- Является ли PowerShell единственным способом выдачи Set-Mailbox или это может быть сделано через графический интерфейс?
В качестве администратора Exchange вы можете использоватьЦентр администрирования Exchange (EAC) для перехода к Свойствам почтового ящика -> Функции почтового ящика -> Под Поток почты , выберите Подробнее -> Установите флажок Включить пересылку и Просмотр получателю.
Настройка пересылки электронной почты для почтового ящика
Есть ли способ отключить / запретить пользователям настройку этого (т. Е. Конечные пользователи имеют слишком много разрешений)?
С точки зрения пользователя они могут пересылать данные с помощью графического интерфейса Outlook:
Пересылка электронной почты из Office 365 на другую учетную запись электронной почты
Когда я запрашиваю Get-Mailbox user | fl name,forwardingSMTPAddress,delivertomailboxandforward, ForwardingSmtpAddress пусто, а DeliverToMailboxAndForward - ложно.Это единственный способ убедиться, что действие отключено?Отображается ли действие отключения в каком-либо журнале событий / аудита?
Вы можете использовать либо скрипт PowerShell для запроса, либо перейти через консоль ECA для проверки.Действие отключения должно появиться в аудите, если оно настроено.
В отношении проблемы,
Журнал аудита показывает, что пользователь включил DeliverToMailboxAndForward в своем почтовом ящике с Set-Mailbox operation.
Обычно большинство пользователей не имеют доступа к консоли управления Exchange и возможности запуска операций PowerShell.Это делает эту запись аудита «странной».Но затем, просматривая документы, я подхожу к этой записи:
Командлеты, которые запускаются непосредственно в командной консоли Exchange, проверяются.Кроме того, операции, выполняемые с помощью центра администрирования Exchange (EAC), также регистрируются, поскольку эти операции запускают командлеты в фоновом режиме.
Журнал аудита администратора на сервере Exchange
То, что вы, вероятно, видите, - это запись, представляющая собой графический интерфейс, выполняющий командлет в фоновом режиме, при котором пользователь фактически не имеет прямого доступа к командной консоли Exchange.Что касается разрешений, я не уверен насчет явных разрешений, чтобы отрицать это конкретное действие, не отрицая много других вещей (то есть, это как отказ в разрешениях на пересылку сообщений), если у вас нет бизнес-необходимости сделать это.