Как запретить пользователям общего почтового ящика удалять письма?

Question

[avgenj]

Добрый день, есть сервер MS Exchange 2013, есть общий почтовый ящик. Через веб оснастку некоторым пользователям даны права доступа к этому ящику, полный доступ в частности. Возникла потребность части этих пользователей ограничить возможности взаимодействия с этим ПЯ. В идеале они должны видеть этот ящик у себя, видеть письма, иметь возможность отправлять письма, но не иметь возможности удалять письма или перемещать. Как это сделать? Понятно, что нужно как-то нарезать права через PowerShell. Я пробовал убрать пользователя из ящика полностью, и сделать Add-mailboxfolderpermission -Identity 123@456.com:\Inbox -User user1 -AccessRights Reviewer. Но в почтовом клиенте (Outlook) почтовый ящик не появился, только через OWA его можно открыть, но там даже с этими правами можно делать с письма все что угодно. На счет того, что ящик не появился, допустим автомаппинг не работает, ладно. Но почему ограничения не сработали?

Answer 1

[Пума Тайланд]

Скорее всего FullAccess не снят до конца — через группу или висит старая ACE. Проверь:

Get-MailboxPermission 123@456.com | where AccessRights -match FullAccess

. Пока он есть хоть откуда — Reviewer игнорируется.

Reviewer нужен не только на :\Inbox, но и на :\ (root). Без этого папка не раскроется в Outlook.

Ящик без FullAccess в Outlook сам не появится — добавить вручную: Файл → Параметры учётной записи → Добавить ещё.

p.s. Send As в 2013 on-prem — Add-ADPermission ... -ExtendedRights 'Send As', а не Add-RecipientPermission (та Exchange Online).