Exibir permissões efetivas
Aplica-se a: Exchange Server 2013
Permissões no Microsoft Exchange Server 2013 são concedidas usando funções de gerenciamento que são atribuídas a grupos de funções de gerenciamento, diretivas de atribuição de função de gerenciamento, segurança universal USGs (grupos) ou diretamente aos usuários. Os usuários são concedidos as permissões se ele estiver membros dos grupos de função ou USGs, ou se estiverem atribuídos diretivas de atribuição de função.
A maioria das permissões são concedidas com base em associação à função de grupo ou a atribuição de políticas de atribuição aos usuários finais. Embora o uso de grupos de função e políticas de atribuição torna fácil conceder permissões a um grande número de usuários, que você pode não estar ciente de que é um membro de um grupo de funções ou que tenha sido atribuído a uma diretiva de atribuição. É aqui que a opção GetEffectiveUsers no cmdlet Get-ManagementRoleAssignment é útil. Ele mostra o que os usuários recebem suas permissões determinadas por uma função de gerenciamento através de grupos de funções, diretivas de atribuição e USGs atribuídos a eles.
A opção GetEffectiveUsers é usada com o cmdlet Get-ManagementRoleAssignment quando o parâmetro Role é usado. Especificando este comutador com uma determinada função, o cmdlet Get-ManagementRoleAssignment examina todas os função os destinatários atribuídos à função, como grupos de funções, diretivas de atribuição e USGs e lista os membros de cada uma delas.
Observação
A opção GetEffectiveUser não lista usuários que são membros de um grupo de função estrangeira vinculado. Em vez de uma lista de usuários, se for encontrado um grupo de função vinculado, Todos os membros do grupo vinculados é exibida. Para obter mais informações sobre permissões em várias florestas, consulte Compreendendo as permissões de várias florestas.
Para obter mais informações sobre funções de gerenciamento, grupos de função e políticas de atribuição, consulte Controle de acesso baseado em função de compreensão. Para obter mais informações sobre atribuições de função de gerenciamento, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Procurando outras tarefas de gerenciamento relacionadas ao gerenciamento de permissões? Confira Permissões.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: 5 minutos
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entradas de "Política de atribuição de função" no tópico Permissões de gerenciamento de função ou de "Grupos de função".
Os procedimentos neste tópico só podem ser executados no Shell. Você não pode usar o Centro de Administração do Exchange (EAC) para exibir permissões efetivas.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Usar o Shell para listar todos os usuários eficazes
Para listar todos os usuários que são concedidos as permissões fornecidas por uma função de gerenciamento, use a seguinte sintaxe.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
Este exemplo lista todos os usuários que são concedidos com permissões fornecidas pela função destinatários de email.
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
Se você deseja alterar as propriedades que são retornadas na lista ou exportar a lista para um arquivo de valores separados por vírgula (. csv), consulte Usar o Shell para personalizar a saída e exibi-la posteriormente neste tópico.
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Use o Shell para localizar um usuário específico em uma função
Para localizar um usuário específico que recebeu permissões por uma função de gerenciamento, use o cmdlet de Get-ManagementRoleAssignment para recuperar uma lista de todos os usuários efetivas e, em seguida, canalize a saída do cmdlet para o cmdlet Where. O cmdlet Where filtra a saída e retorna apenas o usuário que você especificou. Use a seguinte sintaxe.
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
Este exemplo localiza o usuário David Strome na função de registro no diário.
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}
Se você quiser alterar as propriedades que são retornadas na lista ou exportar a lista para um arquivo. csv, consulte Usar o Shell para personalizar a saída e exibi-la posteriormente neste tópico.
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Use o Shell para localizar um usuário específico em todas as funções
Para souber que um usuário recebe permissões de função de cada, você deve usar o cmdlet Get-ManagementRoleAssignment para recuperar todos os usuários efetivos em todas as funções de gerenciamento e, em seguida, canalize a saída do cmdlet para o cmdlet Where. O cmdlet Where filtra a saída e retorna apenas atribuições da função que conceder as permissões de usuário.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
Este exemplo localiza todas as atribuições de função que concedem permissões para o usuário Kim Akers.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}
Se você quiser alterar as propriedades que são retornadas na lista ou exportar a lista para um arquivo CSV, consulte Usar o Shell para personalizar a saída e exibi-la posteriormente neste tópico.
