? 鈴……….半夜中被一陣急促的手機鈴聲吵醒，年度服務客戶打來電話需要進行郵件的排查和刪除工作。問其原因，原來是組織中有人發了一封關于領導的不健康的郵件，并在企業內部進行了轉發，領導要求立即找出此類郵件并進行刪除。管理員深知領導的暴脾氣，不敢怠慢！

??????? 其實找出有問題的郵件進行刪除并不難，利用Exchange Server2010提供的多郵箱搜索功能就可以實現。此功能使用的是由 Exchange 搜索創建的內容索引，來提供對整個組織內所有或者是指定范圍內的郵件內容進行搜索能力，以滿足類似于法律法規等合規性要求、企業內部的事故調查以及郵件監控等。正是因為此操作會涉及到員工的隱私等問題，負責搜索郵箱的操作不一定是IT部門管理人員，應該指定由法務部或者是人力資源部的人員進行操作。讓這些不懂Exchange管理的人員進行多郵箱搜索操作，最好的工具就是ECP，以實現基于角色的訪問控制RBAC。下面咱們就來看一如何讓某個特殊人員進行多郵箱搜索操作。

????????步驟1：創建“發現郵箱”

??????? 發現郵箱是一種特殊類型的 Exchange 2010 郵箱，用于存儲執行多郵箱搜索的結果。也就是說當使用 ECP 創建發現搜索時，只有發現郵箱可作為存儲搜索結果的存儲庫。Exchange Server 2010部署完成后創建了一個名稱為“發現搜索郵箱”的發現郵箱。如下圖所示：

??????? 一般來說，大家習慣創建一個發現郵箱以實現每個不同的搜索需求對應不同的搜索郵箱，因此我們第一步就創建一個新的發現郵箱。發現郵箱具有普通郵箱所不具備的特性：不能用作其他用途或轉換為其他類型的郵箱；發現郵箱的郵箱存儲配額默認為 50GB；發現郵箱的AD賬號默認為禁用，無法登錄到域；在SP1后續版本中，此郵箱賬號默認啟用從Exchange地址列表隱藏，用戶無法給此賬號發送郵件；并且無法使用控制臺圖形界面來創建發現郵箱。那么我們只能是使用EMS命令行，下面我們就創建一個名為DiscoveryUEC的發現郵箱。所使用的命令是：New-Mailbox DiscoveryUEC –Discover –UserPrincipalName?DiscoveryUEC@uec.com。如下圖所示：

????????步驟2：創建執行人員使用的用戶郵箱或者是使用現有用戶郵箱

??????? 此用戶郵箱就是執行多郵箱搜索操作的郵箱賬戶，一般為法務部或者是人力部的員工郵箱，創建用戶郵箱的方法直接使用EMC即可，在此不再介紹。我們就直接使用杜飛的郵箱dufei@uec.com。

????????步驟3：賦予用戶郵箱對于發現郵箱的執行權限

??????? Exchange Server2010內置有“Discovery Management”管理角色組，此組具有多郵箱搜索的權限。但是默認此角色組中沒有任何成員，因此我們將步驟2中的用戶郵箱加入到此管理角色組中，可以使用命令：Add-RoleGroupMember –Identity “Discovery Management” –Member dufei。或者是使用Exchange控制面板，方法是打開ECP，使用administrator登錄，然后選擇“角色和審核”---找到“Discovery Management”組，如下圖所示：

??????? 然后，雙擊“Discovery Management”角色組，會彈出此角色組的配置參數，其他參數都不用修改，只需要在成員字段入加入dufei即可，修改后的結果如下圖所示：

????????步驟4：賦予用戶對發現郵箱的完全訪問權限

??????? 當我們執行了步驟3之后，只是dufei這個用戶具有多郵箱搜索的權限，但是搜索的結果還是需要存放到我們步驟1所創建的DiscoverUEC發現郵箱中，所以此用戶必須對發現郵箱有完全訪問的權限。方法是：打開Exchange管理控制臺，“收件人配置”----“郵箱”，右鍵發現郵箱“DiscoveryUEC”，在彈出的菜單選擇“管理完全訪問權限”，如下圖所示：

??????? 打開“管理完全訪問權限”之后，出現下圖所示的界面，單擊添加按鈕，將dufei添加到安全主體中，如下圖所示：

???????? 然后，依次點擊“管理”、“完成”即可。

??????? 步驟5：啟用發現郵箱AD賬號

??????? 發現郵箱創建完成后，默認處于禁用狀態，因此我們必須到AD DS用戶和計算機中，找到此對象，先重置密碼，然后再啟用帳戶，如下圖所示：

?

