none
咨询权限问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    新建邮箱,发现管理员A会自动添加到邮箱的  完全访问  权限中。

    Get-MailboxPermission  user01   可以看到 "XXX\USERA"  是继承权限,请问继承哪里的权限(数据库吗?) 。 如果想要全局删除这个权如何操作,或者将其替换为其他用户该如何操作?

    RunspaceId      : 2e17c188-881c-497a-a01a-b0b825aabe0b
    AccessRights    : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny            : False
    InheritanceType : All
    User            : XXX\USERA
    Identity        : XXXXX.XXX.com/xx/USER01
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged


    2021年5月14日 9:54
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    您好,在当前环境发现,即便是新建的数据库,在保持默认的情况,创建新邮箱后,同样会有这个问题。个人认为这是个全局的设置,请问在EX和AD中哪些设置能够直接实现。  个人感觉和ADSI编辑器关联性更大.

    您好,

    如果新建数据库也有这个问题的话,那么确实如您所说,应该是从AD继承的权限。请您参考下面的步骤,用ADSI编辑器查看:

    1. 打开ADSI编辑器,连接到“配置”,依次展开到下面的路径:

    Configuration/Services/Microsoft Exchange/<OrganisationName>/Administrative Groups/Exchange Administrative Group (FYDIBOHF23SPDLT) 

    2. 选中 Databases,右击,选择属性:

    3. 点击安全,查看组或成员列表里是否有UserA,并且授予了完全控制权限:

    4. 如果要删除UserA权限的话,您可以直接在列表中选中将其移除,然后点击应用。如果没有立即生效的话,需要重启下 Microsoft Exchange Information Store服务。

    5. 如果要替换成其他用户,您可以在删除UserA后,点击“添加”,输入要替换的用户,赋予“完全控制”权限;然后点击“高级”,选中该用户后双击,将“应用于”的范围修改为“这个对象及全部后代”,之后重启Microsoft Exchange Information Store服务:

    此致,

    Yuki Sun

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 Caesar_CL 2021年5月19日 2:26
    2021年5月18日 10:03
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    Get-MailboxPermission  user01   可以看到 "XXX\USERA"  是继承权限,请问继承哪里的权限(数据库吗?) 

    您好,

    这个官方链接可知,当IsInherited为True时,表示权限继承自邮箱数据库或 AD。对于您描述的情况,这里UserA继承的应当是user01所在数据库的权限。

    根据我的测试和研究,推测“管理员A会自动添加到邮箱的  完全访问  权限中”这个现象,可能是由于您或您环境中的其他管理员曾经用下面的方式给USERA设置了权限,使其对数据库中所有邮箱都有完全访问权限:

    Get-MailboxDatabase <DatabaseName> | Add-ADPermission -User USERA -AccessRights GenericAll -InheritanceType ALL


    您可以用下面的命令,检查确认数据库的非继承权限,看返回结果中是否有USERA:

    Get-MailboxDatabase <DatabaseName> | Get-ADPermission | Where {$_.IsInherited -eq $false}

    如果要全局删除这个权限,可以参考下面的命令:

    Get-MailboxDatabase <DatabaseName> | Remove-ADPermission -User USERA -AccessRights GenericAll


    如果要替换成其他用户,则可以先运行上面的命令删除USERA的权限,然后再运行下面的命令,给指定用户赋予权限:

    Get-MailboxDatabase <DatabaseName> | Add-ADPermission -User <UserName> -AccessRights GenericAll -InheritanceType ALL


    此致,

    Yuki Sun

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2021年5月17日 4:09
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,在当前环境发现,即便是新建的数据库,在保持默认的情况,创建新邮箱后,同样会有这个问题。个人认为这是个全局的设置,请问在EX和AD中哪些设置能够直接实现。  个人感觉和ADSI编辑器关联性更大.

    使用以下命令没有找打非继承管理的权限,在数据库上显示权限也是继承下来的,这个数据库的权限继承哪里的呢?

    database01          xxx\userA          False True

    Get-MailboxDatabase <DatabaseName> | Get-ADPermission | Where {$_.IsInherited -eq $false}
    2021年5月18日 0:52
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,在当前环境发现,即便是新建的数据库,在保持默认的情况,创建新邮箱后,同样会有这个问题。个人认为这是个全局的设置,请问在EX和AD中哪些设置能够直接实现。  个人感觉和ADSI编辑器关联性更大.

    您好,

    如果新建数据库也有这个问题的话,那么确实如您所说,应该是从AD继承的权限。请您参考下面的步骤,用ADSI编辑器查看:

    1. 打开ADSI编辑器,连接到“配置”,依次展开到下面的路径:

    Configuration/Services/Microsoft Exchange/<OrganisationName>/Administrative Groups/Exchange Administrative Group (FYDIBOHF23SPDLT) 

    2. 选中 Databases,右击,选择属性:

    3. 点击安全,查看组或成员列表里是否有UserA,并且授予了完全控制权限:

    4. 如果要删除UserA权限的话,您可以直接在列表中选中将其移除,然后点击应用。如果没有立即生效的话,需要重启下 Microsoft Exchange Information Store服务。

    5. 如果要替换成其他用户,您可以在删除UserA后,点击“添加”,输入要替换的用户,赋予“完全控制”权限;然后点击“高级”,选中该用户后双击,将“应用于”的范围修改为“这个对象及全部后代”,之后重启Microsoft Exchange Information Store服务:

    此致,

    Yuki Sun

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 Caesar_CL 2021年5月19日 2:26
    2021年5月18日 10:03
    |
  • Question
    登录进行投票
    0
    登录进行投票
    十分感谢您的回复,之前也做个上述 ADSI的修改,但是没有将“应用于”的范围修改为“这个对象及全部后代”。   一直很困惑。
    2021年5月19日 2:28
    |