Si un utilisateur AD est désactivé et qu'un autre utilisateur a un accès complet à sa boîte aux lettres, pourra-t-il toujours accéder à la boîte aux lettres?

Dans Exchange 2010, si un utilisateur AD est désactivé mais qu'un autre utilisateur a accès à sa boîte aux lettres, pourra-t-il toujours accéder à la boîte aux lettres ou cet utilisateur doit-il rester activé pour que cette fonctionnalité fonctionne?

exchange-2010 Windows Ninja
la source

Si je donne à un ancien employé un accès à sa boîte aux lettres après avoir quitté l'entreprise, quelle serait la meilleure pratique pour cela? Je l'ai fait actuellement en réactivant le compte d'utilisateur AD et en changeant leur mot de passe pour les empêcher d'y accéder ... y a-t-il une meilleure façon de procéder?

Windows Ninja

Nous avons eu des choses loufoques lors de la désactivation des boîtes aux lettres ... je ne me souviens pas du problème, mais nous avons fini par utiliser une note dans leur compte disant qu'ils étaient désactivés et changer également le mot de passe.

Bart Silverstrim

Mon mauvais, n'a pas lu la balise. Je faisais référence à Exchange 2003, même si je pense qu'il y avait un correctif lié aux boîtes aux lettres désactivées qui leur permettait de recevoir des e-mails et d'y accéder. Dans tous les cas, nous laissons généralement le compte utilisateur activé et changeons le mot de passe.

joeqwerty

@joqwerty Il existe un correctif (# 916783) ( support.microsoft.com/kb/903158/en-us ) dans Exchange 2003 qui le permet. :)!

Ethabelle

Ethabelle: merci d'avoir confirmé cela et merci pour le lien. :)

joeqwerty

Réponses:

Si vous désactivez un utilisateur dans AD, sa boîte aux lettres existe toujours et vous devriez toujours pouvoir accéder à la boîte aux lettres car AD contrôle simplement l'authentification, mais les autorisations sur la boîte aux lettres existent toujours. Au moins, c'était comme ça en 2003. Je n'ai pas eu l'occasion de travailler avec 2010, mais je suppose que la fonctionnalité serait similaire à cet égard et facilement testable.

entrez la description de l'image ici

Vous pouvez également connecter la boîte aux lettres au compte de quelqu'un d'autre. Je vais vous lier à cet article technet qui peut vous donner quelques idées sur ce qui sera le plus facile pour vous; article technet!

Vous pouvez effectuer trois opérations sur une boîte aux lettres désactivée:

Connectez-le à un compte d'utilisateur existant dans Active Directory Restaurez-le à un compte d'utilisateur nouveau ou existant dans Active Directory Supprimez-le définitivement de la base de données de boîtes aux lettres Exchange

Une remarque secondaire est que cela s'applique également aux comptes AD désactivés.

Ethabelle
la source

Oui, ça marche toujours comme ça. Heck, vous pouvez supprimer l'utilisateur AD et la boîte aux lettres est toujours là ...

Chris S

En réponse à la question de LunizWVU qu'il a posée dans le fil de commentaires sur les meilleures pratiques pour permettre à un gestionnaire de voir la boîte aux lettres d'un utilisateur après avoir été désactivé, l'une des meilleures façons de gérer cela est de donner au gestionnaire des droits d'utilisateur pour ouvrir le boîte aux lettres d'un autre utilisateur. Ci-dessous, un extrait de http://technet.microsoft.com/en-us/magazine/ff381460.aspx :

Ajout d'autorisations d'accès complet



Syntax 
Add-MailboxPermission -Identity UserBeingGrantedPermission -User UserWhoseMailboxIsBeingConfigured -AccessRights 'FullAccess' 

Usage 
Add-MailboxPermission -Identity 'CN=Jerry Orman,OU=Engineering,DC=cpandl,DC=com' -User 'CPANDL\boba' -AccessRights 'FullAccess'

Suppression des autorisations d'accès complet


Syntax 
Remove-MailboxPermission -Identity 'UserBeingGrantedPermission' -User 'UserWhoseMailboxIsBeingConfigured' -AccessRights 'FullAccess' 
-InheritanceType 'All' 

Usage 
Remove-MailboxPermission -Identity 'CN=Jerry Orman, OU=Engineering,DC=cpandl,DC=com' -User 'CPANDL\boba' -AccessRights 'FullAccess' 
-InheritanceType 'All'

Peter Grace
la source