??????? 步驟6：發送測試郵件

??????? 此步驟是模擬某些用戶發送了含有敏感信息的郵件，真實環境中此類郵件已經存在，此步驟可以不需要！我們在此就先讓yulei這個用戶給Lq發一封內容中含有“小三”的郵件，Lq這個用戶又轉發給了lsj。如下圖所示：

???????? 步驟7：多郵箱搜索

??????? 下面就需要讓審核用戶dufei出馬了，此用戶登錄ECP，選擇“郵件”---“管理我的組織”---“郵件控制”---“發現”---“多郵箱搜索”，再點擊“新建”，如下圖所示：

??????? 下圖就是“新建郵箱搜索”的對話框，在關鍵字屬性中，輸入“小三”，在此可以看到，還可以支持邏輯運算符。在下面的搜索名稱取，我們定義為“小三搜索”，選擇“將搜索結果復制到目標郵箱”，去掉“啟用刪除重復”，選中“啟用完整日志記錄”，“選擇用戶存儲搜索結果的郵箱”字段中找到我們創建的發現郵箱“DiscoveryUEC”。最后可以選擇“搜索完成后向我發送電子郵件”，提醒dufei及時知道搜索的結果，當然不要忘記選擇要搜索的郵箱，在此我選擇“搜索所有郵箱”。

??????? 然后，點擊保存，返回主頁面，可以看到當前狀態是“正在進行搜索”。就靜下心等待吧！

??????? 當搜索完成后，狀態就會變為“搜索已成功”，也可以點擊刷新按鈕查看狀態，成功后的界面如下圖所示：

??????? 在上圖中的右側，可以看到搜到的項目數，結果已經發送到DiscoveryUEC@uec.com郵箱，可以選擇點擊“打開”查看搜索結果，一般都是通過打開發現郵箱直接查看。此時登錄dufei的郵箱，也可以看到檢索成功的提示郵件。

???????步驟8：查看搜索結果

??????? 搜索成功后，我們使用DiscoveryUEC賬號登錄OWA，輸入用戶名、密碼之后打開OWA界面，這個過程和打開普通郵箱的過程一樣，進去之后在導航窗格中點擊“DiscoveryUC”打開”小三搜索”文件夾，可以看到有多個搜索結果，這是因為我在操作的過程中，搜索了多次。如下圖所示：

??????? 我在此就使用最后一次的搜索結果，可以在右側的窗格中看到具體結果，里面會有搜索的開始時間、結果時間、大小、命中等內容，然后可以下載或者是打開附件，看到里面有兩個文件，我們打開其中的CSV文件，從中可以看到LSJ的收件箱里有一封和關鍵字相關的郵件；yuelei發送了一封和關鍵字相關的郵件；Lq收到并發送了一封和關鍵字相關的郵件，如下圖所示：

??????? 如果僅僅是搜索的話，到此就結果了，但現在的任務是刪除原郵件。在此可以使用Search-Mailbox命令加上DeleteContent參數。作為額外保護措施，可以考慮再加上TargetMailbox?和?TargetFolder?參數，首先將郵件復制到另一個郵箱。這樣可保留已刪除郵件的副本，以防需要再次訪問這些郵件。下面我們就準備將這些含有“小三”的郵件復制到dufei的郵箱中，然后刪除源郵件。在此可以選擇單獨從一個郵箱中刪除，也就是針對每個用戶郵箱執行一次刪除命令。也可以針對所有郵箱執行一次刪除命令，但有可能會誤傷。我在此使用的命令如下：Get-Mailbox | Search-Mailbox -SearchQuery '小三' -TargetMailbox "dufei" -TargetFolder "小三搜索" -LogLevel Full? -DeleteContent。

??????? 需要注意的是，Search-Mailbox命令必須在SP1及以上版本上使用，如果發現此命令不能使用，則可能是沒有把相關的用戶加入到”Discovery Management”管理角色組中，我在此就是將administrator加入到此角色組中，如下圖所示：

??????? Search-Mailbox的DeleteContent參數除了Discovery Management的權限，還需要附加的權限設置：Mailbox Import Export權限。在此，我使用的方法是先創建一個角色組“DeleteContent Group”，選擇分配的角色是"Mailbox Import Export"，成員是“Administrator”，如下圖所示：

?

??????? 然后再運行此命令，如下圖所示：此命令執行結束后，會顯示其具體信息，如下圖所示：

??????? 在此界面中可以看到，從yuelei的郵箱中刪除了一封郵件，從lsj的郵箱中刪除了一封郵件，從lq的郵箱中刪除了兩封郵件，并且都存到了dufei的用戶郵箱中。如果需要驗證的話，可以分別打開yuelei、lsj、lq的郵箱，會發現里面關于小三的郵件都沒了，再打開dufei的郵箱會發現多出一個“小三搜索”文件夾，附件里就是生成的搜索文件。如下圖所示：

??????? 關于Serch-Mailbox命令的詳細用法，可以參考：http://technet.microsoft.com/zh-CN/library/dd298173(v=exchg.141).aspx。寫到這兒，利用多郵箱搜索找出神秘郵件的幕后黑手就順利完成了。怎么樣，還算簡單吧！兄弟們，以后可不敢再發不健康的郵件了，Exchange太可怕了，媽呀！

本文轉自 bilinyee博客，原文鏈接： ? ? ?http://blog.51cto.com/ericfu/1638653??如需轉載請自行聯系原作者