Exchange权限设置
问题
全部回复
-
邮件默认管理员administrator拥有的权限非常大,拥有授权到用户邮箱的所有权限,从而进入用户邮箱,请问是否可以单独设置一个管理员账号,唯独没有委派可以拥有用户邮箱-AccessRights ("FullAccess”) 的权限,但是不影响其他权限功能?
您好,
默认情况下,管理员administrator确实会有Full Access 的权限,但是其Deny属性默认是True,也就是说,administrator会被阻止打开用户邮箱,如果通过EAC查看用户邮箱的Full Access权限,Administrator默认也不会出现在列表里。
用Get-MailboxPermission 命令随机查看用户的邮箱权限时也可以看到,Administrator的Deny属性默认是True,即管理员会被拒绝打开该用户的邮箱:
我这边测试下来也确实如此,当管理员尝试打开一个用户邮箱,会遇到如下报错提示没有权限:
如果在您当前的环境中,管理员Administrator出现在用户邮箱的Full Access列表中并且可以成功打开用户邮箱,有可能是下面两个原因,建议您新建一个用户邮箱后再看下管理员是否可以打开该用户邮箱:
- 如果新建的邮箱没有权限访问,推测是之前被手动批量添加过权限,做法可参考这篇文档。
- 如果新建的用户邮箱也可以访问,则有可能是之前在AD或者数据库层面给管理员添加过完全访问权限。这个情况您可以参考下面这个帖子中的讨论:
咨询权限问题
希望上述信息可以帮到您。如果还有相关疑问,您可以再回帖讨论,同时移除个人信息后附上下面这个命令的返回结果:
Get-MailboxPermission -Identity user@contoso.com | ft
此致,
Yuki Sun
如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.
- 已编辑 Yuki SunMicrosoft contingent staff 2023年1月20日 6:49
- 已建议为答案 Yuki SunMicrosoft contingent staff 2023年1月23日 7:54
- 取消建议作为答案 MSTEO 2023年1月29日 1:34
-
默认的这个administrator可以不用管,能不能新建一个管理员账号,其他默认的管理权限都有,唯独与默认的adminstrator相比没有可以做以下这个授权的权限。
您好,
您的意思是,新建的管理员账号将无法添加或删除“完全访问”代理人,是吗?
如果是这个需求的话,需要新建一个不包含“Mail Recipients”角色,但其余角色和“组织管理”角色组保持一致的新管理角色组,然后将新建的管理员账号添加进去。具体可以参考下面的步骤:
- 新建一个用户邮箱,如admin02。
- 在EAC中,点击 权限 > 管理员角色, 找到 组织管理(Organization Management),选中,点击上方“复制”图标。
- 在弹出的对话框中,修改新角色组的名称和描述,在”角色“一栏,找到"Mail Recipients",删除。
- 将admin02加入该角色组:
- 以admin02登入EAC后可以看到,Full Access一栏上方没有“+、-”号,也就是说这个管理员账号无法管理用户邮箱Full Access的权限了。
希望上述信息可以帮到您。
另外想请问您,之前这个关于Exchange版本升级的问题,您那边还有其他相关疑问需要咨询吗? 如果没有的话,您可以把有帮助的回复标记一下,以便其他社区用户参考。如果还有相关疑问,您可以继续在对应帖子下继续回帖讨论。
此致,
Yuki Sun
如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.
