Проверка доступа к почтовым ящикам с помощью консоли Exchange System Manager и Event Viewer

Published on Январь 27, 2009 by   ·   Комментариев нет

Введение

Порой бывает необходимо отследить, кто и когда получает доступ к другим почтовым ящикам. Достаточное количество основной информации можно получить с помощью Exchange System Manager и Event Viewer; именно этому и посвящена данная статья. Также я покажу вам, как использовать средство PFDAVAdmin для определения того, к каким именно папкам был произведен доступ.

В консоли Exchange System Manager объекты Mailboxes (Почтовые ящики) и Logons (Зарегистрированные пользователи) находятся в каждом хранилище почтовых ящиков, которые вы создали на сервере Exchange 2000 или Exchange 2003. Оба этих объекта можно использовать для просмотра колонки Last Logged on By (Последний зарегистрировавшийся), в которой указывается учетная запись, последней получившей доступ к отдельному почтовому ящику. На Рисунке 1 изображена копия экрана, где выбран объект Mailboxes из хранилища почтовых ящиков по умолчанию. Справа вы видите список почтовых ящиков, содержащихся в хранилище, а также информацию колонок Last Logged on By (Последний зарегистрировавшийся) и Size (Размер). Вы видите, что в подсвеченный ящик пользователя User1 последним получил доступ пользователь User3 из домена NGH.

Exchange доступ к почтовому ящику

Рисунок 1: Информация по последнему зарегистрировавшемуся

Часто администраторы тревожатся, когда в колонке Last Logged on By они видят имя пользователя, отличное от имени владельца ящика, и отсылают запросы в конференции, форумы и списки рассылки. Например, посмотрев на Рисунок 1, администраторы могут задать такие вопросы: «Почему пользователь User3 зарегистрировался в почтовом ящике пользователя User1?» или «Читает ли пользователь User3 почту пользователя User1?»

Регистрация – как все обстоит на самом деле

Обычно в таких случаях не стоит беспокоиться. Колонка Last Logged on By может обновляться несколькими способами при нормальной работе Exchange-сервера. Важно отметить, что данная колонка обновляется тогда, когда пользователь запрашивает одну из папок, принадлежащих другому пользователю. Одним из самых распространенных возможных вариантов может быть запрос папки календаря пользователя для просмотра встреч или информации о присутствии пользователя при назначении встречи.

В нашем случае, если пользователь User1 не дал пользователю User3 особый доступ к своему почтовому ящику, или, например, администратор не дал пользователю User3 полный доступ к почтовому ящику пользователя User1, пользователь User3 вряд ли мог сам получить доступ к ящику пользователя User1. Большинство администраторов думают, что раз они являются членами группы Domain Admins (Администраторы домена), они могут открыть почтовый ящик любого пользователя. Однако, это не так, поскольку администраторам по умолчанию запрещен доступ ко всем почтовым ящикам серверов Exchange 2000 и Exchange 2003.

Конечно, если вы не сами решаете все вопросы с Exchange-сервером, вы должны будете назначить кому-нибудь, кому вы доверяете, выполнение некоторых административных задач. Однако, если права доступа вызывают у вас озабоченность, вы можете временно увеличить журналирование для таких категорий почтовых ящиков, как Logons (Зарегистрированные пользователи) и Access Control (Контроль доступа). Для этого запустите консоль Exchange System Manager и найдите необходимый объект. После этого щелкните правой кнопкой по объекту и раскройте его свойства. На вкладке Diagnostics Logging (Журналы диагностики) раскройте пункт MSExchangeIS и выделите объект Mailboxes (Почтовые ящики). Выберите категории Logons (Зарегистрированные пользователи) и Access Control (Контроль доступа) и установите их значением Maximum (Максимум) (Рисунок 2). Теперь вы можете осуществлять поиск в журнале событий приложения детальной информации по регистрации по времени регистрации.

Exchange system manager

Рисунок 2: Запись в журнал регистрации пользователей и контроля доступа

Возьмем случай, когда пользователь User3 успешно получил доступ к календарю пользователя User1, поскольку у пользователя User1 на календарь установлены разрешения по умолчанию на роль Reviewer (Просмотр). Сделав поиск по журналу событий, мы увидим событие с номером 1016 с категорией Logons (Регистрации). (Рисунок 3):

Exchange system manager

Рисунок 3: Событие 1016

Описание события 1016 говорит само за себя, т.е. указанная учетная запись Windows NT получила доступ к указанному почтовому ящику, не являясь при этом первичной учетной записью для этого ящика. Как я уже говорил, классическим примером такого события является доступ к календарю. Сервер Exchange 5.5 записывал событие 1016 в журнал в независимости от уровня журналирования. Однако, в серверах Exchange 2000 и Exchange 2003 для просмотра этого события вы должны изменить уровень, как я уже описывал выше.

