Аудит разрешений полного доступа на Exchange 2010 без аудита
В настоящее время мы используем Exchange 2010 SP1. Я хотел бы видеть, кому предоставлен полный доступ или отправка в качестве разрешений для определенного почтового ящика, проблема в том, что у нас нет ведения журнала аудита для этого почтового ящика. У нас может быть ИТ-сотрудник, который отслеживает, и мы хотели бы остановить это...
У меня вопрос: есть ли еще где-нибудь (системные журналы и т. Д.), Где я могу отслеживать эту транзакцию?
1 ответ
Это может быть немного болезненно (поскольку ведение журнала аудита отключено), но вы можете просмотреть историю Powershell. Поскольку все в Exchange 2007/2010/2013 основано на Powershell, вы можете видеть, где кто-то запускал командлет Add-MailboxPermission со связанными параметрами. Чтобы найти журнал команд Powershell, откройте eventvwr.msc. Вместо того, чтобы искать в обычной области Журналов Windows, посмотрите Журналы Приложений и Служб. Вы увидите источник событий MSExchange Management, который имеет всю историю выполнения PowerShell.
Я только что проверил свою собственную среду 2010 года и добавил полное разрешение для почтового ящика, и оно появляется прямо в этом журнале.