Add-ADPermission

此 cmdlet 仅适用于本地 Exchange。

使用 Add-ADPermission cmdlet 向 Active Directory 对象添加权限。

有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法

语法

Add-ADPermission
   [-Identity] <ADRawEntryIdParameter>
   -User <SecurityPrincipalIdParameter>
   [-AccessRights <ActiveDirectoryRights[]>]
   [-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
   [-Confirm]
   [-Deny]
   [-DomainController <Fqdn>]
   [-ExtendedRights <ExtendedRightIdParameter[]>]
   [-InheritanceType <ActiveDirectorySecurityInheritance>]
   [-InheritedObjectType <ADSchemaObjectIdParameter>]
   [-Properties <ADSchemaObjectIdParameter[]>]
   [-WhatIf]
   [<CommonParameters>]
Add-ADPermission
   [-Identity] <ADRawEntryIdParameter>
   -Owner <SecurityPrincipalIdParameter>
   [-Confirm]
   [-DomainController <Fqdn>]
   [-WhatIf]
   [<CommonParameters>]
Add-ADPermission
   [[-Identity] <ADRawEntryIdParameter>]
   -Instance <ADAcePresentationObject>
   [-AccessRights <ActiveDirectoryRights[]>]
   [-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
   [-Confirm]
   [-Deny]
   [-DomainController <Fqdn>]
   [-ExtendedRights <ExtendedRightIdParameter[]>]
   [-InheritanceType <ActiveDirectorySecurityInheritance>]
   [-InheritedObjectType <ADSchemaObjectIdParameter>]
   [-Properties <ADSchemaObjectIdParameter[]>]
   [-User <SecurityPrincipalIdParameter>]
   [-WhatIf]
   [<CommonParameters>]

说明

ADPermission cmdlet 可用于直接修改 active Directory 访问控制列表 (ACL) 。 尽管某些 Microsoft Exchange 功能可能会继续使用 ADPermission cmdlet 来管理权限 (例如发送和接收连接器) ,但 Exchange 2013 及更高版本不再使用自定义 ACL 来管理管理权限。 如果要在 Exchange 2013 或更高版本中授予或拒绝管理权限,需要使用基于角色访问控制 (RBAC) 。 有关 RBAC 的详细信息,请参阅 Exchange Server 中的权限

您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet

示例

示例 1

Add-ADPermission -Identity "Terry Adams" -User AaronPainter -AccessRights ExtendedRight -ExtendedRights "Send As"

本示例将授予 Aaron Painter 对 Terry Adams 邮箱的“代理发送”权限。

示例 2

Add-AdPermission "IP Secured Inbound" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-Spam

本示例将 IP 安全入站接收连接器配置为接受匿名 SMTP 邮件。

本示例假定使用另一种安全机制以确保接收连接器不能用于发送未经请求的商业电子邮件。 建议您不要允许外部客户端通过接收连接器匿名发送邮件。

参数

-AccessRights

AccessRights 参数指定要为 Active Directory 对象上的用户添加的权限。 有效值包括:

  • AccessSystemSecurity
  • CreateChild
  • DeleteChild
  • ListChildren
  • 自我
  • ReadProperty
  • WriteProperty
  • DeleteTree
  • ListObject
  • ExtendedRight
  • 删除
  • ReadControl
  • GenericExecute
  • GenericWrite
  • GenericRead
  • WriteDacl
  • WriteOwner
  • GenericAll
  • Synchronize

可以指定用逗号分隔的多个值。

不能将此参数与 Owner 参数一起使用。

Type:ActiveDirectoryRights[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ChildObjectTypes

ChildObjectTypes 参数指定应向哪类对象应用此权限。

如果 AccessRights 参数设置为 CreateChild 或 DeleteChild,则只能使用 ChildObjectTypes 参数。

Type:ADSchemaObjectIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Confirm

Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。

  • 破坏性 cmdlet (例如,Remove-* cmdlet) 具有内置的暂停,该暂停会强制你在继续操作之前确认命令。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:-Confirm:$false
  • 大多数其他 cmdlet (例如,New-* 和 Set-* cmdlet) 没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Deny

“拒绝”开关指定要添加的权限为“拒绝权限”。 不必为此开关指定值。

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DomainController

DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。

边缘传输服务器上不支持 DomainController 参数。 边缘传输服务器使用活动目录轻型目录服务 (AD LDS) 的本地实例来读取和写入数据。

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-ExtendedRights

ExtendedRights 参数指定执行操作所需的扩展权限。

Type:ExtendedRightIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Identity

Identity 参数指定要对其添加权限的对象的标识。 可以指定对象的可分辨名称 (DN);如果对象的名称是唯一的,则也可以指定对象名称。 如果可分辨名称 (DN) 或名称中包含空格,则使用引号 (") 括住该名称。

Type:ADRawEntryIdParameter
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-InheritanceType

InheritType 参数指定如何继承权限。 有效值包含:

  • 所有 (这是默认值)
  • Children
  • 后代 [sic]
  • SelfAndChildren
Type:ActiveDirectorySecurityInheritance
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-InheritedObjectType

InheritedObjectType 参数指定何种对象继承此访问控制条目 (ACE)。

Type:ADSchemaObjectIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Instance

使用 Instance 参数可以将整个对象传递给此命令以进行处理。 主要用于脚本中整个对象必须传递给命令的情况。

Type:ADAcePresentationObject
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Owner

Owner 参数指定 Active Directory 对象的所有者。 可以为此参数指定以下类型的用户或组 (安全主体) :

  • 邮箱用户
  • 邮件用户
  • 安全组

可以使用任何能够唯一标识该用户或组的值。 例如:

  • 名称
  • 别名
  • 可分辨名称 (DN)
  • 可分辨名称 (DN)
  • 域\用户名
  • 电子邮件地址
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • 用户 ID 或用户主体名称 (UPN)

不能将此参数与 AccessRights 或 User 参数一起使用。

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Properties

Properties 参数指定对象包含的属性。

仅当 AccessRights 参数设置为 ReadProperty、WriteProperty 或 Self 时,才能使用 Properties 参数。

Type:ADSchemaObjectIdParameter[]
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-User

User 参数指定谁获取 Active Directory 对象的权限。 可以为此参数指定以下类型的用户或组 (安全主体) :

  • 邮箱用户
  • 邮件用户
  • 安全组

可以使用任何能够唯一标识该用户或组的值。 例如:

  • 名称
  • 别名
  • 可分辨名称 (DN)
  • 可分辨名称 (DN)
  • 域\用户名
  • 电子邮件地址
  • GUID
  • LegacyExchangeDN
  • SamAccountName
  • 用户 ID 或用户主体名称 (UPN)

不能将此参数与 Owner 参数一起使用。

Type:SecurityPrincipalIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-WhatIf

WhatIf 开关模拟命令操作。 可以使用此开关在不实际应用将会发生的更改的情况下预览这些更改。 不必为此开关指定值。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

输入

Input types

若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。

输出

Output types

若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。