Управление разрешениями для получателей
В Exchange Server можно использовать Центр администрирования Exchange (EAC) или командную консоль Exchange, чтобы назначить разрешения почтовому ящику или группе, чтобы другие пользователи могли получить доступ к почтовому ящику (разрешение полного доступа), или отправлять сообщения электронной почты, которые, как представляется, приходят из почтового ящика или группы (разрешения Отправить как или Отправить от имени). Пользователи, которым назначены эти разрешения для других почтовых ящиков или групп, называются делегатами.
Разрешения, которые можно назначить делегатам для почтовых ящиков и групп в Exchange Server, описаны в следующей таблице:
Примечание. Хотя вы можете использовать командную консоль Exchange для назначения некоторых или всех этих разрешений другим типам делегатов для других типов объектов-получателей, этот раздел посвящен типам объектов делегатов и получателей, которые дают полезные результаты.
Разрешение | Описание | Типы получателей в EAC | Дополнительные типы получателей в PowerShell | Типы делегатов в EAC | Дополнительные типы делегатов в PowerShell |
---|---|---|---|---|---|
Полный доступ | Позволяет представителю открывать почтовый ящик, а также просматривать, добавлять и удалять его содержимое. Не разрешает представителю отправлять сообщения от имени почтового ящика. Если назначить разрешение на полный доступ почтовому ящику, скрытому из списков адресов, делегат не сможет открыть почтовый ящик. По умолчанию почтовые ящики разрешения конфликтов и найденных сообщений скрыты в списке адресов. По умолчанию функция автоматического сопоставления почтовых ящиков использует автообнаружения для автоматического открытия почтового ящика в профиле Outlook делегата (в дополнение к собственному почтовому ящику). Обратите внимание, что автоматическое сопоставление будет работать только для отдельных пользователей, которым предоставлены соответствующие разрешения, и не будет работать для любой группы. Если вы не хотите, чтобы почтовые ящики сопоставлялись автоматически, необходимо выполнить одно из следующих действий:
|
почтовые ящики пользователей; Связанные почтовые ящики Почтовые ящики ресурса Общие почтовые ящики |
Почтовые ящики разрешения конфликтов Почтовые ящики обнаружения |
Почтовые ящики с учетными записями пользователей Почтовые пользователи с учетными записями Группы безопасности, поддерживающие почту |
Учетные записи пользователей, не поддерживающие почту. Универсальные, глобальные и доменные локальные группы безопасности, не поддерживающие почту. |
Отправить как | Позволяет представителю отправлять сообщения так, будто они поступают непосредственно от почтового ящика или группы. Нет никаких признаков того, что сообщение было отправлено представителем. Не разрешает представителю просматривать содержимое почтового ящика. Если назначить разрешение "Отправить как" почтовому ящику, скрытому из списков адресов, делегат не сможет отправлять сообщения из почтового ящика. |
почтовые ящики пользователей; Связанные почтовые ящики Почтовые ящики ресурса Общие почтовые ящики группы рассылки; динамические группы рассылки группы безопасности с включенной поддержкой почты. |
н/д | Почтовые ящики с учетными записями пользователей Почтовые пользователи с учетными записями группы безопасности с включенной поддержкой почты. |
н/д |
Отправить от имени | Позволяет представителю отправлять сообщения от имени почтового ящика или группы. В поле От адреса этих сообщений четко показано, что сообщение было отправлено делегатом (" <Делегат> от имени <MailboxOrGroup>"). Тем не менее ответы на эти сообщения отправляются почтовому ящику или группе, а не представителю. Не разрешает представителю просматривать содержимое почтового ящика. Если назначить разрешение Отправить от имени почтовому ящику, скрытому из списков адресов, делегат не сможет отправлять сообщения из почтового ящика. |
почтовые ящики пользователей; Связанные почтовые ящики Почтовые ящики ресурса группы рассылки; динамические группы рассылки группы безопасности с включенной поддержкой почты. |
Общие почтовые ящики | Почтовые ящики с учетными записями пользователей Почтовые пользователи с учетными записями группы безопасности с включенной поддержкой почты. Группы рассылки |
н/д |
Примечание.
Если у пользователя есть разрешения "Отправить как" и "Отправить от имени" в почтовый ящик или группу, разрешение "Отправить как" всегда используется.|Почтовые ящики пользователей
Что нужно знать перед началом работы
Предполагаемое время для завершения каждой процедуры: 2 минут.
Вам должны быть назначены разрешения, прежде чем вы сможете выполнять процедуры, описанные в этом разделе. Сведения о необходимых разрешениях см. в записи "Разрешения подготовки получателей" в разделе Разрешения получателей .
Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.
Для процедур, описанных в этом разделе, требуются определенные разрешения. Сведения о разрешениях см. в каждой процедуре.
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.
