Domain Adminsグループに、Exchange 2010のすべてのメールボックスへのフルアクセスを許可しようとしています。これには、この実装後に作成された新しいメールボックスも含まれます。少し読んで、次のPowershellコマンドを思いつきました。
Get-MailboxDatabase | Add-ADPermission -User "Domain Admins" -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As
ただし、これは機能しませんでした。これどうやってするの?
ありがとう!
免責事項:管理者がメールボックスの内容にアクセスできるようにすることの法的な影響に注意してください。
これを行う最も簡単な方法は、ADのメインのExchange組織オブジェクトのDomain AdminsグループとEnterprise Adminsグループに割り当てられている送信者と受信者の明示的な拒否アクセス許可を削除し、その後どこにでも継承することです。これらのアクセス許可はそこにあります正確に管理者がメールボックスの内容にアクセスできないようにします。そうでなければ、自由にアクセスできます。
ADサイトとサービスを使用して、組織オブジェクトの権限を変更できます(サービスノードが表示されていることを確認してください)。
Exchange 2010の展開以降、このリンクを使い続けています: http://msundis.wordpress.com/2011/06/21/manage-full-access-permissions-on-mailboxes-in-exchange -2010 /
具体的には:
Get-Mailbox | Where { $_.Database –eq “” } | Add-MailboxPermission -User “Domain Admins” -AccessRights Fullaccess -InheritanceType all
And then this one for send as:
Get-Mailbox | Where { $_.Database –eq “” } | Add-AdPermission -User “Domain Admins” -AccessRights extendedright -ExtendedRights “send as
それらのPSスクリプトを作成し、毎晩(または何でも)スケジュールされたタスクとして設定すると、新しいメールボックスも処理されます。
Exchangeのエンタープライズ管理者とドメイン管理者が明示的に拒否すると、このようなさまざまな問題が発生します。
私が見つけた唯一の方法は:
私は誰かがより良い方法を持っていることを願っています。権限をメールストアまたはデータベースレベルからメールボックスに継承することは、確かに素晴らしいことです...
スクリプトエージェント が必要です。これにより、メールボックスが作成されるたびにPowerShellスクリプトが実行されます。
これを使用して、メールボックスのクリーンアップポリシーを割り当て、ユーザーの言語とタイムゾーンを設定して、OWAへのログイン時にプロンプトが表示されないようにします。スクリプトは次のとおりです。
<?xml version="1.0" encoding="utf-8" ?>
<Configuration version="1.0">
<Feature Name="MailboxProvisioning" Cmdlets="new-mailbox">
<ApiCall Name="OnComplete">
if($succeeded) {
$newmailbox = $provisioningHandler.UserSpecifiedParameters["Name"]
set-mailbox -identity $newmailbox -language 'en-US' -RetentionPolicy "Mailbox Cleanup"
set-mailboxregionalconfiguration -identity $newmailbox -language 'en-US' -timezone 'Eastern Standard Time'
}
</ApiCall>
</Feature>
</Configuration>