??????? 鈴……….半夜中被一陣急促的手機鈴聲吵醒，年度服務(wù)客戶打來電話需要進行郵件的排查和刪除工作。問其原因，原來是組織中有人發(fā)了一封關(guān)于領(lǐng)導的不健康的郵件，并在企業(yè)內(nèi)部進行了轉(zhuǎn)發(fā)，領(lǐng)導要求立即找出此類郵件并進行刪除。管理員深知領(lǐng)導的暴脾氣，不敢怠慢！

??????? 其實找出有問題的郵件進行刪除并不難，利用Exchange Server2010提供的多郵箱搜索功能就可以實現(xiàn)。此功能使用的是由 Exchange 搜索創(chuàng)建的內(nèi)容索引，來提供對整個組織內(nèi)所有或者是指定范圍內(nèi)的郵件內(nèi)容進行搜索能力，以滿足類似于法律法規(guī)等合規(guī)性要求、企業(yè)內(nèi)部的事故調(diào)查以及郵件監(jiān)控等。正是因為此操作會涉及到員工的隱私等問題，負責搜索郵箱的操作不一定是IT部門管理人員，應(yīng)該指定由法務(wù)部或者是人力資源部的人員進行操作。讓這些不懂Exchange管理的人員進行多郵箱搜索操作，最好的工具就是ECP，以實現(xiàn)基于角色的訪問控制RBAC。下面咱們就來看一如何讓某個特殊人員進行多郵箱搜索操作。

??????? 步驟1：創(chuàng)建“發(fā)現(xiàn)郵箱”

??????? 發(fā)現(xiàn)郵箱是一種特殊類型的 Exchange 2010 郵箱，用于存儲執(zhí)行多郵箱搜索的結(jié)果。也就是說當使用 ECP 創(chuàng)建發(fā)現(xiàn)搜索時，只有發(fā)現(xiàn)郵箱可作為存儲搜索結(jié)果的存儲庫。Exchange Server 2010部署完成后創(chuàng)建了一個名稱為“發(fā)現(xiàn)搜索郵箱”的發(fā)現(xiàn)郵箱。如下圖所示：

??????? 一般來說，大家習慣創(chuàng)建一個發(fā)現(xiàn)郵箱以實現(xiàn)每個不同的搜索需求對應(yīng)不同的搜索郵箱，因此我們第一步就創(chuàng)建一個新的發(fā)現(xiàn)郵箱。發(fā)現(xiàn)郵箱具有普通郵箱所不具備的特性：不能用作其他用途或轉(zhuǎn)換為其他類型的郵箱；發(fā)現(xiàn)郵箱的郵箱存儲配額默認為 50GB；發(fā)現(xiàn)郵箱的AD賬號默認為禁用，無法登錄到域；在SP1后續(xù)版本中，此郵箱賬號默認啟用從Exchange地址列表隱藏，用戶無法給此賬號發(fā)送郵件；并且無法使用控制臺圖形界面來創(chuàng)建發(fā)現(xiàn)郵箱。那么我們只能是使用EMS命令行，下面我們就創(chuàng)建一個名為DiscoveryUEC的發(fā)現(xiàn)郵箱。所使用的命令是：New-Mailbox DiscoveryUEC –Discover –UserPrincipalName DiscoveryUEC@uec.com。如下圖所示：

??????? 步驟2：創(chuàng)建執(zhí)行人員使用的用戶郵箱或者是使用現(xiàn)有用戶郵箱

??????? 此用戶郵箱就是執(zhí)行多郵箱搜索操作的郵箱賬戶，一般為法務(wù)部或者是人力部的員工郵箱，創(chuàng)建用戶郵箱的方法直接使用EMC即可，在此不再介紹。我們就直接使用杜飛的郵箱dufei@uec.com。

