Gestione delle autorizzazioni per i destinatari
In Exchange Server è possibile usare l'interfaccia di amministrazione di Exchange o Exchange Management Shell per assegnare le autorizzazioni a una cassetta postale o a un gruppo in modo che altri utenti possano accedere alla cassetta postale (autorizzazione Accesso completo) o inviare messaggi di posta elettronica che sembrano provenire dalla cassetta postale o dal gruppo (autorizzazioni Invia come o Invia per conto). Gli utenti ai quali vengono assegnate tali autorizzazioni su altre cassette postali o su altri gruppi sono definiti delegati.
Le autorizzazioni che è possibile assegnare ai delegati per cassette postali e gruppi in Exchange Server sono descritte nella tabella seguente:
Nota: sebbene sia possibile usare Exchange Management Shell per assegnare alcune o tutte queste autorizzazioni ad altri tipi di delegati su altri tipi di oggetti destinatario, questo argomento è incentrato sui tipi di oggetto delegato e destinatario che producono risultati utili.
Autorizzazione | Descrizione | Tipi di destinatario nell'interfaccia di amministrazione di Exchange | Tipi di destinatario aggiuntivi in PowerShell | Delegare i tipi nell'interfaccia di amministrazione di Exchange | Tipi delegati aggiuntivi in PowerShell |
---|---|---|---|---|---|
Accesso completo | Consente al delegato di aprire la cassetta postale e visualizzare, aggiungere e rimuovere i contenuti della cassetta postale. Non consente al delegato di inviare messaggi dalla cassetta postale. Se si assegna l'autorizzazione Accesso completo a una cassetta postale nascosta dagli elenchi di indirizzi, il delegato non sarà in grado di aprire la cassetta postale. Per impostazione predefinita, le cassette postali di arbitrato e di individuazione sono nascoste dagli elenchi indirizzi. Per impostazione predefinita, la funzionalità di automapping delle cassette postali utilizza Individuazione automatica per aprire automaticamente la cassetta postale nel profilo Outlook del delegato (oltre alla rispettiva cassetta postale). Si noti che il mapping automatico funzionerà solo per i singoli utenti a cui sono state concesse le autorizzazioni appropriate e non funzionerà per alcun tipo di gruppo. Se non si vuole eseguire il mapping automatico delle cassette postali, è necessario eseguire una delle azioni seguenti:
|
Cassette postali utente Cassette postali collegate Cassette postali per la risorsa Cassette postali condivise |
Cassette postali di arbitrato Cassette postali di individuazione |
Cassette postali con account utente Utenti di posta elettronica con account utente Gruppi di sicurezza abilitati alla posta elettronica |
Account utente non abilitati alla posta elettronica. Gruppi di sicurezza locali di dominio, universali e globali non abilitati alla posta elettronica. |
Invia come | Consente al delegato di inviare messaggi come se provenissero direttamente dalla cassetta postale o dal gruppo. Non esiste alcuna indicazione che il messaggio sia stato inviato dal delegato. Non consente al delegato di leggere i contenuti della cassetta postale. Se si assegna l'autorizzazione Invia come a una cassetta postale nascosta dagli elenchi di indirizzi, il delegato non sarà in grado di inviare messaggi dalla cassetta postale. |
Cassette postali degli utenti Cassette postali collegate Cassette postali per la risorsa Cassette postali condivise Gruppi di distribuzione Gruppi di distribuzione dinamici Gruppi di sicurezza abilitati alla posta elettronica |
n/d | Cassette postali con account utente Utenti di posta elettronica con account utente Gruppi di sicurezza abilitati alla posta elettronica |
n/d |
Invia per conto di | Consente al delegato di inviare messaggi dalla cassetta postale o dal gruppo. L'indirizzo From di questi messaggi mostra chiaramente che il messaggio è stato inviato dal delegato (" <Delegato> per conto di <MailboxOrGroup>"). Tuttavia, le risposte a questi messaggi vengono inviate alla cassetta postale o al gruppo, non al delegato. Non consente al delegato di leggere i contenuti della cassetta postale. Se si assegna l'autorizzazione Invia per conto di a una cassetta postale nascosta dagli elenchi di indirizzi, il delegato non sarà in grado di inviare messaggi dalla cassetta postale. |
Cassette postali degli utenti Cassette postali collegate Cassette postali per la risorsa Gruppi di distribuzione Gruppi di distribuzione dinamici Gruppi di sicurezza abilitati alla posta elettronica |
Cassette postali condivise | Cassette postali con account utente Utenti di posta elettronica con account utente Gruppi di sicurezza abilitati alla posta elettronica Gruppi di distribuzione |
n/d |
Nota
Se un utente dispone delle autorizzazioni Invia come e Invia per conto di una cassetta postale o di un gruppo, viene sempre usata l'autorizzazione Invia come.|Cassette postali utente
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento di ciascuna procedura: 2 minuti.
