web-dev-qa-db-ja.com

管理者はすべてのメールボックスにアクセスできます-どうすれば停止できますか?

私たちの組織では、DOMAIN\Administratorアカウントはすべてのメールボックスにアクセスできます。つまり、DOMAIN\AdministratorとしてOutlook Web Accessにログインし、別のメールボックスを開くと、そのユーザーのメールボックスが表示されます。

なぜこれが行われたのかはわかりません。疑わしいのですが、それは私の問題ではありません。そのような責任は負いたくないので、このアクセス許可を削除します。

すべてのメールボックスを検索して、DOMAIN\Administratorが持っているアクセス権(フルアクセス、送信者、または代理送信)を削除することはできますか?

Microsoft Exchange 2013を搭載した4台のWindows Server 2012サーバーを実行しています。

exchangewindows-server-2012windowsexchange-2013
2
user4166144

これは、おそらくDOMAIN\AdministratorOrganization Management グループのメンバーであることの結果です。そのグループの説明から:

この管理役割グループのメンバーには、Exchange組織内のExchangeオブジェクトとそのプロパティを管理する権限があります。メンバーは、組織の役割グループと管理役割を委任することもできます。この役割グループは削除しないでください。

またはTechnetから

組織の管理役割グループのメンバーである管理者は、Exchange 2013組織全体への管理アクセス権を持ち、一部の例外を除いて、任意のExchange 2013オブジェクトに対してほとんどすべてのタスクを実行できます。既定では、この役割グループのメンバーは、メールボックスの検索および対象範囲外の最上位の管理役割の管理を実行できません。

これは基本的にExchangeのグループで、Active DirectoryのDomain Adminsグループに似ています。メンバーはExchangeの管理者権限を持ち、これには任意のメールボックスにログインする機能(デフォルト)が含まれます。もちろん、そのグループからDOMAIN\Administratorを削除することもできますが、そのグループに対する変更権限を持つすべてのユーザー(ドメイン管理者など)は、そのユーザーまたはその他のユーザーを簡単に追加できます。

万一、DOMAIN\Administratorユーザーが各メールボックスへのアクセス許可を持つように明示的に定義されている場合、 PowerShellスクリプトを使用して削除できます ですが、同じ問題が発生します-そのユーザー、および組織管理グループの変更権限を持つユーザーは、そのユーザーまたはその他のユーザーを簡単に追加できます。

結論として、管理者は自分がやりたいことを何でもできる権限を持っています(または簡単に自分自身に与えることができます)。これは管理者アカウントの性質であり、実際に回避することはできません。

17
HopelessN00b

組織管理は、OWAを使用してメールボックスにアクセスする許可を実際には与えません。実際、デフォルトでは、このグループは、同じ理由で、すべてのメールボックスへのアクセスを明示的に拒否されています。このアカウントには、すべてのメールボックスに対する権限が個別に付与されているのではないかと思います。

次のようなコマンドを使用して確認できます。

Get-Mailbox | Get-MailboxPermission -User DOMAIN\Administrator | where {-not $ 。IsInherited} Get-Mailbox | Get-ADPermission | where {-not $。IsInherited}

それらを削除するには、Remove-MailboxPermissionまたはRemove-ADPermissionを最後に追加するだけです。 (あなた自身の責任でこれを行ってください...これはすべて頭から離れています。そのため、完全なコマンドを含めていません。おそらく、管理者自身のメールボックスなど、除外したいメールボックスがいくつかあります。)

これが、Blackberry Enterprise Serverのサービスアカウントを組織管理に含めてはならない理由です。代わりに、すべてのメールボックスへのアクセスを許可するための特定の指示があります。

私は特にExchange 2013についてこれを調べたわけではありませんが、他の回答はどれもExchange 2013にとって新しいものであるとは主張していないので、それらは単に間違っていると思います。

4
user259176

メッセージから、あなたは管理者である可能性があります。もしそうなら、あなたは時々それらを必要とするのであなたは権利を持っています。許可しますが、付与された特権を乱用しないでください。信頼できる管理者は、職務を行うために必要な場合にのみ権利を使用します。これらの義務には、特定のコンテンツの電子メールのスキャン、電子メールソースの追跡、および他のユーザーの電子メールへのアクセスを必要とするその他のアクティビティが含まれます。

誰かを管理者にする場合は、次のことを考慮してください。

管理の権利を持つ人はだいたい王国の鍵を握っています。それらを信頼できない場合は、管理者にしないでください。彼らはあなたがアクセスを削除するためにあなたがする何でもかなり元に戻すことができる立場にあるべきです。

ほとんどのソリューションは、管理者が最適に実装できると思います。メールサーバーは、メールボックスを復号化できる必要があります。これにより、管理者はメールボックスにアクセスできます。

両端でメールメッセージを暗号化することができます。ただし、これにより、メールを交換できる相手が大幅に制限されます。管理者が暗号化ソフトウェアをインストールしてデバッグできるようにしたい場合があります。

管理者は、パケットキャプチャによってメールにアクセスすることもできます。これはもっと難しいですが、それほど難しいことではありません。

信頼できる管理者は、権限を乱用しません。メールフォルダーにアクセスする必要がある場合は、アクセスを可能な限り制限します。

2
BillThor