??????? 步驟3：賦予用戶郵箱對于發(fā)現(xiàn)郵箱的執(zhí)行權(quán)限

??????? Exchange Server2010內(nèi)置有“Discovery Management”管理角色組，此組具有多郵箱搜索的權(quán)限。但是默認此角色組中沒有任何成員，因此我們將步驟2中的用戶郵箱加入到此管理角色組中，可以使用命令：Add-RoleGroupMember –Identity “Discovery Management” –Member dufei。或者是使用Exchange控制面板，方法是打開ECP，使用administrator登錄，然后選擇“角色和審核”---找到“Discovery Management”組，如下圖所示：

??????? 然后，雙擊“Discovery Management”角色組，會彈出此角色組的配置參數(shù)，其他參數(shù)都不用修改，只需要在成員字段入加入dufei即可，修改后的結(jié)果如下圖所示：

??????? 步驟4：賦予用戶對發(fā)現(xiàn)郵箱的完全訪問權(quán)限

??????? 當我們執(zhí)行了步驟3之后，只是dufei這個用戶具有多郵箱搜索的權(quán)限，但是搜索的結(jié)果還是需要存放到我們步驟1所創(chuàng)建的DiscoverUEC發(fā)現(xiàn)郵箱中，所以此用戶必須對發(fā)現(xiàn)郵箱有完全訪問的權(quán)限。方法是：打開Exchange管理控制臺，“收件人配置”----“郵箱”，右鍵發(fā)現(xiàn)郵箱“DiscoveryUEC”，在彈出的菜單選擇“管理完全訪問權(quán)限”，如下圖所示：

??????? 打開“管理完全訪問權(quán)限”之后，出現(xiàn)下圖所示的界面，單擊添加按鈕，將dufei添加到安全主體中，如下圖所示：

???????? 然后，依次點擊“管理”、“完成”即可。

???? ?? 步驟5：啟用發(fā)現(xiàn)郵箱AD賬號

??????? 發(fā)現(xiàn)郵箱創(chuàng)建完成后，默認處于禁用狀態(tài)，因此我們必須到AD DS用戶和計算機中，找到此對象，先重置密碼，然后再啟用帳戶，如下圖所示：

?

???? ?? 步驟6：發(fā)送測試郵件

??????? 此步驟是模擬某些用戶發(fā)送了含有敏感信息的郵件，真實環(huán)境中此類郵件已經(jīng)存在，此步驟可以不需要！我們在此就先讓yulei這個用戶給Lq發(fā)一封內(nèi)容中含有“小三”的郵件，Lq這個用戶又轉(zhuǎn)發(fā)給了lsj。如下圖所示：

???????? 步驟7：多郵箱搜索

??????? 下面就需要讓審核用戶dufei出馬了，此用戶登錄ECP，選擇“郵件”---“管理我的組織”---“郵件控制”---“發(fā)現(xiàn)”---“多郵箱搜索”，再點擊“新建”，如下圖所示：

??????? 下圖就是“新建郵箱搜索”的對話框，在關(guān)鍵字屬性中，輸入“小三”，在此可以看到，還可以支持邏輯運算符。在下面的搜索名稱取，我們定義為“小三搜索”，選擇“將搜索結(jié)果復制到目標郵箱”，去掉“啟用刪除重復”，選中“啟用完整日志記錄”，“選擇用戶存儲搜索結(jié)果的郵箱”字段中找到我們創(chuàng)建的發(fā)現(xiàn)郵箱“DiscoveryUEC”。最后可以選擇“搜索完成后向我發(fā)送電子郵件”，提醒dufei及時知道搜索的結(jié)果，當然不要忘記選擇要搜索的郵箱，在此我選擇“搜索所有郵箱”。

??????? 然后，點擊保存，返回主頁面，可以看到當前狀態(tài)是“正在進行搜索”。就靜下心等待吧！

??????? 當搜索完成后，狀態(tài)就會變?yōu)椤八阉饕殉晒Α?#xff0c;也可以點擊刷新按鈕查看狀態(tài)，成功后的界面如下圖所示：

??????? 在上圖中的右側(cè)，可以看到搜到的項目數(shù)，結(jié)果已經(jīng)發(fā)送到DiscoveryUEC@uec.com郵箱，可以選擇點擊“打開”查看搜索結(jié)果，一般都是通過打開發(fā)現(xiàn)郵箱直接查看。此時登錄dufei的郵箱，也可以看到檢索成功的提示郵件。