Как насчет автоматизированных процессов, например, работа приложений антивирусов и резервного копирования? Или же работа функции Mailbox Manager сервера? Конечно, в этих случаях тоже появляется событие 1016 (Рисунок 4). Обратите внимание, что учетной записью здесь является NT AUTHORITY\SYSTEM.

Exchange system manager

Рисунок 4: Событие 1016 при работе приложения Mailbox Manager

Вы видели, что событие 1016 является ключевым для поиска информации о доступе к почтовому ящику. Теперь рассмотрим другие события, которые вы можете повстречать, посматривая журнал событий.

Другие записи журнала событий

Событие 1013 часто появляется вместе с событием 1016. Событие 1013 говорит о том, что пользователь с указанной учетной записью открыл дополнительный почтовый ящик. Пример на Рисунке 5. Здесь вы видите, что пользователь NGH\User1 был определен как пользователь, чей атрибут legacyExchangeDN имеет значение /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User1, однако он зарегистрировался в почтовом ящике с атрибутом legacyExchangeDN со значением /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User2. Т.е. пользователь User1 открыл календарь пользователя User2. Как вы заметили, данное событие не говорит о том, какую именно папку или сообщение открыл пользователь User1. Другими словами, вам может потребоваться подтвердить ваши исследования дополнительными документами, точно отражающими все разрешения на почтовые ящики пользователей.

Календарь журнал аудита exchange

Рисунок 5: Событие 1013

Событие 1009 указывает, что пользователь зарегистрировался в определенном почтовом ящике. На Рисунке 6 видно, что пользователь NGH\User1 успешно зарегистрировался в почтовом ящике с атрибутом legacyExchangeDN со значением /o=NGH/ou=First Administrative Group/cn=Recipients/cn=User1. Другими словами, это нормальная регистрация пользователя в своем почтовом ящике. Обратите внимание, что категория события 1009 — Logons (Регистрации).

Event viewer bp rjvvfylyjq cnhjrb

Рисунок 6: Событие 1009

И, наконец, если вы изменили журналирование для категории Access Control (Контроль доступа), как я описал выше, вы сможете увидеть несколько событий с номером 1029. Это событие говорит о том, что указанному пользователю не удалась попытка получить доступ к определенной папке другого почтового ящика (Рисунок 7).

Exchange system manager

Рисунок 7: Событие 1029

В этом случае пользователю User1 не удалось получить доступ к папке почтового ящика администратора. В самом последнем куске описания, не попавшем в копию экрана (Рисунок 7), говорится, что ID папки включен в описание внутри раздела данных; этот ID выделен на Рисунке 7. Потому мы знаем, что ID папки — 1-4C. Как определить, к какой именно папке пытался получить доступ пользователь User1? Для этого воспользуемся средством PFDAVAdmin.

Предположим, что вы прочли мою статью о PFDAVAdmin, поскольку в ней содержится информация о том, как с помощью средства соединиться с почтовыми ящиками. Вот как можно с помощью PFDAVAdmin найти ID папки:

  1. Запустите PFDAVAdmin и выберите соединение со всеми почтовыми ящиками (All Mailboxes). Конечно, вы также можете соединиться с единственным необходимым вам почтовым ящиком.
  2. В списке почтовых ящиков раскройте ящик администратора.
  3. Щелкните правой кнопкой по объекту Top of Information Store (Верх информационного хранилища) и выберите из контекстного меню пункт Property Editor (Редактор свойств).
  4. В окне Property Editor (редактор свойств) выберите поле ptagFID : 0x67480014, убедитесь, что выбран параметр Display (Показать), а также что выбран параметр Perform this action on all subfolders of the selected folder (Выполнить данную операцию для всех подпапок выбранной папки) (Рисунок 8). Нажмите Execute (Выполнить).

    Exchange system manager

    Рисунок 8: Редактор свойств

  5. После нажатия на кнопку Execute (Выполнить) появится отдельное окно, в котором будет показан список папок внутри почтового ящика вместе с ID этих папок. На Рисунке 9 выделена папка с ID 1-4C. Вы видите, что доступ осуществлялся к папке календаря администратора.

    Админу подключиться к почтовому ящикику exchange

    Рисунок 9: ID папок в средстве PFDAVAdmin

Резюме

Проверка доступа к почтовым ящикам с помощью консоли Exchange System Manager и Event Viewer может дать вам основную информацию о том, кто получает доступ к почтовым ящикам. Это не идеальное решение, но сочетание этих средств может дать вам необходимую информацию при отслеживании разрешений пользователя. С помощью средства PFDAVAdmin можно определить, кто пытался получить доступ к какой папке, что порой бывает очень полезно.

Источник  http://www.msexchange.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]