Prima di poter eseguire le procedure descritte in questo argomento, è necessario disporre delle autorizzazioni necessarie. Per visualizzare le autorizzazioni necessarie, vedere la voce "Autorizzazioni di provisioning dei destinatari" nell'argomento Autorizzazioni destinatari .
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Le procedure descritte in questo argomento richiedono autorizzazioni specifiche. Vedere ciascuna procedura per le informazioni sulle autorizzazioni necessarie.
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo: Exchange Server.
Utilizzare EAC per assegnare autorizzazioni a singole cassette postali
Nell'interfaccia di amministrazione di Exchange, fare clic su Destinatari nel riquadro delle funzionalità. A seconda del tipo di cassetta postale per la quale si desidera assegnare le autorizzazioni, fare clic su una delle schede seguenti:
Cassette postali: cassette postali utente o collegate.
Risorse: cassette postali della sala o dell'attrezzatura.
Condiviso: cassette postali condivise.
Nell'elenco delle cassette postali selezionare la cassetta postale per cui si desidera assegnare le autorizzazioni e quindi fare clic
Nella pagina delle proprietà della cassetta postale visualizzata, fare clic su Delega cassetta postale e configurare una o più delle seguenti autorizzazioni:
Invia come: i messaggi inviati da un delegato sembrano provenire dalla cassetta postale.
Invia per conto dell'utente: i messaggi inviati da un delegato hanno " <Delegato> per conto della <cassetta postale>" nell'indirizzo Da. Si noti che questa autorizzazione non è disponibile nell'interfaccia di amministrazione di Exchange per le cassette postali condivise.
Accesso completo: il delegato può aprire la cassetta postale ed eseguire qualsiasi operazione, ad eccezione dell'invio di messaggi.
Per assegnare le autorizzazioni ai delegati, fare clic Sotto l'autorizzazione appropriata. Viene visualizzata una finestra di dialogo in cui sono elencati gli utenti o i gruppi ai quali è possibile assegnare l'autorizzazione. Selezionare l'utente o il gruppo dall'elenco e fare clic su Aggiungi. Ripetere questa procedura tutte le volte necessarie. È anche possibile cercare utenti o gruppi nella casella di ricerca digitando tutto o parte del nome e quindi facendo clic . Al termine della selezione dei delegati, fare clic su OK.
Per rimuovere un'autorizzazione da un delegato, selezionare il delegato nell'elenco sotto l'autorizzazione appropriata e quindi fare clic su Rimuovi
Al termine, fare clic su Salva.
Usare l'interfaccia di amministrazione di Exchange per assegnare autorizzazioni a più cassette postali contemporaneamente
Nell'interfaccia di amministrazione di Exchange, passare a Destinatari>Cassette postali.
Selezionare le cassette postali per le quali si desidera assegnare le autorizzazioni. Usare clic + MAIUSC + clic per selezionare una serie di cassette postali oppure CTRL + clic per selezionare più cassette postali singole. Il titolo del riquadro dei dettagli diventa Modifica in blocco come mostrato nel seguente diagramma.
Si noti che le cassette postali selezionate devono essere dello stesso tipo. Ad esempio, se si selezionano sia le cassette postali utente sia le cassette postali collegate, viene visualizzato un avviso nel riquadro dei dettagli che informa che la modifica in blocco non funziona.
Nella parte inferiore del riquadro dei dettagli, fare clic su Altre opzioni. Nell'opzione Delega cassetta postale visualizzata, scegliere Aggiungi o Rimuovi. In base alla scelta effettuata, eseguire una delle operazioni seguenti:
Aggiungi: nella finestra di dialogo Aggiungi delega in blocco visualizzata fare clic appropriata (Invia con nome, Invia per conto dell'utente o Accesso completo). Al termine della selezione di utenti o gruppi da aggiungere come delegati, fare clic su Salva.
Rimuovi: nella finestra di dialogo Rimuovi delega in blocco visualizzata fare clic appropriata (Invia con nome, Invia per conto dell'utente o Accesso completo). Al termine della selezione di utenti o gruppi da rimuovere dai delegati esistenti, fare clic su Salva.
Utilizzare EAC per assegnare autorizzazioni ai gruppi
Nell'interfaccia di amministrazione di Exchange, passare a Destinatari>Gruppi.
Nell'elenco dei gruppi selezionare il gruppo per cui si desidera assegnare le autorizzazioni e quindi fare clic
Nella pagina delle proprietà del gruppo visualizzata, fare clic su Delega gruppo e configurare una delle seguenti autorizzazioni:
Invia come: i messaggi inviati da un delegato sembrano provenire dal gruppo.
Invia per conto dell'utente: i messaggi inviati da un delegato hanno " <Delegato> per conto del <gruppo>" nell'indirizzo From.
Per assegnare le autorizzazioni ai delegati, fare clic Sotto l'autorizzazione appropriata. Viene visualizzata una finestra di dialogo in cui sono elencati gli utenti o i gruppi ai quali è possibile assegnare l'autorizzazione. Selezionare l'utente o il gruppo dall'elenco e fare clic su Aggiungi. Ripetere questa procedura tutte le volte necessarie. È anche possibile cercare utenti o gruppi nella casella di ricerca digitando tutto o parte del nome e quindi facendo clic . Al termine della selezione dei delegati, fare clic su OK.
Per rimuovere un'autorizzazione da un delegato, selezionare il delegato nell'elenco sotto l'autorizzazione appropriata e quindi fare clic su Rimuovi
Al termine, fare clic su Salva.
Utilizzo di Exchange Management Shell per assegnare l'autorizzazione di accesso completo alle cassette postali
Si usano i cmdlet Add-MailboxPermission e Remove-MailboxPermission per gestire l'autorizzazione di accesso completo per le cassette postali. In questi cmdlet viene utilizzata la stessa sintassi di base:
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Per ulteriori informazioni, vedere Add-MailboxPermission.
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
Per ulteriori informazioni, vedere Remove-MailboxPermission.
In questo esempio al delegato Raymond Sam viene assegnata l'autorizzazione Accesso completo alla cassetta postale di Terry Adams.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
Nell'esempio riportato, a Esther Valle viene assegnata l'autorizzazione di accesso completo alla cassetta postale di individuazione predefinita dell'organizzazione e si impedisce l'apertura automatica della cassetta postale in Outlook di Esther Valle.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
Nell'esempio seguente, ai membri del gruppo di sicurezza abilitato alla posta elettronica del supporto tecnico viene assegnata l'autorizzazione di accesso completo alla cassetta postale condivisa denominata Ticket del supporto tecnico.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
In questo esempio viene rimossa dall'utente Jim Hance l'autorizzazione di accesso completo alla cassetta postale di Ayla Kol.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
Come verificare se l'operazione ha avuto esito positivo
Per verificare che l'autorizzazione Accesso completo per un delegato in una cassetta postale sia stata assegnata o rimossa correttamente, usare una delle procedure seguenti:
Nelle proprietà della cassetta postale nell'interfaccia di amministrazione di Exchange verificare che il delegato sia o non sia elencato inAccesso completoalla delega> delle cassette postali.
Sostituire <MailboxIdentity> con l'identità della cassetta postale ed eseguire il comando seguente in Exchange Management Shell per verificare che il delegato sia o non sia elencato.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights
Per ulteriori informazioni, vedere Get-MailboxPermission.
Utilizzo di Exchange Management Shell per assegnare l'autorizzazione Invia come a cassette postali e gruppi
Usare i cmdlet Add-AdPermission e Remove-AdPermission per gestire l'autorizzazione Invia come per le cassette postali. In questi cmdlet viene utilizzata la stessa sintassi di base:
<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"
Per ulteriori informazioni, vedere Add-AdPermission e Remove-AdPermission.
Note:
Il parametro Identity richiede l'uso del valore Name o DistinguishedName (DN) della cassetta postale o del gruppo.
-
Nome: questo valore può corrispondere o meno al nome visualizzato. Ad esempio,
Felipe Apodaca
. -
DistinguishedName: questo valore contiene sempre il valore Name e usa la sintassi LDAP di Active Directory. Ad esempio,
CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com
.
Per trovare questi valori per una cassetta postale o un gruppo, è possibile usare il cmdlet Get-Recipient , che accetta molti valori diversi per il parametro Identity . Ad esempio:
Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName
-
Nome: questo valore può corrispondere o meno al nome visualizzato. Ad esempio,
I comandi funzionano con o senza
-AccessRights ExtendedRight
, motivo per cui viene visualizzato come facoltativo nella sintassi.
In questo esempio viene assegnata l'autorizzazione Invia come al gruppo di sicurezza abilitato alla posta elettronica del supporto tecnico sulla cassetta postale condivisa denominata Team di supporto tecnico.
Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"
In questo esempio viene rimossa l'autorizzazione Invia come per l'utente Pilar Pinilla sulla cassetta postale di James Alvord.
Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"
Come verificare se l'operazione ha avuto esito positivo
Per verificare che sia stata assegnata o rimossa correttamente l'autorizzazione Invia come per un delegato in una cassetta postale o in un gruppo, usare una delle procedure seguenti:
Nelle proprietà della cassetta postale o del gruppo nell'interfaccia di amministrazione di Exchange verificare che il delegato sia o non sia elencato inInvia come delega delle cassette postali> oInvia come delega> del gruppo.
Sostituire <MailboxOrGroupNameOrDN> con il nome o il nome distinto della cassetta postale o del gruppo ed eseguire il comando seguente in Exchange Management Shell per verificare che il delegato sia o non sia elencato.
Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights
Per ulteriori informazioni, vedere Get-AdPermission.
Utilizzo di Exchange Management Shell per assegnare l'autorizzazione Invia per conto di a cassette postali e gruppi
Usare il parametro GrantSendOnBehalfTo nei vari cmdlet Set- cassetta postale e gruppo per gestire l'autorizzazione Invia per conto di cassette postali e gruppi:
Set-Mailbox
Set-DistributionGroup: gruppi di distribuzione e gruppi di sicurezza abilitati per la posta elettronica.
Set-DynamicDistributionGroup
La sintassi di base per questi cmdlet è:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
Il parametro GrantSendOnBehalfTo include le opzioni seguenti per i valori delegati:
Sostituire i delegati esistenti:
<DelegateIdentity>
o"<DelegateIdentity1>","<DelegateIdentity2>",...
Aggiungere o rimuovere delegati senza influire sugli altri delegati:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
Rimuovere tutti i delegati: usare il valore
$null
.
In questo esempio, al delegato Holly Holt viene assegnata l'autorizzazione Invia per conto di alla cassetta postale di Sean Chai.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
In questo esempio il gruppo tempassistants@contoso.com viene aggiunto all'elenco di delegati che dispongono dell'autorizzazione Send on Behalf per la cassetta postale condivisa di Contoso Executives.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
In questo esempio, al delegato Sara Davis viene assegnata l'autorizzazione Invia per conto di al gruppo di distribuzione di supporto stampanti.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
In questo esempio viene rimossa l'autorizzazione Invia per conto di assegnata all'amministratore sul gruppo di distribuzione dinamico Tutti i dipendenti.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
Come verificare se l'operazione ha avuto esito positivo
Per verificare che sia stata assegnata o rimossa correttamente l'autorizzazione Invia per conto di un delegato in una cassetta postale o in un gruppo, usare una delle procedure seguenti:
Nelle proprietà della cassetta postale o del gruppo nell'interfaccia di amministrazione di Exchange verificare che il delegato sia o non sia elencato inInvia come delega delle cassette postali> oInvia come delega> del gruppo.
Sostituire <MailboxIdentity> o <GroupIdentity> con l'identità della cassetta postale o del gruppo ed eseguire uno dei comandi seguenti in Exchange Management Shell per verificare che il delegato sia o non sia elencato.
Cassetta postale:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
Gruppo:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Gruppo di distribuzione dinamico:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Passaggi successivi
Per ulteriori informazioni su come i delegati possono utilizzare le autorizzazioni assegnate loro per cassette postali e gruppi, vedere gli argomenti seguenti: