Get-MailboxPermission
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Командлет Get-MailboxPermission используется для получения разрешений для почтового ящика.
Примечание. В Exchange Online PowerShell вместо этого рекомендуется использовать командлет Get-EXOMailboxPermission. Дополнительные сведения см. в статье Connect to Exchange Online PowerShell.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-Owner]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[<CommonParameters>] Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-User <SecurityPrincipalIdParameter>]
[-SoftDeletedMailbox]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeSoftDeletedUserPermissions]
[-IncludeUnresolvedPermissions]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[<CommonParameters>] Описание
Выходные данные этого командлета содержат следующее:
- Identity: нужный почтовый ящик.
- Пользователь: субъект безопасности (пользователь, группа безопасности, группа ролей управления Exchange и т. д.), имеющий разрешение на доступ к почтовому ящику.
- AccessRights: имеющееся у субъекта безопасности разрешение. Доступные значения: ChangeOwner (изменение владельца почтового ящика), ChangePermission (изменение разрешений на почтовый ящик), DeleteItem (удаление почтового ящика), ExternalAccount (указывает, что учетная запись не в том же домене), FullAccess (открыть почтовый ящик, получить доступ к его содержимому, но не может отправить почту) и ReadPermission (чтение разрешений в почтовом ящике). Статус доступа (разрешен или запрещен) указывается в столбце Deny.
- IsInherited: указывает, унаследовано разрешение (True) или назначено непосредственно почтовому ящику (False). Разрешения наследуются от базы данных почтовых ящиков и (или) Active Directory. Как правило, разрешения, назначенные напрямую, переопределяют наследуемые разрешения.
- Deny: указывает, разрешен (False) или запрещен (True) доступ. Как правило, запреты переопределяют разрешения.
По умолчанию почтовым ящикам пользователей назначаются следующие разрешения:
- Разрешения FullAccess и ReadPermission назначаются непосредственно субъекту NT AUTHORITY\SELF. Эта запись предоставляет пользователю доступ к собственному почтовому ящику.
- Полный доступ запрещен администраторам, администраторам домена, администраторам предприятия и управлению организацией. Благодаря этому пользователи и участники указанных групп не могут открывать почтовые ящики других пользователей.
- ChangeOwner, ChangePermission, DeleteItem и ReadPermission разрешены администраторам, администраторам домена, администраторам предприятия и управлению организацией. Может показаться, что эти наследуемые разрешения также предоставляют доступ FullAccess. Однако у этих пользователей и групп нет доступа FullAccess к почтовому ящику, так как наследуемые запреты переопределяют наследуемые разрешения.
- Разрешение FullAccess наследует субъект NT AUTHORITY\SYSTEM, а разрешение ReadPermission — субъект NT AUTHORITY\NETWORK.
- FullAccess и ReadPermission наследуются серверами Exchange Server, ChangeOwner, ChangePermission, DeleteItem и ReadPermission наследуются доверенной подсистемой Exchange, а ReadPermission наследуется управляемыми серверами доступности.
По умолчанию другие группы безопасности и группы ролей наследуют разрешения для почтовых ящиков в зависимости от их расположения (локальный Exchange или Майкрософт 365).
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Get-MailboxPermission -Identity john@contoso.com | Format-ListВ этом примере возвращаются разрешения для почтового ящика по SMTP-адресу john@contoso.com.
Пример 2
Get-MailboxPermission -Identity john@contoso.com -User "Ayla"В этом примере возвращаются разрешения, которые пользователь Юлия имеет для почтового ящика Юрий.
Пример 3
Get-MailboxPermission -Identity Room222 -OwnerВ этом примере возвращаются сведения о владельце для почтового ящика ресурсов Room222.
Параметры
-Credential
Параметр Credential указывает имя пользователя и пароль, используемые для выполнения этой команды. Как правило, этот параметр используется в сценариях, или если требуется указывать различные учетные данные, которые предоставляют необходимые разрешения.
Для значения этого параметра требуется командлет Get-Credential. Чтобы приостановить эту команду и получить приглашение для ввода учетных данных, используйте значение (Get-Credential). Или перед выполнением этой команды сохраните учетные данные в переменной (например,$cred = Get-Credential), а затем используйте имя переменной ($cred) для этого параметра. Для получения дополнительной информации см. Get-Credential.
| Type: | PSCredential |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-GroupMailbox
Этот параметр доступен только в облачной службе.
Переключатель GroupMailbox необходим для возврата Группы Microsoft 365 в результатах. Указывать значение для этого параметра необязательно.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-Identity
Параметр Identity указывает почтовый ящик, который требуется просмотреть. Вы можете использовать любое значение, которое однозначно определяет почтовый ящик. Пример.
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Домен\Имя пользователя
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
| Type: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-IncludeSoftDeletedUserPermissions
Этот параметр доступен только в облачной службе.
Параметр IncludeSoftDeletedUserPermissions возвращает разрешения пользователей обратимо удаленных почтовых ящиков в результатах. Для этого переключателя не требуется указывать значение.
Обратимо удаленные почтовые ящики — это почтовые ящики, которые были удалены, но по-прежнему могут быть восстановлены.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-IncludeUnresolvedPermissions
Этот параметр доступен только в облачной службе.
Параметр IncludeUnresolvedPermissions возвращает неразрешенные разрешения в результатах. Указывать значение для этого параметра необязательно.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-Owner
Параметр Owner возвращает сведения о владельце почтового ящика, заданном параметром Identity. Для этого переключателя не требуется указывать значение.
Этот параметр нельзя использовать с параметром User.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ReadFromDomainController
Переключатель ReadFromDomainController указывает, что сведения будут считываться из контроллера домена в домене пользователя. Для этого переключателя не требуется указывать значение.
Для Set-AdServerSettings -ViewEntireForest $true включения всех объектов в лесу требуется параметр ReadFromDomainController. В противном случае команда может использовать глобальный каталог, содержащий устаревшие сведения. Кроме того, для получения сведений может потребоваться выполнить несколько итераций команды с параметром ReadFromDomainController.
По умолчанию в качестве области получателя задается домен, в котором размещаются серверы Exchange.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
Параметр ResultSize указывает максимальное число возвращаемых результатов. Если требуется возвратить все результаты, отвечающие условиям запроса, используйте для этого параметра значение unlimited. Значение по умолчанию — 1000.
| Type: | Unlimited |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-SoftDeletedMailbox
Этот параметр доступен только в облачной службе.
Переключатель SoftDeletedMailbox необходим для возврата обратимо удаленных почтовых ящиков в результатах. Указывать значение для этого параметра необязательно.
Обратимо удаленные почтовые ящики — это почтовые ящики, которые по-прежнему можно восстановить.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online |
-User
Параметр User фильтрует результаты по тому, кто имеет разрешения на почтовый ящик, указанный параметром Identity. Для этого параметра можно указать следующие типы пользователей или групп (субъектов безопасности):
- Пользователи почтовых ящиков.
- Почтовые пользователи
- Группы безопасности.
Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Домен\Имя пользователя
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
Этот параметр нельзя использовать с параметром Владелец.
| Type: | SecurityPrincipalIdParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Входные данные
Input types
Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.
Выходные данные
Output types
Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.