接收Exchange Server中的连接器

Exchange 服务器使用接收连接器控制以下来源的入站 SMTP 连接:

  • Exchange 组织外部的邮件服务器。

  • 本地 Exchange 服务器或远程 Exchange 服务器上传输管道中的服务。

  • 需要使用经身份验证的 SMTP 来发送邮件的电子邮件客户端。

可以在邮箱服务器上的传输服务、邮箱服务器以及边缘传输服务器上的前端传输服务中创建接收连接器。 默认情况下,在安装 Exchange 邮箱服务器时,以及将边缘传输服务器订阅到 Exchange 组织时,会自动创建入站邮件流所需的接收连接器。

接收连接器与其所创建位置的邮箱服务器或边缘传输服务器相关联,并确定该特定服务器侦听 SMTP 连接的方式。 在邮箱服务器上,接收连接器作为服务器的子对象存储在 Active Directory 中。 在边缘传输服务器上,接收连接器存储在 Active Directory 轻型目录服务 (AD LDS) 中。

以下是接收连接器的重要设置:

  • 本地适配器绑定:配置接收连接器用于接受连接的本地 IP 地址和 TCP 端口的组合。

  • 远程网络设置:配置接收连接器为连接侦听的源 IP 地址。

  • 使用类型:为接收连接器配置默认权限组和智能主机身份验证机制。

  • 权限组:配置允许谁使用接收连接器,以及他们接收的权限。

接收连接器会侦听与连接器的配置设置相匹配的入站连接。 Exchange 服务器上每个接收连接器使用本地 IP 地址绑定、TCP 端口和远程 IP 地址范围的唯一组合,它们定义是否接受 SMTP 客户端或服务器中的连接以及如何接受。

尽管默认接收连接器在大多数情况下已经足够,你仍可以为特定场景创建自定义接收连接器。 例如:

  • 将特殊属性应用于电子邮件源,例如,较大的最大邮件大小、每封邮件的更多收件人或更多的同时入站连接。

  • 通过使用特定的 TLS 证书接受加密邮件。

在邮箱服务器上,可以在 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序中创建和管理接收连接器。 在边缘传输服务器上,只能使用 Exchange 命令行管理程序。

接收Exchange Server中的连接器更改

与 Exchange 2010 相比,Exchange 2016 和 Exchange 2019 中的接收连接器发生了以下显著变化:

  • 使用 TlsCertificateName 参数可以指定证书颁发者和证书使用者。 这有助于将欺诈证书的风险降到最低。

  • 使用 TransportRole 参数可以区分前端 (客户端访问) 和邮箱服务器上的后端连接器。

安装过程中创建的默认接收连接器

安装 Exchange 时,默认情况下将创建多个不同的接收连接器。 默认情况下将启用这些连接器,其中大多数连接器会禁用协议日志记录。 有关接收连接器协议日志记录的详细信息,请参阅协议日志记录

邮箱服务器上的前端传输服务中的默认接收连接器

前端传输服务中接收连接器的主要功能是接受匿名和经身份验证的 SMTP 连接到你的 Exchange 组织。 这些连接器的 TransportRole 属性值为 FrontendTransport。 前端传输服务将这些连接中继或 代理 到传输服务,以便进行分类和路由到最终目标。

下表介绍了在邮箱服务器上的前端传输服务中创建的默认接收连接器。

名称 说明 协议日志记录 TCP 端口 本地 IP 地址绑定 远程 IP 地址范围 身份验证机制 权限组
Client Frontend <ServerName> 接受来自经身份验证的 SMTP 客户端的连接。 587 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
默认前端 <ServerName> 接受来自外部 SMTP 服务器的匿名连接。 这是进入 Exchange 组织的公共消息入口点。 Verbose 25 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
出站代理前端 <服务器名称> 接受来自邮箱服务器上传输服务的经身份验证的连接。 连接使用 Exchange 服务器的自签名证书进行加密。
仅在配置发送连接器以使用出站代理时使用此连接器。 有关详细信息,请参阅Configure Send connectors to proxy outbound mail
717 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

