Iskalni nabiralnik Iščite in izbrišite posamezna e-poštna sporočila iz nabiralnikov Exchange

Exchange strežnik omogoča skrbniku, da išče po uporabniških nabiralnikih v bazah podatkov in izbriše določene črke (ali druge predmete) iz nabiralnikov. Uporabnik je na primer naredil napako in po nesreči poslal zasebne podatke drugim uporabnikom v organizaciji in ni uspel umakniti sporočila v Outlooku. Oddelek za varnost informacij zahteva, da kot administrator Exchangea to e-poštno sporočilo izbrišete od vseh uporabnikov v svoji Exchange organizaciji. V tem članku bomo pokazali, kako lahko uporabite PowerShell za iskanje po nabiralnikih uporabnikov Exchange (po različnih kriterijih) in brisanje posameznih sporočil določenega uporabnika ali vseh uporabnikov Exchange. Opisane tehnike veljajo za Exchange 2016, 2013 in 2010..

Vsebina:

• Dodelite dovoljenja za iskanje poštnih nabiralnikov Exchange
• Za iskanje in brisanje črk v nabiralnikih Exchange uporabljamo ukazno vrstico Search-Mailbox
• Primeri iskalnih poizvedb za poštni predal SearchQuery Exchange
• Omejitve iskalnega nabiralnika
• Hitro poiščite in izbrišite e-poštna sporočila v programu Exchange 2016 s pomočjo New-ComplianceSearch

Dodelite dovoljenja za iskanje poštnih nabiralnikov Exchange

Skrbniškemu računu, ki išče in odstranjuje predmete, morajo biti dodeljene naslednje vloge:

• Izvoz uvoza nabiralnika
• Iskanje poštnega nabiralnika

Vloge lahko dodelite prek EAC ali z naslednjimi ukazi PowerShell:

Novo-ManagementRoleAssignment -Uporabnik itpro -Role "Izvoz uvoza nabiralnika"
New-ManagementRoleAssignment -User itpro -Role "Iskanje nabiralnika"

Po dodelitvi vlog morate znova zagnati konzolo Exchange Management Shell.

Za iskanje in brisanje črk v nabiralnikih Exchange uporabljamo ukazno vrstico Search-Mailbox

Po črkah lahko iščete tudi po uporabniških nabiralnikih prek nadzorne plošče Exchange / Exchange Admin Center, vendar je ta način iskanja precej počasen in ne omogoča brisanja črk. Precej lažje je iskanje s programom PowerShell.

Z ukaznim ukazom lahko iščete sporočila v uporabniških poljih Išči poštni predal, ki po določenih kriterijih omogoča iskanje črk v vseh ali določenih nabiralnikih, kopiranje najdenih predmetov v drug nabiralnik ali pa njihovo brisanje.

Najprej bomo ugotovili, kako iskati z iskalnim poštnim nabiralnikom..
Če želite iskati v določenem nabiralniku z določeno temo, zaženite ukaz:
Iskalni poštni nabiralnik - Vazija identitete - Iskalni poizvedba 'Zadeva:' Letno poročilo ''
Za iskanje po vseh nabiralnikih v organizaciji uporabite ukaz:
Get-Mailbox -ResultSize neomejeno | Iskalni poštni predal - Iskalni poizvedba „Zadeva:„ Letno poročilo

Za kopiranje rezultatov iskanja v določen nabiralnik in mapo uporabite parametre TargetMailbox in TargetFolder. Tako lahko po končanem iskanju ročno uporabite Outlook ali OWA za ogled najdenih črk. Predpostavimo, da moramo na seznamu uporabnikov iskati črke (vsebovane v besedilni datoteki users.txt) in kopirati črke, ki jih najdemo v mapi določenega nabiralnika, naredite:

get-content users.txt | Get-Mailbox -ResultSize neomejeno | Iskalni poštni predal-Iskalni poizvedba 'Zadeva: "Letno poročilo"' -TargetMailbox sec_mbx -TargetFolder "ExSearchFolder"

Parameter -Logonly pomeni, da morate oceniti rezultate iskanja samo brez kopiranja rezultatov iskanja v ciljno polje in brez brisanja elementov. Pri uporabi tega argumenta bo poročilo z rezultati iskanja poslano v določen ciljni nabiralnik. Poročilo je arhivirana datoteka csv, ki vsebuje polja, ki ustrezajo iskalnim kriterijem..

Rezultate iskanja lahko ocenite s parametrom -Oceni samo rezultat, upoštevajte, da pri uporabi tega argumenta ni treba določiti ciljnega nabiralnika in mape

Za brisanje najdenih črk morate uporabiti možnost -Izbriši vsebino, če želite odstraniti potrditvene zahteve za brisanje informacij, dodajte parameter -Sila.

Izbrišite vsa pisma iz uporabniške vazije v vseh nabiralnikih na določenem strežniku Exchnage:

Get-Mailbox -Server msk-mdb1 -ResultSize neomejeno | Iskalni poštni nabiralnik - Iskalni poizvedba 'iz: "[email protected]"' -DeleteContent -Force

Preden izbrišete pisma iz nabiralnikov s stikalom -DeleteContent, toplo priporočamo, da si ogledate črke, ki jih najdemo določena merila, z uporabo argumentov -EstimateResultOnly ali -LogOnly.

Če želite iskati samo izbrisane elemente, dodajte parameter -SearchDumpsterOnly (če želite izključiti iskanje po izbrisanih elementih, dodajte parameter -SearchDumpster: $ false). Če želite izključiti arhiv nabiralnika, uporabite parameter -DoNotIncludeArchive.

Primeri iskalnih poizvedb za poštni predal SearchQuery Exchange

Oglejmo si primere poizvedb za izbiro poštnih elementov s parametrom SearchQuery. Parameter SearchQuery obravnava poizvedbe v jeziku KQL (Jezik poizvedbe po ključnih besedah) - https://docs.microsoft.com/en-us/sharepoint/dev/general-development/keyword-query-language-kql-syntax-reference.

Izbrišite vse črke s ključno besedo "Skrivno" v zadevi od vseh uporabnikov, ki niso iz vaše domene:

Iskalni poštni nabiralnik -Vsebina vasia -Preizvedba »Zadeva:» Skrivno «in od» winitpro.ru «« -DeleteContent

Poiščite in izbrišite vse črke s prilogami, večjimi od 20 MB:

Iskalni poštni nabiralnik -Vsebina vasia -Preiskava iskalni niz 'true: Velikost in velikost> 20971520' -DeleteContent

Namig. Velikost črk je navedena v bajtih, upošteva pa se velikost celotne črke in ne le prilog. Velikost lahko določite v megabajtih; v tem primeru se uporabi naslednja sintaksa: -Preiskava vprašanja Velikost -gt 20MB.

Besedilo lahko poiščete tudi v glavi in ​​zadevi črke hkrati, na primer bomo v vrstici zadeve našli ali izbrisali vse črke, ki vsebujejo besedno zvezo "Novo leto" ali besedno zvezo "kupite žganje".

Vasia Search-Poštni nabiralnik -Preiskava Zadeva: "RE: Novo leto" ALI telo: "Nakup žganja" -DeleteContent -Force

Določene predmete lahko iščete v poljih s pomočjo argumenta Prijazni, na primer:

Srečanja: -Iskalna vprašanja "Vrste: sestanki"
Kontaktni podatki: -SearchQuery "Vrste: stiki"

Ali drugi elementi:

• Elektronska pošta - črke
• Srečanja - sestanki
• Naloge - Naloge
• Opombe - opomba
• Dokumenti - dokumenti
• Časopisi - revije
• Imenik - stiki
• Sporočila za pomenke

Poiščite pisma po določenem pošiljatelju in prejemniku

-SearchQuery 'iz: "[email protected]" IN do: "[email protected]" "

Črke z določeno datoteko lahko iščete v prilogi:

-SearchQuery "priloga:" secret.pdf "'

Ali glede na vrsto datoteke:

-SearchQuery 'podobno kot priloga: "*. Docx"'

Lahko iščete po datumu pošiljanja / prejemanja pisem, vendar obstaja več odtenkov. Pri uporabi datumov kot meril za iskanje upoštevajte regionalne nastavitve strežnika Exchange. Na primer, datum 20. julij 2018 lahko navaja:

• 20.07.2018
• 20.7.2018
• 20. julij 2018
• 20. julij 2018

In če se pri izvedbi ukaza Search-Mailbox pojavi napaka »Razčlenjevalnik KQL je vrgel izjemo ...«, uporabljate napačno obliko zapisa časa.

