Get-MailboxPermission
Этот командлет доступен в локальной среде Exchange и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Командлет Get-MailboxPermission используется для получения разрешений для почтового ящика.
Примечание. В Exchange Online PowerShell вместо этого рекомендуется использовать командлет Get-EXOMailboxPermission. Дополнительные сведения см. в статье Connect to Exchange Online PowerShell.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-Owner]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-User <SecurityPrincipalIdParameter>]
[-SoftDeletedMailbox]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeSoftDeletedUserPermissions]
[-IncludeUnresolvedPermissions]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] Описание
Выходные данные этого командлета содержат следующее:
- Identity: нужный почтовый ящик.
- Пользователь: субъект безопасности (пользователь, группа безопасности, группа ролей управления Exchange и т. д.), имеющий разрешение на доступ к почтовому ящику.
- AccessRights: имеющееся у субъекта безопасности разрешение. Доступные значения: ChangeOwner (изменение владельца почтового ящика), ChangePermission (изменение разрешений на почтовый ящик), DeleteItem (удаление почтового ящика), ExternalAccount (указывает, что учетная запись не в том же домене), FullAccess (открыть почтовый ящик, получить доступ к его содержимому, но не может отправить почту) и ReadPermission (чтение разрешений в почтовом ящике). Статус доступа (разрешен или запрещен) указывается в столбце Deny.
- IsInherited: указывает, унаследовано разрешение (True) или назначено непосредственно почтовому ящику (False). Разрешения наследуются от базы данных почтовых ящиков и (или) Active Directory. Как правило, разрешения, назначенные напрямую, переопределяют наследуемые разрешения.
- Deny: указывает, разрешен (False) или запрещен (True) доступ. Как правило, запреты переопределяют разрешения.
По умолчанию почтовым ящикам пользователей назначаются следующие разрешения:
- Разрешения FullAccess и ReadPermission назначаются непосредственно субъекту NT AUTHORITY\SELF. Эта запись предоставляет пользователю доступ к собственному почтовому ящику.
- Полный доступ запрещен администраторам, администраторам домена, администраторам предприятия и управлению организацией. Благодаря этому пользователи и участники указанных групп не могут открывать почтовые ящики других пользователей.
- ChangeOwner, ChangePermission, DeleteItem и ReadPermission разрешены администраторам, администраторам домена, администраторам предприятия и управлению организацией. Может показаться, что эти наследуемые разрешения также предоставляют доступ FullAccess. Однако у этих пользователей и групп нет доступа FullAccess к почтовому ящику, так как наследуемые запреты переопределяют наследуемые разрешения.
- Разрешение FullAccess наследует субъект NT AUTHORITY\SYSTEM, а разрешение ReadPermission — субъект NT AUTHORITY\NETWORK.
- FullAccess и ReadPermission наследуются серверами Exchange Server, ChangeOwner, ChangePermission, DeleteItem и ReadPermission наследуются доверенной подсистемой Exchange, а ReadPermission наследуется управляемыми серверами доступности.
По умолчанию другие группы безопасности и группы ролей наследуют разрешения для почтовых ящиков в зависимости от их расположения (локальный Exchange или Microsoft 365).
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Get-MailboxPermission -Identity [email protected] | Format-ListВ этом примере возвращаются разрешения для почтового ящика по smtp-адресу [email protected].
Пример 2
Get-MailboxPermission -Identity [email protected] -User "Ayla"В этом примере возвращаются разрешения, которые пользователь Юлия имеет для почтового ящика Юрий.
Пример 3
Get-MailboxPermission -Identity Room222 -OwnerВ этом примере возвращаются сведения о владельце для почтового ящика ресурсов Room222.
Параметры
-Credential
Параметр Credential указывает имя пользователя и пароль, используемые для выполнения этой команды. Как правило, этот параметр используется в сценариях, или если требуется указывать различные учетные данные, которые предоставляют необходимые разрешения.
Для значения этого параметра требуется командлет Get-Credential. Чтобы приостановить эту команду и получить приглашение для ввода учетных данных, используйте значение (Get-Credential). Или перед выполнением этой команды сохраните учетные данные в переменной (например,$cred = Get-Credential), а затем используйте имя переменной ($cred) для этого параметра. Для получения дополнительной информации см. Get-Credential.
| Тип: | PSCredential |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Тип: | Fqdn |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-GroupMailbox
Этот параметр доступен только в облачной службе.
Переключатель GroupMailbox необходим для возврата Группы Microsoft 365 в результатах. С этим параметром не нужно указывать значение.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-Identity
Параметр Identity указывает почтовый ящик, который требуется просмотреть. Вы можете использовать любое значение, которое однозначно определяет почтовый ящик. Пример.
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Домен\Имя пользователя
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
| Тип: | MailboxIdParameter |
| Position: | 1 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-IncludeSoftDeletedUserPermissions
Этот параметр доступен только в облачной службе.
Параметр IncludeSoftDeletedUserPermissions возвращает разрешения пользователей обратимо удаленных почтовых ящиков в результатах. С этим параметром не нужно указывать значение.
Обратимо удаленные почтовые ящики — это почтовые ящики, которые были удалены, но по-прежнему могут быть восстановлены.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-IncludeUnresolvedPermissions
Этот параметр доступен только в облачной службе.
Параметр IncludeUnresolvedPermissions возвращает неразрешенные разрешения в результатах. С этим параметром не нужно указывать значение.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-IncludeUserWithDisplayName
Этот параметр доступен только в облачной службе.
{{ Fill IncludeUserWithDisplayName Description }}
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-Owner
Параметр Owner возвращает сведения о владельце почтового ящика, заданном параметром Identity. С этим параметром не нужно указывать значение.
Этот параметр нельзя использовать с параметром User.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ReadFromDomainController
Переключатель ReadFromDomainController указывает, что сведения будут считываться из контроллера домена в домене пользователя. С этим параметром не нужно указывать значение.
Для Set-AdServerSettings -ViewEntireForest $true включения всех объектов в лесу требуется параметр ReadFromDomainController. В противном случае команда может использовать глобальный каталог, содержащий устаревшие сведения. Кроме того, для получения сведений может потребоваться выполнить несколько итераций команды с параметром ReadFromDomainController.
По умолчанию в качестве область получателя задается домен, в котором размещаются серверы Exchange Server.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-ResultSize
Параметр ResultSize указывает максимальное число возвращаемых результатов. Если требуется возвратить все результаты, отвечающие условиям запроса, используйте для этого параметра значение unlimited. Значение по умолчанию — 1000.
| Тип: | Unlimited |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
-SoftDeletedMailbox
Этот параметр доступен только в облачной службе.
Переключатель SoftDeletedMailbox необходим для возврата обратимо удаленных почтовых ящиков в результатах. С этим параметром не нужно указывать значение.
Обратимо удаленные почтовые ящики — это почтовые ящики, которые по-прежнему можно восстановить.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-UseCustomRouting
Этот параметр доступен только в облачной службе.
{{ Fill UseCustomRouting Description }}
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Online |
-User
Параметр User фильтрует результаты по тому, кто имеет разрешения на доступ к почтовому ящику, указанному параметром Identity. Для этого параметра можно указать следующие типы пользователей или групп (субъектов безопасности):
- Пользователи почтовых ящиков.
- Почтовые пользователи
- Группы безопасности
Для достижения наилучших результатов рекомендуется использовать следующие значения:
- Имя участника-пользователя: например,
[email protected](только для пользователей). - Domain\SamAccountName: например,
contoso\user.
В противном случае можно использовать любое значение, уникально определяющее пользователя или группу. Например:
- Имя
- Псевдоним
- различающееся имя (DN);
- различающееся имя (DN);
- Домен\Имя пользователя
- Адрес электронной почты
- GUID
- LegacyExchangeDN
- SamAccountName
- Идентификатор пользователя или имя участника-пользователя
Этот параметр нельзя использовать с параметром Владелец.
| Тип: | SecurityPrincipalIdParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online |
Входные данные
Input types
Чтобы просмотреть типы входных данных, которые принимает этот командлет, см. Типы входных и выходных данных командлета. Если поле "Типы входных данных" для командлета пусто, командлет не принимает входные данные.
Выходные данные
Output types
Чтобы просмотреть типы возвращаемых данных, также называемые типами вывода, которые принимает этот командлет, см. раздел Типы ввода и вывода командлета. Если поле "Типы выходных данных" пусто, командлет не возвращает данные.