Ausführen eines Postfachzugriffsberichts ohne Besitzer in Exchange 2013
Gilt für: Exchange Server 2013
Der Nicht-Besitzer-Postfachzugriffsbericht im Exchange Admin Center (EAC) listet die Postfächer auf, auf die von einer anderen Person als der Person zugegriffen wird, die das Postfach besitzt. Wenn ein Nicht-Besitzer auf ein Postfach zugreift, protokolliert Microsoft Exchange Informationen zu dieser Aktion. Das Postfachüberwachungsprotokoll wird als E-Mail-Nachricht in einem ausgeblendeten Ordner im überwachten Postfach gespeichert. Die Einträge aus diesem Protokoll werden als Suchergebnisse angezeigt und enthalten eine Liste mit Postfächern, auf die von einem Nicht-Besitzer zugegriffen wurde, sowie Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Standardmäßig werden Einträge im Postfachüberwachungsprotokoll 90 Tage lang aufbewahrt.
Wenn Sie die Postfachüberwachungsprotokollierung für ein Postfach aktivieren, protokolliert Microsoft Exchange bestimmte Aktionen von Nichtbesitzern, einschließlich Administratoren und Benutzern, die als delegierte Benutzer bezeichnet werden und denen Berechtigungen für ein Postfach zugewiesen sind. Die Suche kann auch auf Benutzer innerhalb oder außerhalb der Organisation eingegrenzt werden.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Postfachüberwachungsprotokollierung" im Thema Berechtigungen für Messagingrichtlinien und -kompatibilität.
Informationen zu Tastenkombinationen, die für die Verfahren in diesem Thema gelten, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange 2013.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Aktivieren der Postfachüberwachungsprotokollierung
Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Wenn die Postfachüberwachungsprotokollierung nicht aktiviert ist, erhalten Sie beim Ausführen eines Berichts keine Ergebnisse.
Führen Sie den folgenden Shellbefehl aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.
Set-Mailbox <Identity> -AuditEnabled $true
Führen Sie beispielsweise den folgenden Befehl aus, um die Postfachüberwachung für einen Benutzer mit dem Namen Florence Flipo zu aktivieren.
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Sie die Postfachüberwachungsprotokollierung erfolgreich konfiguriert haben.
Get-Mailbox | Format-List Name,AuditEnabled
Der Wert für True die AuditEnabled-Eigenschaft überprüft, ob die Überwachungsprotokollierung aktiviert ist.
Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer
Navigieren Sie im EAC zu Überwachung der Complianceverwaltung>.
Klicken Sie auf Bericht für Nicht-Besitzer-Postfachzugriff ausführen.
Standardmäßig führt Microsoft Exchange den Bericht für den Nicht-Besitzerzugriff auf Alle Postfächer im organization in den letzten zwei Wochen aus. Die in den Suchergebnissen aufgeführten Postfächer sind für die Postfachüberwachungsprotokollierung aktiviert.
Wählen Sie zum Anzeigen von Nicht-Besitzer-Zugriffen für ein bestimmtes Postfach das Postfach in der Liste der Postfächer aus. Sehen Sie sich die Suchergebnisse im Detailbereich an.
Tipp
Eingrenzen der Suchergebnisse? Wählen Sie das Startdatum und/oder das Enddatum sowie bestimmte Postfächer aus, die durchsucht werden sollen. Klicken Sie auf Suchen, um den Bericht erneut auszuführen.
Suchen nach bestimmten Typen von Nicht-Besitzer-Zugriff
Sie können auch den Typ des Zugriffs ohne Besitzer angeben( auch als Anmeldetyp bezeichnet), nach dem gesucht werden soll. Sie haben folgende Möglichkeiten:
Alle Nicht-Besitzer Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation. Umfasst außerdem Zugriffe durch Benutzer außerhalb Ihrer Organisation.
Externe Benutzer Dient zum Suchen nach Zugriffen durch Benutzer außerhalb Ihrer Organisation.
Administratoren und delegierte Benutzer Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation.
Administratoren Dient zum Suchen nach Zugriffen durch Administratoren in der Organisation.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Überprüfen Sie den Suchergebnisbereich, um zu überprüfen, ob Sie erfolgreich einen Postfachzugriffsbericht ohne Besitzer ausgeführt haben. Postfächer, für die Sie den Bericht ausgeführt haben, werden in diesem Bereich angezeigt. Wenn es keine Ergebnisse für ein bestimmtes Postfach gibt, ist es möglich, dass kein Zugriff durch einen Nichtbesitzer erfolgt oder dass der Zugriff ohne Besitzer nicht innerhalb des angegebenen Datumsbereichs erfolgt. Stellen Sie wie zuvor beschrieben sicher, dass die Überwachungsprotokollierung für die Postfächer aktiviert ist, die Sie nach Dem Zugriff durch Nicht-Besitzer suchen möchten.
Was wird im Postfachüberwachungsprotokoll protokolliert?
Wenn Sie einen Nicht-Besitzer-Postfachzugriffsbericht ausführen, werden Einträge aus dem Postfachüberwachungsprotokoll in den Suchergebnissen im EAC angezeigt. Jeder Berichtseintrag enthält folgende Informationen:
Wer auf das Postfach zugegriffen hat und wann
Die Aktionen, die vom Nichtbesitzer ausgeführt werden
Die betroffene Nachricht und deren Ordnerspeicherort
Ob die Aktion erfolgreich war
In der folgenden Tabelle sind die Von Nicht-Besitzern ausgeführten Aktionen aufgeführt, die von der Postfachüberwachungsprotokollierung protokolliert werden können. In der Tabelle gibt ein Ja an, dass die Aktion für diesen Anmeldetyp protokolliert werden kann, und ein Nein gibt an, dass eine Aktion nicht protokolliert werden kann. Ein Sternchen ( * ) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die Postfachüberwachungsprotokollierung für das Postfach aktiviert ist. Wenn Sie Aktionen nachverfolgen möchten, die nicht standardmäßig protokolliert werden, müssen Sie PowerShell verwenden, um die Protokollierung dieser Aktionen zu aktivieren.
Hinweis
Ein Administrator, dem die Vollzugriffsberechtigung für das Postfach eines Benutzers zugewiesen wurde, gilt als delegierter Benutzer.
| Aktion | Beschreibung | Administrator | Delegierter Benutzer |
|---|---|---|---|
| Copy | Eine Nachricht wurde in einen anderen Ordner kopiert. | Ja | Nein |
| Create | Ein Element wird im Ordner Kalender, Kontakte, Notizen oder Aufgaben im Postfach erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht. | Ja* | Ja* |
| FolderBind | Auf einen Postfachordner wurde zugegriffen. | Ja* | Ja |
| Dauerhaft löschen | Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. | Ja* | Ja* |
| MessageBind | Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet. | Ja | Nein |
| Verschieben | Eine Nachricht wurde in einen anderen Ordner verschoben. | Ja* | Ja |
| In Ordner "Gelöschte Objekte" verschieben | Eine Nachricht wurde in den Ordner "Gelöschte Objekte" verschoben. | Ja* | Ja |
| Senden als | Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. | Ja* | Ja* |
| Senden im Auftrag von | Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. | Ja* | Ja |
| Vorläufig löschen | Eine Nachricht wurde aus dem Ordner "Gelöschte Objekte" gelöscht. | Ja* | Ja* |
| Update | Eine Nachricht wurde geändert. | Ja* | Ja* |
Hinweis
* Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.