Cambiar los permisos a los buzones de Exchange Server 2003 {HOWTO}

InboxSmall Hace un tiempo he escrito una nota sobre Como abrir el calendario u otra carpeta de otro usuario {HOWTO}; y he recibido varias consultas sobre como permitir a un administrador, un Gerente o un CEO de una compañía ver los mails de otros usuarios; por lo que se me ocurrió escribir sobre el tema.

Hoy veremos como modificar los permisos en nuestro servidor Exchange 2003; recordemos que no todas las empresas optan por esta posibilidad, ya que están exponiendo los datos de la empresa al grupo de usuarios al que le den permisos; siendo un problema de seguridad.

En Exchange Server 2003 incluso las cuentas con derechos de Administrador de nuestra empresa no poseen derechos de acceso a todos los buzones de correo, de forma predeterminada. Por lo que ningún administrador tiene permisos para abrir buzones de otros usuarios. Incluso, si somos administradores de Exchange o del dominio, tampoco tenemos permisos.

Para hacer estos cambios vamos a necesitar los permisos dentro de nuestra organización de Exchange. Como comentamos antes podemos hacer esto aplicando a toda la organización de nuestro Exchange o solamente a algún buzón en particular.

Para hacerlo a toda la organización, debemos hacer lo siguiente:

  • Abrimos la consola de nuestro servidor, Exchange System Manager; y seleccionamos las propiedades de nuestro Mailbox Store; como podemos ver en el siguiente screenshoot.

    www.radians.com.ar

    Una vez abierta las propiedades vamos a la solapa Seguridad, seleccionamos Add… e ingresamos el nombre de nuestro Power User al que le daremos los permisos.

    www.radians.com.ar

    Hacemos un clic en el botón OK, y seleccionamos Allow Full Control como para que quede de la siguiente manera:

    www.radians.com.ar

    De esta forma, vamos a poder ingresar con la cuenta rdilello a las demás cuentas. Lo probamos accediendo a la cuenta de usuario1 con estas credenciales.

    www.radians.com.ar

    Este es el procedimiento para todo nuestros mailboxes. Ahora que pasa si solo queremos hacerlo de un usuario a otro?, bueno podemos dar los permisos a nuestro Power User a un mailbox determinado.

    En la consola de Exchange podemos ver que usuario fue el ultimo que accedió a cada Mailbox.

    www.radians.com.ar

    Para ello, seleccionamos el usuario del cual le queremos modificar el permiso en la consola ADUC (users and computers console), y seleccionamos las propiedades.

    www.radians.com.ar

    Una vez abierta la ventana seleccionamos la solapa Exchange Advanced, y hacemos un clic en el boton Mailbox Rights…

    www.radians.com.ar

    Después, los pasos son similares a los que detallamos antes; seleccionamos Add… e ingresamos el nombre de nuestro Power User al que le daremos los permisos.

    El permiso que tenemos que garantizar es Full mailbox access, como vemos en el screenshoot.

    www.radians.com.ar

    Cerramos todo y listo; ya termino el procedimiento. Esto mismo lo podríamos realizar a nivel de servidores, en el caso de que nuestra organización tenga muchos servidores de Exchange.

    Espero que les sea de utilidad. Saludos, Roberto Di Lello.

  •  

    Mas información:

    Roberto Di Lello

    Acerca del autor: Roberto Di Lello

    Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

    You May Also Like

    21 Comments

    1. Roberto, muchisimas gracias
      es efectivamente la tarea que realize para que salgan los Exmerge sin problemas..

      por suerte me paso de iluminarme despues de volver del gym totalmente despejado y solucionarlo…

      estas cosas en el curso no estan jajajaja

      Saludos

    2. Nuevamente muchas gracias por tus aporte son muy buenos.

      Esta publicacion me quedo como anillo al dedo.

      Gracias y saludos.

    3. Roberto,

      Primero agradecerto por tu respuesta, te comentare que me sirvio de mucho tus tutoriales que tienes en el foro me han ayudado a solucionar o he aprendido varias cosas.

      Sobre la pregunta que me haces, si es Exchange 2007 sobre Windows Server 2008 en ingles.

      Saludos.

      PD: Felicidades por tu Blog es de gran ayuda.

    4. Hola, mi consulta es que entro en la pagina owa de mi empresa y no me deja insertar la firma,me sale una x roja en la parte superior izquierda, y no me deja escribir nada, esto mismo me pasaba con los correos, segui vuestras instrucciones de descargarme un control activex entrando en opciones y en seguridad de correo electronico y si que lo del correo se me ha solucionado pero la firma no hay forma de ponerla, tengo un windows siete con internet expolores 8 , me podeis ayudar, ah cuando hize esto que os he comentado me sale un mensaje de cuando salgo del mensaje de prevencion de ejecución de datos DEP. Por que sale esto. He leido en uno de los comentarios que uno hizo esto mismo pero que quito el S/MIME de los componentes del navegador, igual es esto pero no se donde se encuentra, sin más y esperando ayuda un saludo.

    5. Juan Carlos, Gracias por participar del blog.

      El tema del mime en vista, puede depende del lado del cliente y del servidor, puede que te falte algun fix en el server.

      Te respondo a tu problema de la imagen en la firma, es muy probable que sea porque no esta disponible. Por ejemplo, si utilizas una imagen en tu firma con outlook express, la imagen debe estar colgada en algun server publico, y deberias linkearla a esa url. Si lo haces con el outlook corporativo, te lo guarda agregandole cif!. Prueba subiendo la imagen a una url valida, a ver si soluciona tu problema.

