Freigeben über


Get-EXOMailboxPermission

Dieses Cmdlet ist nur im Exchange Online PowerShell-Modul verfügbar. Weitere Informationen finden Sie unter Informationen zum Exchange Online PowerShell-Moduls.

Verwenden Sie das Cmdlet Get-EXOMailboxPermission, um Berechtigungen für ein Postfach abzurufen.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Get-EXOMailboxPermission
   [-ResultSize <Unlimited>]
   [<CommonParameters>]
Get-EXOMailboxPermission
   [-ExternalDirectoryObjectId <Guid>]
   [-Identity <String>]
   [-Owner]
   [-PrimarySmtpAddress <String>]
   [-ResultSize <Unlimited>]
   [-SoftDeletedMailbox]
   [-User <String>]
   [-UserPrincipalName <String>]
   [<CommonParameters>]

Beschreibung

Die Ausgabe dieses Cmdlets enthält die folgenden Informationen:

  • Identität: Das betroffene Postfach.
  • Benutzer: Der Sicherheitsprinzipal (Benutzer, Sicherheitsgruppe, Exchange-Verwaltungsrollengruppe usw.), der über die Berechtigung für das Postfach verfügt.
  • AccessRights: Die Berechtigung, die der Sicherheitsprinzipal für das Postfach besitzt. Die verfügbaren Werte sind ChangeOwner (Ändern des Besitzers des Postfachs), ChangePermission (Ändern der Berechtigungen für das Postfach), DeleteItem (Löschen des Postfachs), ExternalAccount (gibt an, dass sich das Konto nicht in derselben Domäne befindet), FullAccess (öffnen Sie das Postfach, greifen Sie auf dessen Inhalt zu, kann aber keine E-Mail senden) und ReadPermission (lesen Sie die Berechtigungen für das Postfach). Ob die Berechtigungen zugelassen oder verweigert werden, wird in der Spalte Deny angezeigt.
  • IsInherited: Gibt an, ob die Berechtigung geerbt (True) oder direkt dem Postfach zugewiesen (False) wurde. Berechtigungen werden von der Postfachdatenbank und/oder Active Directory geerbt. In der Regel setzen direkt zugewiesene Berechtigungen geerbte Berechtigungen außer Kraft.
  • Deny: Gibt an, ob die Berechtigung zugelassen (False) oder abgelehnt wurde (True). In der Regel wird „Berechtigungen zulassen“ von „Berechtigungen ablehnen“ außer Kraft gesetzt.

Standardmäßig werden die folgenden Berechtigungen Benutzerpostfächern zugewiesen:

  • FullAccess und ReadPermission werden direkt NT AUTHORITY\SELF zugewiesen. Dieser Eintrag weist dem eigenen Postfach eine Benutzerberechtigung zu.
  • FullAccess wird für Administratoren, Domänenadministratoren, Unternehmensadministratoren und Organisationsverwaltung verweigert. Diese geerbten Berechtigungen verhindern, dass diese Benutzer und Gruppenmitglieder Postfächer anderer Benutzer öffnen.
  • ChangeOwner, ChangePermission, DeleteItem und ReadPermission sind für Administratoren, Domänenadministratoren, Unternehmensadministratoren und Organisationsverwaltung zulässig. Beachten Sie, dass diese geerbten Berechtigungseinträge auch FullAccess zulassen. Diese Benutzer und Gruppen verfügen jedoch nicht über FullAccess auf das Postfach, da die geerbten Verweigerungsberechtigungseinträge die geerbten Berechtigungseinträge außer Kraft setzen.
  • FullAccess wird vererbt von NT AUTHORITY\SYSTEM und ReadPermission wird vererbt von NT AUTHORITY\NETWORK.
  • FullAccess und ReadPermission werden von Exchange-Servern geerbt, ChangeOwner, ChangePermission, DeleteItem und ReadPermission werden vom vertrauenswürdigen Exchange-Subsystem geerbt, und ReadPermission wird von verwalteten Verfügbarkeitsservern geerbt.

Standardmäßig erben andere Sicherheitsgruppen und Rollengruppen Berechtigungen an Postfächer basierend auf ihrem Standort (lokales Exchange oder Microsoft 365).

Beispiele

Beispiel 1

Get-EXOMailboxPermission -Identity john@contoso.com

In diesem Beispiel wird die Berechtigung zurückgegeben, über die der Benutzer für Postfächer verfügt.

Parameter

-ExternalDirectoryObjectId

Der Parameter ExternalDirectoryObjectId identifiziert das Postfach, das Sie anzeigen möchten, anhand der ObjectId in Azure Active Directory.

Sie können diesen Parameter nicht mit den Parametern Identity, PrimarySmtpAddress oder UserPrincipalName verwenden.

Type:Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-Identity

Der Parameter Identity gibt das Postfach an, das Sie anzeigen möchten. Für eine optimale Leistung empfehlen wir die Verwendung der Benutzer-ID oder des Benutzerprinzipalnamens (UPN), um das Postfach zu identifizieren.

Andernfalls können Sie einen beliebigen Wert verwenden, der das Postfach eindeutig identifiziert. Zum Beispiel:

  • Name
  • Alias
  • Distinguished Name (DN)
  • LegacyExchangeDN
  • SamAccountName

Sie können diesen Parameter nicht mit den Parametern ExternalDirectoryObjectId, PrimarySmtpAddress oder UserPrincipalName verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-Owner

Die Option Besitzer gibt die Besitzerinformationen für das Postfach zurück, das durch den Identity-Parameter angegeben wird. Sie müssen bei dieser Option keinen Wert angeben.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-PrimarySmtpAddress

PrimarySmtpAddress identifiziert das Postfach, das Sie anzeigen möchten, anhand der primären SMTP-E-Mail-Adresse (z. B navin@contoso.com. ).

Sie können diesen Parameter nicht mit den Parametern ExternalDirectoryObjectId, Identity oder UserPrincipalName verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online

-ResultSize

Der ResultSize-Parameter gibt die maximale Anzahl von zurückzugebenden Ergebnissen an. Wenn Sie alle Anforderungen zurückgeben möchten, die der Abfrage entsprechen, verwenden Sie unlimited als Wert für diesen Parameter. Der Standardwert ist 1000.

Type:Unlimited
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-SoftDeletedMailbox

Die Option SoftDeletedMailbox ist erforderlich, um vorläufig gelöschte Postfächer in den Ergebnissen zurückzugeben. Sie müssen keinen Wert für diese Option angeben.

Vorläufig gelöschte Postfächer sind gelöschte Postfächer, die noch wiederhergestellt werden können.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-User

Der Parameter User gibt Informationen zu dem Benutzer zurück, der über Berechtigungen für das postfach verfügt, das durch den Identity-Parameter angegeben wird.

Der von Ihnen für diesen Parameter angegebene Benutzer muss ein Benutzer oder eine Sicherheitsgruppe sein (ein Sicherheitsprinzipal, der Berechtigungen zugewiesen haben kann). Sie können einen beliebigen Wert angeben, mit dem der Benutzer eindeutig identifiziert werden kann. Beispiel:

  • Name
  • Distinguished Name (DN)
  • Distinguished Name (DN)
  • GUID

Hinweis: Derzeit wird bei dem Wert, den Sie für diesen Parameter angeben, die Groß-/Kleinschreibung beachtet.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-UserPrincipalName

Der Parameter UserPrincipalName identifiziert das Postfach, das Sie nach UPN anzeigen möchten (z. B navin@contoso.onmicrosoft.com. ).

Sie können diesen Parameter nicht mit den Parametern ExternalDirectoryObjectId, Identity oder PrimarySmtpAddress verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online