Как узнать, кто пытался открыть общий ящик в Exchange, если аудит не был включен?
Добрый день, коллеги! Напомните, пожалуйста, как посмотреть, кто заходил в общий ящик Exchange (2019) через консоль? Аудит для этого ящика, к сожалению, был отключен - как-то можно посмотреть, кто ломился за последние 24 часа? Ящик был настроен давно для некоторых удаленных сотрудников, причем не делегирован (в силу большого размера), а именно подключен независимо в Outlook через MAPI. Проблема в том, что учетка в AD, связанная с этим ящиком, периодически блокируется от неправильных попыток ввода пароля - можно это выяснить в таких условиях? Спасибо.
1. Смотрите и разбирайте логи IIS на Exchange
2. Security Log на Exchange - разбирайте события 4625 (An account failed to log on), в которых Account Name = "учетка в AD, связанная с этим ящиком", могут быть полезные данные
По-правильному, для общих ящиков в Exchange создается почтовый ящик типа Shared Mailbox, у него по умолчанию отключен пользователь в AD, и в делегировании отдельно назначаются права на доступ (Full Mailbox Access) и на отправку (Send As). Обычный пользовательский почтовый ящик (ваш случай) можно преобразовать в Shared Mailbox и отключить соответствующую учетку в AD
Да, это именно shared-ящик изначально, но для него была активирована соответствующая учетка в AD, чтобы иметь возможность зайти в этот ящик через OWA, не прибегая к делегированию. Посмотрю тогда по событию 4625.
Параллельно выяснил, что проблема исходила от одной из рабочих станций - там у сотрудника 6 ящиков подключено в Outlook, в том числе рассматриваемый. Удалил из почтового профиля этот ящик - проблема пока не наблюдается. Получается так, что Outlook будто бы периодически "путает" учетки и подсовывает авторизацию от другого ящика (это заметно по тому, что логин запрашивается чужой и приходится нажимать "другая учетная запись" и дальше имя ящика и пароль. Пока что понаблюдаю - если дело в Outlook, проще будет ящик делегировать данному сотруднику, обойдя авторизацию.
Средний
Простой
Простой