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Usar o Shell para personalizar a saída e exibi-la
A saída padrão do cmdlet Get-ManagementRoleAssignment talvez não tenha as informações que você deseja. A saída do cmdlet contém mais propriedades que você pode acessar. A seguir estão algumas das propriedades que podem ser úteis:
EffectiveUserName: nome do usuário.
Função: função que está concedendo as permissões.
RoleAssigneeName: Grupo de funções, política de atribuição ou USG atribuído à função e contém o usuário na
EffectiveUserName
propriedade.RoleAssigneeType: indica se a atribuição de função é para um grupo de função, política de atribuição, USG ou usuário.
AssignmentMethod: indica se a atribuição entre a função e o atribuídor de função é direta ou indireta.
CustomRecipientWriteScope: indica o escopo de gravação personalizado do destinatário, se houver, que foi aplicado à atribuição de função quando ela foi criada. O escopo especificado nesta propriedade substitui o escopo de gravação implícito do destinatário especificado na
RecipientWriteScope
propriedade.CustomConfigWriteScope: indica o escopo de gravação de configuração personalizado, se houver, que foi aplicado à atribuição de função quando ela foi criada. O escopo especificado nesta propriedade substitui o escopo de gravação de configuração implícita especificado na
ConfigWriteScope
propriedade.RecipientReadScope: indica o escopo de leitura do destinatário implícito aplicado à função.
RecipientWriteScope: indica o escopo de gravação implícito do destinatário aplicado à função.
ConfigReadScope: indica o escopo de leitura de configuração implícita aplicado à função.
ConfigWriteScope: indica o escopo de gravação de configuração implícita aplicado à função.
Para selecionar as propriedades que você deseja exibir em sua lista, use comandos semelhantes aos usados no Shell para listar todos os usuários efetivos, use o Shell para encontrar um usuário específico em uma função e Use o Shell para encontrar um usuário específico em todas as seções de funções. A diferença é que você canaliza os resultados desses comandos para os cmdlets Format-Table ou Select-Object . O cmdlet Format-Table é útil para gerar a lista de resultados para sua tela. O cmdlet Select-Object é útil para gerar a lista de seus resultados para um arquivo .csv.
Ambos os cmdlets permitem especificar as propriedades que você deseja ver e, na ordem em que deseja vê-las. O cmdlet Format-Table oferece mais opções quando você lista os resultados para uma tela, enquanto Select-Object não modifica a saída de forma alguma, o que é útil ao canalizar a lista para um arquivo .csv.
Para obter mais informações sobre os cmdlets Format-Table e Select-Object, consulte Trabalhando com a saída do comando.
Uma lista personalizada para a tela de saída
Escolha as informações que você deseja ver e encontre o comando associado a partir de um dos seguintes procedimentos:
Usar o Shell para listar todos os usuários eficazes
Use o Shell para encontrar uma função de usuário específico
Use o Shell para localizar um usuário específico em todas as funções
Escolha as propriedades que você deseja ver em sua lista.
Use a sintaxe a seguir para exibir a lista.
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
Este exemplo localiza o usuário David Strome em todas as funções e exibe as EffectiveUserName
propriedades , Role
, CustomRecipientWriteScope
e CustomConfigWriteScope
.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Saída de uma lista personalizada para um arquivo. csv
Para exportar uma lista para um arquivo .csv, você precisa canalizar os resultados do comando Get-ManagementRoleAssignment do procedimento apropriado listado anteriormente para o cmdlet Select-Object . A saída do cmdlet Select-Object é então canalizada para o cmdlet Export-CSV , que salva a saída .csv em um nome de arquivo especificado.
Escolha as informações que você deseja ver e encontre o comando associado a partir de um dos seguintes procedimentos:
Usar o Shell para listar todos os usuários eficazes
Use o Shell para encontrar uma função de usuário específico
- Use o Shell para localizar um usuário específico em todas as funções
Escolha as propriedades que você deseja ver em sua lista.
Use a seguinte sintaxe para exportar a lista para um arquivo. csv.
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
Este exemplo localiza o usuário David Strome em todas as funções e exibe as EffectiveUserName
propriedades , Role
, CustomRecipientWriteScope
e CustomConfigWriteScope
.
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
Agora você pode exibir o arquivo. csv em um visualizador de sua escolha.
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.