邮箱服务器上的传输服务中的默认接收连接器

传输服务中接收连接器的主要功能是接受来自组织中本地邮箱服务器或远程邮箱服务器上其他传输服务的经身份验证和加密的 SMTP 连接。 这些连接器上的 TransportRole 属性值为 HubTransport。 客户端不直接连接到这些连接器。

下表介绍了在邮箱服务器上的传输服务中创建的默认接收连接器。

名称 说明 协议日志记录 TCP 端口 本地 IP 地址绑定 远程 IP 地址范围 身份验证机制 权限组
客户端代理服务器 <名称> 接受从前端传输服务代理的经身份验证的客户端连接。 465 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
默认 <ServerName> 接受来自以下服务的经身份验证的连接:
  • 本地或远程邮箱服务器上的前端传输服务
  • 远程邮箱服务器上的传输服务
  • 本地或远程邮箱服务器上的邮箱传输服务
  • 边缘传输服务器

连接使用 Exchange 服务器的自签名证书进行加密。

2525 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

边缘传输服务器上传输服务中的默认接收连接器

边缘传输服务器上接收连接器的主要功能是接受来自 Internet 的邮件。 为 Exchange 组织订阅边缘传输服务器将自动配置 Internet 邮件流入和流出组织所需的连接器权限和身份验证机制。 有关详细信息,请参阅边缘传输服务器

下表介绍了在边缘传输服务器上的传输服务中创建的默认接收连接器。

名称 说明 协议日志记录 TCP 端口 本地 IP 地址绑定 远程 IP 地址范围 身份验证机制 权限组
默认内部接收连接器 <ServerName> 接受来自外部 SMTP 服务器的匿名连接。 25 () 0.0.0.0 的所有可用 IPv4 地址 {0.0.0.0-255.255.255.255}(所有 IPv4 地址) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

邮箱服务器上邮箱传输传递服务中的隐式接收服务器

除了在安装 Exchange 服务器期间创建的接收连接器外,邮箱服务器上的邮箱传输传递服务中还有一个特殊的 隐式接收连接器 。 此隐式接收连接器是自动提供的,它不可见且无需管理。 此连接器的主要功能是接受来自组织中本地邮箱服务器或远程邮箱服务器上的传输服务的邮件。

下表介绍了邮箱服务器上邮箱传输传递服务中存在的隐式接收连接器。

名称 说明 协议日志记录 TCP 端口 本地 IP 地址绑定 远程 IP 地址范围 身份验证机制 权限组
邮箱传递接收连接器 接受来自本地或远程邮箱服务器上传输服务的经身份验证的连接。 475 所有可用的 IPv4 和 IPv6 地址 (0.0.0.0[::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}(所有 IPv4 和 IPv6 地址) ExchangeServer ExchangeServers

接收连接器本地地址绑定

本地地址绑定将接收连接器限制为侦听特定本地 IP 地址(网络适配器)和 TCP 端口上的 SMTP 连接。 通常情况下,本地 IP 地址和 TCP 端口组合对于服务器上的每个接收连接器具备唯一性。 但是,如果远程 IP 地址范围不同,服务器上的多个接收连接器可以有相同的本地 IP 地址和 TCP 端口。 有关详细信息,请参阅接收连接器的远程地址部分。

默认情况下,接收连接器侦听所有可用的本地 IPv4 和 IPv6 地址的连接 (0.0.0.0[::]:) 。 如果服务器具有多个网络适配器,可以将接收配置为仅接受为特定网络适配器配置的 IP 地址中的连接。 例如,在面向 Internet 的 Exchange 服务器上,可以使绑定到外部网络适配器 IP 地址的接收连接器侦听匿名 Internet 连接。 可以使绑定到内部网络适配器的 IP 地址的单独接收连接器侦听来自内部 Exchange 服务器的经身份验证的连接。

注意

如果将接收连接器绑定到特定 IP 地址,请务必在本地网络适配器上配置该地址。 如果指定了无效的本地 IP 地址,Microsoft Exchange 传输服务在服务器或服务重启时可能无法启动。

