Get-MailboxPermission

  • Ссылка
Модуль:
ExchangePowerShell
Применяется к:
Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.

Командлет Get-MailboxPermission используется для получения разрешений для почтового ящика.

Примечание. В Exchange Online PowerShell вместо этого рекомендуется использовать командлет Get-EXOMailboxPermission. Дополнительные сведения см. в статье Connect to Exchange Online PowerShell.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Get-MailboxPermission
   [-Identity] <MailboxIdParameter>
   [-Owner]
   [-Credential <PSCredential>]
   [-DomainController <Fqdn>]
   [-GroupMailbox]
   [-ReadFromDomainController]
   [-ResultSize <Unlimited>]
   [<CommonParameters>]
Get-MailboxPermission
   [-Identity] <MailboxIdParameter>
   [-User <SecurityPrincipalIdParameter>]
   [-SoftDeletedMailbox]
   [-Credential <PSCredential>]
   [-DomainController <Fqdn>]
   [-GroupMailbox]
   [-IncludeSoftDeletedUserPermissions]
   [-IncludeUnresolvedPermissions]
   [-ReadFromDomainController]
   [-ResultSize <Unlimited>]
   [<CommonParameters>]

Описание

Выходные данные этого командлета содержат следующее:

  • Identity: нужный почтовый ящик.
  • Пользователь: субъект безопасности (пользователь, группа безопасности, группа ролей управления Exchange и т. д.), имеющий разрешение на доступ к почтовому ящику.
  • AccessRights: имеющееся у субъекта безопасности разрешение. Доступные значения: ChangeOwner (изменение владельца почтового ящика), ChangePermission (изменение разрешений на почтовый ящик), DeleteItem (удаление почтового ящика), ExternalAccount (указывает, что учетная запись не в том же домене), FullAccess (открыть почтовый ящик, получить доступ к его содержимому, но не может отправить почту) и ReadPermission (чтение разрешений в почтовом ящике). Статус доступа (разрешен или запрещен) указывается в столбце Deny.
  • IsInherited: указывает, унаследовано разрешение (True) или назначено непосредственно почтовому ящику (False). Разрешения наследуются от базы данных почтовых ящиков и (или) Active Directory. Как правило, разрешения, назначенные напрямую, переопределяют наследуемые разрешения.
  • Deny: указывает, разрешен (False) или запрещен (True) доступ. Как правило, запреты переопределяют разрешения.

По умолчанию почтовым ящикам пользователей назначаются следующие разрешения:

  • Разрешения FullAccess и ReadPermission назначаются непосредственно субъекту NT AUTHORITY\SELF. Эта запись предоставляет пользователю доступ к собственному почтовому ящику.
  • Полный доступ запрещен администраторам, администраторам домена, администраторам предприятия и управлению организацией. Благодаря этому пользователи и участники указанных групп не могут открывать почтовые ящики других пользователей.
  • ChangeOwner, ChangePermission, DeleteItem и ReadPermission разрешены администраторам, администраторам домена, администраторам предприятия и управлению организацией. Может показаться, что эти наследуемые разрешения также предоставляют доступ FullAccess. Однако у этих пользователей и групп нет доступа FullAccess к почтовому ящику, так как наследуемые запреты переопределяют наследуемые разрешения.
  • Разрешение FullAccess наследует субъект NT AUTHORITY\SYSTEM, а разрешение ReadPermission — субъект NT AUTHORITY\NETWORK.
  • FullAccess и ReadPermission наследуются серверами Exchange Server, ChangeOwner, ChangePermission, DeleteItem и ReadPermission наследуются доверенной подсистемой Exchange, а ReadPermission наследуется управляемыми серверами доступности.

По умолчанию другие группы безопасности и группы ролей наследуют разрешения для почтовых ящиков в зависимости от их расположения (локальный Exchange или Майкрософт 365).

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Get-MailboxPermission -Identity john@contoso.com | Format-List

В этом примере возвращаются разрешения для почтового ящика по SMTP-адресу john@contoso.com.

Пример 2

Get-MailboxPermission -Identity john@contoso.com -User "Ayla"

В этом примере возвращаются разрешения, которые пользователь Юлия имеет для почтового ящика Юрий.

