如何在Exchange 2000中获得对所有邮箱的服务帐户访问

12/3/2006来源:Exchange Server人气:5608

概要

在 Microsoft Exchange Server 5.5 中,当您将“站点”容器上的“服务帐户管理”特权授予一个 Microsoft Windows 帐户后,也就向该帐户授予了对所有邮箱的无限制访问权。默认情况下 Exchange 2000 中没有服务帐户,甚至具有“企业管理员”权限的帐户也得不到访问所有邮箱的权限。

在某些情况下(例如,对整个邮箱数据库执行脱机恢复),授予对所有邮箱的访问权仍很有用,因为这样就不必逐个邮箱地执行授权操作。本文将介绍如何做到这一点。

注意:不要在生产环境中使用此过程,以免出现对用户数据的未授权访问,违反公司的隐私和安全政策。在您的网络上实施一个审核计划,以发现并记录系统管理员对网络特权的不当使用。

更多信息

如果您的登录帐户是 Administrator 帐户或者是 Domain Admins 或 EnterPRise Admins 组中的一个成员,就会明确地拒绝您对除您自己的邮箱以外的其他邮箱的访问权,即使您对 Exchange 系统有完全管理权限也是如此。与 Exchange Server 5.5 不同,所有 Exchange 2000 管理任务都可以在不用向管理员授予足以能够阅读其他人的邮件的情况下执行。

有几种方法可覆盖此默认设置限制,但是需要再次强调的是,这样做时应遵守贵组织的安全和隐私策略。在多数情况下,只有在恢复服务器环境中才适合使用这些方法。

方法 1

如果您不是 Administrator,也不是 Domain Admins 或 Enterprise Admins 组的一名成员,那么您可以将您的帐户添加到 Exchange Services 或 Exchange Domain Servers 组,这样您就会得到对该域中的服务器上所有邮箱的完全访问权。

注意:如果您从未在组织中部署过 Active Directory 连接器,则 Exchange Services 组可能不存在。

方法 2

您可以通过更改“Exchange 系统管理器”树最顶端的组织对象的权限,以向 Windows 管理员授予对整个组织中所有邮箱的权限。如果您不想授予这样的全包式的访问权,则您可以使用“方法 3”,以只授予对个别数据库的访问权。

向管理员显式拒绝权限是在组织对象上通过拒绝“另外接收为”和“另外发送为”权限设置的。对于那些您希望让他们具有完全访问权的帐户您可以清除这些拒绝。但是一定要知道,如果某一帐户属于管理员组,则该帐户将仍然无法访问邮箱,这是因为对组的拒绝将优先于授予个别帐户的权限。

如要更改组织对象的安全性,您必须强制显示“Exchange System 管理员”中的安全选项卡。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

259221 XADM:Security Tab Not Available on All Objects in System Manager

方法 3

如要通过“Exchange 系统管理器”向您的管理帐户授予对单个数据库中所有邮箱的访问权而不管继承的显式拒绝,请:
  1. 启动“Exchange 系统管理器”,然后展开 Exchange 系统树,直到找到您想对其拥有完全邮箱访问权的数据库对象,例如“邮箱存储”(SERVER1)。
  2. 打开此对象的属性,然后单击安全选项卡。如果您未看到安全选项卡,请参考“方法 2”中介绍的知识库文章。
  3. 向您的帐户授予对该对象的完全的显式权限,包括“另外接收为”和“另外发送为”权限。
做此更改后,在您的帐户上可能仍会看到灰色的“拒绝”标记和黑色的“允许”标记。这表明,通过继承您已被拒绝了权限,但是您在此级别又继承了权限。在 Windows 授权模型中,显式授予的权限 - 无论是“拒绝”还是“允许”- 都覆盖继承的权限。注意,较低级别的显式“允许”覆盖较高级别的显式“拒绝”的情况仅限于在设置此覆盖的对象上,而不包括该对象的子对象。这意味着您无法赋予自己对一个服务器上所有数据库的访问权;您必须针对具体的数据库分别授权。

在您更改权限后,您可能需要注销并重新登录。您还需要停止并接着重新启动所有的 Exchange 服务来刷新目录缓存(或者等待 10 分钟直到它超时)。如果您在林目录中有多个域控制器,则可能还要等到目录复制完成。