在exchange server环境中,domain admins安全组默认对全体邮箱拥有send AS权限,如何解决?

一夏 覃 40 信誉分
2024-11-21T07:29:32.75+00:00

exchange server版本:Exchange Server 2019 CU13

出现问题:

只要是domain admins组里面的用户,都可以直接获取到所有邮箱的send as权限,以别人的邮箱进行发送。

在ECP页面和powershell命令均没有做过添加send as权限的操作。

请问这种场景有办法解决这个问题吗?

Exchange Server
Exchange Server
Microsoft 客户端/服务器消息传递和协作软件系列。
65 个问题
Outlook
Outlook
Microsoft 电子邮件和日历产品系列。
55 个问题
0 个注释 无注释
{count} 票

1 个答案

排序依据: 非常有帮助
  1. Jake Zhang-MSFT 7,315 信誉分 Microsoft 供应商
    2024-11-22T08:32:50.29+00:00

    您好 @一夏 覃

    欢迎您来到微软中文论坛!

    根据您的描述,在Exchange Server中,Domain Admins组中的成员默认情况下会拥有广泛的权限,这包括访问和管理邮箱的能力。为了解决您提到的这个问题,可以考虑以下几种方法:

    1. 调整Active Directory权限:
    • 将Domain Admins组从Exchange特定的管理角色中移除。可以通过调整Active Directory的安全设置来限制其对Exchange的管理权限。
    • 请注意,这种方法需要小心处理,因为错误的权限更改可能会导致其他管理问题。
    1. 为那些需要管理Exchange的管理员创建特定的、权限更有限的管理角色。以下是使用 PowerShell 创建和分配新管理角色组的方法:
    # 创建新的角色组
    New-RoleGroup -Name "Limited Exchange Admins" -Roles "Recipient Management", "View-Only Organization Management" 
    # 将用户添加到新的角色组
    Add-RoleGroupMember -Identity "Limited Exchange Admins" -Member User1, User2
    
    1. Exchange Server可以使用基于角色的访问控制(RBAC)来管理和分配权限。确保只有需要特定权限的管理员才被分配到相应的角色。

    请确保在进行任何更改之前,备份相关数据,并在测试环境中进行测试,以防止在生产环境中出现意外问题。


    如果答案有帮助,请点击“接受答案”并投赞成票。如果您对此答案有其他疑问,请点击“评论”


你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。