禁用Exchange 2016管理员的为邮箱添加完全控制权限

Posted 2021-02-12

背景

Exchange Server是一个功能强大的邮箱服务器。邮箱做为企业通讯的一种方式，其数据安全的重要性越来越收到重视。在Exchange Server中有个功能，只要把一个邮箱添加到另外一个邮箱的完全控制权限中，就可以像打开自己邮箱一样对其有完全控制权限。很多企业把它做为一个风险。希望在不影响Exchange管理员日常管理的情况下禁用此功能。

操作步骤

1， 打开ECP，在Admin Roles中，复制Organization Management权限组，新建的组名为Limited Organization Management。
2， 打开Exchange Powershell，使用下面命令新建一个Limited Mail Recipients角色，角色继承于Mail Recipients角色。

3， 使用下面命令对Limited Mail Recipients角色进行更改，删除可以添加完全控制权限的命令。

4， 修改Limited Organization Management组中的权限角色，把Mail Recipients从权限组中删掉，把Limited Mail Recipients加入到组中。

5， 为Limited Organization Management组添加一个Member，使用此Member登陆ECP，验证结果。