Quali sono gli effetti collaterali di disabilitazione di una cassetta postale di Exchange?

Quando si lavora con Exchange Server 2007 o versione successiva, distriggersre una cassetta postale è un'operazione abbastanza comune. Tuttavia, la documentazione Technet non contiene dettagli sugli effetti secondari di disabilitazione di una cassetta postale. Questo è tutto quello che dice.

"Questa attività elimina tutti gli attributi di Exchange dall'object utente in Active Directory. In base alla politica di conservazione degli elementi eliminati, l'archivio di Exchange conserva i dati della cassetta postale per l'object utente."

  • Client di Windows 7 collegato a un dominio che si connette a un Samba 3.5.2 Server
  • Può / come le macchine di dominio non Windows accedono a una condivisione sul dominio
  • Errori di certificazione in ambiente di sviluppo ADFS 2.0 + ASP.NET con due o più domini
  • Amazon SES migliorerà il filtraggio di spam attraverso i pacchetti di filtraggio tipici di spam
  • Quanto è sicuro il traffico tra i membri del dominio?
  • Precedenza forzata di GPO
  • Fonte: http://technet.microsoft.com/en-us/library/bb123730(v=exchg.141).aspx

    Ma è tutto questo? Le cassette postali di Exchange nel mondo reale tendono ad essere altamente interconnesse. Forse il capo ha delegato il controllo del calendario a una segretaria. Forse un team di membri del personale condivide l'accesso a una cartella pubblica. Forse un utente di potenza ha ricevuto la possibilità di ricevere posta elettronica in diversi indirizzi diversi. Due questioni chiare vengono in mente.

    • Cosa succede ai collegamenti tra le cassette postali dopo la disconnessione di una cassetta postale?
    • Può essere facilmente annullata l'operazione Disable-Mailbox ?

    One Solution collect form web for “Quali sono gli effetti collaterali di disabilitazione di una cassetta postale di Exchange?”

    La documentazione di Microsoft sembra suggerire che distriggersre una cassetta postale è un'operazione diretta. Purtroppo, ci sono alcuni "gotchas".

    Rimanenza delle cassette postali

    Quando una cassetta postale è disabilitata, viene riclassificata come "Cassetta postale scollegata". Per impostazione predefinita, Exchange manterrà le cassette postali disconnesse per 30 giorni. Questo è un attributo del database in cui risiede la cassetta postale. Tuttavia, è ansible che un amministratore di Exchange modifichi questo valore. Se il valore di MailboxRetention è impostato su 0, la cassetta postale verrà immediatamente cancellata. (Oops.) (Rimozione della cassetta postale eliminata su technet.com)

    EDIT: la disconnessione di una cassetta postale non inizializzata porterà anche alla sua eliminazione immediata e non recuperabile. Una cassetta postale non inizializzata è quella che non è mai stata acceduta tramite OWA o Outlook. Ciò può causare difficoltà durante la scrittura di script che disconnettono + ricolbind le cassette postali poiché alcune cassette postali potrebbero non essere riconfigurabili.

    Riconnettersi una cassetta postale

    La distriggerszione e la connessione di cassette postali non è molto istantanea. Va bene se vuoi solo distriggersre una cassetta postale, ma se intendi riconnettersi subito la cassetta postale, devi essere consapevole di due cose.

    • L'elenco di "Cassette postali disconnesse" non viene popolato finché non viene pulito il database delle cassette postali. Se sei in panico perché non riesci a trovare la cassetta postale appena distriggersta, indica a Exchange di iniziare a pulire i database e attendere qualche minuto.
    • Se state scrivendo uno script PowerShell, è necessario attendere le modifiche per la propagazione in Active Directory prima di eseguire ulteriori operazioni. A seconda dell'ambiente e della tua fortuna, questo può variare da qualche secondo a qualche minuto. (Protip: puoi call Get-User in un ciclo per determinare se le modifiche sono state completamente propagate.)

    Metadati della cassetta postale

    Quando una cassetta postale è scollegata, le informazioni relative al contingente vengono scartate. Se si desidera conservare le quote delle cassette postali, è necessario registrare tali valori prima di emettere il command per disabilitare una cassetta postale.

    La stessa cosa si applica all'elenco di EmailAddresses e l'Alias ​​della cassetta postale.

    Delegazioni e autorizzazioni

    Ora le cose cominciano a diventare scortese. Per un determinato utente, esistono diversi collegamenti con caselle postali di scambio regolari o con cartelle pubbliche in stile precedente.

    • Cassetta postale regolare
      • Diritti di invio
      • Invio a nome
      • ACL nelle sottocartelle della cassetta postale
      • Diritti di accesso completo
    • Cartelle pubbliche
      • Diritti di invio
      • Invio a nome
      • Autorizzazioni di cartella

    Cassetta postale -> Invia come

    Il diritto di Send-As viene rappresentato da un ACL in un object utente di Active Directory e l'ACL è archiviato internamente come un elenco di valori SID. Pertanto, questa authorization può essere gestita interamente al di fuori di Exchange.

    Quando una cassetta postale è distriggersta, non ha alcun effetto sui diritti di invio. L'ACL sull'object utente è invariato, quindi nessuna informazione viene persa.

    Se la cassetta postale scollegata viene ricollegata allo stesso utente, tutti gli utenti che in precedenza erano in grado di submit come tale utente riconquisteranno tale abilità.

    Se la cassetta postale scollegata è connessa a un altro utente , nessun utente potrà submit come nuovo utente. È necessario riapplicare i diritti di "Invia come" desiderati al nuovo utente.

    Cassetta postale -> Invia in nome

    L' Send on behalf destra è strettamente connesso all'idea di "delegazioni" come presentato dal client di Outlook. È comune accordare l' send on behalf di un altro utente, in particolare quando si delega la gestione di un calendario. Non è chiaro come Exchange lo memorizza internamente, ma so che la function Send on behalf invia oggetti di cassetta postali, non utenti.

    Quando una cassetta postale è disabilitata , tutte le connessioni "invia per conto" vengono eliminate. Ciò influisce non solo sulla disabilitazione della cassetta postale, ma anche se un'altra cassetta postale aveva concesso l'invio a nome di questa cassetta postale, tale collegamento verrà rimosso adesso.

    Inutile dire che se la cassetta postale è ricollegata a qualsiasi utente, i diritti di "invio per conto" non vengono ripristinati. Queste informazioni vengono immediatamente perse quando una cassetta postale è distriggersta. Mi riferisco a questi collegamenti come "volatili". Questa volatilità deriva dal fatto che l'invio su diritti di nome è l'unico privilegio che non viene archiviato internamente con SID.

    Suggerimento bonus: Exchange publicDelegates due attributi nell'object utente AD, publicDelegates e publicDelegatesBL che contengono rispettivamente il nome distinto di caselle e caselle di posta delegate che hanno fornito autorizzazioni delegate.

    Cassetta postale -> ACL sulle sottocartelle

    Le autorizzazioni sulle cartelle delle cassette postali sono uno dei collegamenti più comunemente utilizzati tra le cassette postali. Le autorizzazioni per le cartelle sono importnti come la seconda metà delle "delegazioni" di Outlook, ma vengono spesso assegnate manualmente e senza i diritti di invio inviati.

    Anche se Exchange rappresenta le autorizzazioni di cartella con un ACL tipico basato sugli SID degli utenti, non è ansible manipolarli come gli ACL regolari. Outlook consente solo la selezione degli utenti abilitati alla posta e allo stesso modo il cmdlet di Add-MailboxFolderPermission PowerShell consente solo di aggiungere autorizzazioni ad un altro utente se dispongono di una cassetta postale associata.

    Se un delegato utente è concesso autorizzazioni per le cartelle (ad esempio, Reviewer, Editor) e la cassetta postale di tale delegato viene distriggersta , le autorizzazioni appariranno come "NT User: DOM \ samname".

    Se la cassetta postale del delegato viene ricollegata allo stesso utente, è apparentemente in grado di sfruttare le autorizzazioni nonostante l'aspetto ora malformato.

    Ma se la cassetta postale del delegato è connessa a un utente diverso , il nuovo utente non erediterà la delegazione originale perché non dispongono di un SID corrispondente. Anche se sembra che le autorizzazioni di cartella siano concesse a una cassetta postale, veramente sono concesse a un principale responsabile della protezione.

    Cassetta postale -> Accesso completo

    Le autorizzazioni di accesso completo possono essere assegnate solo da un amministratore di Exchange. Molto come le autorizzazioni Send-As, vengono concesse ad un object utente AD e memorizzate internamente in base a SID. Ma a differenza delle autorizzazioni Send-As, si scopre che le autorizzazioni di accesso completo sono effettivamente memorizzate come parte dell'object della cassetta postale di Exchange.