Za iskanje e-poštnih sporočil, poslanih na določen dan, uporabite poizvedbo:

-Iskalna poizvedba poslana: 20.07.2018

Če morate določiti časovno obdobje (poiščite črke, prejete v določenem časovnem obdobju):

-SearchQuery Prejeto: 20/20/2018 ... 20.07.2018

Še en primer. Iščemo pisma, prejeta pred 7. julijem:

-Iskalna vprašanja Prejeto:> $ ('07 / 07/2018 ')

Namig. V lokalizirani (ruski) različici programa Exchange morate v argumentih KQL uporabiti ruske ključe. Na primer za iskanje prejetih in poslanih pisem v določenem obdobju:

-SearchQuery poslano: "01.07.2018 ... 20.07.2018" IN prejeto: "07.07.2018 ... 20.07.2018

V skladu s tem morate v SearchQuery uporabiti takšne konstrukcije:

• na: [email protected]
• Otkot: "[email protected]"
• tema: "Tema je takšna"

Grožnja. Zato ne maram uporabljati ruskih različic izdelkov!

Omejitve iskalnega nabiralnika

Skupina iskalno-poštnih nabiralnikov ima pomembno omejitev, lahko vrne le 10.000 elementov, nakar bo vrnila napako

Pošiljanje podatkov oddaljenemu ukazu ni uspelo z naslednjim sporočilom o napaki: Skupni podatki, prejeti od oddaljenega odjemalca, so presegli največjo dovoljeno vrednost. Dovoljeno največ je 524288000.

Če želite odstraniti več elementov, morate zagnati cmdlet Išči poštni predal večkrat ali pa polje razdelite na skupine po pošti baze podatkov ali strežnika.

Get-Mailbox -Database mskdb | Iskalni poštni predal-Iskalni poizvedba 'od: [email protected]' -DeleteContent -Force

Druga težava z iskalnim nabiralnikom je slaba učinkovitost. Iskanje velike organizacije lahko traja več dni.

Hitro poiščite in izbrišite e-poštna sporočila v programu Exchange 2016 s pomočjo New-ComplianceSearch

Exchange 2016 uvaja nov mehanizem za hitro iskanje in brisanje črk v uporabniških nabiralnikih.

Z naslednjimi ukazi lahko bistveno zožite iskanje:

Novo iskanje-skladnost -Name FastSearch1 -ExchangeLocation all -ContentMatchQuery 'od: "[email protected]"'
Start-ComplianceSearch -Identity FastSearch1

Te ekipe v nekaj minutah odpravijo več tisoč škatel.

Dobimo seznam polj, ki sodijo pod iskalna merila:

$ search = Get-ComplianceSearch -Identity FastSearch1
$ results = $ search.SuccessResults
$ mbxs = @ ()
$ lines = $ results -split '[\ r \ n] +'
foreach (vrstica $ v $ vrsticah)

if ($ line -match 'Lokacija: (\ S +),. + Število elementov: (\ d +)' -in $ se ujema [2] -gt 0)

$ mbxs + = $ ujema [1]



Zdaj lahko začnete z brisanjem črk z uporabo Iskalnega nabiralnika samo v najdenih nabiralnikih:

$ mbxs | Get-Mailbox | Iskalni poštni nabiralnik - Iskalna vprašanja "iz:" [email protected] "" -DeleteContent -Force

Skupni čas iskanja in brisanja pisem se večkrat zmanjša, zlasti v velikih organizacijah.

Zdaj lahko izbrišete rezultate iskanja:

Remove-ComplianceSearch -Identity FastSearch1