在 EAC 中,使用" 网络适配器绑定"字段在新的接收连接器向导中,或在现有接收连接器属性中的" 作用域"选项卡上配置本地地址绑定。 在 Exchange 命令行管理程序中,对 New-ReceiveConnector 和 Set-ReceiveConnector cmdlet 使用 Bindings 参数。 根据选择的使用类型,你可能无法在创建接收连接器时配置本地地址绑定,但可以在创建接收连接器后对其进行修改。 在接收连接器使用类型部分中标识受影响的使用类型。

接收连接器的远程地址

通过接收连接器接收 SMTP 连接的位置定义远程地址。 默认情况下,接收连接器侦听来自所有 IPv4 和 IPv6 地址的连接(0.0.0.0-255.255.255.255 和 ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)。 如果创建一个自定义接收连接器以接收来自特定源的邮件,则将连接器配置为仅侦听来自特定 IP 地址或地址范围的连接。

只要一个 IP 地址范围与另一个范围完全重叠,服务器上的多个接收连接器就会有重叠的远程 IP 地址范围。 当远程 IP 地址范围重叠时,将使用与连接服务器的 IP 地址最匹配的远程 IP 地址范围。

例如,请考虑以下名为 Exchange01 服务器上前端传输服务中的接收连接器:

  • 连接器名称:客户端前端 Exchange01

    • 网络适配器绑定:端口 25 上的所有可用 IPv4。

    • 远程网络设置:0.0.0.0-255.255.255.255

  • 连接器名称:自定义连接器 A

    • 网络适配器绑定:端口 25 上的所有可用 IPv4。

    • 远程网络设置:192.168.1.0-192.168.1.255

  • 连接器名称:自定义连接器 B

    • 网络适配器绑定:端口 25 上的所有可用 IPv4。

    • 远程网络设置:192.168.1.75

自定义连接器 B 接受来自 192.168.1.75 的 SMTP 连接,因为该连接器具有最匹配的 IP 地址。

自定义连接器 A 接受来自 192.168.1.100 的 SMTP 连接,因为该连接器具有最匹配的 IP 地址。

在 EAC 中,使用 远程网络设置字段在新的接收连接器向导中,或在现有接收连接器属性中的" 作用域"选项卡上配置远程 IP 地址。 在 Exchange 命令行管理程序中,对 New-ReceiveConnectorSet-ReceiveConnector cmdlet 使用 RemoteIPRanges 参数。

接收连接器使用类型

使用类型决定接收连接器的默认安全设置。 使用类型指定谁有权使用连接器、他们所获取的权限以及受支持的身份验证方法。

在使用 EAC 创建接收连接器时,向导会提示你选择连接器的 Type 值。 在 Exchange 命令行管理程序中使用 New-ReceiveConnector cmdlet 时,将 Usage 参数与其中一个可用值 ((例如 -Usage Custom ,) )或使用类型 (指定开关(例如 -Custom ,) )。

连接器使用类型只能在创建接收连接器时指定。 创建连接器后,可以在 EAC 中或通过使用 Exchange 命令行管理程序 中的 Set-ReceiveConnector cmdlet 修改可用的身份验证机制和权限组。