?????? 步驟8：查看搜索結(jié)果

??????? 搜索成功后，我們使用DiscoveryUEC賬號登錄OWA，輸入用戶名、密碼之后打開OWA界面，這個過程和打開普通郵箱的過程一樣，進去之后在導航窗格中點擊“DiscoveryUC”打開”小三搜索”文件夾，可以看到有多個搜索結(jié)果，這是因為我在操作的過程中，搜索了多次。如下圖所示：

??????? 我在此就使用最后一次的搜索結(jié)果，可以在右側(cè)的窗格中看到具體結(jié)果，里面會有搜索的開始時間、結(jié)果時間、大小、命中等內(nèi)容，然后可以下載或者是打開附件，看到里面有兩個文件，我們打開其中的CSV文件，從中可以看到LSJ的收件箱里有一封和關(guān)鍵字相關(guān)的郵件；yuelei發(fā)送了一封和關(guān)鍵字相關(guān)的郵件；Lq收到并發(fā)送了一封和關(guān)鍵字相關(guān)的郵件，如下圖所示：

??????? 如果僅僅是搜索的話，到此就結(jié)果了，但現(xiàn)在的任務(wù)是刪除原郵件。在此可以使用Search-Mailbox命令加上DeleteContent參數(shù)。作為額外保護措施，可以考慮再加上TargetMailbox 和 TargetFolder 參數(shù)，首先將郵件復制到另一個郵箱。這樣可保留已刪除郵件的副本，以防需要再次訪問這些郵件。下面我們就準備將這些含有“小三”的郵件復制到dufei的郵箱中，然后刪除源郵件。在此可以選擇單獨從一個郵箱中刪除，也就是針對每個用戶郵箱執(zhí)行一次刪除命令。也可以針對所有郵箱執(zhí)行一次刪除命令，但有可能會誤傷。我在此使用的命令如下：Get-Mailbox | Search-Mailbox -SearchQuery '小三' -TargetMailbox "dufei" -TargetFolder "小三搜索" -LogLevel Full? -DeleteContent。

??????? 需要注意的是，Search-Mailbox命令必須在SP1及以上版本上使用，如果發(fā)現(xiàn)此命令不能使用，則可能是沒有把相關(guān)的用戶加入到”Discovery Management”管理角色組中，我在此就是將administrator加入到此角色組中，如下圖所示：

??????? Search-Mailbox的DeleteContent參數(shù)除了Discovery Management的權(quán)限，還需要附加的權(quán)限設(shè)置：Mailbox Import Export權(quán)限。在此，我使用的方法是先創(chuàng)建一個角色組“DeleteContent Group”，選擇分配的角色是"Mailbox Import Export"，成員是“Administrator”，如下圖所示：

?

??????? 然后再運行此命令，如下圖所示：此命令執(zhí)行結(jié)束后，會顯示其具體信息，如下圖所示：

??????? 在此界面中可以看到，從yuelei的郵箱中刪除了一封郵件，從lsj的郵箱中刪除了一封郵件，從lq的郵箱中刪除了兩封郵件，并且都存到了dufei的用戶郵箱中。如果需要驗證的話，可以分別打開yuelei、lsj、lq的郵箱，會發(fā)現(xiàn)里面關(guān)于小三的郵件都沒了，再打開dufei的郵箱會發(fā)現(xiàn)多出一個“小三搜索”文件夾，附件里就是生成的搜索文件。如下圖所示：

??????? 關(guān)于Serch-Mailbox命令的詳細用法，可以參考：http://technet.microsoft.com/zh-CN/library/dd298173(v=exchg.141).aspx。寫到這兒，利用多郵箱搜索找出神秘郵件的幕后黑手就順利完成了。怎么樣，還算簡單吧！兄弟們，以后可不敢再發(fā)不健康的郵件了，Exchange太可怕了，媽呀！

總結(jié)

以上是生活随笔為你收集整理的Exchange Server2010系列之七：多邮箱搜索找出神秘邮件的幕后黑手的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。