Add-ADPermission
Dieses Cmdlet ist nur lokal in Exchange verfügbar.
Verwenden Sie das Cmdlet Add-ADPermission, um Einem Active Directory-Objekt Berechtigungen hinzuzufügen.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Add-ADPermission
[-Identity] <ADRawEntryIdParameter>
-User <SecurityPrincipalIdParameter>
[-AccessRights <ActiveDirectoryRights[]>]
[-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
[-Confirm]
[-Deny]
[-DomainController <Fqdn>]
[-ExtendedRights <ExtendedRightIdParameter[]>]
[-InheritanceType <ActiveDirectorySecurityInheritance>]
[-InheritedObjectType <ADSchemaObjectIdParameter>]
[-Properties <ADSchemaObjectIdParameter[]>]
[-WhatIf]
[<CommonParameters>]Add-ADPermission
[-Identity] <ADRawEntryIdParameter>
-Owner <SecurityPrincipalIdParameter>
[-Confirm]
[-DomainController <Fqdn>]
[-WhatIf]
[<CommonParameters>]Add-ADPermission
[[-Identity] <ADRawEntryIdParameter>]
-Instance <ADAcePresentationObject>
[-AccessRights <ActiveDirectoryRights[]>]
[-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
[-Confirm]
[-Deny]
[-DomainController <Fqdn>]
[-ExtendedRights <ExtendedRightIdParameter[]>]
[-InheritanceType <ActiveDirectorySecurityInheritance>]
[-InheritedObjectType <ADSchemaObjectIdParameter>]
[-Properties <ADSchemaObjectIdParameter[]>]
[-User <SecurityPrincipalIdParameter>]
[-WhatIf]
[<CommonParameters>]Beschreibung
Die ADPermission-Cmdlets können verwendet werden, um Active Directory-Zugriffssteuerungslisten (AcLs) direkt zu ändern. Obwohl einige Microsoft Exchange-Features weiterhin die ADPermission-Cmdlets zum Verwalten von Berechtigungen verwenden (z. B. Sende- und Empfangsconnectors), verwenden Exchange 2013 und höhere Versionen keine angepassten ACLs mehr zum Verwalten von Administratorberechtigungen. Wenn Sie in Exchange 2013 oder höher Administratorberechtigungen erteilen oder verweigern möchten, müssen Sie rollenbasierte Access Control (RBAC) verwenden. Weitere Informationen zu RBAC finden Sie unter Berechtigungen in Exchange Server.
Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.
Beispiele
Beispiel 1
Add-ADPermission -Identity "Terry Adams" -User AaronPainter -AccessRights ExtendedRight -ExtendedRights "Send As"In diesem Beispiel wird Aaron Painter die Berechtigung Senden als für das Postfach von Terry Adams erteilt.
Beispiel 2
Add-AdPermission "IP Secured Inbound" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-SpamIn diesem Beispiel wird der Connector "IP Secured Inbound Receive" so konfiguriert, dass anonyme SMTP-Nachrichten akzeptiert werden.
In diesem Beispiel wird davon ausgegangen, dass ein anderer Sicherheitsmechanismus verwendet wird, um sicherzustellen, dass der Empfangsconnector nicht zum Senden unerwünschter kommerzieller E-Mail-Nachrichten verwendet werden kann. Es wird empfohlen, externen Clients das anonyme Senden von Nachrichten über einen Empfangsconnector nicht zu erlauben.
Parameter
-AccessRights
Der Parameter AccessRights gibt die Rechte an, die Sie für den Benutzer für das Active Directory-Objekt hinzufügen möchten. Gültige Werte sind:
- AccessSystemSecurity
- CreateChild
- DeleteChild
- Listchildren
- Self
- ReadProperty
- WriteProperty
- DeleteTree
- ListObject
- ExtendedRight
- Löschen
- ReadControl
- GenericExecute
- GenericWrite
- GenericRead
- WriteDacl
- WriteOwner
- GenericAll
- Synchronize
Es können mehrere Werte durch Kommata getrennt angegeben werden.
Sie können diesen Parameter nicht zusammen mit dem Owner-Parameter verwenden.
| Type: | ActiveDirectoryRights[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-ChildObjectTypes
Der Parameter ChildObjectTypes gibt an, auf welchen Objekttyp die Berechtigung angewendet werden soll.
