был доступ к почтовому ящику человека В? ну и возможно ли такое в принципе?

    "В результате сбоя сервера" - это художественный свист. Для доступа нужно записать данные в п/я в базе (в специальный атрибут), а чтобы он еще и автоматически подключился - прописать пользователя, кому дан доступ, в атрибут msExchDelegateListLink учетной записи п/я в AD - то есть, выполнить две независимые операции. Две независимые операции - это как-то многовато для одного сбоя.

    Доступ, не важно, через EMC или EMS, фактически предоставляется командой

    Add-MailboxPermission -Identity <mailbox> -User <user> -AccessRights FullAccess

    и эта команда должна по умолчанию записаться в лог. Ищите её в логе (команда Search-AdminAuditLog), и если событие произошло не слишком давно (логи по умолчанию хранятся 90 дней), то вы найдёте её и увидите, кто и когда её выполнил.

    PS В команде Search-AdminAuditLog есть несколько полезных ключей, позволяющих фильтровать выдачу (например -Cmdlets AddMailboxPermission для поиска только нужной команды), но если на сервере не стоит английский язык для не-Unicode программ, эти ключи могут не сработать. В таком случае выводите лог целиком в файл в формате CSV

    Search-AdminAuditLog -ResultSize Unlimited | Export-CSV -Encoding Unicode файл.txt

    загружайте файл в Excel и ищите там.


    Слава России!



    • Изменено M.V.V. _ 1 ноября 2019 г. 17:43
    • Помечено в качестве ответа svetli4 2 ноября 2019 г. 8:32
    1 ноября 2019 г. 17:41

Все ответы

  • Чтобы иметь возможность получить ответ на этот вопрос, объясните, пожалуйста, подробнее, что вы имеете в виду под "подключением чужого почтового ящика" - потому как эти слова в отношении Exchange можно понимать по-разному. А лучше, расскажите, что у вас там произошло.

    Слава России!

    1 ноября 2019 г. 14:05
  • В рамках одного домена одному почтовому ящику добавляют другой почтовый ящик через Manage full access permission ( Exchange management console), далее у первого почтового ящика слева появляется открывающаяся вкладка второго почтового ящика.

    Ситуация в следующем: человеку А по ошибке дали доступ для просмотр почтового ящика человека В. Администратор утверждает, что ошибка возникла в результате сбоя сервера во время консолидации данных. Нужно выяснить : как долго был доступ к почтовому ящику человека В? ну и возможно ли такое в принципе?

    1 ноября 2019 г. 16:13
  • Такая выдача доступа логируется.

    в помощь

    1 ноября 2019 г. 16:19
  • В рамках одного домена одному почтовому ящику добавляют другой почтовый ящик через Manage full access permission ( Exchange management console), далее у первого почтового ящика слева появляется открывающаяся вкладка второго почтового ящика.

    Ситуация в следующем: человеку А по ошибке дали доступ для просмотр почтового ящика человека В. Администратор утверждает, что ошибка возникла в результате сбоя сервера во время консолидации данных. Нужно выяснить : как долго был доступ к почтовому ящику человека В? ну и возможно ли такое в принципе?

    "В результате сбоя сервера" - это художественный свист. Для доступа нужно записать данные в п/я в базе (в специальный атрибут), а чтобы он еще и автоматически подключился - прописать пользователя, кому дан доступ, в атрибут msExchDelegateListLink учетной записи п/я в AD - то есть, выполнить две независимые операции. Две независимые операции - это как-то многовато для одного сбоя.

    Доступ, не важно, через EMC или EMS, фактически предоставляется командой

    Add-MailboxPermission -Identity <mailbox> -User <user> -AccessRights FullAccess

    и эта команда должна по умолчанию записаться в лог. Ищите её в логе (команда Search-AdminAuditLog), и если событие произошло не слишком давно (логи по умолчанию хранятся 90 дней), то вы найдёте её и увидите, кто и когда её выполнил.

    PS В команде Search-AdminAuditLog есть несколько полезных ключей, позволяющих фильтровать выдачу (например -Cmdlets AddMailboxPermission для поиска только нужной команды), но если на сервере не стоит английский язык для не-Unicode программ, эти ключи могут не сработать. В таком случае выводите лог целиком в файл в формате CSV

    Search-AdminAuditLog -ResultSize Unlimited | Export-CSV -Encoding Unicode файл.txt

    загружайте файл в Excel и ищите там.


    Слава России!



    • Изменено M.V.V. _ 1 ноября 2019 г. 17:43
    • Помечено в качестве ответа svetli4 2 ноября 2019 г. 8:32
    1 ноября 2019 г. 17:41