Поделиться через


Get-EXOMailboxPermission

Этот командлет доступен только в модуле PowerShell Exchange Online. Дополнительные сведения см. в разделе Сведения о модуле PowerShell Exchange Online.

Используйте командлет Get-EXOMailboxPermission для получения разрешений на почтовый ящик.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Get-EXOMailboxPermission
   [-ResultSize <Unlimited>]
   [<CommonParameters>]
Get-EXOMailboxPermission
   [-ExternalDirectoryObjectId <Guid>]
   [-Identity <String>]
   [-Owner]
   [-PrimarySmtpAddress <String>]
   [-ResultSize <Unlimited>]
   [-SoftDeletedMailbox]
   [-User <String>]
   [-UserPrincipalName <String>]
   [<CommonParameters>]

Описание

Выходные данные этого командлета содержат следующее:

  • Identity: нужный почтовый ящик.
  • Пользователь: субъект безопасности (пользователь, группа безопасности, группа ролей управления Exchange и т. д.), имеющий разрешение на доступ к почтовому ящику.
  • AccessRights: имеющееся у субъекта безопасности разрешение. Доступные значения: ChangeOwner (изменение владельца почтового ящика), ChangePermission (изменение разрешений на почтовый ящик), DeleteItem (удаление почтового ящика), ExternalAccount (указывает, что учетная запись не в том же домене), FullAccess (открыть почтовый ящик, получить доступ к его содержимому, но не может отправить почту) и ReadPermission (чтение разрешений в почтовом ящике). Статус доступа (разрешен или запрещен) указывается в столбце Deny.
  • IsInherited: указывает, унаследовано разрешение (True) или назначено непосредственно почтовому ящику (False). Разрешения наследуются от базы данных почтовых ящиков и (или) Active Directory. Как правило, разрешения, назначенные напрямую, переопределяют наследуемые разрешения.
  • Deny: указывает, разрешен (False) или запрещен (True) доступ. Как правило, запреты переопределяют разрешения.

По умолчанию почтовым ящикам пользователей назначаются следующие разрешения:

  • Разрешения FullAccess и ReadPermission назначаются непосредственно субъекту NT AUTHORITY\SELF. Эта запись предоставляет пользователю доступ к собственному почтовому ящику.
  • Полный доступ запрещен администраторам, администраторам домена, администраторам предприятия и управлению организацией. Благодаря этому пользователи и участники указанных групп не могут открывать почтовые ящики других пользователей.
  • ChangeOwner, ChangePermission, DeleteItem и ReadPermission разрешены администраторам, администраторам домена, администраторам предприятия и управлению организацией. Может показаться, что эти наследуемые разрешения также предоставляют доступ FullAccess. Однако у этих пользователей и групп нет доступа FullAccess к почтовому ящику, так как наследуемые запреты переопределяют наследуемые разрешения.
  • Разрешение FullAccess наследует субъект NT AUTHORITY\SYSTEM, а разрешение ReadPermission — субъект NT AUTHORITY\NETWORK.
  • FullAccess и ReadPermission наследуются серверами Exchange Server, ChangeOwner, ChangePermission, DeleteItem и ReadPermission наследуются доверенной подсистемой Exchange, а ReadPermission наследуется управляемыми серверами доступности.

По умолчанию другие группы безопасности и группы ролей наследуют разрешения для почтовых ящиков в зависимости от их расположения (локальный Exchange или Майкрософт 365).

Примеры

Пример 1

Get-EXOMailboxPermission -Identity john@contoso.com

В этом примере возвращается разрешение пользователя на почтовые ящики.

Параметры

-ExternalDirectoryObjectId

Параметр ExternalDirectoryObjectId определяет почтовый ящик, который требуется просмотреть с помощью ObjectId в Azure Active Directory.

Этот параметр нельзя использовать с параметрами Identity, PrimarySmtpAddress или UserPrincipalName.

Type:Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-Identity

Параметр Identity указывает почтовый ящик, который требуется просмотреть. Для максимальной производительности рекомендуется использовать идентификатор пользователя или имя участника-пользователя (UPN) для идентификации почтового ящика.

В противном случае можно использовать любое значение, однозначно определяющее почтовый ящик. Например:

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • LegacyExchangeDN
  • SamAccountName

Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, PrimarySmtpAddress или UserPrincipalName.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-Owner

Параметр Owner возвращает сведения о владельце почтового ящика, заданном параметром Identity. Указывать значение для этого параметра необязательно.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-PrimarySmtpAddress

PrimarySmtpAddress определяет почтовый ящик, который нужно просмотреть по основному SMTP-адресу электронной почты (например, navin@contoso.com).

Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, Identity или UserPrincipalName.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-ResultSize

Параметр ResultSize указывает максимальное число возвращаемых результатов. Если требуется возвратить все результаты, отвечающие условиям запроса, используйте для этого параметра значение unlimited. Значение по умолчанию — 1000.

Type:Unlimited
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-SoftDeletedMailbox

Переключатель SoftDeletedMailbox необходим для возврата обратимо удаленных почтовых ящиков в результатах. Указывать значение для этого параметра необязательно.

Обратимо удаленные почтовые ящики — это почтовые ящики, которые по-прежнему можно восстановить.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-User

Параметр User возвращает сведения о пользователе, у которого есть разрешения на почтовый ящик, указанный параметром Identity.

Пользователь, указанный для этого параметра, должен быть пользователем или группой безопасности (субъектом безопасности, которому могут быть назначены разрешения). Можно использовать любое уникальное значение, идентифицирующее пользователя. Пример:

  • имя;
  • различающееся имя (DN);
  • различающееся имя (DN);
  • GUID

Примечание. В настоящее время значение, указанное для этого параметра, учитывает регистр.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-UserPrincipalName

Параметр UserPrincipalName определяет почтовый ящик, который нужно просмотреть по имени участника-пользователя (например, navin@contoso.onmicrosoft.com).

Этот параметр нельзя использовать с параметрами ExternalDirectoryObjectId, Identity или PrimarySmtpAddress.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online