Стоит задача под одной учётной записи забирать из Exchange 2003 для анализа все письма всех пользователей. При логине через встроенную учётную запись Administrator могу забрать письма только из ящика админа, обращение к любому другому ящику приводить к сообщению, что не достаточно прав.

Вопрос, можно ли добавить прав, чтобы под Administrator залезть в любой почтовый ящик и забрать там всю почту? И как это можно сделать?

Здравствуйте, sysenter, Вы писали:

S>Стоит задача под одной учётной записи забирать из Exchange 2003 для анализа все письма всех пользователей. При логине через встроенную учётную запись Administrator могу забрать письма только из ящика админа, обращение к любому другому ящику приводить к сообщению, что не достаточно прав.
S>Вопрос, можно ли добавить прав, чтобы под Administrator залезть в любой почтовый ящик и забрать там всю почту? И как это можно сделать?
В MMC остнастке Domain Users and Computers включить в меню "Вид" опцию "Дополнительные функции". После этого в свойствах пользователя появятся доп. закладки среди которых Exchange Advanced на которой будет кнопка mailbox rights. Дальше думаю все будет понятно...

S>Вопрос, можно ли добавить прав, чтобы под Administrator залезть в любой почтовый ящик и забрать там всю почту? И как это можно сделать?

Мутная инструкция из инета:

Download ADSIEdit.

1.Navigate to Configuration\Services\Microsoft Exchange\organization-name\Administrative Groups\Exchange Administrative Group\SERVERNAME.
2.Go to the properties of this 'folder' and choose the security tab. Add the user you wish to have access to all databases on this server, giving them full control rights. Ensure there are no deny attributes being inherited at the administrative group or organization level. By default Exchange administrators have deny rights applied.
It is not possible to give permissions to just a single database using this method as if security is applied at a child level the option to apply to child objects is disabled as ADSIEdit does not see the child mailboxes.

По памяти:

0. Нужен ADSIEdit
1. После того как открыл нужный контейнер во вкладке секьюрити или пермишинс (не помню) добавляешь Домайн Админс (например)
2. Достаточно поставить Receive-As чтобы читать чужую почту, но обычно ставят сразу Send-As, чтобы можно было отправлять от чужого имени (мало ли).

Особенности:
1. Обязательно проверь что эти АСЕ распространяются на дочерние объекты
2. Применяются разрешения к ящикам майлбокс сторе в течение 15 мин — 1 часа, кажется что опять не получилось, рестарт не поможет, если только подтолкнет синхронизацию с АД
3. Проверить легко выбрав в Оутлуке Файл — Открыть — Ящик другого пользователя
4. Так как делаем на уровне сервера, получишь доступ как на вновь создаваемые ящики, так и на новые базы на этом сервере.

Для Эксчендж 2007 — 2010 лучше делать через менеджмент шелл.

Здравствуйте, Sergeant_BY, Вы писали полный бред:
S_B>В MMC остнастке Domain Users and Computers включить в меню "Вид" опцию "Дополнительные функции". После этого в свойствах пользователя появятся доп. закладки среди которых Exchange Advanced на которой будет кнопка mailbox rights. Дальше думаю все будет понятно...
Большая часть прав для почтовых ящиков наследуется от объектов, недоступных в остнастке "Domain Users and Computers".
Абсолютно правильно ответил dpyzh: для 2003 надо использовать ADSIEdit, а для 2007 и 2010 — Windows PowerShell.