Der Parameter ChildObjectTypes kann nur verwendet werden, wenn der Parameter AccessRights auf CreateChild oder DeleteChild festgelegt wurde.
| Type: | ADSchemaObjectIdParameter[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Deny
Die Option „Verweigern“ gibt an, dass die Berechtigungen, die Sie hinzufügen, „Verweigern“-Berechtigungen sind. Sie müssen keinen Wert für diese Option angeben.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-DomainController
Der Parameter "DomainController" gibt den Domänencontroller an, der von diesem Cmdlet verwendet wird, um aus Active Directory Daten zu lesen oder hineinzuschreiben. Der Domänencontroller kann anhand seines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) ermittelt werden. Beispiel: dc01.contoso.com.
Der DomainController-Parameter wird auf Edge-Transport-Servern nicht unterstützt. Edge-Transport-Server verwenden die lokale Instanz von Active Directory Lightweight Directory Services (AD LDS), um Daten zu lesen und zu schreiben.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-ExtendedRights
Der Parameter ExtendedRights gibt die erweiterten Rechte an, die zum Ausführen des Vorgangs erforderlich sind.
| Type: | ExtendedRightIdParameter[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Identity
Der Parameter Identity gibt die Identität des Objekts an, für das Berechtigungen hinzugefügt werden. Sie können entweder den DN (Distinguished Name) oder den Namen des Objekts verwenden, wenn dieser eindeutig ist. Wenn der DN oder Name Leerzeichen enthält, muss er in Anführungszeichen (") gesetzt werden.
| Type: | ADRawEntryIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-InheritanceType
Der InheritanceType-Parameter gibt an, wie Berechtigungen geerbt werden. Gültige Werte sind:
- Keine
- Alle (dies ist der Standardwert)
- Untergeordnetes Element
- Nachkommen [sic]
- SelfAndChildren
| Type: | ActiveDirectorySecurityInheritance |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-InheritedObjectType
Der Parameter InheritedObjectType gibt an, welche Art Objekt diesen Eintrag der Zugriffssteuerung (Access Control Entry, ACE) erbt.
| Type: | ADSchemaObjectIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Instance
The Instance parameter enables you to pass an entire object to the command to be processed. Er wird hauptsächlich in Skripts verwendet, in denen ein vollständiges Objekt an den Befehl übergeben werden muss.
| Type: | ADAcePresentationObject |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Owner
Der Parameter Owner gibt den Besitzer des Active Directory-Objekts an. Sie können die folgenden Typen von Benutzern oder Gruppen (Sicherheitsprinzipale) für diesen Parameter angeben:
- Postfachbenutzer
- E-Mail-Benutzer
- Sicherheitsgruppen
Sie können einen beliebigen Wert verwenden, der den Benutzer oder die Gruppe eindeutig identifiziert. Beispiel:
- Name
- Alias
- Distinguished Name (DN)
- Distinguished Name (DN)
- Domäne\benutzername
- E-Mail-Adresse
- GUID
- LegacyExchangeDN
- SamAccountName
- Benutzer-ID oder User Principal Name (UPN)
Sie können diesen Parameter nicht mit den Parametern "AccessRights" oder "User" verwenden.
| Type: | SecurityPrincipalIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Properties
Der Parameter Properties gibt an, welche Eigenschaften das Objekt enthält.
Der Properties-Parameter kann nur verwendet werden, wenn der AccessRights-Parameter auf ReadProperty, WriteProperty oder Self festgelegt ist.
| Type: | ADSchemaObjectIdParameter[] |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-User
Der Parameter User gibt an, wer die Berechtigungen für das Active Directory-Objekt erhält. Sie können die folgenden Typen von Benutzern oder Gruppen (Sicherheitsprinzipale) für diesen Parameter angeben:
- Postfachbenutzer
- E-Mail-Benutzer
- Sicherheitsgruppen
Sie können einen beliebigen Wert verwenden, der den Benutzer oder die Gruppe eindeutig identifiziert. Beispiel:
- Name
- Alias
- Distinguished Name (DN)
- Distinguished Name (DN)
- Domäne\benutzername
- E-Mail-Adresse
- GUID
- LegacyExchangeDN
- SamAccountName
- Benutzer-ID oder User Principal Name (UPN)
Sie können diesen Parameter nicht zusammen mit dem Owner-Parameter verwenden.
| Type: | SecurityPrincipalIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-WhatIf
Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Eingaben
Input types
Eingabetypen, die dieses Cmdlet akzeptiert, finden Sie unter Eingabe- und Ausgabetypen für Cmdlets. Wenn das Feld mit dem Eingabetyp für ein Cmdlet leer ist, akzeptiert das Cmdlet diese Eingabedaten nicht.
Ausgaben
Output types
Informationen zu den Rückgabetypen, die auch als Ausgabetypen bezeichnet werden, die dieses Cmdlet akzeptiert, finden Sie unter Cmdlet Input and Output Types. Wenn das Feld Ausgabetyp leer ist, gibt das Cmdlet keine Daten zurück.