Поделиться через


Add-ADPermission

Этот командлет доступен только в локальной среде Exchange.

Используйте командлет Add-ADPermission для добавления разрешений к объекту Active Directory.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Add-ADPermission
   [-Identity] <ADRawEntryIdParameter>
   -User <SecurityPrincipalIdParameter>
   [-AccessRights <ActiveDirectoryRights[]>]
   [-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
   [-Confirm]
   [-Deny]
   [-DomainController <Fqdn>]
   [-ExtendedRights <ExtendedRightIdParameter[]>]
   [-InheritanceType <ActiveDirectorySecurityInheritance>]
   [-InheritedObjectType <ADSchemaObjectIdParameter>]
   [-Properties <ADSchemaObjectIdParameter[]>]
   [-WhatIf]
   [<CommonParameters>]
Add-ADPermission
   [-Identity] <ADRawEntryIdParameter>
   -Owner <SecurityPrincipalIdParameter>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-WhatIf]
   [<CommonParameters>]
Add-ADPermission
   [[-Identity] <ADRawEntryIdParameter>]
   -Instance <ADAcePresentationObject>
   [-AccessRights <ActiveDirectoryRights[]>]
   [-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
   [-Confirm]
   [-Deny]
   [-DomainController <Fqdn>]
   [-ExtendedRights <ExtendedRightIdParameter[]>]
   [-InheritanceType <ActiveDirectorySecurityInheritance>]
   [-InheritedObjectType <ADSchemaObjectIdParameter>]
   [-Properties <ADSchemaObjectIdParameter[]>]
   [-User <SecurityPrincipalIdParameter>]
   [-WhatIf]
   [<CommonParameters>]

Описание

Командлеты ADPermission можно использовать для непосредственного изменения списков управления доступом (ACL) Active Directory. Хотя некоторые функции Microsoft Exchange могут по-прежнему использовать командлеты ADPermission для управления разрешениями (например, соединители отправки и получения), Exchange 2013 и более поздних версий больше не используют настраиваемые списки управления доступом для управления административными разрешениями. Если вы хотите предоставить или запретить административные разрешения в Exchange 2013 или более поздней версии, необходимо использовать контроль доступа на основе ролей (RBAC). Дополнительные сведения о RBAC см. в разделе Разрешения в Exchange Server.

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Add-ADPermission -Identity "Terry Adams" -User AaronPainter -AccessRights ExtendedRight -ExtendedRights "Send As"

В этом примере пользователю Aaron Painter предоставляются разрешения "Отправить как" для почтового ящика пользователя Terry Adams.

Пример 2

Add-AdPermission "IP Secured Inbound" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-Spam

В этом примере соединитель «IP Secured Inbound Receive» настраивается на получение анонимных сообщений SMTP.

В этом примере предполагается, что для обеспечения невозможности использования соединителя получения для отправки нежелательных коммерческих сообщений используется другой механизм безопасности. Не рекомендуется разрешать внешним клиентам анонимную отправку сообщений с помощью соединителя получения.

Параметры

-AccessRights

Параметр AccessRights указывает права, которые необходимо добавить для пользователя в объекте Active Directory. Допустимыми являются следующие значения:

  • AccessSystemSecurity
  • CreateChild
  • DeleteChild
  • ListChildren
  • Самостоятельное
  • ReadProperty
  • WriteProperty
  • DeleteTree
  • ListObject
  • ExtendedRight
  • Удалить
  • ReadControl
  • GenericExecute
  • GenericWrite
  • GenericRead
  • WriteDacl
  • WriteOwner
  • GenericAll
  • Synchronize

Вы можете указать несколько значений, разделив их запятыми.

Этот параметр нельзя использовать с параметром Owner.

Type:ActiveDirectoryRights[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ChildObjectTypes

Параметр ChildObjectTypes указывает тип объекта, к которому должны применяться разрешения.

Параметр ChildObjectTypes можно использовать, только если для параметра AccessRights задано значение CreateChild или DeleteChild.

Type:ADSchemaObjectIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

  • Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
  • Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Deny

Параметр Запретить указывает, что добавляемые разрешения являются Запретить разрешения. Указывать значение для этого параметра необязательно.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DomainController

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Параметр DomainController не поддерживается пограничными транспортными серверами. Пограничный транспортный сервер использует локальный экземпляр службы Active Directory облегченного доступа к каталогам (AD LDS) для чтения и записи данных.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExtendedRights

Параметр ExtendedRights указывает расширенные права, необходимые для выполнения операции.

Type:ExtendedRightIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Identity

Параметр Identity указывает идентификатор объекта, для которого необходимо добавить разрешение. Можно указать различающееся имя (DN) объекта или имя объекта, если оно уникально. Если DN или имя содержит пробелы, его необходимо заключить в кавычки (").

Type:ADRawEntryIdParameter
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-InheritanceType

Параметр InheritanceType указывает, как наследуются разрешения. Допустимые значения:

  • Нет
  • Все (это значение по умолчанию)
  • Children
  • Потомки [sic]
  • SelfAndChildren
Type:ActiveDirectorySecurityInheritance
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-InheritedObjectType

Параметр InheritedObjectType указывает вид объекта, наследующего эту запись управления доступом (ACE).

Type:ADSchemaObjectIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Instance

Параметр Instance позволяет передать в обрабатываемую команду весь объект. Это главным образом используется в сценариях, в которых весь объект должен быть передан команде.

Type:ADAcePresentationObject
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Owner

Параметр Owner указывает владельца объекта Active Directory. Для этого параметра можно указать следующие типы пользователей или групп (субъектов безопасности):

  • Пользователи почтовых ящиков.
  • Почтовые пользователи
  • Группы безопасности.

Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • различающееся имя (DN);
  • Домен\Имя пользователя
  • Адрес электронной почты
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Идентификатор пользователя или имя участника-пользователя

Этот параметр нельзя использовать с параметрами AccessRights или User.

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Properties

Параметр Properties указывает свойства объекта.

Параметр Properties можно использовать, только если для параметра AccessRights заданы значения ReadProperty, WriteProperty или Self.

Type:ADSchemaObjectIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-User

Параметр User указывает, кто получает разрешения на объект Active Directory. Для этого параметра можно указать следующие типы пользователей или групп (субъектов безопасности):

  • Пользователи почтовых ящиков.
  • Почтовые пользователи
  • Группы безопасности.

Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • различающееся имя (DN);
  • Домен\Имя пользователя
  • Адрес электронной почты
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Идентификатор пользователя или имя участника-пользователя

Этот параметр нельзя использовать с параметром Owner.

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-WhatIf

Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.