Get-EXOMailboxPermission
Этот командлет доступен только в модуле PowerShell Exchange Online. Дополнительные сведения см. в разделе Сведения о модуле PowerShell Exchange Online.
Используйте командлет Get-EXOMailboxPermission для получения разрешений на почтовый ящик.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Get-EXOMailboxPermission
[-ResultSize <Unlimited>]
[<CommonParameters>]
Get-EXOMailboxPermission
[-ExternalDirectoryObjectId <Guid>]
[-Identity <String>]
[-Owner]
[-PrimarySmtpAddress <String>]
[-ResultSize <Unlimited>]
[-SoftDeletedMailbox]
[-User <String>]
[-UserPrincipalName <String>]
[<CommonParameters>]
Описание
Выходные данные этого командлета содержат следующее:
- Identity: нужный почтовый ящик.
- Пользователь: субъект безопасности (пользователь, группа безопасности, группа ролей управления Exchange и т. д.), имеющий разрешение на доступ к почтовому ящику.
- AccessRights: имеющееся у субъекта безопасности разрешение. Доступные значения: ChangeOwner (изменение владельца почтового ящика), ChangePermission (изменение разрешений на почтовый ящик), DeleteItem (удаление почтового ящика), ExternalAccount (указывает, что учетная запись не в том же домене), FullAccess (открыть почтовый ящик, получить доступ к его содержимому, но не может отправить почту) и ReadPermission (чтение разрешений в почтовом ящике). Статус доступа (разрешен или запрещен) указывается в столбце Deny.
- IsInherited: указывает, унаследовано разрешение (True) или назначено непосредственно почтовому ящику (False). Разрешения наследуются от базы данных почтовых ящиков и (или) Active Directory. Как правило, разрешения, назначенные напрямую, переопределяют наследуемые разрешения.
- Deny: указывает, разрешен (False) или запрещен (True) доступ. Как правило, запреты переопределяют разрешения.
По умолчанию почтовым ящикам пользователей назначаются следующие разрешения:
- Разрешения FullAccess и ReadPermission назначаются непосредственно субъекту NT AUTHORITY\SELF. Эта запись предоставляет пользователю доступ к собственному почтовому ящику.
- Полный доступ запрещен администраторам, администраторам домена, администраторам предприятия и управлению организацией. Благодаря этому пользователи и участники указанных групп не могут открывать почтовые ящики других пользователей.
- ChangeOwner, ChangePermission, DeleteItem и ReadPermission разрешены администраторам, администраторам домена, администраторам предприятия и управлению организацией. Может показаться, что эти наследуемые разрешения также предоставляют доступ FullAccess. Однако у этих пользователей и групп нет доступа FullAccess к почтовому ящику, так как наследуемые запреты переопределяют наследуемые разрешения.
- Разрешение FullAccess наследует субъект NT AUTHORITY\SYSTEM, а разрешение ReadPermission — субъект NT AUTHORITY\NETWORK.
- FullAccess и ReadPermission наследуются серверами Exchange Server, ChangeOwner, ChangePermission, DeleteItem и ReadPermission наследуются доверенной подсистемой Exchange, а ReadPermission наследуется управляемыми серверами доступности.
По умолчанию другие группы безопасности и группы ролей наследуют разрешения для почтовых ящиков в зависимости от их расположения (локальный Exchange или Майкрософт 365).
Примеры
Пример 1
Get-EXOMailboxPermission -Identity john@contoso.com
В этом примере возвращается разрешение пользователя на почтовые ящики.
Параметры
-ExternalDirectoryObjectId
Параметр ExternalDirectoryObjectId определяет почтовый ящик, который требуется просмотреть с помощью ObjectId в Azure Active Directory.
Этот параметр нельзя использовать с параметрами Identity, PrimarySmtpAddress или UserPrincipalName.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Identity
Параметр Identity указывает почтовый ящик, который требуется просмотреть. Для максимальной производительности рекомендуется использовать идентификатор пользователя или имя участника-пользователя (UPN) для идентификации почтового ящика.
В противном случае можно использовать любое значение, однозначно определяющее почтовый ящик. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- LegacyExchangeDN
- SamAccountName
Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, PrimarySmtpAddress или UserPrincipalName.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-Owner
Параметр Owner возвращает сведения о владельце почтового ящика, заданном параметром Identity. Указывать значение для этого параметра необязательно.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-PrimarySmtpAddress
PrimarySmtpAddress определяет почтовый ящик, который нужно просмотреть по основному SMTP-адресу электронной почты (например, navin@contoso.com).
Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, Identity или UserPrincipalName.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-ResultSize
Параметр ResultSize указывает максимальное число возвращаемых результатов. Если требуется возвратить все результаты, отвечающие условиям запроса, используйте для этого параметра значение unlimited. Значение по умолчанию — 1000.
Type: | Unlimited |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-SoftDeletedMailbox
Переключатель SoftDeletedMailbox необходим для возврата обратимо удаленных почтовых ящиков в результатах. Указывать значение для этого параметра необязательно.
Обратимо удаленные почтовые ящики — это почтовые ящики, которые по-прежнему можно восстановить.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-User
Параметр User возвращает сведения о пользователе, у которого есть разрешения на почтовый ящик, указанный параметром Identity.
Пользователь, указанный для этого параметра, должен быть пользователем или группой безопасности (субъектом безопасности, которому могут быть назначены разрешения). Можно использовать любое уникальное значение, идентифицирующее пользователя. Пример:
- имя;
- различающееся имя (DN);
- различающееся имя (DN);
- GUID
Примечание. В настоящее время значение, указанное для этого параметра, учитывает регистр.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online |
-UserPrincipalName
Параметр UserPrincipalName определяет почтовый ящик, который нужно просмотреть по имени участника-пользователя (например, navin@contoso.onmicrosoft.com).
Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, Identity или PrimarySmtpAddress.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online |