下表介绍了可用的使用类型。

使用类型 已分配的权限组 可用的身份验证机制 Comments
Client Exchange 用户 (ExchangeUsers) 传输层安全性 (TLS)
基本身份验证 (BasicAuth)
仅在启动 TLS () BasicAuthRequireTLS后提供基本身份验证
集成Windows 身份验证 (Integrated)
由需要通过经身份验证的 SMTP 提交电子邮件的 POP3 和 IMAP4 客户端使用。
在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择本地 IP 地址绑定或 TCP 端口。 默认情况下,此使用类型绑定到 TCP 端口 587 上的所有本地 IPv4 和 IPv6 地址。 创建连接器后可以更改这些绑定。
此使用类型在边缘传输服务器上不可用。
自定义警报 无选定 (None) 传输层安全性 (TLS) 在跨林方案中使用,用于从第三方邮件服务器接收邮件和执行外部中继。
在创建此使用类型的接收连接器后,需要在 EAC 或 Exchange 命令行管理程序中添加权限组。
内部 旧版 Exchange 服务器 (ExchangeLegacyServers)
Exchange 服务器 (ExchangeServers)
传输层安全性 (TLS)
Exchange Server身份验证 (ExchangeServers)
用于跨林方案,以便从早期版本的 Exchange 中接收邮件,从第三方邮件服务器接收邮件,或在边缘传输服务器上接收来自内部 Exchange 组织的出站邮件。
在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择本地 IP 地址绑定或 TCP 端口。 默认情况下,此连接器绑定到 TCP 端口 25 上的所有本地 IPv4 和 IPv6 地址。 创建连接器后可以更改这些绑定。
权限 ExchangeLegacyServers 组在边缘传输服务器上不可用。
Internet 匿名用户 (AnonymousUsers) 传输层安全性 (TLS) 用于从 Internet 接收邮件。
在 EAC 或 Exchange 命令行管理程序中创建此使用类型的接收连接器时,不能选择远程 IP 地址。 默认情况下,连接器接受来自所有 IPv4 地址 (0.0.0.0-255.255.255.255) 的远程连接。 创建连接器后可以更改这些绑定。
合作伙伴 合作伙伴 (Partners) 传输层安全性 (TLS) 用于配置与外部合作伙伴的安全通信(相互 TLS 身份验证,也称为域安全)。

接收连接器身份验证机制

身份验证机制指定用于传入 SMTP 连接的登录和加密设置。 可以为一个接收连接器配置多种身份验证机制。 在 EAC 中,接收连接器属性的" 安全"选项卡中提供身份验证机制。 在 Exchange 命令行管理程序中,权限组在 New-ReceiveConnectorSet-ReceiveConnector cmdlet 上的 AuthMechanisms 参数中可用。

下表介绍了可用的身份验证机制。

身份验证机制 说明
无选定 (None) 无需身份验证。
传输层安全性 (TLS) (TLS) 在 EHLO 响应中播发 STARTTLS 。 TLS 加密连接要求包含 EHLO 响应中播发的名称的服务器证书。 有关详细信息,请参阅 修改接收连接器上的 SMTP 横幅。 组织中的其他 Exchange 服务器信任服务器的自签名证书,但客户端与外部服务器通常使用受信任的第三方证书。
基本身份验证 (BasicAuth) 基本身份验证(明文)。
仅在启动 TLS () BasicAuthRequireTLS后提供基本身份验证 使用 TLS 加密的基本身份验证。
集成Windows 身份验证 (Integrated) NTLM 和 Kerberos 身份验证。
Exchange Server身份验证 (ExchangeServer) 通用安全服务应用程序编程接口 (GSSAPI) 和相互 GSSAPI 身份验证。
外部保护 (ExternalAuthoritative) 通过使用 Exchange 外部的安全机制假定连接是安全连接。 该连接可能是 Internet 协议安全性 (IPsec) 关联或虚拟专用网 (VPN)。 或者,服务器可能驻留在受信任的物理控制网络中。
此身份验证机制需要 ExchangeServers 权限组。 这种将身份验证机制与安全组结合使用的做法,允许对通过该连接器接收的邮件的匿名发件人电子邮件地址进行解析。

接收连接器权限组

权限组是预定义的权限集,将其授予常用的安全主体并分配给接收连接器。 安全主体包括用户帐户、计算机帐户和安全组(可通过安全标识符或具有向其分配权限的 SID 来标识的对象)。 权限组定义谁可以使用接收连接器以及他们获得的权限。 不能创建权限组,也不能修改权限组成员或权限组的默认权限。

在 EAC 中,接收连接器属性中的" 安全"选项卡中提供有权限组。 在 Exchange 命令行管理程序中,权限组在 New-ReceiveConnectorSet-ReceiveConnector cmdlet 中的 PermissionGroups 参数中可用。

下表介绍了可用的权限组。

权限组 关联的安全主体 授予的权限
匿名用户 (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Exchange 用户 (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Exchange 服务器 (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
注意: 这些安全主体还向其分配了其他内部权限。 有关详细信息,请参阅接收连接器权限部分末尾。
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Exchange 服务器 (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
旧版 Exchange 服务器 (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
合作伙伴 (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

稍后将在本主题的接收连接器权限部分介绍权限。

接收连接器权限

通常情况下会通过使用权限组将权限应用到接收连接器。 然而,可以通过使用 Add-ADPermissionRemove-ADPermission cmdlet 在接收连接器上配置具体权限。

接收连接器权限按照连接器的权限组分配给安全主体。 某个 SMTP 服务器或客户端与接收连接器建立连接时,接收连接器权限将决定是否接受该连接以及如何处理邮件。

可用的接收连接器权限如下表所述。

接收连接器权限 说明
ms-Exch-Accept-Headers-Forest 控件邮件中 Exchange 林邮件头的保留情况。 林邮件头名称以 X-MS-Exchange-Forest- 开头。 如果没有授予此权限,则所有林邮件头都会从邮件中删除。
ms-Exch-Accept-Headers-Organization 控件邮件中 Exchange 组织邮件头的保留情况。 组织邮件头名称以 X-MS-Exchange-Organization- 开头。 如果没有授予此权限,则所有组织邮件头都会从邮件中删除。
ms-Exch-Accept-Headers-Routing 控制消息中 ReceivedResent-* 标头的保留。 如果没有授予此权限,则所有这些邮件头都会从邮件中删除。
ms-Exch-Bypass-Anti-Spam 允许 SMTP 客户端或服务器绕过反垃圾邮件筛选。
ms-Exch-Bypass-Message-Size-Limit 允许 SMTP 客户端或服务器提交为接收连接器配置的超过最大邮件大小的邮件。
ms-Exch-SMTP-Accept-Any-Recipient 允许 SMTP 客户端或服务器通过接收连接器中继邮件。 如果未授予此权限,则接收连接器仅接受发送给为 Exchange 组织配置的接受域中收件人的邮件。
ms-Exch-SMTP-Accept-Any-Sender 允许 SMTP 客户端或服务器绕过发件人地址欺骗检查,该检查通常要求发件人电子邮件地址在为 Exchange 组织配置的接受域中。
ms-Exch-SMTP-Accept-Authentication-Flag 控制来自 SMTP 客户端或服务器的邮件是否被视为已经过身份验证。 如果没有授予此权限,来自这些源的邮件将被标识为外部(未经身份验证)。 此设置对于配置为仅接受来自内部收件人的邮件的通讯组非常重要, (例如,组的 RequireSenderAuthenticationEnabled 参数值) $true
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender 允许具有为 Exchange 组织配置的权威域中的电子邮件地址的发件人访问接收连接器。
ms-Exch-SMTP-Accept-Exch50 允许 SMTP 客户端或服务器在接收连接器上提交 XEXCH50 命令。 较旧版本的 Exchange(Exchange 2003 以及更早版本)使用 X-EXCH50 二进制大型对象 (BLOB) 将 Exchange 数据存储在邮件中(例如,垃圾邮件可信度或 SCL)。
ms-Exch-SMTP-Submit 需要此权限将邮件提交到接收连接器。 如果未授予此权限,则 MAIL FROMAUTH 命令将失败。

注意

  • 除了记录的权限外,还有一些权限分配给 Exchange 服务器 中的所有安全主体, (ExchangeServers) 权限组除外 MS Exchange\Externally Secured Servers。 这些权限仅供内部 Microsoft 使用,在此处仅供参考。

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • 包含 ms-Exch-Accept-Headers- 的权限名称是 标头防火墙 功能的一部分。 有关详细信息,请参阅邮件头防火墙

接收连接器权限程序

若要查看分配给接收连接器中的安全主体的权限,请使用 Exchange 命令行管理程序 中的以下语法:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

例如,若要查看分配给名为客户端前端 Mailbox01 的接收连接器上的所有安全主体的权限,请运行以下命令:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

若要查看仅在名为 Default Mailbox01 的接收连接器上分配给安全主体 NT AUTHORITY\Authenticated Users 的权限,请运行以下命令:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

若要将权限添加到接收连接器上的安全主体,请使用以下语法:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

若要从接收连接器上的安全主体中删除权限,请使用以下语法:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...