В Exchange 2010 SP1 появилась новая функция под названием Mailbox auto mapping (автоматическое сопоставление почтовых ящиков). Смысл которой заключается в том, что при предоставлении пользователю полных прав доступа (Full Access) к любому почтовому ящику в организации Exchange, после перезапуска Outlook у пользователя такой ящик автоматически подключается как новый дополнительный в профиле Outlook.
Смысл этой функции – упрощение процедуры подключения дополнительных и общих почтовых ящиков. Благодаря Auto Mapping в Outlook пользователей должны автоматически появляться все ящики других пользователей и общих почтовых ящиков, к которым ему предоставлен доступ. Работает эта функция на клиентах Outlook 2007 и выше. Функционал основан на специальном атрибуте msExchDelegateListLink, который содержит список DN учетных записей, которым предоставлен полный доступ к данному ящику. Атрибут заполняется при предоставлении доступа к ящику. Одновременно у пользователя, которому предоставляется доступ, обновляется значение атрибута msExchDelegateListBL, в котором содержатся список ящиков, которые должны подключаться автоматически при запуске Outlook.
Стоит отдельно отметить, что Auto Mapping не будет работать, если доступ к ящику назначается через группу AD.
Функционал Auto Mapping довольно удобен, но в некоторых случаях мешает нормальной работе, например, когда пользователь не хочет утяжелять конфигурацию Outlook и работать только со своим ящиком Exchange. Кроме того, подключение множества ящиков увеличивает время загрузки Outlook и ухудшает его производительность. Также часто возникает проблема, когда у пользователя отменяют полные права на дополнительный ящик, но он по-прежнему продолжает отображаться в Outlook, а при попытке просмотреть его содержимое выводится ошибка прав доступа.
Все эти проблемы требуют возможности отключения автоматического сопоставления ящиков для пользователей. Этот функционал появился в Exchange 2010 SP2.
Чтобы отключить Auto-Mapping определенного ящика, можно вручную удалить соответствующие данные в атрибутах msExchDelegateListLink и msExchDelegateListBL с помощью консоли ADSIEdit.msc, но это не очень удобно. Гораздо проще воспользоваться командлетами PowerShell.
К примеру, чтобы одной командой предоставить пользователю User1 полный доступ к ящику SharedMBX и отключить Auto Mapping:
Add-MailboxPermission -Identity SharedMBX -User ‘User1’ -AccessRight FullAccess -InheritanceType All -Automapping $false
Если права уже назначены, придется сначала их забрать, а потом переназначить заново:
Remove-MailboxPermission -Identity SharedMBX -User ‘User1’ -AccessRight FullAccess -InheritanceType All
Add-MailboxPermission -Identity SharedMBX -User1 ‘User1’ -AccessRight FullAccess -InheritanceType All -Automapping $false
Следующий скрипт позволяет для конкретного общего ящика отключить Automapping для всех пользователей, которым предоставлен доступ:
$FixAutoMapping = Get-MailboxPermission sharedmailbox |where {$_AccessRights -eq “FullAccess” -and $_IsInherited -eq $false}
$FixAutoMapping | Remove-MailboxPermission
$FixAutoMapping | ForEach {Add-MailboxPermission -Identity $_.Identity -User $_.User -AccessRights:FullAccess -AutoMapping $false}
Информация в статье может и не очень свежая, но вот захотелось для себя инструкции сохранить, чтобы каждый раз не искать.
>> Стоит отдельно отметить, что Auto Mapping не будет работать, если доступ к ящику назначается через группу AD.
А не поделитесь, откуда об этом информацию взяли? На практике так и получается, поэтому интересно, как это MS объясняет.
Инфа из практики — пруфа найти не удалось. Вот не работает automapping с группами безопасности и все тут 🙂
Вот это новость.
Зачем так сделали ? Нормально было, доступ дал , если надо подключил, отключил доступ не снимаешь.
Теперь лезь, снимай или добавляй.
А как можно получить список ПЯ которые подмапленные (через Full access) для конкретного юзера ??
msExchDelegateListBL в ADSI