Назначение разрешений отдельным почтовым ящикам с помощью Центра администрирования Exchange
В Центре администрирования Exchange выберите Получатели в области функций. В зависимости от типа почтового ящика, которому требуется назначить разрешения, выберите одну из следующих вкладок:
Почтовые ящики: пользовательские или связанные почтовые ящики.
Ресурсы: почтовые ящики комнат или оборудования.
Общий: общие почтовые ящики.
В списке почтовых ящиков выберите почтовый ящик, для которого требуется назначить разрешения, и нажмите кнопку Изменить
На открывшейся странице свойств почтового ящика нажмите Делегирование почтового ящика и настройте одно или несколько из следующих разрешений:
Отправить как. Сообщения, отправленные делегатом, поступают из почтового ящика.
Отправить от имени. Сообщения, отправленные делегатом, имеют значение "<Делегат> от имени почтового ящика<>" в адресе От. Обратите внимание, что это разрешение недоступно в Центре администрирования Exchange для общих почтовых ящиков.
Полный доступ. Делегат может открыть почтовый ящик и выполнять любые действия, кроме отправки сообщений.
Чтобы назначить разрешения делегатам, щелкните добавить Под соответствующим разрешением. Появится диалоговое окно со списком пользователей или групп, которым может быть назначено разрешение. Выберите пользователя или группу из списка и нажмите кнопку Добавить. Повторите эти действия необходимое количество раз. Вы также можете искать пользователей или группы в поле поиска, введя все или часть имени, а затем щелкнув . Завершив выбор делегатов, нажмите кнопку ОК.
Чтобы удалить разрешение делегата, выберите делегата в списке с соответствующим разрешением и нажмите кнопку Удалить
По завершении нажмите кнопку Сохранить.
Назначение разрешений нескольким почтовым ящикам одновременно с помощью Центра администрирования Exchange
В Центре администрирования Exchange (EAC) выберите Получатели>Почтовые ящики.
Выберите почтовые ящики, для которого требуется назначить разрешения. Для выбора диапазона почтовых ящиков используйте клавиши +SHIFT+щелчок, или клавиши CTRL+ щелчок, чтобы выбрать несколько отдельных почтовых ящиков. Заголовок области сведений изменится на Массовое изменение , как показано на следующей схеме.
Обратите внимание, что необходимо выбирать почтовые ящики одного типа. Например, если выбрать и почтовые ящики пользователей, и связанные почтовые ящики, в области сведений появится предупреждение о том, что массовое изменение невозможно.
В нижней части области сведений нажмите Дополнительные параметры. В появившемся параметре Делегирование почтового ящика выберите Добавить или Удалить. В зависимости от выбранной команды выполните одно из следующих действий:
Добавить. В появившемся диалоговом окне Массовое добавление делегирования нажмите Под соответствующим разрешением (Отправить как, Отправить от имени или Полный доступ). Завершив выбор пользователей или групп для добавления в качестве делегатов, нажмите кнопку Сохранить.
Удалить. В появившемся диалоговом окне Массовое удаление делегирования щелкните Под соответствующим разрешением (Отправить как, Отправить от имени или Полный доступ). Завершив выбор пользователей или групп для удаления из существующих делегатов, нажмите кнопку Сохранить.
Назначение разрешений группам с помощью Центра администрирования Exchange
В Центре администрирования Exchange (EAC) выберите Получатели>Группы.
В списке групп выберите группу, для которой требуется назначить разрешения, и нажмите кнопку Изменить
На открывшейся странице свойств группы нажмите Делегирование группы и настройте одно из следующих разрешений:
Отправить как. Сообщения, отправленные делегатом, по-видимому, поступают из группы.
Отправить от имени: сообщения, отправленные делегатом, имеют значение " <Делегат> от имени <группы>" в адресе От.
Чтобы назначить разрешения делегатам, щелкните добавить Под соответствующим разрешением. Появится диалоговое окно со списком пользователей или групп, которым может быть назначено разрешение. Выберите пользователя или группу из списка и нажмите кнопку Добавить. Повторите эти действия необходимое количество раз. Вы также можете искать пользователей или группы в поле поиска, введя все или часть имени, а затем щелкнув . Завершив выбор делегатов, нажмите кнопку ОК.
Чтобы удалить разрешение делегата, выберите делегата в списке с соответствующим разрешением и нажмите кнопку Удалить
По завершении нажмите кнопку Сохранить.
Назначение разрешения на полный доступ почтовым ящикам с помощью командной консоли Exchange
Для управления разрешением "Полный доступ" для почтовых ящиков используются командлеты Add-MailboxPermission и Remove-MailboxPermission. В этих командлетах используется одинаковый базовый синтаксис.
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Дополнительные сведения см. в статье Add-MailboxPermission.
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
Дополнительные сведения см. в статье Remove-MailboxPermission.