    Se una cassetta postale è scollegata , l'elenco degli utenti con accesso completo viene preservato nell'object della cassetta postale.

    Se la cassetta postale scollegata viene ricollegata , a prescindere da quale utente è connesso, tutti gli utenti precedentemente dotati di accesso completo riconquisteranno la possibilità di esercitare diritti di accesso completo in quella cassetta postale.

    Suggerimento Bonus: esiste una funzionalità opzionale delle autorizzazioni di accesso completo denominate AutoMapping . Se Full Access è concesso con AutoMapping abilitato, Exchange popolerà l'attributo msExchDelegateListBL dell'utente che riceve l'authorization FullAccess. Ciò rende facile vedere cosa avete FullAccess, ma non è sempre abilitato in modo da non poter contare su di esso per una risposta completa.

    Cartella pubblica -> Invia come

    I diritti di Send-As per le cartelle pubbliche funzionano molto nello stesso modo delle cassette postali. "Ma le cartelle pubbliche non sono associate agli oggetti utente!" ti gridi. In realtà, Exchange crea oggetti segreti in Active Directory per each cartella pubblica che si effettua.

    (È ansible utilizzare ADSI Edit per aprire il context di denominazione predefinito per il dominio principale nella foresta in cui è installato il server Exchange, quindi cercare "CN = Oggetti del sistema di Microsoft Exchange". In questo contenitore trovenetworking un object per each cartella pubblica , e each object dispone di un ACL che include le autorizzazioni di Send-As .

    Cartella pubblica -> Invia in nome

    L'idea di "submit per conto" per una cartella pubblica è un po 'strano, dal momento che il concetto di "delegazioni" da Outlook non si applica a tutte le cartelle pubbliche. Ma è lì, comunque.

    Il fattore differenziativo delle autorizzazioni di invio di invio sulle cartelle pubbliche è che non popolerà mai l'attributo "publicDelegatesBL" di un object utente che è stato concesso ai diritti di invio.

    A questo punto, non è chiaro se i diritti di invio per nome sono anche volatili nelle cartelle pubbliche. Se qualcuno lo sa, puoi cambiare questa risposta! (TODO / FIXME)

    Cartella pubblica -> Autorizzazioni

    Le autorizzazioni sulle cartelle pubbliche sono diverse da quelle sulle cassette postali. Poiché sono collegati a una cassetta postale, sono volatili.

    Se una cassetta postale è scollegata , la cassetta postale persegue tutte le autorizzazioni per le cartelle pubbliche che era stata concessa. (TODO / FIXME o seguono il formato NT USER?)

    Una "migrazione senza soluzione di continuità"

    Se hai una persona con account utente di AD in due domini separati e desideri spostare la cassetta postale dall'utente in un dominio all'utente in un altro, hai una battaglia in salita.

    Purtroppo, Exchange non rende più facile tracciare come sono state applicate le autorizzazioni e le delegazioni. Se è necessario spostare una cassetta postale da un utente AD a un altro utente nella stessa foresta e si desidera conservare completamente le autorizzazioni, è necessario individuare e ripristinare tali autorizzazioni.

    Questo diventa un'operazione molto costosa anche su una foresta di medie size, quindi se si sta spesso spostando cassette postali, vale la pena fare una grande enumerazione su tutte le cassette postali per raccogliere un elenco di tutti i collegamenti correnti. Quindi, quando si desidera assegnare una cassetta postale a un diverso account utente AD, sappiate con precisione quali altre cassette postali devono avere le autorizzazioni aggiornate.

    Conclusione

    • Queste autorizzazioni sono durevoli. Rimangono intatti dopo la distriggerszione di una cassetta postale.
      • Send-As
      • Mailbox Folder ACLs
      • Accesso completo
      • Cartella pubblica Invia-As
    • Queste autorizzazioni sono volatili. Sono persi quando una cassetta postale è distriggersta.
      • Invio a nome
      • Cartella pubblica Invia in nome
      • Autorizzazioni per le cartelle pubbliche
    • Scolbind una cassetta postale ha numerosi effetti collaterali.
      • Perdita di impostazione quota
      • Perdita di indirizzi e-mail collegati
    • Fare attenzione ai ritardi dovuti alla propagazione AD durante la scrittura di script che distriggersno o si connetteranno le cassette postali.
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.