On an Exchange 2019 server, I noticed inherited permissions that were deliberately not set in this way. I suspect that these are standard permissions that are set when Exchange servers are installed. In this case, an account that was used for installation has quite extensive permissions at mailbox and database level. This was noticed during routine maintenance work:
Es handelt es dabei um die gleichen Rechte, welche auch automatisch für das Konto „Administrator“ konfiguriert werden. Nur weil mit dem markierten Konto die Installation durchgeführt wurde, möchte ich aber nicht, dass dieses Konto so viele Berechtigungen behält. Gerade wenn das Konto gelöscht wird, würden in diesem Fall SID-Leichen bestehen bleiben.
I initially thought that these permissions would be inherited from the database to the mailboxes, but the permissions are inherited much earlier to the databases and mailboxes.
Eine der Berechtigungen wird über den Container „Microsoft Exchange“ in der Active Directory Konfigurations Partition vererbt. Diese kann mittels ADSI Edit entfernt werden:
The second authorization is inherited via the Exchange Organization container:
Auch diese Berechtigung kann mittels ADSI Edit entfernt werden. Falls das Konto die Berechtigungen behalten soll, man hier aber trotzdem etwas mehr Ordnung rein gebracht werden soll, kann das Konto in die Gruppe „Exchange Organization Administrators“ aufgenommen werden. Diese hat die gleichen Berechtigungen wie zuvor das einzelne Konto.
After removing the two entries via ADSI Edit, the authorization at mailbox and database level looks clean again:
