Kontrola dostępu użytkowników do usługi Zdalne zarządzanie systemem Windows
Dotyczy: Office 365 for enterprises, Live@edu
Ostatnia modyfikacja tematu: 2013-01-09
Domyślnie wszystkie nowe konta użytkowników mogą używać usługi Zdalne zarządzanie systemem Windows (WinRM) w celu uzyskiwania dostępu do organizacji chmurowej przy użyciu programu Windows PowerShell. Możliwość korzystania z programu Windows PowerShell w celu uzyskiwania dostępu do organizacji chmurowej można jednak zablokować zarówno nowym, jak i istniejącym użytkownikom.
Oto właściwa procedura:
Blokowanie dostępu nowemu użytkownikowi w usłudze Live@edu
Blokowanie dostępu nowemu użytkownikowi w usłudze Office 365
Blokowanie dostępu istniejącemu użytkownikowi
Blokowanie dostępu wielu istniejącym użytkownikom
Przyznawanie dostępu
Ustalanie, kto już ma dostęp
Przed rozpoczęciem
Aby dowiedzieć się, jak zainstalować i skonfigurować program Windows PowerShell, a następnie połączyć się z usługą, zobacz Używanie programu Windows PowerShell w usłudze Exchange Online.
Blokowanie dostępu nowemu użytkownikowi w usłudze Live@edu
Uruchom następujące polecenie:
New-Mailbox -Name <Name> -WindowsLiveID <Microsoft ID> -Password (ConvertTo-SecureString -String '<Password>' -AsPlainText -Force) -RemotePowerShellEnabled $false
Aby na przykład uniemożliwić dostęp nowemu użytkownikowi o nazwie Kim Akers posługującemu się identyfikatorem Microsoft kakers@contoso.edu i hasłem Pa$$word1, uruchom następujące polecenie:
New-Mailbox -Name "Kim Akers" -WindowsLiveID kakers@contoso.edu -Password (ConvertTo-SecureString -String 'Pa$$word1' -AsPlainText -Force) -RemotePowerShellEnabled $false
Blokowanie dostępu nowemu użytkownikowi w usłudze Office 365
Uruchom następujące polecenie:
New-Mailbox -Name <Name> -MicrosoftOnlineServicesID <user ID> -Password (ConvertTo-SecureString -String '<Password>' -AsPlainText -Force) -RemotePowerShellEnabled $false
Aby na przykład zablokować dostęp nowemu użytkownikowi o nazwie Kim Akers posługującemu się identyfikatorem kakers@contoso.com i hasłem Pa$$word1, uruchom następujące polecenie:
New-Mailbox -Name "Kim Akers" -MicrosoftOnlineServicesID kakers@contoso.com -Password (ConvertTo-SecureString -String 'Pa$$word1' -AsPlainText -Force) -RemotePowerShellEnabled $false
Blokowanie dostępu istniejącemu użytkownikowi
Uruchom następujące polecenie:
Set-User <Identity> -RemotePowerShellEnabled $false
Na przykład aby zablokować dostęp użytkownikowi laura@fabrikam.com, uruchom następujące polecenie:
Set-User laura@fabrikam.com -RemotePowerShellEnabled $false
Blokowanie dostępu wielu istniejącym użytkownikom
Istnieją dwa sposoby blokowania dostępu określonej grupie istniejących użytkowników:
Filtrowanie użytkowników na podstawie istniejącego atrybutu W tej metodzie przyjmuje się założenie, że wszystkie konta użytkowników mają wspólny unikatowy atrybut, według którego można filtrować. Na przykład, atrybuty Tytuł, Dział lub jeden z atrybutów CustomAttribute1-15 są takie same i specyficzne dla wszystkich użytkowników w grupie. Należy pamiętać, że niektóre atrybuty, takie jak Stanowisko, Dział, dane adresowe czy numer telefonu, są widoczne tylko w przypadku użycia polecenia cmdlet Get-User. Inne atrybuty, na przykład CustomAttribute od 1 do 15, są wyświetlane tylko przy użyciu polecenia cmdlet Get-Mailbox.
Użycie listy określonych kont Po wygenerowaniu listy konkretnych kont można jej użyć do przypisania planu skrzynki pocztowej.
Filtrowanie użytkowników na podstawie istniejącego atrybutu
Uruchom następujące polecenie:
<Get-Mailbox | Get-User> -ResultSize unlimited -Filter <Filter> | Set-User -RemotePowerShellEnabled $false
Załóżmy, że zarządzasz organizacją korzystającą z usługi Live@edu i chcesz zablokować dostęp uczniom z pierwszych klas. Informacje o przynależności do klas są zapisane w atrybucie Title. Aby zablokować dostęp posiadaczom wszystkich skrzynek pocztowych, w których właściwość Title ma wartość „Primary” (Pierwsza), uruchom następujące polecenie:
Get-User -ResultSize unlimited -Filter {(RecipientType -eq 'UserMailbox') -and (Title -like '*primary*')} | Set-User -RemotePowerShellEnabled $false
Użycie listy określonych kont
Uruchom następujące polecenie:
Get-Content <text file> | Set-User -RemotePowerShellEnabled $false
Na przykład w procedurze opisanej poniżej plik tekstowy C:\My Documents\NoPowerShell.txt służy do identyfikowania użytkowników za pomocą ich identyfikatorów. W każdym wierszu musi się znajdować jeden identyfikator użytkownika:
akol@contoso.com
tjohnston@contoso.com
kakers@contoso.com
Po umieszczeniu w pliku tekstowym danych kont, które chcesz zaktualizować, uruchom następujące polecenie:
Get-Content "C:\My Documents\NoPowerShell.txt" | Set-User -RemotePowerShellEnabled $false
Przyznawanie dostępu
Aby przyznać dostęp istniejącym użytkownikom, którym wcześniej zablokowano dostęp, wystarczy w parametrze RemotePowerShellEnabled wprowadzić wartość $true, jak opisano w poprzednim przykładzie.
Aby przyznać dostęp nowym użytkownikom tworzonym za pomocą programu Windows PowerShell, nie trzeba w ogóle korzystać z parametru RemotePowerShellEnabled, ponieważ wszyscy nowi użytkownicy automatycznie mają prawo dostępu.
Ustalanie, kto już ma dostęp
Aby się dowiedzieć, kto ma uprawnienia dostępu, albo sprawdzić stan dostępu wszystkich użytkowników, użyj programu Windows PowerShell.
Wyświetlanie stanu dostępu wybranego użytkownika
Uruchom następujące polecenie:
Get-User <Identity> | Format-List RemotePowerShellEnabled
Aby na przykład ustalić stan dostępu użytkownika Tamara Johnston, uruchom następujące polecenie:
Get-User "Tamara Johnston" | Format-List RemotePowerShellEnabled
Wyświetlanie stanów dostępu wszystkich użytkowników
Uruchom następujące polecenie:
Get-User -ResultSize unlimited | Format-Table Name,DisplayName,RemotePowerShellEnabled
Aby wyświetlić tylko tych użytkowników, którzy nie mają dostępu, uruchom następujące polecenie:
Get-User -ResultSize unlimited -Filter {RemotePowerShellEnabled -eq $false}
Aby wyświetlić jedynie użytkowników mających dostęp, uruchom następujące polecenie:
Get-User -ResultSize unlimited -Filter {RemotePowerShellEnabled -eq $true}