Пример 3

Get-MailboxPermission -Identity Room222 -Owner

В этом примере возвращаются сведения о владельце для почтового ящика ресурсов Room222.

Параметры

-Credential

Параметр Credential указывает имя пользователя и пароль, используемые для выполнения этой команды. Как правило, этот параметр используется в сценариях, или если требуется указывать различные учетные данные, которые предоставляют необходимые разрешения.

Для значения этого параметра требуется командлет Get-Credential. Чтобы приостановить эту команду и получить приглашение для ввода учетных данных, используйте значение (Get-Credential). Или перед выполнением этой команды сохраните учетные данные в переменной (например,$cred = Get-Credential), а затем используйте имя переменной ($cred) для этого параметра. Для получения дополнительной информации см. Get-Credential.

Type:PSCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-DomainController

Этот параметр доступен только в локальной среде Exchange.

Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-GroupMailbox

Этот параметр доступен только в облачной службе.

Переключатель GroupMailbox необходим для возврата Группы Microsoft 365 в результатах. Указывать значение для этого параметра необязательно.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-Identity

Параметр Identity указывает почтовый ящик, который требуется просмотреть. Вы можете использовать любое значение, которое однозначно определяет почтовый ящик. Пример.

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • различающееся имя (DN);
  • Домен\Имя пользователя
  • Адрес электронной почты
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Идентификатор пользователя или имя участника-пользователя
Type:MailboxIdParameter
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-IncludeSoftDeletedUserPermissions

Этот параметр доступен только в облачной службе.

Параметр IncludeSoftDeletedUserPermissions возвращает разрешения пользователей обратимо удаленных почтовых ящиков в результатах. Для этого переключателя не требуется указывать значение.

Обратимо удаленные почтовые ящики — это почтовые ящики, которые были удалены, но по-прежнему могут быть восстановлены.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-IncludeUnresolvedPermissions

Этот параметр доступен только в облачной службе.

Параметр IncludeUnresolvedPermissions возвращает неразрешенные разрешения в результатах. Указывать значение для этого параметра необязательно.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-Owner

Параметр Owner возвращает сведения о владельце почтового ящика, заданном параметром Identity. Для этого переключателя не требуется указывать значение.

Этот параметр нельзя использовать с параметром User.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ReadFromDomainController

Переключатель ReadFromDomainController указывает, что сведения будут считываться из контроллера домена в домене пользователя. Для этого переключателя не требуется указывать значение.

Для Set-AdServerSettings -ViewEntireForest $true включения всех объектов в лесу требуется параметр ReadFromDomainController. В противном случае команда может использовать глобальный каталог, содержащий устаревшие сведения. Кроме того, для получения сведений может потребоваться выполнить несколько итераций команды с параметром ReadFromDomainController.

По умолчанию в качестве области получателя задается домен, в котором размещаются серверы Exchange.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-ResultSize

Параметр ResultSize указывает максимальное число возвращаемых результатов. Если требуется возвратить все результаты, отвечающие условиям запроса, используйте для этого параметра значение unlimited. Значение по умолчанию — 1000.

Type:Unlimited
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

-SoftDeletedMailbox

Этот параметр доступен только в облачной службе.

Переключатель SoftDeletedMailbox необходим для возврата обратимо удаленных почтовых ящиков в результатах. Указывать значение для этого параметра необязательно.

Обратимо удаленные почтовые ящики — это почтовые ящики, которые по-прежнему можно восстановить.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online

-User

Параметр User фильтрует результаты по тому, кто имеет разрешения на почтовый ящик, указанный параметром Identity. Для этого параметра можно указать следующие типы пользователей или групп (субъектов безопасности):

  • Пользователи почтовых ящиков.
  • Почтовые пользователи
  • Группы безопасности.

Можно использовать любое значение, уникальным образом идентифицирующее пользователя или группу. Например:

  • Имя
  • Псевдоним
  • различающееся имя (DN);
  • различающееся имя (DN);
  • Домен\Имя пользователя
  • Адрес электронной почты
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • Идентификатор пользователя или имя участника-пользователя

Этот параметр нельзя использовать с параметром Владелец.

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online

Входные данные

Input types

Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.

Выходные данные

Output types

Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.