Microsoft 的文档似乎表明禁用邮箱是一项简单的操作。不幸的是，有一些“陷阱”。

邮箱保留

当邮箱被禁用时，它被重新分类为“断开连接的邮箱”。默认情况下，Exchange 会将断开连接的邮箱保留 30 天。这是邮箱所在数据库的一个属性。但是，Exchange 管理员可以更改此值。如果将 的值MailboxRetention设置为 0，邮箱将被立即删除。（哎呀。）（在 technet.com 上删除邮箱保留）

编辑：断开未初始化邮箱的连接也将导致其立即和不可恢复的删除。未初始化的邮箱是从未通过 OWA 或 Outlook 访问过的邮箱。这可能会在编写断开和重新连接邮箱的脚本时造成困难，因为某些邮箱可能无法重新连接。

重新连接邮箱

禁用和连接邮箱并不是瞬间完成的。当您只想禁用邮箱时这很好，但如果您打算立即重新连接邮箱，则需要注意两件事。

• 在清理邮箱数据库之前，不会填充“断开连接的邮箱”列表。如果您因为找不到刚刚禁用的邮箱而感到恐慌，请告诉 Exchange 开始清理数据库并等待几分钟。
• 如果您正在编写 PowerShell 脚本，则必须等待更改传播到 Active Directory，然后再执行任何进一步的操作。根据您的环境和运气，这个时间从几秒到几分钟不等。（提示：您可以循环调用Get-User以确定更改是否已完全传播。）

邮箱元数据

当邮箱断开连接时，配额信息将被丢弃。如果要保留邮箱配额，则需要在发出禁用邮箱的命令之前记录这些值。

同样的事情适用于电子邮件地址列表和邮箱别名。

委托和许可

现在事情开始变得不友好了。对于任何给定的用户，有几种可能与常规交换邮箱或旧式公共文件夹的链接。

• 普通邮箱
  • 发送权限
  • 代发
  • 邮箱子文件夹的 ACL
  • 完全访问权限
• 公共文件夹
  • 发送权限
  • 代发
  • 文件夹权限

邮箱 -> 发送为

权限由 Active Directory 用户对象上的Send-AsACL 表示，ACL 在内部存储为 SID 值列表。因此，此权限可以完全在 Exchange 外部进行管理。

当邮箱被禁用时，它对发送权限没有影响。用户对象上的 ACL 未更改，因此不会丢失任何信息。

如果断开连接的邮箱重新连接到同一用户，则以前能够作为该用户发送的任何用户都将重新获得该能力。

如果断开连接的邮箱连接到不同的用户，则任何用户都无法作为新用户发送。您需要为新用户重新应用所需的“代理发送”权限。

邮箱->代发

该Send on behalf权利与 Outlook 客户端所呈现的“委托”概念密切相关。授予send on behalf另一个用户是很常见的，尤其是在委派日历管理时。尚不清楚 Exchange 如何在内部存储它，但我知道Send on behalf权限连接的是邮箱对象，而不是用户。

当禁用邮箱时，所有“代表发送”连接都将被丢弃。这不仅影响被禁用的邮箱，而且如果另一个邮箱已授权代表发送到该邮箱，则该链接现在将被删除。

不用说，如果邮箱重新连接到任何用户，“代表发送”权限不会恢复。当邮箱被禁用时，该信息将立即永远丢失。我将这些链接称为“不稳定”。这种易变性源于以下事实：代表发送权限是唯一未与 SID 一起存储在内部的权限。

额外提示：Exchange 将在 AD 用户对象上填充两个属性，publicDelegates它们publicDelegatesBL分别包含委托邮箱和提供委托权限的邮箱的可分辨名称。

邮箱 -> 子文件夹上的 ACL

邮箱文件夹的权限是邮箱之间最常用的链接之一。文件夹权限作为 Outlook“委托”的后半部分很重要，但它们通常是手动分配的，没有相关的发送代表权限。

尽管 Exchange 使用基于用户 SID 的典型 ACL 表示文件夹权限，但您不能像常规 ACL 那样操作它们。Outlook 只允许选择已启用邮件的用户，类似地，PowerShell Add-MailboxFolderPermissioncmdlet 只允许您为其他用户添加权限，前提是他们有关联的邮箱。

如果用户委托被授予文件夹权限（例如审阅者、编辑）并且该委托的邮箱稍后被禁用，则权限将显示为“NT User:DOM\samname”。

如果委托人的邮箱重新连接到同一用户，他们显然能够利用这些权限，尽管他们现在的外观是畸形的。

但是，如果委托人的邮箱连接到不同的用户，则该新用户将不会继承原始委托，因为他们没有匹配的 SID。尽管文件夹权限看起来像是授予了邮箱，但实际上它们是授予了 AD 安全主体。

邮箱 -> 完全访问

完全访问权限只能由 Exchange 管理员分配。与 Send-As 权限非常相似，它们被授予 AD 用户对象并根据 SID 在内部存储。但与 Send-As 权限不同的是，事实证明，完全访问权限实际上是作为 Exchange 邮箱对象的一部分存储的。

如果邮箱断开连接，则具有完全访问权限的用户列表将保留在邮箱对象中。

如果重新连接断开连接的邮箱，无论它连接到哪个用户，之前具有完全访问权限的任何用户都将重新获得对该邮箱行使完全访问权限的能力。

额外提示：完全访问权限有一项可选功能，称为AutoMapping. 如果在启用自动映射的情况下授予完全访问权限，Exchange 将填充msExchDelegateListBL接收完全访问权限的用户的属性。这使您可以轻松查看您拥有完全访问权限的内容，但它并不总是启用，因此您不能依赖它来获得完整的答案。

公用文件夹 -> 发送为

Send-As公用文件夹的权限与普通邮箱的工作方式大致相同。“但是公用文件夹不与用户对象相关联！” 你喊。实际上，Exchange 确实会在 Active Directory 中为您创建的每个公用文件夹创建秘密对象。

（您可以使用 ADSI Edit 打开安装 Exchange 服务器的林中根域的默认命名上下文，然后查找“CN=Microsoft Exchange System Objects”。在此容器中，您将找到每个公用文件夹的对象，并且每个对象都有一个包含Send-As权限的 ACL。）

公用文件夹 -> 代表发送

为公用文件夹“代表发送”的想法有点奇怪，因为 Outlook 中的“委派”概念根本不适用于公用文件夹。但它仍然存在。

公共文件夹上发送代表权限的区别因素是它们永远不会填充已被授予发送代表权限的用户对象的“publicDelegatesBL”属性。

在这一点上，我不清楚发送代表权在公用文件夹上是否也不稳定。如果有人知道这一点，请随时编辑此答案！（待办事项/固定我）

公用文件夹 -> 权限

公用文件夹的权限不同于邮箱的权限。因为它们链接到邮箱，所以它们是易变的。

如果邮箱断开连接，则该邮箱将失去其已授予的所有公用文件夹权限。（TODO/FIXME 还是它们遵循 NT USER 格式？）

“无缝迁移”

如果你有一个人在两个不同的域中拥有 AD 用户帐户，并且你想将邮箱从一个域中的用户移动到另一个域中的用户，那么你将面临一场艰苦的战斗。

遗憾的是，Exchange 无法轻松跟踪权限和委派的应用方式。如果您需要将邮箱从一个 AD 用户移动到同一林中的另一个用户，并且您希望完全保留权限，您需要自己发现并恢复这些权限。

即使在中等规模的林中，这也会成为一项非常昂贵的操作，因此如果您经常移动邮箱，那么值得对所有邮箱进行一次大枚举以收集所有当前链接的列表。然后，当您想要将邮箱分配给不同的 AD 用户帐户时，您可以准确地知道哪些其他邮箱需要更新权限。

结论

• 这些权限是持久的。在邮箱被禁用后，它们保持不变。
  • 发送为
  • 邮箱文件夹 ACL
  • 完全访问
  • 公用文件夹发送为
• 这些权限是不稳定的。当邮箱被禁用时，它们会丢失。
  • 代发
  • 公共文件夹代表发送
  • 公共文件夹权限
• 断开邮箱有很多副作用。
  • 配额设置丢失
  • 丢失连接的电子邮件地址
• 在编写禁用或连接邮箱的脚本时，请注意 AD 传播造成的延迟。