檢視有效權限
適用於:Exchange Server 2013
Microsoft Exchange Server 2013 中的許可權是使用指派給管理角色群組、管理角色指派原則、通用安全性群組 (USG) 或直接指派給使用者的管理角色來授與。 如果使用者是角色群組或 USG 的成員,或獲指派角色指派原則,則會授與使用者許可權。
大部分的許可權是根據角色群組成員資格或指派原則指派給終端使用者而授與。 雖然使用角色群組和指派原則可讓您輕鬆地將許可權授與大量使用者,但您可能不知道誰是角色群組的成員,或獲指派指派原則的人員。 這是Get-ManagementRoleAssignment Cmdlet 上的GetEffectiveUsers參數很有用之處。 它會顯示哪些使用者會透過指派給他們的角色群組、指派原則和 USG,授與管理角色所提供的許可權。
使用Role參數時,GetEffectiveUsers參數會與Get-ManagementRoleAssignment Cmdlet 搭配使用。 藉由使用特定角色指定此參數, Get-ManagementRoleAssignment Cmdlet 會檢查指派給角色的所有角色指派者,例如角色群組、指派原則和 USG,並列出每個角色的成員。
注意事項
GetEffectiveUser參數不會列出屬於連結外部角色群組成員的使用者。 如果找到連結的角色群組,則會顯示 所有連結的群組成員 ,而不是使用者清單。 如需多個樹系中許可權的詳細資訊,請參閱 瞭解多樹系許可權。
如需管理角色、角色群組和指派原則的詳細資訊,請參閱瞭解角色型存取控制。 如需管理角色指派的詳細資訊,請參閱了解管理角色指派。
尋找與管理許可權相關的其他管理工作嗎? 請參閱 許可權。
開始之前有哪些須知?
每項程序的預估完成時間:5 分鐘
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 角色管理權限主題中的「角色群組」或「角色指派原則」項目。
本主題中的程式只能在殼層中執行。 您無法使用 Exchange 系統管理中心 (EAC) 來檢視有效許可權。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。
使用命令介面來列出所有有效的使用者
若要列出被授與管理角色所提供之權限的所有使用者,請使用下列語法。
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers
此範例會列出被授與郵件收件者角色所提供之權限的所有使用者。
Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers
如果您要變更清單中傳回的屬性,或是將清單匯出至逗號分隔值 (.csv) 檔案,請參閱本主題稍後的使用命令介面來自訂並顯示輸出。
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
使用命令介面在某個角色上尋找特定使用者
若要尋找由管理角色授與許可權的特定使用者,您必須使用 Get-ManagementRoleAssignment Cmdlet 來擷取所有有效使用者的清單,然後使用管線將 Cmdlet 的輸出傳送至 Where Cmdlet。 Where Cmdlet 會篩選輸出,並只傳回您指定的使用者。 使用下列語法。
Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
此範例會在日誌記錄角色上尋找使用者 David Strome。
Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}
如果您要變更清單中傳回的內容,或是將清單匯出到 .csv 檔,請參閱本主題稍後的使用命令介面來自訂並顯示輸出。
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
使用命令介面在所有角色上尋找特定使用者
若要知道使用者從中接收許可權的每個角色,您必須使用 Get-ManagementRoleAssignment Cmdlet 來擷取所有管理角色上的所有有效使用者,然後使用管線將 Cmdlet 的輸出傳送至 Where Cmdlet。 Where Cmdlet 會篩選輸出,並只傳回授與使用者許可權的角色指派。
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}
此範例會尋找所有授與權限給使用者 Kim Akers 的角色指派。
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}
如果您要變更清單中傳回的內容,或是將清單匯出到 CSV 檔,請參閱本主題稍後的使用命令介面來自訂並顯示輸出。
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
使用命令介面來自訂並顯示輸出
Get-ManagementRoleAssignment Cmdlet 的預設輸出可能沒有您想要的資訊。 Cmdlet 的輸出包含您可以存取的更多屬性。 以下是一些可能很有用的屬性:
EffectiveUserName:使用者的名稱。
角色:授與許可權的角色。
RoleAssigneeName:指派給角色並在 屬性中
EffectiveUserName
包含使用者的角色群組、指派原則或 USG。RoleAssigneeType:指出角色指派是指派給角色群組、指派原則、USG 或使用者。
AssignmentMethod:指出角色與角色指派者之間的指派是直接或間接指派。
CustomRecipientWriteScope:指出建立角色指派時套用至角色指派的自訂收件者寫入範圍,如果有的話。 此屬性中指定的範圍會覆寫屬性中指定的隱含收件者寫入
RecipientWriteScope
範圍。CustomConfigWriteScope:指出建立角色指派時套用至角色指派的自訂群組態寫入範圍,如果有的話。 此屬性中指定的範圍會覆寫 屬性中指定的隱含組態寫入
ConfigWriteScope
範圍。RecipientReadScope:指出套用至角色的隱含收件者讀取範圍。
RecipientWriteScope:指出套用至角色的隱含收件者寫入範圍。
ConfigReadScope:指出套用至角色的隱含組態讀取範圍。
ConfigWriteScope:指出套用至角色的隱含組態寫入範圍。
若要選取您要在清單中顯示的屬性,您可以使用類似使用命令介面列出所有有效使用者、使用殼層在角色上尋找特定使用者,以及使用 Shell 在所有角色區段上尋找特定使用者中的命令。 差別在於,您會使用管線將這些命令的結果傳送至 Format-Table 或 Select-Object Cmdlet。 Format-Table Cmdlet 很適合用來將結果清單輸出到您的畫面。 Select-Object Cmdlet 很適合用來將結果清單輸出至.csv檔案。
這兩個 Cmdlet 可讓您指定想要查看的屬性,以及您想要查看它們的順序。 當您將結果列在螢幕上時, Format-Table Cmdlet 會提供更多選項,而 Select-Object 不會以任何方式修改輸出,這在將清單管線傳送至.csv檔案時很有用。
如需 Format-Table 和 Select-Object 指令程式的相關資訊,請參閱 使用命令輸出。
將自訂的清單輸出至畫面上
選擇您要查看的資訊,並且從下列其中一個程序尋找相關聯的命令:
使用命令介面來列出所有有效的使用者
使用 Shell 尋找特定使用者的角色
使用命令介面在所有角色上尋找特定使用者
選擇要在清單中查看的內容。
使用下列語法來檢視清單。
<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
此範例會在所有角色上尋找使用者 David 並顯示 EffectiveUserName
、 Role
、 CustomRecipientWriteScope
和 CustomConfigWriteScope
屬性。
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
將自訂的清單輸出至 .csv 檔案
若要將清單匯出至.csv檔案,您必須將 Get-ManagementRoleAssignment 命令的結果從先前所列的適當程式傳送至 Select-Object Cmdlet。 Select-Object Cmdlet 的輸出接著會透過管道傳送至Export-CSV Cmdlet,這會將.csv輸出儲存到您指定的檔案名。
選擇您要查看的資訊,並且從下列其中一個程序尋找相關聯的命令:
使用命令介面來列出所有有效的使用者
使用 Shell 尋找特定使用者的角色
- 使用命令介面在所有角色上尋找特定使用者
選擇要在清單中查看的內容。
使用下列語法將清單匯出至 .csv 檔案。
<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
此範例會在所有角色上尋找使用者 David 並顯示 EffectiveUserName
、 Role
、 CustomRecipientWriteScope
和 CustomConfigWriteScope
屬性。
Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv
您現在可以在自己選擇的檢視器中檢視 .csv 檔案。
如需詳細的語法及參數資訊,請參閱 Get-ManagementRoleAssignment。