ExchangeRUS.ru

Всё о о Microsoft Exchange Server и электронной почте.

Recipient Administrator и как ограничить его права

Опубликовано По

mail user В последнее время меня очень часто спрашивали — как ограничить права администратора получателей в Exchange 2007 ? Суть проблемы в следующем. Роль администратора получателей имеет область применения на всю организацию Exchange. Иными словами, администратор может создать пользователя с почтовым ящиком в любом хранилище почтовых ящиков любого сервера Exchange 2007. Более того, зачастую этот пользователь не обладает правами recipient administrator на уровне всей организации, но например, является администратором дочернего домена, которому делегированы права Exchange Server Administrator для управления серверами, развернутыми в этом домене, и Exchange View-Only Administrator для просмотра информации об объектах организации Exchange

До последнего времени у меня не было ответа на этот вопрос. Давайте разберемся, в чем проблема

Для эффективного управления получателями у учетной записи администратора должны быть права, описанные в статье technet

В этом случае при создании почтового ящика у пользователя меняются ряд атрибутов, и проконтролировать — какие именно значения примут эти атрибуты не представляется возможным. Кроме того, при создании почтового ящика, меняется атрибут объекта хранилища почтовых ящиков, а именно HomeMDBBL. Этот атрибут содержит список Distinguished Names всех пользователей, чьи почтовые ящики располагаются в этом хранилище. Однако этот атрибут модифицируется независимо от того, есть ли у пользователя права на изменение этого свойства хранилища, или нет. Более того, администраторы получателей такого права не имеют

 permissions

Так как же нам решить поставленную задачу? Как разрешить администратору создавать почтовые ящики только в определенных хранилищах?

Ответ такой. Для этого необходимо в явном виде запретить этим пользователям или группам пользователей видеть хранилища почтовых ящиков, где они не должны иметь возможность создания ящиков (Deny — Read). Следует отметить, что поддерживать данную схему достаточно сложно, особенно при большом количестве серверов и хранилищ. Создание каждого нового хранилища будет сопряжено с дополнительными дейтствиями по назначению соотвествующих разрешений.  Кроме того, сложно сказать — насколько данное решение будет поддерживаемым. Для больших организаций, как правило, это немаловажный аргумент

Как всегда, жду ваших комментариев

Похожие посты:

  • http://www.exchangerus.ru Pavel Nagaev

    Нда, не очень удобно вручную права раздавать. Думаю можно скрипт сварганить, который будет права расставлять. Нужно у Васи спросить.

  • Stanky

    Конечно можно! Причём этот скрипт более чем тривиален. Но вот для его выполнения хорошо бы иметь какой-нибудь Web-интерфейс. Ибо скрипт и ручное расставление прав, в плане сопровождения, практически равноправны.

  • Alexey Bayganov

    Вариант без использования скрипта — отменить делегирование прав Exchange View-Only Administrator. Это решение, так же использует ограничение в просмотре доступных почтовых хранилищ, на уровне организации Exchange.
    Многие возразят, что, отменяя делегирование прав Exchange View-Only Administrator, нам невозможно просмотреть другие объекты уровня организации. Однако, если рассудить логически, почему, запрещая просмотр почтовых хранилищ, нам необходимо разрешать просмотр других объектов?

  • Sergey Babkov

    Возможно, в большой организации, проще сразу на все хранилища создать руппы с правами доступа — полный доступ, нет доступа и т.о. управлять правами.
    Гораздо проще администрировать и видеть. кто куда имеет или не имеет доступ.