在没有审计的情况下审核Exchange 2010的完整访问权限

我们目前正在运行Exchange 2010 SP1。 我想看看谁已被授予完全访问权限或发送特定邮箱的权限,问题是我们没有审计日志logging打开此邮箱。 我们可能有一个正在窥探的IT员工,我们想停止这个…

我的问题是:有什么地方(系统日志等),我可以跟踪这个交易?

这可能是一种痛苦(因为审计日志logging已closures),但是您可以查看Powershell历史logging。 由于Exchange 2007/2010/2013中的所有内容均基于Powershell,因此可以看到有人使用相关参数运行cmdlet Add-MailboxPermission。 要查找Powershell命令的日志,请打开eventvwr.msc。 而不是查看通常的Windows日志区域,查看应用程序和服务日志。 您将看到包含所有PowerShell执行历史logging的MSExchange Management事件源。

我刚刚检查了我自己的2010环境,并添加了完整的邮箱权限,并在该日志中popup。