Задать вопрос
@avgenj

Как запретить пользователям общего почтового ящика удалять письма?

Добрый день, есть сервер MS Exchange 2013, есть общий почтовый ящик. Через веб оснастку некоторым пользователям даны права доступа к этому ящику, полный доступ в частности. Возникла потребность части этих пользователей ограничить возможности взаимодействия с этим ПЯ. В идеале они должны видеть этот ящик у себя, видеть письма, иметь возможность отправлять письма, но не иметь возможности удалять письма или перемещать. Как это сделать? Понятно, что нужно как-то нарезать права через PowerShell. Я пробовал убрать пользователя из ящика полностью, и сделать Add-mailboxfolderpermission -Identity 123@456.com:\Inbox -User user1 -AccessRights Reviewer. Но в почтовом клиенте (Outlook) почтовый ящик не появился, только через OWA его можно открыть, но там даже с этими правами можно делать с письма все что угодно. На счет того, что ящик не появился, допустим автомаппинг не работает, ладно. Но почему ограничения не сработали?
  • Вопрос задан
  • 138 просмотров
Подписаться 1 Средний Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    1C-программист: расширенный курс
    18 месяцев
    Далее
  • Академия Эдюсон
    Python-разработчик + ИИ
    9 месяцев
    Далее
  • ProductStar × РБК
    Профессия DevOps-инженер + ИИ
    5 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 3
opium
@opium
Просто люблю качественно работать
Скорее всего FullAccess не снят до конца — через группу или висит старая ACE. Проверь:
Get-MailboxPermission 123@456.com | where AccessRights -match FullAccess
. Пока он есть хоть откуда — Reviewer игнорируется.

Reviewer нужен не только на :\Inbox, но и на :\ (root). Без этого папка не раскроется в Outlook.

Ящик без FullAccess в Outlook сам не появится — добавить вручную: Файл → Параметры учётной записи → Добавить ещё.

p.s. Send As в 2013 on-prem — Add-ADPermission ... -ExtendedRights 'Send As', а не Add-RecipientPermission (та Exchange Online).
Ответ написан
@NortheR73
системный инженер
"давно не брал я в руки шашки..."
как-то так я это делал:

Для ограниченного доступа - FullAccess нужно забрать и дать право Read, далее настраиваются права на папки через Outlook, а пользователь подключает чужой ящик как дополнительный.

1. Создать read-only-группу для тех, кому запретить удаление писем, группа должна быть MailEnabled, т. е. с почтовым адресом;
2. Добавить пользователя в эту группу, удалить из группы FullAccess;
3. Через Powershell дать права на п/я:
Add-MailboxPermission -Identity test@domain.com -User "test-Reviewers" -AccessRights ReadPermission -InheritanceType all
Add-MailboxFolderPermission -Identity test@domain.com -User "test-Reviewers" -AccessRights Reviewer

4. Через Outlook или Powershell дать права на все папки ящика read-only-группе:
Add-MailboxFolderPermission -Identity test@domain.com:\Inbox -User "test-Reviewers" -AccessRights Reviewer
Ответ написан
Комментировать
@FastMax1998
Очередная попытка построить ИТ-тюрьму ради галочки. Если сотруднику нужно работать с письмом, он его переслать себе сможет. Запрет Delete тут бесполезен.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы