Add-ADPermission
此 cmdlet 仅适用于本地 Exchange。
使用 Add-ADPermission cmdlet 向 Active Directory 对象添加权限。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Add-ADPermission
[-Identity] <ADRawEntryIdParameter>
-User <SecurityPrincipalIdParameter>
[-AccessRights <ActiveDirectoryRights[]>]
[-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
[-Confirm]
[-Deny]
[-DomainController <Fqdn>]
[-ExtendedRights <ExtendedRightIdParameter[]>]
[-InheritanceType <ActiveDirectorySecurityInheritance>]
[-InheritedObjectType <ADSchemaObjectIdParameter>]
[-Properties <ADSchemaObjectIdParameter[]>]
[-WhatIf]
[<CommonParameters>]Add-ADPermission
[-Identity] <ADRawEntryIdParameter>
-Owner <SecurityPrincipalIdParameter>
[-Confirm]
[-DomainController <Fqdn>]
[-WhatIf]
[<CommonParameters>]Add-ADPermission
[[-Identity] <ADRawEntryIdParameter>]
-Instance <ADAcePresentationObject>
[-AccessRights <ActiveDirectoryRights[]>]
[-ChildObjectTypes <ADSchemaObjectIdParameter[]>]
[-Confirm]
[-Deny]
[-DomainController <Fqdn>]
[-ExtendedRights <ExtendedRightIdParameter[]>]
[-InheritanceType <ActiveDirectorySecurityInheritance>]
[-InheritedObjectType <ADSchemaObjectIdParameter>]
[-Properties <ADSchemaObjectIdParameter[]>]
[-User <SecurityPrincipalIdParameter>]
[-WhatIf]
[<CommonParameters>]说明
ADPermission cmdlet 可用于直接修改 active Directory 访问控制列表 (ACL) 。 尽管某些Microsoft Exchange 功能可能会继续使用 ADPermission cmdlet 来管理权限 (例如发送和接收连接器) ,但 Exchange 2013 及更高版本不再使用自定义 ACL 来管理管理权限。 如果要在 Exchange 2013 或更高版本中授予或拒绝管理权限,需要使用基于角色访问控制 (RBAC) 。 有关 RBAC 的详细信息,请参阅 Exchange Server 中的权限。
您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet。
示例
示例 1
Add-ADPermission -Identity "Terry Adams" -User AaronPainter -AccessRights ExtendedRight -ExtendedRights "Send As"本示例将授予 Aaron Painter 对 Terry Adams 邮箱的“代理发送”权限。
示例 2
Add-AdPermission "IP Secured Inbound" -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-Bypass-Anti-Spam本示例将 IP 安全入站接收连接器配置为接受匿名 SMTP 邮件。
本示例假定使用另一种安全机制以确保接收连接器不能用于发送未经请求的商业电子邮件。 建议您不要允许外部客户端通过接收连接器匿名发送邮件。
参数
-AccessRights
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
AccessRights 参数指定要为 Active Directory 对象上的用户添加的权限。 有效值包括:
- AccessSystemSecurity
- CreateChild
- DeleteChild
- ListChildren
- 自我
- ReadProperty
- WriteProperty
- DeleteTree
- ListObject
- ExtendedRight
- Delete
- ReadControl
- GenericExecute
- GenericWrite
- GenericRead
- WriteDacl
- WriteOwner
- GenericAll
- Synchronize
可以指定用逗号分隔的多个值。
不能将此参数与 Owner 参数一起使用。
| 类型: | ActiveDirectoryRights[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ChildObjectTypes
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
ChildObjectTypes 参数指定应向哪类对象应用此权限。
如果 AccessRights 参数设置为 CreateChild 或 DeleteChild,则只能使用 ChildObjectTypes 参数。
| 类型: | ADSchemaObjectIdParameter[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Confirm
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet(例如 Remove-* cmdlets)内置有暂停,可强制要求先确认命令,然后再继续操作。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 其他大多数 cmdlet(例如 New-* 和 Set-* cmdlet)都没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Deny
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
“拒绝”开关指定要添加的权限为“拒绝权限”。 不必为此开关指定值。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-DomainController
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
DomainController 参数指定此 cmdlet 从 Active Directory 读取数据或向其写入数据时使用的域控制器。 可以使用完全限定的域名 (FQDN) 来标识域控制器。 例如,dc01.contoso.com。
边缘传输服务器上不支持 DomainController 参数。 边缘传输服务器使用活动目录轻型目录服务 (AD LDS) 的本地实例来读取和写入数据。
| 类型: | Fqdn |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ExtendedRights
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
ExtendedRights 参数指定执行操作所需的扩展权限。
| 类型: | ExtendedRightIdParameter[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Identity
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
Identity 参数指定要对其添加权限的对象的标识。 可以指定对象的可分辨名称 (DN);如果对象的名称是唯一的,则也可以指定对象名称。 如果可分辨名称 (DN) 或名称中包含空格,则使用引号 (") 括住该名称。
| 类型: | ADRawEntryIdParameter |
| Position: | 1 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-InheritanceType
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
InheritType 参数指定如何继承权限。 有效值包含:
- None
- 所有 (这是默认值)
- Children
- 后代 [sic]
- SelfAndChildren
| 类型: | ActiveDirectorySecurityInheritance |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-InheritedObjectType
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
InheritedObjectType 参数指定何种对象继承此访问控制条目 (ACE)。
| 类型: | ADSchemaObjectIdParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Instance
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
使用 Instance 参数可以将整个对象传递给此命令以进行处理。 主要用于脚本中整个对象必须传递给命令的情况。
| 类型: | ADAcePresentationObject |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-Owner
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
Owner 参数指定 Active Directory 对象的所有者。 可以为此参数指定以下类型的用户或组 (安全主体) :
- 邮箱用户
- 邮件用户
- 安全组
可以使用任何能够唯一标识该用户或组的值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
不能将此参数与 AccessRights 或 User 参数一起使用。
| 类型: | SecurityPrincipalIdParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
-Properties
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
Properties 参数指定对象包含的属性。
仅当 AccessRights 参数设置为 ReadProperty、WriteProperty 或 Self 时,才能使用 Properties 参数。
| 类型: | ADSchemaObjectIdParameter[] |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-User
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
User 参数指定谁获取 Active Directory 对象的权限。 可以为此参数指定以下类型的用户或组 (安全主体) :
- 邮箱用户
- 邮件用户
- 安全组
为了获得最佳结果,我们建议使用以下值:
- UPN:例如,
user@contoso.com(用户仅) 。 - Domain\SamAccountName:例如
contoso\user。
否则,可以使用唯一标识用户或组的任何值。 例如:
- 名称
- 别名
- 可分辨名称 (DN)
- 可分辨名称 (DN)
- 域\用户名
- 电子邮件地址
- GUID
- LegacyExchangeDN
- SamAccountName
- 用户 ID 或用户主体名称 (UPN)
不能将此参数与 Owner 参数一起使用。
| 类型: | SecurityPrincipalIdParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
-WhatIf
适用:Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
WhatIf 开关模拟命令操作。 可以使用此开关在不实际应用将会发生的更改的情况下预览这些更改。 不必为此开关指定值。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
Input types
若要了解此 cmdlet 接受的输入类型,请参阅 cmdlet 的输入和输出类型。 如果 cmdlet 的"输入类型"字段为空,则表明此 cmdlet 不接受输入数据。
输出
Output types
若要了解此 cmdlet 接受的返回类型(亦称为"输出类型"),请参阅 cmdlet 的输入和输出类型。 如果"输出类型"字段为空,则表明此 cmdlet 不返回任何数据。