none
邮箱管理员替用户发送邮件权力咨询 RRS feed

  • 问题

  • 1. 邮件管理员加入Organization Management组之后,发送邮件的时候在发件人手动随便填写一个邮箱地址就可以替任何人发送邮件,并且收件人看到的发件人就是手动输入的用户,这是正常的吗?

    2.当该邮件管理员退出Organization Management组之后,仅仅是普通邮箱账号之后,为什么发送邮件的时候依然可以在发件人手动随便填写一个邮箱提示就可以替任何人发送邮件?这是什么原因,如何处理?是因为AD信息没有及时生效吗?因为发现重启AD之后,会恢复正常,是因为AD与EX之间的复制机制?




    • 已编辑 MSTEO 2021年9月17日 5:59
    2021年9月17日 5:30

全部回复

  • 1. 邮件管理员加入Organization Management组之后,发送邮件的时候在发件人手动随便填写一个邮箱地址就可以替任何人发送邮件,并且收件人看到的发件人就是手动输入的用户,这是正常的吗?

    您好,

    默认情况下,Organization Management组是没有用户的Send As权限的。从您描述的情况来看,推测可能是之前已经把用户的Send As 的权限给到了Organization Management组。建议您找一个用户,例如您上图中提到的baifei@demo.com,然后通过EAC或者用下面的命令看下Send As权限的赋予情况:

    Get-ADPermission -Identity <UserIdentity> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights,IsInherited


    2.当该邮件管理员退出Organization Management组之后,仅仅是普通邮箱账号之后,为什么发送邮件的时候依然可以在发件人手动随便填写一个邮箱提示就可以替任何人发送邮件?这是什么原因,如何处理?是因为AD信息没有及时生效吗?因为发现重启AD之后,会恢复正常,是因为AD与EX之间的复制机制?

    这个确实是有可能的。后续再有相同的问题,您可以尝试等待一段时间看权限是否可以同步。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月17日 8:44
  • 您好,

    关于这个问题,请问您那边的情况怎么样了呢?如果您对此问题有任何疑问或需要进一步的帮助,欢迎您随时回帖。 

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月21日 23:49
  • 请你可以去测试下将用户加入那个组再做结论!我新搭建的环境都是这种情况,这肯定是没有手动加过权限的,只要属于Organization Management组就拥有这个权限!,我尝试了exchange 2013\2016\2019均有这种情况,不知是否属于exchange的漏洞
    • 已编辑 MSTEO 2021年9月22日 1:37
    2021年9月22日 1:36
  • 您好,

    很抱歉没有在之前的回复中把我的测试过程也一并分享给您,现补充如下:

    环境:Exchange 2019
    测试步骤:

    1. 考虑到我环境中Organization Management组里现有的Administrator 同时也在一些其他组里,为了排除干扰,我这里选择了一个不在任何管理员权限组的普通用户User1, 将其加入了Organization Management组:
    2. 用User1的账号登陆OWA,新建一封邮件,将发件人编辑为其他用户,点击发送时,显示无权限:
    3. 用之前回复中提到的命令检查User2的Send As权限,没有Organization Management组:
    4. 通过ADUC对User2或其他任意用户进行查看,也确实没有看到Organization Management组有Send As 权限:
    5. 在另一个完全不相关的Exchange 2016环境中测试下来也是一样的结果。

    请问您测试时用的步骤是什么呢?方便的话还请您分享下,我这边可以再根据您的步骤测试下看能否重现。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月22日 8:22
  • 需要时间生效的,你可以等个半天或者1天的时间,我测试环境也是如此,但是等待ad与ex之间完全同步完就可以了,麻烦你再次测试验证下。
    2021年9月22日 8:27
  • 您好,

    我这边把User1加入了Organization Management组后等待了超过24小时,但测试结果还是和上面一致,User1 没有其他用户的Send As权限。

    但同时我有尝试随机找了几个用户,如User4,通过ADUC把Organization Management组的Send As 权限勾选上了:

    此时,用命令可以看到,Organization Management组有了User4的Send As权限:

    再用User1的账号(Organization Management组成员)登陆邮箱,发件人填User4的地址,没有再出现无权限发送的提示,邮件可以成功以User4的地址发出。

    请问您那边是否有用ADUC或上述提到的Get-ADPermission对用户的Send As权限检查看看呢?

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月24日 0:16
  • 对,是的,通过ADUC上面加的的确是这样,默认的administrator就是这种现象,环境装好ad,这个administrator肯定是先有域管理员权限,然后再有exchange权限的,这是因为ad权限的原因?

    • 已编辑 MSTEO 2021年9月27日 2:26
    2021年9月26日 2:53
  • 默认的administrator就是这种现象,环境装好ad,这个administrator肯定是先有域管理员权限,然后再有exchange权限的,这是因为ad权限的原因?

    您好,

    注意到您这里提到的是域管理员权限,想再跟您确认下,您之前测试的时候,加入的也是域管理员组(Domain Admins)吗?如果是的话,我们通过ADUC可以看到,默认情况下,Domain Admins这个组确实是都有Send As权限的:

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月28日 5:42
  • 是的,加入了domain adminis组
    2021年9月29日 6:25
  • 是的,加入了domain adminis组

    您好,

    这样的话,您原帖中描述的是正常情况。如我们上述提到的,Domain Admins组默认有Send As权限。下面这个英文帖子中也有相关讨论:
    Exchange 2013 Send as and ms-Exch-Public-Delegates Permissions 

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月29日 6:56
  • 好的,那应该是这个问题了,另外请问你们是否不在windows server类型得帖子回答问题了?我在这里开了几个问题一直没工程师回答。

    2021年9月29日 7:25
  • 您好,

    由于我们这边只负责Exchange Server 论坛,很抱歉关于其他论坛的的情况我们这边也不太了解。如果您有关于Windows Server的紧急问题,建议您也可以考虑联系微软开启电话支持案例进行处理。但关于Exchange服务器相关的问题,后续您还是可以在Exchange Server论坛发帖讨论。谢谢您的理解与支持。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月29日 7:39
  • 您好,

    关于本案例讨论的Send As权限问题,请问您还有其他相关疑问吗?如果有的话可以再回帖讨论。另外如果上述的回复有帮到您,还请您将其“标记为答案”,以帮助其他社区成员快速找到有用的回复。谢谢您的理解与支持。

    此致,

    Yuki Sun


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年9月30日 8:31