背景
在最近从E3升级到E5的小型O365环境中工作。
问题
审核日志显示,用户使用Set-Mailbox操作在其邮箱上启用了DeliverToMailboxAndForward。
问题
PowerShell是发布Set-Mailbox的唯一方法还是可以完成 通过GUI以某种方式通过?
是否有一种方法可以禁止/阻止用户进行此设置(即最终用户是否拥有太多权限)?
当我查询Get-Mailbox user | fl name,forwardingSMTPAddress,delivertomailboxandforward时,ForwardingSmtpAddress为空,而DeliverToMailboxAndForward为False。这是确保禁用操作的唯一方法吗?禁用操作是否会出现在任何事件/审核日志中?
答案 0 :(得分:1)
- PowerShell是发布Set-Mailbox的唯一方法还是可以通过GUI以某种方式完成?
作为Exchange管理员,您可以使用Exchange管理中心(EAC)转到邮件流下的邮箱属性-> 邮箱功能-> ,选择查看详细信息->选中启用转发,然后浏览到收件人。
Configure email forwarding for a mailbox
- 是否有一种方法可以禁止/阻止用户进行此设置(即 最终用户有太多权限)?
从用户的角度来看,他们可以使用Outlook GUI转发:
Forward email from Office 365 to another email account
当我查询
Get-Mailbox user | fl name,forwardingSMTPAddress,delivertomailboxandforward时,ForwardingSmtpAddress为空,DeliverToMailboxAndForward为空 假。这是确保禁用操作的唯一方法吗?是否 禁用操作是否出现在任何事件/审核日志中?
您可以使用PowerShell脚本进行查询,也可以在ECA控制台中导航以进行验证。如果已设置禁用操作,则它应在审核中显示。
关于这个问题,
审核日志显示用户启用了DeliverToMailboxAndForward
Set-Mailbox操作打开他们的邮箱。
通常,大多数用户无权访问Exchange管理控制台,也无法运行PowerShell操作。这使得该审核条目“似乎”很奇怪。但是,然后浏览一下文档,我得出了以下条目:
直接在Exchange命令行管理程序中运行的Cmdlet是 已审核。此外,使用Exchange管理员执行的操作 也记录了中心(EAC),因为这些操作在 背景。
因此,您可能会看到一个条目,该条目是GUI在后台运行cmdlet,而用户实际上没有直接的Exchange命令行管理程序访问权限。至于权限,除非您有业务需要,否则我不确定是否有明确的权限来拒绝此特定操作而不拒绝很多其他内容(即就像拒绝转发邮件的权限一样)。
答案 1 :(得分:0)
这个问题在Office 365论坛中可能会得到更好的答复,但是我会尽力回答您的问题:
当用户更改其配置时,GUI / Web UI正在后端执行PowerShell命令。为了允许在GUI中更改设置,PowerShell cmdlet必须具有相同的权限。
此权限是Office 365邮箱用户的MyBaseOptions管理角色中默认包含的权限。该角色包括用户管理自己的邮箱所需的许多其他权限,例如创建收件箱规则或更新其图片的权限。您可以通过以下命令查看此角色中包含的所有操作:
Get-ManagementRole -Identity mybaseoptions |Select -Expand roleEntries
审核当前邮箱设置的最简单方法是像执行操作一样运行命令。查询所有具有特定设置的邮箱的更有效方法是使用Get-Mailbox命令上的-Filter参数,如下所示:
Get-Mailbox -Filter {DeliverToMailboxAndForward -eq $true -and ForwardingSMTPAddress -ne $null}
我希望能帮助您回答问题!