概要本文讨论如何向所有邮箱授予权限。在要完成像脱机恢复这样的任务时,向所有邮箱授予访问权限会很有用。
小心请不要在生产环境中使用此过程允许未经授权的用户访问用户数据。这样做可能会违反贵公司的隐私和安全政策。请在您的网络上实施一个审核计划,以检测并记录系统管理员对网络管理特权的不当使用。
更多信息在 Microsoft Exchange Server 5.5 中,当您将“站点”容器上的“服务帐户管理”访问权限授予一个 Microsoft Windows 帐户后,也就向该帐户授予了对所有邮箱的无限制访问权限。Microsoft Exchange 2000 Server 和 Exchange Server 2003 中 没有服务帐户,设置具有“企业管理员”权限的帐户也没有访问所有邮箱的权限。
注意在 Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003 中,服务通常在安装它们的计算机的帐户下运行。该帐户是本地系统帐户 (LocalSystem),而其密码由 Windows 2000 或 Windows Server 2003 创建和回收。默认情况下,可以使用该服务帐户来访问 Exchange 邮箱、公共文件夹存储区和其他 Windows 资源,以执行邮件传送和目录同步。
如果您的登录帐户是 Administrator 帐户或者是 Domain Admins 或 Enterprise Admins 组中的一个成员,就会明确地拒绝您对除您自己的邮箱以外的其他邮箱的访问权,即使您对 Exchange 系统有完全管理权限也是如此。所有 Exchange Server 2003 管理任务都可以在不用向管理员授予足以能够阅读其他人的邮件的情况下执行。
可以使用几种方法覆盖此默认限制,但只有在贵组织的安全和隐私政策允许的情况下,才应这样做。通常,只有在恢复服务器环境中才适合使用这些方法。
方法 1如果您不是 Administrator,或者如果您不是 Domain Admins 或 Enterprise Admins 组的成员,可将您的帐户添加到 Exchange Domain Servers 组中。添加之后,您就具有对该域中服务器上的所有邮箱的完全访问权限了。
注意若要使用方法 1,Exchange Domain Servers 组必须具有“另外接收为”权限。 方法 2您可以通过更改“Exchange 系统管理器”树最顶端的组织对象的权限,向 Windows 2000 或 Windows Server 2003 管理员授予对整个组织中所有邮箱的权限。如果您不想授予这样普遍的权限,可以使用本文“方法三”部分中提供的说明仅授予对个别数据库的访问权限。
对管理员显式拒绝权限是在组织对象上通过拒绝“另外接收为”和“另外发送为”权限设置的。对于那些您希望让他们具有完全访问权限的帐户,您可以取消这些拒绝。但请注意,如果某个帐户属于管理员组,则该帐户将仍然无法访问邮箱,这是因为对组的拒绝将优先于授予个别帐户的权限。
注意若要在组织对象上更改安全性,则必须在“Exchange 系统管理器”中强制显示“安全”选项卡。 警告 注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。 若要强制显示“安全”选项卡,请按照下列步骤操作: 1.
单击“开始”,然后单击“运行”。
2.
在“打开”框中,键入 regedit,然后按 Enter 键。
3.
在注册表编辑器中,找到注册表中的以下子项: HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin
4.
在“编辑”菜单上,指向“新建”,然后单击“双字节值”。
5.
键入 ShowSecurityPage,然后按 ENTER 键。
6.
按 Enter 键。
7.
在“编辑 DWORD 值”对话框中的“数值数据”框中键入 1,然后单击“确定”。
8.
退出注册表编辑器。
方法 3
若要通过“Exchange 系统管理器”向您的管理帐户授予对单个数据库中所有邮箱的访问权限而不管继承的显式拒绝,请执行以下操作: 1.
启动“Exchange 系统管理器”,然后找到要对其中存储的邮箱具有完全访问权限的数据库。
2.
打开此对象的属性,然后单击安全选项卡。
如果看不到“安全”选项卡,请参见上文中有关启用“安全”选项卡的步骤。
3.
在该对象上向您的帐户授予完全显式权限,包括“另外接收为”和“另外发送为”权限。
进行完此更改后,您可能仍会看到将不可用的“拒绝”和“允许”权限指派给了您的帐户。不可用的权限表明,通过继承您已被拒绝了权限,但是您在此级别又继承了权限。在 Windows 权限模型中,显式授予的权限将覆盖继承的权限。请注意,“较低级别的显式允许”覆盖“较高级别的显式拒绝”的情况仅限于在设置此覆盖的单个对象上,而不包括该对象的子对象。这可以防止您在一台服务器上授予自己对所有数据库的访问权限;您必须针对各个数据库分别授予权限。
更改权限后,您必须注销并重新登录。Microsoft 还建议您停止并重新启动所有 Exchange 服务。如果林中有多个域控制器,则可能还必须要等到目录复制完成。
,