      Best Regards | Saludos

    6. Buenos días.

      Tengo un problema con en elvio de correos en OWA. El asunto es que cuando intento enviar o reenviar un correo, tras unos segundos de espera, vuelve a aparecer el correo inicial sin llegar a enviarlo. tengo instalado Internet Explorer 8 en Windows Vista. He acutualizado el equipo y sigue sin funcionar. ¿saben de algún tipo de solución para el problema?

      Muchas gracias y un saludo.

    7. Jorge, muchas gracias por participar del blog.

      Te hago una consulta probaste habilitar el modo compatibilidad en el IE8, antes de cargar el OWA???

      Best Regards | Saludos

    8. Hola Roberto, al final no puedo ni mandar ni escribir, cuando me descargé el mime si que me dejaba escribir correos pero no me dejaba enviarlos o sea que nada no puedo mandar correos como puedo solucionar esto, ahora tengo el windows 7 pero tampoco me funciona, si es algo del servidor dime el que puede ser para yo decirle a los informáticos, sin más un cordial saludo.

    9. Juan Carlos, gracias por participar y colaborar con el blog.

      Para hacer esto, tenes dos opciones, despues de cargar tu owa (ir a la url) puedes hacer un clic en el boton al costado de la url.

      Sino en el menu herramientas, puedes seleccionar Vista de compatibilidad, y listo. Ahi no deberias tener problema.

      Saludos

    10. Hola, yo tengo precisamente el problema contrario, tengo un usuario a nivel de servidor que viene heredado y no consigo saber desde donde ni consigo quitarlo ni me he atrevido a quitar la herencia para poder quitarlo.
      ¿Tienes alguan solución?
      Gracias de antemano.
      Un Saludo.

    11. Santi, perdon por la demora pero estuve con algunos eventos y se me complico para contestar algunas consultas.

      Lo que deberias hacer es buscar en las politicas de tu dominio la parte donde tenes los USER RIGHTS ASSIGNMENT y eliminar el grupo al que tiene los permisos delegados.

      Saludos.

    12. Tengo el mismo problema que Santi.
      Borré un usuario que tenía derechos en el Exchange.
      Ahora en la pestañas de seguridad aparece “cuenta desconocida” y no me deja borrarlo porque dice que es heredado.
      En USER RIGHTS ASSIGNMENT, no he encontrado nada que me sirva.
      El servidor es un W2003 PDC con Exchange 2003

    13. Alfredo/Santi, respecto a su problema, les paso una nota donde se ve en detalle los distintos roles de permisos que tenemos disponibles. Espero que les sea de utilidad, cualquier cosa avisen.

      * Overview of Exchange administrative role permissions in Exchange 2003 http://support.microsoft.com/kb/823018

      Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

    14. Roberto:

      Gracias por responder.
      Pero esa docuemntación ya la conocía, y no sirve para el problema que tengo.
      El usuario que tenía derechos en el Grupo administrativo y en el servidor, fue borrado.
      Ahora aparece en la pestaña de seguridad, una “cuenta desconocida” y no se la puede borrar porque dice que son permisos heredados. Propone romper la herencia, y crear copia de los permisos heredados, pero advierte que va a generar muchas listas de control y que va a lentificar mucho el sistema.
      Bien, las preguntas son:

      Cual es el raíz de donde se heredan todos los permisos ?
      Si puedo llegar a él, podría borrar la “Cuenta Desconcocida”
      Pero por encima del nivel “Primer Grupo Administrativo” no hay nada en relación a la seguridad.

      Cual puede ser la consecuencia de pasar todo a NO heredado, borrar lo que haya que borrar y luego restablecer la herencia ??

    15. Alfredo Delia, mira la verdad es que nunca me pasolo que comentas. El papper que te pase es como deben estar los distintos permisos de exchange 2003 y que comprende cada uno de los distintos tipos.

      El sacarle la herencia y volverla a poner puede implicar que algun permiso no se aplique bien y entonces alguna funcionalidad o directamente todo el exchange deje de funcionar. Para colmo esa version ya no tiene soporte sino se podria abrir un ticket en MS y ver que pasa, por lo cual no te recomiendo hacerlo.

      Con la guia que te pase podes garantizar que tus administradores tengan los permisos que corresponden en tu arquitectura.

      Y para eliminar de forma completa a tu usuario, lo que debes hacer es verificar en cada uno de los grupos de administracion de tu active directory e ir eliminandolo en cada uno de los grupos que figure. Por esta cuestion es que recomiendo primero antes de eliminar un usuario eliminarlo de los distintos grupos a los que pertenezca.

      Espero que te sea de utilidad. Saludos! buen comienzo de año!

    16. La solución:

      En este link está bastante bien explicado
      http://social.technet.microsoft.com/Forums/en-US/exchangesvrgenerallegacy/thread/ef82a60e-5eaa-49e1-a9b3-dbf008be11fa

      Básicamente consiste en usar el ADSIEDIT y llegar hasta:

      CN=,CN=Microsoft
      Exchange,CN=Services,CN=Configuration,DC=,DC=

      Cada uno de los elemento, de aquí para abajo, tiene Propiedades y dentro de ellas una pestaña de seguridad, donde se pueden var perfectamente las cuentas que tienen derechos sobre los elentos-objetos de Exchange.
      Y obviamente se pueden borrar sin problemas.
      Cuidado: SER PRUDENTES CON LO QUE SE BORRA !! Solamente las “Cuentas desconocidas”.

      Importante: Empezar a borrrarlas desde el objeto superior donde aparezcan.

      Es todo.

    17. Alfredo Delia, muchas gracias por comentar y participar. Ayudan mucho los mensajes con sus opiniones y comentarios; y esta barbaro que pongamos todos nuestra experiencia, que puede ayudar a otra persona.

      Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

      Saludos y gracias!

    Comments are closed.