Exchange 2007 如何禁止完全访问权限

问题：

在Exchange2007中，有一个“管理完全访问权限”的功能，可以设置一个账户可以打开其他用户的邮箱，这个功能能否禁止使用呢？

因为这涉及到安全性问题.
解答:
   经过我的仔细研究，从技术手段上还是有办法的（我给个思路）：

你打开Exchange命令行管理程序，输入如下cmdlet：
Add-MailboxPermission -Identity lisi -user everyone -AccessRights FullAccess -Deny

稍微解释一下，通过这个cmdlet添加一个everyone（实际上就是代表所有用户）拒绝拥有对lisi邮箱的完全访问的权限。
这样就导致尽管你添加了哪个账号对哪些邮箱的完全访问权限，但是由于此处我设置了Everyone都拒绝，所以最终拒绝优先。(这样可能会影响你的正常设置。另外还需要注意，这样设置好后，lisi自己也无法打开自己的邮箱了，因为lisi本身也隶属于Everyone组中)

你可能不太希望这种太霸道的设置，所以你可以将Everyone修改为“人品不良”的管理员账号。举个例子，如果禁止BadAdmin这个用户对所有邮箱的安全访问权限，就可以运行如下cmdlet：
Get-mailbox | Add-MailboxPermission -user BadAdmin -AccessRights FullAccess -Deny

和上面同理，这样设置好后，BadAdmin自己也无法打开自己的邮箱，也许你不希望看到这样，那么可以再次运行：
Remove-MailboxPermission -identity BadAdmin -user BadAdmin -AccessRights FullAccess -Deny

通过以上设置后，就满足了你的需求，这样不听话的管理员无论在Exchange管理控制台还是在Exchange命令行管理程序中，将自己添加到目标邮箱的完全访问权限中去后，都没有办法打开别人的邮箱，因为还有个拒绝完全访问权限的ACL是优先的。

当然，还是我在2楼说的那样，如果他权限很大，又知道你是如何限制他的，他完全可以为自己“解封”后再赋权给自己：
Get-mailbox | Remove-MailboxPermission -user BadAdmin -AccessRights FullAccess -Deny

所以总结下来，这个方法虽然好，但是只能从表面限制，属于“障眼法”。现在只能希望这个不听话的管理员技术不那么好，能知难而退。呵呵。