Powershell管理系列（十一）Exchange完全访问权限邮箱的设置

re2212

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包，QQ:185426445.电话18666943750
首先说明下一些赋予及取消完全访问权限的Powershell命令
1、向用户 administrator 授予对 ping.zhou 邮箱的完全访问权限，命令如下
Add-MailboxPermission -Identity ping.zhou -User administrator -AccessRights FullAccess -InheritanceType All

2、向用户 administrator 取消对 ping.zhou 邮箱的完全访问权限，命令如下
Remove-MailboxPermission -Identity ping.zhou -User administrator -AccessRights FullAccess -InheritanceType All

3、向用户 administrator 授予对所有非administrator邮箱的完全访问权限，命令如下
[这个我们在Exchange使用IMAP迁移到office365的时候，迁移邮箱的时候需要用到]
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox') -and (Alias -ne 'Administrator')} | Add-MailboxPermission -User administrator -AccessRights fullaccess -InheritanceType all

4、向用户 administrator 取消对所有邮箱的完全访问权限，命令如下
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox') -and (Alias -ne 'Administrator')} | remove-MailboxPermission -User administrator -AccessRights fullaccess -InheritanceType all

需求：由于特殊原因，某账号设置了其他某些账号的完全访问权限，后面要取消对这些账户的访问权限，用户反馈outlook里面无法删除这些账户，OWA显示已无这些账户，如下图：
OWA显示已删除无完全访问权限的账号

Outlook虽然已不能打开其取消完全访问权限的邮箱，但是无法删除，也无法打开，提示无法显示该文件夹。

原因如下：
在 Exchange 2010 Service Pack 1 (SP1) 中，Exchange 引入了一项功能，允许 Outlook 2007 和 Outlook 2010 客户端自动映射到用户拥有完全访问权限的任何邮箱。如果向某个用户授予了针对其他用户邮箱或共享邮箱的完全访问权限，则 Outlook 会自动加载该用户拥有完全访问权限的所有邮箱。
为此，Exchange 在 Active Directory 中植入了 msExchDelegateListLink 属性以定位用户有完全访问权限的邮箱，然后将此信息提供给自动发现服务。 然后，自动发现使用 Outlook 打开完全访问权限邮箱所必需的信息填充 AlternateMailbox 属性。 如果该用户对多个邮箱拥有完全访问权限，则在启动 Outlook 时可能会出现性能问题。 在 Exchange 2010 SP1 中，没有办法将此功能禁用。 但在 Exchange 2010 SP2 中，可以使用命令行管理程序禁用此功能。
在Exchange server 2013中也同样存在这个问题。
我们也不能使用 EMC 禁用自动映射，只能使用EMS禁用自动映射功能。命令如下：
$FixAutoMapping = Get-MailboxPermission ping.zhou |where {$_.AccessRights -eq "FullAccess" -and $_.IsInherited -eq $false}
$FixAutoMapping | Remove-MailboxPermission
$FixAutoMapping | ForEach {Add-MailboxPermission -Identity $_.Identity -User $_.User -AccessRights FullAccess -AutoMapping $false}

执行后，重启下exchange传输服务，以便设置更快的生效，我们再重新打开outlook，发现之前取消完全访问的账号已经不再保留在outlook里了。