В этом примере разрешение полного доступа к почтовому ящику Терри Адамса назначается представителю Рэймонду Сэму.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
В этом примере Эстер Валле назначается разрешение на полный доступ к почтовому ящику поиска обнаружения по умолчанию организации и предотвращается автоматическое открытие почтового ящика в Outlook Эстер Валле.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
В этом примере членам поддерживающей почту группы безопасности Helpdesk назначается разрешение на полный доступ к общему почтовому ящику под названием Helpdesk Tickets.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
В этом примере из почтового ящика пользователя Ayla Kol удаляется разрешение на полный доступ для пользователя Jim Hance.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно назначили или удалили разрешение на полный доступ для делегата в почтовом ящике, выполните одно из следующих действий:
В свойствах почтового ящика в EAC убедитесь, что делегат указан или отсутствует в спискеПолный доступ кделегированию> почтовых ящиков.
Замените <MailboxIdentity> удостоверением почтового ящика и выполните следующую команду в командной консоли Exchange, чтобы убедиться, что делегат указан или отсутствует в списке.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights
Дополнительные сведения см. в статье Get-MailboxPermission.
Использование командной консоли Exchange для назначения разрешения "Отправить как" почтовым ящикам и группам
Для управления разрешением Отправить как для почтовых ящиков используйте командлеты Add-AdPermission и Remove-AdPermission . В этих командлетах используется одинаковый базовый синтаксис.
<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"
Дополнительные сведения см. в статьях Add-AdPermission и Remove-AdPermission.
Примечания.
В качестве параметра Identity необходимо использовать значение Name или DistinguishedName (DN) почтового ящика или группы.
-
Имя. Это значение может быть или не совпадать с отображаемым именем. Например,
Felipe Apodaca
. -
Различающееся имя. Это значение всегда содержит значение Name и использует синтаксис ACTIVE Directory LDAP. Например,
CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com
.
Чтобы найти эти значения для почтового ящика или группы, можно использовать командлет Get-Recipient, принимающий множество различных значений параметра Identity. Например:
Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName
-
Имя. Это значение может быть или не совпадать с отображаемым именем. Например,
Команды работают с или без
-AccessRights ExtendedRight
, поэтому они отображаются как необязательные в синтаксисе.
В этом примере поддерживающей почту группе безопасности Helpdesk назначается разрешение "Отправить как" для общего почтового ящика Helpdesk Support Team.
Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"
В этом примере показывается удаление разрешения "Отправить как" для пользователя Елены Матвеевой на почтовом ящике Николая Белых.
Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно назначили или удалили разрешение "Отправить как" для делегата в почтовом ящике или группе, выполните одно из следующих действий:
В свойствах почтового ящика или группы в EAC убедитесь, что делегат указан или отсутствует в списке Делегирование> почтовых ящиковОтправить как или Отправитькакделегирование> группы.
Замените <MailboxOrGroupNameOrDN> именем или различающимся именем почтового ящика или группы и выполните следующую команду в командной консоли Exchange, чтобы убедиться, что делегат указан или отсутствует в списке.
Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights
Дополнительные сведения см. в статье Get-AdPermission.
Использование командной консоли Exchange для назначения разрешения Отправить от имени почтовым ящикам и группам
Параметр GrantSendOnBehalfTo используется в различных командлетах set- и group для управления разрешением Отправить от имени для почтовых ящиков и групп:
Set-Mailbox
Set-DistributionGroup: группы рассылки и группы безопасности с поддержкой почты.
Настроить DynamicDistributionGroup
Базовый синтаксис этих командлетов:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
Параметр GrantSendOnBehalfTo имеет следующие параметры для значений делегатов:
Замените существующие делегаты:
<DelegateIdentity>
или"<DelegateIdentity1>","<DelegateIdentity2>",...
Добавление или удаление делегатов без влияния на других делегатов:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
Удалить все делегаты: используйте значение
$null
.
В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Александры Вороновой почтовому ящику Глеба Селезнева.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
В этом примере группа tempassistants@contoso.com добавляется в список делегатов, имеющих разрешение Отправить от имени в общий почтовый ящик Contoso Executives.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Валентины Александровой группе рассылки поддержки принтеров.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
В этом примере удаляется разрешение "Отправить от имени", назначенное администратору динамической группы рассылки All Employees.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно назначили или удалили разрешение Отправить от имени для делегата в почтовом ящике или группе, выполните одно из следующих действий:
В свойствах почтового ящика или группы в EAC убедитесь, что делегат указан или отсутствует в списке Делегирование> почтовых ящиковОтправить как или Отправитькакделегирование> группы.
Замените <MailboxIdentity> или <GroupIdentity> удостоверением почтового ящика или группы и выполните одну из приведенных ниже команд в командной консоли Exchange, чтобы убедиться, что делегат указан или отсутствует в списке.
Почтовый ящик:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
Группа:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Динамическая группа рассылки:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Дальнейшие действия
Дополнительные сведения о том, как представители могут использовать назначенные им разрешения для почтовых ящиков и групп, см. в следующих статьях: